vCenter 5.5 の VCSA を AD 認証する。

vCenter 5.5 の VCSA を AD 認証する。

vCenter 5.5 からは、

デフォルトで「administrator@vsphere.local」という

管理ユーザアカウントが用意されています。

※vCenter 5.1 にいた 「admin@System-Domain」は 5.5 では使用されないようです。

このアカウントは、Windows 版 vCenter でも、

仮想アプライアンスの SUSE Linux 版の vCenter でも存在します。

が、せっかくなので Active Directory(AD)認証できるようにしてみようと思います。

今回は、

vCenter Server Appliance(VCSA) 5.5 に AD 認証設定してみます。

0. VCSA のデプロイ

まず、VCSA の OVF ファイルをデプロイして vCenter を起動できるようにしておきます。

すでに administrator@vsphere.local ユーザではログイン出来ることを想定しています。

※デプロイ手順については、今回は省略します・・・

vcsa55-ad00.png

1. 最初に、VCSA を AD 参加させます。

VCSA の管理画面(https://VCSAのアドレス:5480/)にログインします。

vcsa55-ad01-1.png

「vCenter Server」→「Authentication」タブを開いて、

「Active Directory Enabled」のチェックをオンにします。

「Domain」、「Administrator user」、「Administrator password」

をそれぞれ入力して「Save Settings」で設定を保存します。

※今回の例では、「vmad.local」という AD ドメインに参加させます。

vcsa55-ad01-2.png

2. ここで 一度 VCSA を再起動します。

AD の設定反映のために、VCSA の仮想マシンを再起動します。

SSO サービスの再起動が必要なようですが、

VCSA ごと再起動したほうが簡単なので・・・

ここで再起動しない場合、

後の手順で Web Client から AD ドメインが認識できなかったりします。

3. Web Client で、SSO の構成画面を開く。

VCSA が起動したら、Web Client に administrator@vsphere.local でログインします。

ログインしたら、ホームの「管理」をクリックします。

vcsa55-ad03-1.png

「構成」→「アイデンティティ ソース」を開きます。

vcsa55-ad03-2.png

4. ID ソース「WORKGROUP」を削除。

すでに IDソースとして「WORKGROUP」が登録されているのですが、

これは削除してしまいます。

これが残っていると AD ドメインを IDソースに追加するときにエラーとなります。

vcsa55-ad04.png

5. SSO の ID ソースとして AD ドメインを追加。

「+」ボタンをクリックし、ID ソース追加画面を開きます。

vcsa55-ad05-1.png

そして下記を指定します。

  • アイデンティティ ソースのタイプ
    →「Active Direcotry(統合 Windows 認証)」を選択。
  • ドメイン名 → 自動的に入力されます。
    ※既に VCSA を vmad.local ドメインに参加させています。
  • 「SPN を使用」を選択します。
  • サービス プリンシパル名(SPN)
    → 「!」をクリックしたときの例にならって、「STS/ドメイン名」と入力しています。
    ※ちなみにSTSは、「セキュリティ トークン サービス」 のようです・・・

vCenter Single Sign-On によって環境を保護する方法

http://pubs.vmware.com/vsphere-55/index.jsp#com.vmware.vsphere.security.doc/GUID-575991A7-7FF3-4F79-...

  • 「ユーザー プリンシパル名(UPN)」 と 「パスワード」
    →今回は、AD ドメインの Administrator を入力しています。

vcsa55-ad05-2.png

AD ドメインが SSO の ID ソースとして登録されたことが確認できます。

vcsa55-ad05-3.png

6. AD アカウントへの vCenter の権限付与

ここまでの手順で AD アカウントでもログインできるようになりますが

まだ vCenter で管理しているオブジェクトに対しての権限がなにもないので、

AD ユーザ(グループ)に vCenter のロールを付与することで権限付与します。

Web Client の ホーム画面から下記の vCenter の管理画面を開き、

「管理」→「権限」を開きます。

この画面で「+」ボタンをクリックして権限追加します。

vcsa55-ad06-1.png

「追加」ボタンで、AD ユーザ(もしくはグループ)を追加し、

vCenter のロール(例では「システム管理者」)を割り当てます。

基本的には AD ユーザではなく、AD グループに対して ロールを割り当てたほうが

権限管理しやすいと思います。

vcsa55-ad06-2.png

詳しい手順は下記を参考にしてください・・・

vCenter 5.1 入門 その4 (ADユーザ認証について)

※5.1 についてのポストですが、ここの手順は同様です。

※AD グループ、AD ユーザはこのポストと同じのものを使用しています。

vcsa55-ad06-3.png

AD のアカウントが登録されました。

vcsa55-ad06-4.png

7. Web Client から AD ユーザでログインしてみる。

AD ユーザで Web Client にログインしてみます。

vcsa55-ad07-1.png

ログインするとインベントリオブジェクトが見えます。

vcsa55-ad07-2.png

ちなみに、vCenter でロール(権限)付与していない場合は

ログインできても何も見えなくなります。(ゼロ件になります)

vcsa55-ad07-3.png

ちなみに、vSphere 環境の認証は、

vCenter 5.1 からこんな感じになっています。

今回の AD 認証は、イメージ図の「SSO 認証」の部分でされています。

vCenter 5.1 入門 その5 (vSphere 5.1 環境のユーザ認証イメージ)

最後に・・・

認証系は失敗するとつらいので、

十分に検証してから本番に挑んでほしいと思います・・・

以上、VCSA 5.5 の AD 認証設定でした。

0 Kudos
Version history
Revision #:
1 of 1
Last update:
‎03-23-2014 07:59 AM
Updated by:
Leadership
 
View Article History