【vSphere6】vCSA6.7でSSOにIDソースの追加(統合Windows認証)をしてみる

どうも、Tです。

今更感はあるものの、vCenter(vCSA)6.7の統合Windows認証環境を作る機会があったので、IDソースの追加~ADドメインユーザーを使ってvSphere Clientへログインするところまでの備忘録です。

検証のために使いますが、vSphereの「統合Windows認証」は廃止予定です。本番で利用する場合は、LDAPSを用いた「LDAPを介したActive Directory」を検討しましょう。

Deprecation of Integrated Windows Authentication

vSphere7のLDAPSを使ったIDソースの追加は下記にまとめています。

【vSphere7】Active Directory over LDAPSでvCenter Single Sign-On ID ソースを構成する
どうも、Tです。 vSphere7において、外部の認証情報を使ってvSphere Clientへのログイン認証などを行えるAD...

環境

  • AD:Windows Server2019
  • vCSA:6.7.0.21000 11726888

作業はvSphere Client(HTML5)を利用しています。

設定

vCSAのADドメイン参加

管理画面の「Single Sign-On」->「設定」->「Active Directoryドメイン」->「ACTIVE DIRECTORYに参加」をクリックします。

「ドメイン」「ユーザー(ADの参加が行えるユーザー)」「パスワード」を入力して「参加」をクリックします。

ADドメインへ参加できました。

再起動が必要なのでvCSAを再起動します。「デプロイ」->「システム設定」画面で対象のvCSAを選択し「ノートの再起動」をクリックします。

確認画面で理由を入力して「REBOOT」をクリックします。

再起動したらvSphere Clientへログインします。

ADのコンピュータオブジェクト確認

この状態でAD側ではComputerOUの配下にvCSAのコンピュータオブジェクトが作成されています。

IDソース追加(統合Windows認証)

管理画面の「Single Sign-On」->「設定」->「IDソース」->「IDソースの追加」をクリックします。

「IDソースタイプ」に「Active Directory(統合Windows認証)」を選択します。

「ドメイン名」を入力し「マシンアカウントを使用」を選択し「追加」をクリックします。

IDソースが追加できました。

管理画面の「Single Sign-On」->「ユーザーおよびグループ」->「ユーザー」画面を表示します。

「ドメイン」にソースIDで指定したドメインを選択するとADドメインのユーザーが表示あれます。

グローバル権限の追加

ログイン確認のため、グローバル権限にADドメインのユーザーを追加します。

「アクセスコントロール」->「グローバル権限」画面を開き「+」をクリックします。

「ユーザー」にADドメインのユーザーを選択し、「ロール」と「子へ伝達」を設定し「OK」をクリックします。

グローバル権限にADドメインユーザーが追加できました。

拡張認証プラグインのインストール

任意ですが、ログインを簡単にするために「拡張プラグイン」をインストールします。vSphere Clientのログイン画面で「VSPHERE CLIENT(HTML5)の起動」をクリックします。

左下の「拡張認証プラグインのダウンロード」をクリックします。

クリックでダウンロードが始まらない場合は、右クリックして「名前を付けてリンク先を保存」をクリックします。

インストーラーがダウンロードできるのでダブルクリックします。

「OK」をクリックします。

「OK」をクリックします。

VMware Enhanced Authentication Plug-inのインストールが開始します。

「次へ」をクリックします。

「使用許諾契約書に同意します」を選択し「次へ」をクリックします。

「次へ」をクリックします。

「インストール」をクリックします。

「完了」をクリックします。

VMware Plug-in Serviceのインストールが開始します。

「次へ」をクリックします。

「次へ」をクリックします。

「次へ」をクリックします。

「インストール」をクリックします。

「完了」をクリックします。

ログイン確認

ADドメインのユーザーでWindowsにログインし、vSphere Clientのログイン画面にアクセスします。

「vmware-vip-launcher.exeを開く」をクリックします。

「Windowsセッション認証を使用してください」にチェックを入れ「ログイン」をクリックします。拡張認証プラグインをインストールしているためWindowsにログインしているADドメインユーザーの認証情報を使ってログインを行うことが可能です。

「Allow」をクリックします。

右上のユーザー名を見るとADドメインのユーザー情報でログインできたことがわかります。

まとめ

これ簡単で好きだったんですが、LDAPSのみ推奨になったのはなんだかなぁ。