Active Directory などのディレクトリ サービスを使用してユーザーを管理するように ESXi を構成できます。

各ホストにローカル ユーザー アカウントを作成すると、複数のホストのアカウント名およびパスワードを同期しなければならないという問題が生じます。ESXi ホストを Active Directory ドメインに参加させて、ローカル ユーザー アカウントを作成および管理しなくても済むようにします。ユーザー認証に Active Directory を使用すると、簡単に ESXi ホストを構成し、未承認のアクセスにつながる構成問題のリスクを減らすことができます。

Active Directory を使用している場合は、ホストをドメインに追加する際に Active Directory 認証情報と Active Directory サーバのドメイン名を指定します。

Active Directory を使用するための ESXi ホストの構成

Active Directory などのディレクトリ サービスを使用してユーザーやグループを管理するように ESXi ホストを設定します。

ESXi ホストを Active Directory に追加する際には、ドメイン グループ ESX Admins にホストに対する完全な管理者権限を割り当てます(ホストが存在する場合)。完全な管理者権限を割り当てないようにするには、VMware のナレッジべースの記事 KB1025569 の回避策を参照してください。

ホストが Auto Deploy でプロビジョニングされている場合、Active Directory 認証情報をホストに格納することはできません。vSphere Authentication Proxy を使用して、ホストを Active Directory ドメインに参加させることができます。vSphere Authentication Proxy とホストの間には信頼チェーンが存在するため、Authentication Proxy はホストを Active Directory ドメインに参加させることができます。vSphere Authentication Proxy の使用を参照してください。

注: Active Directory でユーザー アカウント設定を定義するときに、コンピュータ名を指定することで、ユーザーがログインできるコンピュータを限定できます。デフォルトでは、ユーザー アカウントにこのような制限は設定されていません。この制限を設定すると、アクセス制御リスト内のコンピュータであっても、ユーザー アカウントの LDAP バインドの要求に失敗し、 LDAP バインドは成功しませんでした というメッセージが表示されます。この問題を避けるには、ユーザー アクセスを管理するコンピュータのリストに Active Directory サーバの NetBIOS 名を追加します。

前提条件

  • Active Directory ドメインがあることを確認します。ディレクトリ サーバのドキュメントを参照してください。
  • ESXi のホスト名が、Active Directory フォレストの完全修飾ドメイン名であることを確認します。

    fully qualified domain name = host_name.domain_name

手順

  1. ESXi とディレクトリ サービス システムの間で時刻の同期をとります。
    ESXi の時間を Microsoft ドメイン コントローラと同期させる方法については、 ネットワーク タイム サーバによる ESXiの時刻の同期または VMware のナレッジベースを参照してください。
  2. ホストに構成した DNS サーバで、Active Directory コントローラのホスト名を解決できることを確認します。
    1. vSphere Client インベントリで、ホストに移動して参照します。
    2. [構成] をクリックします。
    3. [ネットワーク] で、[TCP/IP 構成] をクリックします。
    4. [TCP/IP スタック] のデフォルトで、[DNS] をクリックし、ホスト名およびホストの DNS サーバ情報が正しいことを確認します。

次のタスク

ホストをディレクトリ サービス ドメインに参加させます。ディレクトリ サービス ドメインへの ESXi ホストの追加を参照してください。Auto Deploy でプロビジョニングされたホストの場合、vSphere Authentication Proxy を設定します。vSphere Authentication Proxy の使用を参照してください。権限を設定して、Active Directory ドメインに参加したユーザーおよびグループが vCenter Server コンポーネントにアクセスできるようにします。権限の管理方法については、インベントリ オブジェクトへの権限の追加 を参照してください。

ディレクトリ サービス ドメインへの ESXi ホストの追加

ESXi ホストでディレクトリ サービスを利用するには、ディレクトリ サービス ドメインにホストを追加する必要があります。

ドメイン名は次のいずれかの方法で入力できます。

  • name.tld (たとえば domain.com): アカウントはデフォルトのコンテナ下に作成されます。
  • name.tld/container/path (たとえば domain.com/OU1/OU2): アカウントは特定の組織単位 (OU) 下に作成されます。

vSphere Authentication Proxy サービスの使用については、「vSphere Authentication Proxy の使用」 を参照してください。

手順

  1. vSphere Client インベントリでホストを参照します。
  2. [構成] をクリックします。
  3. [システム] で、[認証サービス] を選択します。
  4. [ドメインへの参加] をクリックします。
  5. ドメインを入力します。

    name.tld または name.tld/container/path の形式を使用します。

  6. ドメインにホストを追加する権限を持つディレクトリ サービス ユーザーのユーザー名とパスワードを入力し、[OK] をクリックします。
  7. (オプション) 認証プロキシを使用する場合は、プロキシ サーバの IP アドレスを入力します。
  8. [OK] をクリックして、ディレクトリ サービスの構成ダイアログ ボックスを閉じます。

次のタスク

参加した Active Directory ドメインのユーザーおよびグループが vCenter Server コンポーネントにアクセスできるように権限を設定することができます。権限の管理方法については、インベントリ オブジェクトへの権限の追加 を参照してください。

ESXi ホストのディレクトリ サービス設定の表示

ESXi ホストがユーザー認証に使用しているディレクトリ サーバのタイプ(ある場合)、およびディレクトリ サーバの設定を確認できます。

手順

  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] で、[認証サービス] を選択します。
    [認証サービス] ページに、ディレクトリ サービスおよびドメイン設定が表示されます。

次のタスク

参加した Active Directory ドメインのユーザーおよびグループが vCenter Server コンポーネントにアクセスできるように権限を設定することができます。権限の管理方法については、インベントリ オブジェクトへの権限の追加 を参照してください。