ユーザーは、vCenter Single Sign-On ID ソースとして追加されたドメインに属している場合のみ vCenter Server にログインできます。vCenter Single Sign-On の管理者ユーザーは、ID ソースの追加や、追加した ID ソースの設定を変更することができます。

ID ソースとして、LDAP を介した Active Directory、ネイティブの Active Directory(統合 Windows 認証)ドメインまたは OpenLDAP ディレクトリ サービスを使用できます。vCenter Single Sign-On による vCenter Server の ID ソースを参照してください。

インストール直後に、vsphere.local ドメイン(またはインストール時に指定したドメイン)が、vCenter Single Sign-On 内部ユーザーとともに使用可能になります。

注:

Active Directory SSL 証明書を更新または置換した場合は、vCenter Server の ID ソースを削除して再度追加する必要があります。

前提条件

Active Directory(統合 Windows 認証)ID ソースを追加する場合は、vCenter Server を Active Directory ドメイン内に配置する必要があります。Active Directory ドメインへの vCenter Server の追加を参照してください。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ID プロバイダ] タブで [ID ソース] をクリックし、[追加] をクリックします。
  5. ID ソースを選択し、ID ソース設定を入力します。
    オプション 説明
    Active Directory (統合 Windows 認証) ネイティブの Active Directory 実装にこのオプションを使用します。このオプションを使用する場合は、vCenter Single Sign-On サービスが稼動しているマシンが Active Directory ドメインに属している必要があります。

    Active Directory ID ソースの設定を参照してください。

    LDAP を介した Active Directory このオプションでは、ドメイン コントローラと他の情報を指定する必要があります。LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server ID ソースの設定を参照してください。
    OpenLDAP OpenLDAP ID ソースにこのオプションを使用します。LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server ID ソースの設定を参照してください。
    注:

    ユーザー アカウントがロックされているか、無効になっていると、Active Directory ドメイン内の認証およびグループとユーザーの検索に失敗します。ユーザー アカウントは、ユーザーとグループの組織単位 (OU) への読み取り専用アクセス権を持ち、ユーザーとグループの属性を読み取りできる必要があります。Active Directory はデフォルトでこのアクセス権を提供します。セキュリティの向上のために、特別なサービス ユーザーを使用します。

  6. [追加] をクリックします。

次のタスク

まず、各ユーザーにアクセスなしロールが割り当てられます。vCenter Server の管理者は、ユーザーがログインできるように少なくとも読み取り専用ロールを割り当てる必要があります。『vSphere のセキュリティ』ドキュメントで、ロールを使用した権限の割り当てに関するトピックを参照してください。

LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server ID ソースの設定

LDAP [Lightweight Directory Access Protocol] を介した Active Directory ID ソースは、Active Directory (統合 Windows 認証) オプションより優先されます。OpenLDAP Server ID ソースは、OpenLDAP を使用する環境で使用できます。

OpenLDAP の ID ソースを構成する場合は、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/2064977) で追加要件を確認してください。

重要: LDAP を介した Active Directory ID ソース内のグループで異なるドメインのユーザーを使用することは、ドメインごとに追加の ID ソースを作成した場合でもできません。

LDAP ID ソース内のグループは、指定されたユーザー ベース DN 内のユーザーのみを認識します。そのため、子ドメインを持つ大規模な Active Directory 環境では予期しない問題が発生する可能性があります。例として、次のシナリオについて考えてみます。

  1. ChildA と ChildB の 2 つの子ドメインを持つ Active Directory フォレスト。
  2. 2 つの LDAP を介した Active Directory ソース(1 つは子ドメイン ChildA 用、もう 1 つは子ドメイン ChildB 用)で構成された vCenter Server。
  3. ChildA には UserA1 と UserA2 という名前の 2 人のユーザーが含まれています。
  4. ChildB には UserB1 と UserB2 という名前の 2 人のユーザーが含まれています。

vCenter Server 管理者が UserA1、UserA2、UserB1、UserB2 を含む TestGroup という名前の ChildA にグループを作成します。vCenter Server 管理者が TestGroup にログイン(または任意の)権限を付与します。しかし、UserB1 と UserB2 はグループと異なるドメインに含まれているため、ログインできません。

回避策としては、以下を実行します。

  1. ChildB に SecondTestGroup という名前の別のグループを作成します。
  2. UserB1 と UserB2 を TestGroup から削除します。
  3. UserB1 と UserB2 を SecondTestGroup に追加します。
  4. vCenter Server で、TestGroup に付与したのと同じ権限を SecondTestGroup に割り当てます。
注: Microsoft Windows では、強力な認証と暗号化を必須とするように、Active Directory のデフォルトの動作が変更されました。この変更は、 vCenter Server が Active Directory に対してどのように認証を行うかに影響します。 vCenter Server の ID ソースとして Active Directory を使用する場合は、LDAPS を有効にすることを検討する必要があります。この Microsoft セキュリティ アップデートの詳細については、 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023および https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.htmlを参照してください。
表 1. LDAP [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server の設定
オプション 説明
[名前] ID ソースの名前。
[ユーザーのベース DN] ユーザーのベース識別名。ユーザー検索を開始する DN を入力します。たとえば、cn = Users、dc = myCorp、dc = com のように入力します。
[グループのベース DN] グループのベース識別名。グループ検索を開始する DN を入力します。たとえば、cn = Groups、dc = myCorp、dc = com のように入力します。
[ドメイン名] ドメインの FQDN。
[ドメイン エイリアス] Active Directory の ID ソースの場合、ドメインの NetBIOS 名。SSPI 認証を使用する場合は、ID ソースの別名として Active Directory ドメインの NetBIOS 名を追加します。

OpenLDAP の ID ソースの場合、別名を指定しないと、大文字で表記されたドメイン名が追加されます。

[ユーザー名] ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。ID は次のいずれかの形式にすることができます。
  • UPN ([email protected])
  • NetBIOS(ドメイン\ユーザー)
  • DN (cn=user,cn=Users,dc=domain,dc=com)
ユーザー名は完全修飾名にする必要があります。「user」という入力は機能しません。
[パスワード] [ユーザー名] で指定したユーザーのパスワード。
[接続先] 接続先のドメイン コントローラ。ドメイン内の任意のドメイン コントローラ、または特定のコントローラを指定できます。
[プライマリ サーバ URL] ドメインのプライマリ ドメイン コントローラ LDAP サーバ。ホスト名または IP アドレスのいずれかを使用できます。

ldap://hostname_or_IPaddress:port の形式または ldaps://hostname_or_IPaddress:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。

プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。

[セカンダリ サーバの URL] プライマリ ドメイン コントローラが使用できない場合に使用されるセカンダリ ドメイン コントローラ LDAP サーバのアドレス。ホスト名または IP アドレスのいずれかを使用できます。LDAP を操作するたびに、vCenter Server は必ずプライマリ ドメイン コントローラを試行してから、セカンダリ ドメイン コントローラにフォールバックします。このため、プライマリ ドメイン コントローラが使用できない場合、Active Directory へのログインには時間がかかり、失敗することもあります。
注: プライマリ ドメイン コントローラに障害が発生したときに、セカンダリ ドメイン コントローラに自動的に引き継がれない可能性があります。
[証明書 (LDAPS の場合)] Active Directory LDAP サーバまたは OpenLDAP Server の ID ソースで LDAPS を使用する場合は、参照 をクリックして、LDAPS URL で指定されたドメイン コントローラからエクスポートされた証明書を選択します。(ここで使用する証明書はルート CA 証明書ではないことに注意してください。)Active Directory から証明書をエクスポートするには、Microsoft のドキュメントを参照してください。

複数の証明書を参照して選択できます。

ヒント: 複数の証明書を参照して選択する場合は、それらを同じディレクトリに配置する必要があります。

vCenter Server は、登録および信頼されている認証局によって直接署名された証明書のみを信頼します。vCenter Server は、登録済みの CA 証明書までの経路を追跡せず、証明書が、登録および信頼されている認証局によって署名されているかどうかのみを確認します。証明書が公的に信頼されている認証局によって署名されているか、自己署名されている限り、それ以上のアクションは必要ありません。ただし、独自の内部証明書を作成する(プライベート認証局を使用する)場合は、それらの証明書を含めることが必要になる可能性があります。たとえば、組織が Microsoft Enterprise ルート認証局を使用して LDAPS 証明書を生成している場合は、そのエンタープライズ ルート証明書を選択して vCenter Server に追加することも必要です。また、LDAPS 証明書とエンタープライズ ルート証明書の間で中間認証局を使用する場合は、それらの中間証明書を選択して vCenter Server に追加することも必要です。

Active Directory ID ソースの設定

Active Directory(統合 Windows 認証)ID ソースのタイプを選択する場合、ローカル マシン アカウントをサービス プリンシパル名 (SPN) として使用するか、または SPN を明示的に指定できます。このオプションは、vCenter Single Sign-On サーバが Active Directory ドメインに参加している場合にのみ使用できます。

Active Directory(統合 Windows 認証)ID ソース使用の前提条件

Active Directory(統合 Windows 認証)ID ソースが利用可能な場合にのみ、これを使用するように vCenter Single Sign-On を設定できます。『vCenter Server の構成』ドキュメントの手順を実行してください。

注: Active Directory (統合 Windows 認証)は、Active Directory ドメイン フォレストのルートを常に使用します。Active Directory フォレスト内の子ドメインを使用して統合 Windows 認証 ID ソースを構成する方法については、VMware のナレッジベースの記事 ( https://kb.vmware.com/s/article/2070433) を参照してください。

設定を迅速に行うには、[マシン アカウントを使用] を選択します。vCenter Single Sign-On が稼動するローカル マシンの名前を変更予定の場合は、SPN を明示的に指定することをお勧めします。

セキュリティ強化が必要になる可能性のある場所の特定のために Active Directory で診断イベント ログを有効にしていると、そのディレクトリ サーバにイベント ID 2889 のログ イベントが表示されることがあります。統合 Windows 認証を使用している場合、イベント ID 2889 はセキュリティ リスクではなく、異常として生成されます。イベント ID 2889 の詳細については、https://kb.vmware.com/s/article/78644にある VMware ナレッジベースの記事を参照してください。

表 2. ID ソース設定の追加
テキスト ボックス 説明
[ドメイン名] mydomain.com のような完全修飾ドメイン名(FQDN)。IP アドレスは指定しないでください。このドメイン名は、vCenter Server システムによって DNS の名前解決が可能である必要があります。
[マシン アカウントを使用] ローカル マシン アカウントを SPN として使用する場合は、このオプションを選択します。このオプションを選択する場合は、ドメイン名のみを指定します。マシン名を変更する場合は、このオプションを選択しないでください。
[サービス プリンシパル名 (SPN) を使用] ローカル マシン名を変更する場合は、このオプションを選択します。SPN、ID ソースで認証できるユーザー、およびそのユーザーのパスワードを指定する必要があります。
[サービス プリンシパル名 (SPN)] Kerberos による Active Directory サービスの特定を支援する SNP。STS/example.com のように、名前にドメインを含めます。

SPN はドメイン全体で一意である必要があります。setspn -S コマンドを実行すると、重複が作成されていないことをチェックできます。setspn の情報については、Microsoft のドキュメントを参照してください。

[ユーザー プリンシパル名 (UPN)]

[パスワード]

この ID ソース ソースで認証できるユーザー名とパスワード。[email protected] のように、メール アドレスの形式を使用します。ユーザー プリンシパル名は、Active Directory サービス インターフェイス エディタ(ADSI エディタ)で検証できます。

CLI を使用した ID ソースの追加または削除

sso-configユーティリティを使用して、ID ソースを追加または削除できます。

ID ソースとして、ネイティブの Active Directory(統合 Windows 認証)ドメイン、LDAP を介した Active Directory、LDAPS(SSL を介した LDAP)を使用する LDAP を介した Active Directory、または OpenLDAP を使用できます。vCenter Single Sign-On による vCenter Server の ID ソースを参照してください。また、sso-configユーティリティを使用して、スマート カードと RSA SecurID 認証を設定します。

前提条件

Active Directory ID ソースを追加する場合は、vCenter Serverを Active Directory ドメイン内に配置する必要があります。Active Directory ドメインへの vCenter Server の追加を参照してください。

SSH ログインを有効にします。vCenter Server シェルを使用した vCenter Server の管理を参照してください。

手順

  1. SSH などのリモート コンソール接続を使用して、vCenter Serverシステムでセッションを開始します。
  2. root としてログインします。
  3. sso-configユーティリティが配置されているディレクトリに移動します。 
    cd /opt/vmware/bin
  4. sso-config.sh -helpを実行して sso-config のヘルプを参照するか、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/67304) で使用例を参照してください。