vCenter 5.5 からは、
デフォルトで「administrator@vsphere.local」という
管理ユーザアカウントが用意されています。
※vCenter 5.1 にいた 「admin@System-Domain」は 5.5 では使用されないようです。
このアカウントは、Windows 版 vCenter でも、
仮想アプライアンスの SUSE Linux 版の vCenter でも存在します。
が、せっかくなので Active Directory(AD)認証できるようにしてみようと思います。
今回は、
vCenter Server Appliance(VCSA) 5.5 に AD 認証設定してみます。
0. VCSA のデプロイ
まず、VCSA の OVF ファイルをデプロイして vCenter を起動できるようにしておきます。
すでに administrator@vsphere.local ユーザではログイン出来ることを想定しています。
※デプロイ手順については、今回は省略します・・・
1. 最初に、VCSA を AD 参加させます。
VCSA の管理画面(https://VCSAのアドレス:5480/)にログインします。
「vCenter Server」→「Authentication」タブを開いて、
「Active Directory Enabled」のチェックをオンにします。
「Domain」、「Administrator user」、「Administrator password」
をそれぞれ入力して「Save Settings」で設定を保存します。
※今回の例では、「vmad.local」という AD ドメインに参加させます。
2. ここで 一度 VCSA を再起動します。
AD の設定反映のために、VCSA の仮想マシンを再起動します。
SSO サービスの再起動が必要なようですが、
VCSA ごと再起動したほうが簡単なので・・・
ここで再起動しない場合、
後の手順で Web Client から AD ドメインが認識できなかったりします。
3. Web Client で、SSO の構成画面を開く。
VCSA が起動したら、Web Client に administrator@vsphere.local でログインします。
ログインしたら、ホームの「管理」をクリックします。
「構成」→「アイデンティティ ソース」を開きます。
4. ID ソース「WORKGROUP」を削除。
すでに IDソースとして「WORKGROUP」が登録されているのですが、
これは削除してしまいます。
これが残っていると AD ドメインを IDソースに追加するときにエラーとなります。
5. SSO の ID ソースとして AD ドメインを追加。
「+」ボタンをクリックし、ID ソース追加画面を開きます。
そして下記を指定します。
- アイデンティティ ソースのタイプ
→「Active Direcotry(統合 Windows 認証)」を選択。 - ドメイン名 → 自動的に入力されます。
※既に VCSA を vmad.local ドメインに参加させています。 - 「SPN を使用」を選択します。
- サービス プリンシパル名(SPN)
→ 「!」をクリックしたときの例にならって、「STS/ドメイン名」と入力しています。
※ちなみにSTSは、「セキュリティ トークン サービス」 のようです・・・
vCenter Single Sign-On によって環境を保護する方法
- 「ユーザー プリンシパル名(UPN)」 と 「パスワード」
→今回は、AD ドメインの Administrator を入力しています。
AD ドメインが SSO の ID ソースとして登録されたことが確認できます。
6. AD アカウントへの vCenter の権限付与
ここまでの手順で AD アカウントでもログインできるようになりますが
まだ vCenter で管理しているオブジェクトに対しての権限がなにもないので、
AD ユーザ(グループ)に vCenter のロールを付与することで権限付与します。
Web Client の ホーム画面から下記の vCenter の管理画面を開き、
「管理」→「権限」を開きます。
この画面で「+」ボタンをクリックして権限追加します。
「追加」ボタンで、AD ユーザ(もしくはグループ)を追加し、
vCenter のロール(例では「システム管理者」)を割り当てます。
基本的には AD ユーザではなく、AD グループに対して ロールを割り当てたほうが
権限管理しやすいと思います。
詳しい手順は下記を参考にしてください・・・
vCenter 5.1 入門 その4 (ADユーザ認証について)
※5.1 についてのポストですが、ここの手順は同様です。
※AD グループ、AD ユーザはこのポストと同じのものを使用しています。
AD のアカウントが登録されました。
7. Web Client から AD ユーザでログインしてみる。
AD ユーザで Web Client にログインしてみます。
ログインするとインベントリオブジェクトが見えます。
ちなみに、vCenter でロール(権限)付与していない場合は
ログインできても何も見えなくなります。(ゼロ件になります)
ちなみに、vSphere 環境の認証は、
vCenter 5.1 からこんな感じになっています。
今回の AD 認証は、イメージ図の「SSO 認証」の部分でされています。
vCenter 5.1 入門 その5 (vSphere 5.1 環境のユーザ認証イメージ)
最後に・・・
認証系は失敗するとつらいので、
十分に検証してから本番に挑んでほしいと思います・・・
以上、VCSA 5.5 の AD 認証設定でした。