Platform Services Controller アプライアンス、または Platform Services Controller が組み込まれた vCenter Server Appliance のみを Active Directory ドメインに参加させることができます。ユーザーとグループは、この Active Directory ドメインから、ご使用の vCenter Single Sign-On ドメインに接続できます。

重要: 読み取り専用ドメイン コントローラ (RODC) を含んだ Active Directory ドメインに Platform Services Controller アプライアンスまたは Platform Services Controller が組み込まれた vCenter Server Appliance を 参加させることはサポートされません。 Platform Services Controller または Platform Services Controller が組み込まれた vCenter Server Appliance を参加させることができるのは、書き込み可能なドメイン コントローラを含んだ Active Directory ドメインだけです。

vCenter Server のコンポーネントにアクセスするための権限を Active Directory ドメインのユーザーとグループに対して構成するには、その関連する組み込み(または外部)Platform Services Controller インスタンスを Active Directory ドメインに参加させる必要があります。

たとえば、Platform Services Controller が組み込まれた vCenter Server AppliancevCenter Server インスタンスに対し、Active Directory ユーザーが vSphere Web Client から Windows セッション認証 (SSPI) でログインできるようにするには、vCenter Server Appliance を Active Directory ドメインに参加させたうえで、このユーザーに管理者ロールを割り当てる必要があります。外部の Platform Services Controller アプライアンスを使用した vCenter Server インスタンスに対し、Active Directory ユーザーが vSphere Web Client から SSPI でログインできるようにするには、Platform Services Controller アプライアンスを Active Directory ドメインに参加させたうえで、このユーザーに管理者ロールを割り当てる必要があります。

前提条件

  • vCenter Server AppliancevCenter Server インスタンスにログインしているユーザーが、vCenter Single Sign-On の SystemConfiguration.Administrators グループのメンバーであることを確認します。

  • アプライアンスのシステム名が FQDN であることを確認します。アプライアンスのデプロイ時に、システム名として IP アドレスを設定した場合、vCenter Server Appliance を Active Directory ドメインに参加させることはできません。

手順

  1. vSphere Web Client を使用して、vCenter Server AppliancevCenter Server インスタンスに administrator@your_domain_name としてログインします。
  2. vSphere Web Client のメイン ページで、[ホーム] アイコンの上にマウス ポインタを置き、[ホーム] をクリックし、[システム設定] を選択します。
  3. [デプロイ] で、[システム構成] をクリックします。
  4. [システム構成] で、[ノード] をクリックします。
  5. [ノード] で、ノードを選択し、[管理] タブをクリックします。
  6. [詳細] で、[Active Directory] を選択し、[参加] をクリックします。
  7. Active Directory の詳細情報を入力します。
    オプション 説明
    ドメイン Active Directory ドメイン名(mydomain.com など)。このテキスト ボックスには IP アドレスを入力しないでください。
    組織単位 オプション。OU の完全な LDAP FQDN。たとえば、OU=Engineering,DC=mydomain,DC=com など。
    重要: LDAP を十分に理解している場合のみ、このテキスト ボックスを使用してください。
    ユーザー名 ユーザー プリンシパル名 (UPN) 形式のユーザー名([email protected] など)。
    重要: DOMAIN\UserName などのダウンレベル ログイン名形式はサポートされていません。
    Password ユーザーのパスワード。
  8. [OK] をクリックし、vCenter Server Appliance を Active Directory ドメインに参加させます。
    メッセージが表示されることなく処理が成功し、[参加] ボタンが [離脱] に変わります。
  9. 変更を適用するため、編集したノードを右クリックし、[再起動] をクリックしてアプライアンスを再起動します。
    重要: アプライアンスを再起動しないと、 vSphere Web Client を使用しているときに問題が発生する場合があります。
  10. [管理] > [シングル サインオン] > [構成] に移動します。
  11. [アイデンティティ ソース] タブで、[アイデンティティ ソースの追加] アイコンをクリックします。
  12. [Active Directory (統合 Windows 認証)] を選択し、参加した Active Directory ドメインのアイデンティティ ソースの設定を入力して、[OK] をクリックします。
    表 1. アイデンティティ ソース設定の追加
    テキスト ボックス 説明
    ドメイン名 ドメインの FDQN。このテキスト ボックスには IP アドレスを入力しないでください。
    マシン アカウントを使用 ローカル マシン アカウントを SPN として使用する場合は、このオプションを選択します。このオプションを選択する場合は、ドメイン名のみを指定します。マシン名を変更する場合は、このオプションを選択しないでください。
    サービス プリンシパル名 (SPN) を使用 ローカル マシン名を変更する場合は、このオプションを選択します。SPN、アイデンティティ ソースで認証できるユーザー、およびそのユーザーのパスワードを指定する必要があります。
    サービス プリンシパル名 (SPN) Kerberos による Active Directory サービスの特定を支援する SNP。STS/example.com のように、名前にドメインを含めます。

    使用するユーザーを追加するには、setspn -S を実行する必要があります。setspn の情報については、Microsoft のドキュメントを参照してください。

    SPN はドメイン全体で一意である必要があります。setspn -S を実行すると、重複が作成されていないことをチェックできます。

    ユーザー プリンシパル名 (UPN) このアイデンティティ ソースで認証できるユーザーの名前。[email protected] のように、メール アドレス形式を使用します。ユーザー プリンシパル名は、Active Directory サービス インターフェイス エディタ(ADSI エディタ)で検証できます。
    Password このアイデンティティ ソース ([ユーザー プリンシパル名]で指定したユーザー) での認証に使用されるユーザーのパスワード。[email protected] のように、ドメイン名を含めます。

結果

[アイデンティティ ソース] タブに、参加した Active Directory ドメインが表示されます。

次のタスク

参加した Active Directory ドメインのユーザーおよびグループが vCenter Server コンポーネントにアクセスできるように権限を設定することができます。権限の管理の詳細については、『vSphere のセキュリティ』ドキュメントを参照してください。