LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server ID ソースの設定

LDAP [Lightweight Directory Access Protocol] を介した Active Directory ID ソースは、Active Directory (統合 Windows 認証) オプションより優先されます。OpenLDAP Server ID ソースは、OpenLDAP を使用する環境で使用できます。

OpenLDAP の ID ソースを設定する場合は、VMware ナレッジベースの記事 (http://kb.vmware.com/kb/2064977) で追加要件を確認してください。

注： Microsoft Windows の今後の更新では、強力な認証と暗号化を必須とするように、Active Directory のデフォルトの動作が変更されます。この変更は、 vCenter Serverが Active Directory に対してどのように認証を行うかに影響します。vCenter Server の ID ソースとして Active Directory を使用する場合は、LDAPS を有効にすることを検討する必要があります。この Microsoft セキュリティアップデートの詳細については、 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023および https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.htmlを参照してください。

表 1. LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server の設定
オプション	説明
[名前]	ID ソースの名前。
[ユーザーのベース DN]	ユーザーのベース識別名。ユーザー検索を開始する DN を入力します。たとえば、cn = Users、dc = myCorp、dc = com のように入力します。
[グループのベース DN]	グループのベース識別名。グループ検索を開始する DN を入力します。たとえば、cn = Groups、dc = myCorp、dc = com のように入力します。
[ドメイン名]	ドメインの FQDN。
[ドメインエイリアス]	Active Directory の ID ソースの場合、ドメインの NetBIOS 名。SSPI 認証を使用する場合は、ID ソースの別名として Active Directory ドメインの NetBIOS 名を追加します。 OpenLDAP の ID ソースの場合、別名を指定しないと、大文字で表記されたドメイン名が追加されます。
[ユーザー名]	ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。ID は次のいずれかの形式にすることができます。 UPN ([email protected]) NetBIOS（ドメイン\ユーザー） DN (cn=user,cn=Users,dc=domain,dc=com) ユーザー名は完全修飾名にする必要があります。「user」という入力は機能しません。
[パスワード]	[ユーザー名] で指定したユーザーのパスワード。
[接続先]	接続先のドメインコントローラ。ドメイン内の任意のドメインコントローラ、または特定のコントローラを指定できます。
[プライマリサーバ URL]	ドメインのプライマリドメインコントローラ LDAP サーバ。ホスト名または IP アドレスのいずれかを使用できます。 `ldap://hostname_or_IPaddress:port` の形式または `ldaps://hostname_or_IPaddress:port` の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメインコントローラデプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。プライマリまたはセカンダリ LDAP の URL に `ldaps://` を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。
[セカンダリサーバの URL]	フェイルオーバーに使用されるセカンダリドメインコントローラ LDAP サーバのアドレス。ホスト名または IP アドレスのいずれかを使用できます。
[証明書 (LDAPS の場合)]	Active Directory LDAP サーバまたは OpenLDAP Server の ID ソースで LDAPS を使用する場合は、`参照` をクリックして、LDAPS URL で指定されたドメインコントローラからエクスポートされた証明書を選択します。（ここで使用する証明書はルート CA 証明書ではないことに注意してください。）Active Directory から証明書をエクスポートするには、Microsoft のドキュメントを参照してください。