どうも、Tです。
今更感はあるものの、vCenter(vCSA)6.7の統合Windows認証環境を作る機会があったので、IDソースの追加~ADドメインユーザーを使ってvSphere Clientへログインするところまでの備忘録です。
検証のために使いますが、vSphereの「統合Windows認証」は廃止予定です。本番で利用する場合は、LDAPSを用いた「LDAPを介したActive Directory」を検討しましょう。
vSphere7のLDAPSを使ったIDソースの追加は下記にまとめています。
環境
- AD:Windows Server2019
- vCSA:6.7.0.21000 11726888
作業はvSphere Client(HTML5)を利用しています。
設定
vCSAのADドメイン参加
管理画面の「Single Sign-On」->「設定」->「Active Directoryドメイン」->「ACTIVE DIRECTORYに参加」をクリックします。
「ドメイン」「ユーザー(ADの参加が行えるユーザー)」「パスワード」を入力して「参加」をクリックします。
ADドメインへ参加できました。
再起動が必要なのでvCSAを再起動します。「デプロイ」->「システム設定」画面で対象のvCSAを選択し「ノートの再起動」をクリックします。
確認画面で理由を入力して「REBOOT」をクリックします。
再起動したらvSphere Clientへログインします。
ADのコンピュータオブジェクト確認
この状態でAD側ではComputerOUの配下にvCSAのコンピュータオブジェクトが作成されています。
IDソース追加(統合Windows認証)
管理画面の「Single Sign-On」->「設定」->「IDソース」->「IDソースの追加」をクリックします。
「IDソースタイプ」に「Active Directory(統合Windows認証)」を選択します。
「ドメイン名」を入力し「マシンアカウントを使用」を選択し「追加」をクリックします。
IDソースが追加できました。
管理画面の「Single Sign-On」->「ユーザーおよびグループ」->「ユーザー」画面を表示します。
「ドメイン」にソースIDで指定したドメインを選択するとADドメインのユーザーが表示あれます。
グローバル権限の追加
ログイン確認のため、グローバル権限にADドメインのユーザーを追加します。
「アクセスコントロール」->「グローバル権限」画面を開き「+」をクリックします。
「ユーザー」にADドメインのユーザーを選択し、「ロール」と「子へ伝達」を設定し「OK」をクリックします。
グローバル権限にADドメインユーザーが追加できました。
拡張認証プラグインのインストール
任意ですが、ログインを簡単にするために「拡張プラグイン」をインストールします。vSphere Clientのログイン画面で「VSPHERE CLIENT(HTML5)の起動」をクリックします。
左下の「拡張認証プラグインのダウンロード」をクリックします。
クリックでダウンロードが始まらない場合は、右クリックして「名前を付けてリンク先を保存」をクリックします。
インストーラーがダウンロードできるのでダブルクリックします。
「OK」をクリックします。
「OK」をクリックします。
VMware Enhanced Authentication Plug-inのインストールが開始します。
「次へ」をクリックします。
「使用許諾契約書に同意します」を選択し「次へ」をクリックします。
「次へ」をクリックします。
「インストール」をクリックします。
「完了」をクリックします。
VMware Plug-in Serviceのインストールが開始します。
「次へ」をクリックします。
「次へ」をクリックします。
「次へ」をクリックします。
「インストール」をクリックします。
「完了」をクリックします。
ログイン確認
ADドメインのユーザーでWindowsにログインし、vSphere Clientのログイン画面にアクセスします。
「vmware-vip-launcher.exeを開く」をクリックします。
「Windowsセッション認証を使用してください」にチェックを入れ「ログイン」をクリックします。拡張認証プラグインをインストールしているためWindowsにログインしているADドメインユーザーの認証情報を使ってログインを行うことが可能です。
「Allow」をクリックします。
右上のユーザー名を見るとADドメインのユーザー情報でログインできたことがわかります。
まとめ
これ簡単で好きだったんですが、LDAPSのみ推奨になったのはなんだかなぁ。