いまさらですが、vSphere 5.1 (おもに vCenter 5.1 と ESXi)の
ユーザ認証を絵的にしてみました。
vSphere 5.1 までのユーザ認証
まず、以前の自分のポストですが・・・
vCenter 5.1 入門 その3 (vCenter SSO のポイント)
vSphere Client でも、
Web Client (従来からあったものとは別の vCenter 5.1 からの)でも、
vCenter 5.1 への接続では vCenter SSO の認証が使用されます。
ただし、
vSphere Client でも、コンソール/SSH 等でのログインでも
ESXi への直接ログインでは、vCenter SSO の認証は使用されません。
ユーザ認証については 「どこからどこの認証で」 がわかりにくいのでまとめてみました。
たとえば、クライアントPCから vCenter と ESXi の操作をする場合を比べてみると、
下記のようなイメージになっています。
vSphere 5.1 からは、下記のように
vCenter 環境では主に Web Client を使用するように変更されました。
「SSO認証」 がついている矢印では、vCenter SSO によるユーザ認証です。
よく使われるユーザ認証は、上記の3つだと思います。
- Web ブラウザから Web Client 経由で vCenter にアクセス
→ この時にユーザ認証は、vCenter SSO によるものです。 - vSphere Client から vCenter 経由でESXi にアクセス
→ 5.1 からは、vCenter でのユーザ認証も、vCenter SSO によるものです。 - vSphere Client から ESXi に直接アクセス
→ 従来通り、ESXi でのユーザ認証は、ESXi 自身によるものです。
→vMA や SSH などによるESXi へのアクセスも、これと同じです。
vSphere 5.0 までのユーザ認証
vSphere 5.0 までは、主に vSphere Client を使用していて
ユーザ認証ケースは下記の2つだと思います。
- vSphere Client から vCenter 経由でESXi にアクセス
→ この場合、vCenter でのユーザ認証は、vCenter 自身によるものです。 - vSphere Client から ESXi に直接アクセス
→ この場合、ESXi でのユーザ認証は、ESXi 自身によるものです。
ちなみに、このリリースまででも Web ベースのインターフェースがありましたが、
今回は省略で・・・
vSenter SSO での認証によって変化があったのは、
vCenter へのログインで、ESXi へのアクセスはvSphere 5.1 では変更ありません。
ESXi への直接アクセス(vSphere 5.0まで / vSphere 5.1 以降 で共通)
ESXi へのログインは、基本的に ESXi 自身による認証となります。
- ESXi は、ESXi 自身のローカルユーザで認証します。
- ただし、ESXi に AD 連携の設定をしていたら AD のユーザでも認証できます。
なお、vCenter で ESXi が管理されている環境下では、
vCenter のインベントリ情報の不整合を避けるため
ESXi への直接ログインはできるだけ避けて
本当に必要な場合以外は vCenter 経由で ESXi にアクセスするようにします。
★vCenter 管理下の ESXi に直接ログインするケースの例
- 何らかの障害などで、どうしても vCenter から ESXi にアクセスできなくなってしまった場合
- vCenter 自体が VM で構築されていて、その VM 自体を起動したい場合
ユーザ認証系については、詳しくはこちらを参照してください・・・
ESXi および vCenter Server 製品のドキュメント
リリース 5.1
vSphere セキュリティ ガイド
ちなみに、これからは Web Client をメインで使用することになるそうです。
現状で最新の vSphere 5.5 でも vSphere Client でしかできないこともありますが、
そのうち ESXi 自体を管理するツールも Web ベースになるのかもしれません。
以上、vSphere 5.1 でのユーザ認証についてでした。
こちらもどうぞ・・・
vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)
vCenter 5.1 入門 その2 (Simple Install について)