Active Directory(統合 Windows 認証)ID ソースのタイプを選択する場合、ローカル マシン アカウントをサービス プリンシパル名 (SPN) として使用するか、または SPN を明示的に指定できます。このオプションは、vCenter Single Sign-On サーバが Active Directory ドメインに参加している場合にのみ使用できます。
Active Directory(統合 Windows 認証)ID ソース使用の前提条件
Active Directory(統合 Windows 認証)ID ソースが利用可能な場合にのみ、これを使用するように vCenter Single Sign-On を設定できます。『vCenter Server の構成』ドキュメントの手順を実行してください。
設定を迅速に行うには、[マシン アカウントを使用] を選択します。vCenter Single Sign-On が稼動するローカル マシンの名前を変更予定の場合は、SPN を明示的に指定することをお勧めします。
セキュリティ強化が必要になる可能性のある場所の特定のために Active Directory で診断イベント ログを有効にしていると、そのディレクトリ サーバにイベント ID 2889 のログ イベントが表示されることがあります。統合 Windows 認証を使用している場合、イベント ID 2889 はセキュリティ リスクではなく、異常として生成されます。イベント ID 2889 の詳細については、https://kb.vmware.com/s/article/78644にある VMware ナレッジベースの記事を参照してください。
| テキスト ボックス | 説明 |
|---|---|
| [ドメイン名] | mydomain.com のような完全修飾ドメイン名(FQDN)。IP アドレスは指定しないでください。このドメイン名は、vCenter Server システムによって DNS の名前解決が可能である必要があります。 |
| [マシン アカウントを使用] | ローカル マシン アカウントを SPN として使用する場合は、このオプションを選択します。このオプションを選択する場合は、ドメイン名のみを指定します。マシン名を変更する場合は、このオプションを選択しないでください。 |
| [サービス プリンシパル名 (SPN) を使用] | ローカル マシン名を変更する場合は、このオプションを選択します。SPN、ID ソースで認証できるユーザー、およびそのユーザーのパスワードを指定する必要があります。 |
| [サービス プリンシパル名 (SPN)] | Kerberos による Active Directory サービスの特定を支援する SNP。STS/example.com のように、名前にドメインを含めます。 SPN はドメイン全体で一意である必要があります。setspn -S コマンドを実行すると、重複が作成されていないことをチェックできます。setspn の情報については、Microsoft のドキュメントを参照してください。 |
| [ユーザー プリンシパル名 (UPN)] [パスワード] |
この ID ソース ソースで認証できるユーザー名とパスワード。[email protected] のように、メール アドレスの形式を使用します。ユーザー プリンシパル名は、Active Directory サービス インターフェイス エディタ(ADSI エディタ)で検証できます。 |
