vCenter Server を Active Directory ドメインに参加させることができます。ユーザーとグループは、この Active Directory ドメインから、ご使用の vCenter Single Sign-On ドメインに接続できます。Active Directory ドメインから離脱することができます。

重要: 読み取り専用ドメイン コントローラ (RODC) を含んだ Active Directory ドメインに vCenter Server を参加させることはサポートされません。 vCenter Server を参加させることができるのは、書き込み可能なドメイン コントローラを含んだ Active Directory ドメインだけです。

Active Directory からのユーザーとグループが vCenter Server コンポーネントにアクセスできるように権限を設定する場合は、Active Directory ドメインに vCenter Server インスタンスを参加させる必要があります。

たとえば、vCenter Server インスタンスに、Active Directory ユーザーが vSphere Client を使用してログインできるようにするには、vCenter Server インスタンスを Active Directory ドメインに参加させたうえで、そのユーザーに管理者ロールを割り当てる必要があります。

前提条件

  • vCenter Server インスタンスにログインしているユーザーが、vCenter Single Sign-On の SystemConfiguration.Administrators グループのメンバーであることを確認します。

  • アプライアンスのシステム名が FQDN であることを確認します。アプライアンスのデプロイ時に、システム名として IP アドレスを設定した場合、vCenter Server を Active Directory ドメインに参加させることはできません。

手順

  1. vSphere Client を使用して、vCenter Server インスタンスに administrator@your_domain_name としてログインします。
  2. [vSphere Client] メニューから [管理] を選択します。
  3. [Single Sign-On] > [構成] の順に選択します。
  4. [ID プロバイダ] タブをクリックし、ID プロバイダのタイプとして [Active Directory ドメイン] を選択します。
  5. [Active Directory に参加] をクリックします。
  6. [Active Directory ドメインに参加] ウィンドウで、次の詳細を入力します。
    オプション 説明
    ドメイン Active Directory ドメイン名(mydomain.com など)。このテキスト ボックスには IP アドレスを入力しないでください。
    組織単位 (オプション) 組織単位 (OU) の完全な LDAP FQDN。たとえば、OU=Engineering,DC=mydomain,DC=com など。
    重要: LDAP を十分に理解している場合のみ、このテキスト ボックスを使用してください。
    ユーザー名 ユーザー プリンシパル名 (UPN) 形式のユーザー名([email protected] など)。
    重要: DOMAIN\UserName などのダウンレベル ログイン名形式はサポートされていません。
    パスワード ユーザーのパスワード。
    注: 変更を適用するため、ノードを再起動してください。
  7. [参加] をクリックし、vCenter Server を Active Directory ドメインに参加させます。
    メッセージが表示されることなく処理が成功し、[Active Directory に参加] オプションが [Active Directory から離脱] に変わります。
  8. (オプション) Active Directory ドメインから離脱するには、[Active Directory から離脱] をクリックします。
  9. vCenter Server を再起動して、変更を適用します。
    重要: vCenter Server を再起動しないと、 vSphere Client を使用しているときに問題が発生する場合があります。
  10. [ID ソース] タブを選択して、[追加] をクリックします。
    1. [ID ソースの追加] ウィンドウで、ID ソースのタイプとして [Active Directory(統合 Windows 認証)] を選択します。
    2. 参加している Active Directory ドメインの ID ソースの設定を入力し、[追加] をクリックします。
      表 1. ID ソース設定の追加
      テキスト ボックス 説明
      ドメイン名 ドメインの FDQN。このテキスト ボックスには IP アドレスを入力しないでください。
      マシン アカウントを使用 ローカル マシン アカウントを SPN として使用する場合は、このオプションを選択します。このオプションを選択する場合は、ドメイン名のみを指定します。マシン名を変更する場合は、このオプションを選択しないでください。
      サービス プリンシパル名 (SPN) を使用 ローカル マシン名を変更する場合は、このオプションを選択します。SPN、ID ソースで認証できるユーザー、およびそのユーザーのパスワードを指定する必要があります。
      サービス プリンシパル名 Kerberos による Active Directory サービスの特定を支援する SNP。STS/example.com のように、名前にドメインを含めます。

      使用するユーザーを追加するには、setspn -S を実行する必要があります。setspn の情報については、Microsoft のドキュメントを参照してください。

      SPN はドメイン全体で一意である必要があります。setspn -S を実行すると、重複が作成されていないことをチェックできます。

      ユーザー名 この ID ソースで認証できるユーザーの名前。[email protected] のように、メール アドレス形式を使用します。ユーザー プリンシパル名は、Active Directory サービス インターフェイス エディタ(ADSI エディタ)で検証できます。
      Password この ID ソース ([ユーザー プリンシパル名]で指定したユーザー) での認証に使用されるユーザーのパスワード。[email protected] のように、ドメイン名を含めます。

結果

[ID ソース] タブに、参加した Active Directory ドメインが表示されます。

次のタスク

参加した Active Directory ドメインのユーザーおよびグループが vCenter Server コンポーネントにアクセスできるように権限を設定することができます。権限の管理の詳細については、『vSphere のセキュリティ』ドキュメントを参照してください。