今回は、vCenter 5.1 と Active Directory(AD) についてです。
Web Client から AD ユーザでログインして、vCenter での管理操作をできるようにしてみます。
vCenter 5.1 から vCenter SSO が登場して、AD と認証連携 をする機会が多いと思うので
参考になればと思います・・・
今回の流れ
- AD に vCenter で仮想マシンを管理する用途のグループを作成しておきます。
- そのADグループに vCenter のロールを付与します。
- AD ユーザで Web Client からログインしてみます。
vCenter 5.1 での認証には、vCenter SSO が使用されるため、
この設定をするには AD ドメインが vCener SSO に ID ソースとして登録されている必要があります。
1. ADへの ユーザ / グループ アカウントの作成
今回の例では、「vmad.local(VMAD)」 という名前の AD ドメインを検証用に構築しています。
ユーザとグループオブジェクトを格納するOU「Test_OU」を作成し、その中に
vCenter のロールを付与するため、AD グループ「vcusers」 と AD ユーザ「vcuser1」を作成しています。
これは、AD のドメインコントローラ(vCenter とは別のサーバ)で実施します。
※ちなみに、AD のドメインコントローラに vCenter 5.1 はインストールできません。
vCener のロールは、ユーザ単位よりもグループ単位で割り当てたほうが管理しやすいため
vcusers グループにロールを割り当てる想定で手順を進めます。
AD ユーザ / グループ側には vCenter 特有のプロパティ設定はなく、
AD で認証可能なユーザであれば vCenter SSO の認証でも使用できます。
※ユーザが vCenter でどんな操作ができるかは、vCenter のロールで制御します。
vcusers グループには、vcuser1 を所属させています。
2. AD グループへのロール付与
例として、vCenter のロール「仮想マシン パワー ユーザー」 を割り当ててみます。
このロールを付与したユーザ(グループ)は仮想マシン管理ができるようになります。
このロールは、vCenter にデフォルトで存在するサンプルロールです。
Windows の「Power Users」グループ に近いイメージのものだと考えられます。
まず、vCenter のシステム管理者ロールをもつユーザ(例では AD のadministrator ユーザ)で
Web Client にログインします。
ログインしたら、インベントリで 「vCenter」 をクリックします。
インベントリ リスト で「vCener Server」を開きます。
左側のウインドウに vCenter の名前が表示されるので、それをクリックしてから
「管理」 → 「権限」 を開き、「+」(権限の追加)をクリックします。
「権限の追加」 画面が表示されるので、「追加」 をクリックします。
「ユーザ/グループの選択」 画面が表示されるので、
「ドメイン:」 でロールを付与したい AD ドメイン 名前を選択します。
そして 検索窓に追加したい ユーザ/グループ を入力すると、下記のように
特定の ユーザ/グループ (今回は vcusers グループ) だけを表示することができます。
ユーザ もしくは グループ を選択してから 「追加」 をクリックして、
「ユーザー:」 か「グループ:」 にそのアカウントが表示されたら「OK」をクリックします。
「権限の追加」 画面に、vcusers グループが追加されました。
そして、「割り当てられたロール」 側の画面で
ロール(今回は「仮想マシン パワー ユーザー」)を選択して 「OK」 をクリックします。
これで、AD グループ「vcusers」 に対して vCenter のロールを付与できました。
3. AD ユーザでの Web Client ログオン確認
ロールを割り当てた AD ユーザ「vcuser1」で、Web Client からログインしてみます。
ログインしたユーザは、与えられたロール(に含まれる権限)の範囲で vCener の操作ができます。
権限がないオブジェクトやメニューは、表示されなかったりグレーアウトしたりします。
この AD ユーザには仮想マシンを管理するロールを割り当てているため、
たとえばデータセンタに対する「アクション」を見てみると、
多くのメニューがグレーアウトされています。
vCenter の「システム管理者」をもつユーザでは
上記と同じデータセンタに対する「アクション」でも多くのメニューがアクティブになります。
ちなみに、vCenter のロールが何も与えられていない AD ユーザでも、
AD が vCenter SSO の ID ソースに登録されていれば Web Client にログインできてしまいます。
しかし、その場合は下記の vcuser2ユーザのように、インベントリリストに何も表示されないため
何もすることができません。※vcuser2 ユーザは、AD に作成しただけのユーザです。
vSphere Client でも同様に vCenter SSO による AD 認証で
vCenter にログオンすることができます。
こちらも参考にしていただければと思います。
vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)
vCenter 5.1 入門 その2 (Simple Install について)
vCenter 5.1 入門 その3 (vCenter SSO のポイント)
以上、vCenter 5.1 と ADユーザの話でした。