vSphere 5 では SSO が導入され、vCenter や Web Client などの異なるインフラストラクチャを異なる仮想マシンにインストールできるようになりました。sSO は管理者が vCenter Server にすべてのインフラストラクチャをインストールしなくても済むようにする通信チャネルですが、多くの人が SSO とその仕組みについて誤解しています。
SSOとは何ですか?
SSO は、VMware のユーザー管理、サービス管理、および認証のためのオプションの認証システムです。vCenter SSO は、AD インフラストラクチャに代わる vCenter 認証方法です。
vCenter の簡単インストールを実行するユーザは、現在の AD 構成がリストされ、正しい認証情報が指定されるとそれに従って追加されるため、SSO の導入を心配する必要はありません。ローカル管理者としてではなく、ドメイン管理者としてログインした状態でインストールイメージを実行してください。
vCenter SSOの設定方法
SSOの導入は、複数のドメインを持っているユーザーや新しいドメインを追加したいユーザーにとっては簡単なプロセスです。新規ユーザーは、ほとんどのSSOの修正はWeb Client経由で行う必要があることに注意してください。
新規インストールでは、2 つの異なるユーザー・アカウントに注意してください。1つはSSO管理アカウントadmin@System-Domainで、もう1つはvCenterアプライアンスに使用されるSSOユーザーroot@System-Domainです。 root@System-Domainアカウントには、VMインフラストラクチャを変更したり、VMインフラストラクチャと対話したりする権利はありません。ユーザー、セキュリティ認証、およびログイン設定を変更するためにのみ使用できます。次の図は、admin@System-Domain アカウントを使用しています。どのアカウントが使用されているかは、Web Client の右上隅を見れば確認できます。
vSphere Web Client では、画面の右上に vSphere インベントリとログインしているユーザが表示されます。
管理者アカウントadmin@System-Domainは仮想マシン、ネットワーク、ストレージとやりとりできます。しかし、admin@System-DomainはまだSSOユーザーであり、ドメインユーザーではありません。
ドメインの追加方法
vCenter でユーザーを追加したときに AD ドメインが表示されない場合は、admin@System-Domain ユーザーを使用して Web Client にログインして問題を解決できます。
vCenterでドメイン認証を追加するには、インストール時に設定したパスワードでログインする必要があります。Web Client のオプションの多くがグレーアウトしていることに気付くと思いますが、これはログインアカウントが単なる SSO アカウントであるためです。
次に、[Administration] > [Login & Discovery] > [Identity Sources]の順に選択します。これにより、インストールされているすべてのIDソースが表示されます。vCenterで新しいドメインを追加するには、緑色の+マークをクリックして設定画面を開きます。最も一般的なオプションは AD ですが、AD 以外の LDAP を構成する必要がある場合は OpenLDAP を使用できます。
vSphere Web Client での新しいドメインの SSO の構成
ADドメインを追加する場合は、ADを選択し、IDソース情報を入力します。両方のドメインに同じコントローラ情報を配置するとエラーになり、プロセスが中断されるため、2番目のドメインコントローラを選択する必要があります。
2つ目のドメインコントローラがデプロイされると、vCenterはリクエストを処理できるようになります。問題またはエラーが左側のパネルに表示されます。要求を編集するには、[Work in Progress] パネルをダブルクリックして、入力されたデータを表示できます。LDAP の規約または構成が不明な場合は、ADSI エディタを使用してドメインコントローラからこの情報を取得できます。
新しいドメインに権限を追加する方法
vSphere Windows クライアントで新しいドメインをテストするには、再度ログインする必要があります。お好みのビューを選択し、[Permissions]タブを見つけ、何もないところで右クリックし、[Add Permissions]を選択します。ユーザーとユーザーグループ]で[追加]を選択し、ドロップダウンリストでドメインを選択します。ドメインユーザのリストが表示されます。左側のパネルでユーザーにロールを割り当て、[確認]をクリックします。管理者のみを含むドメインベースのユーザーグループを作成することをお勧めします。
vSphere Windows クライアントを使用して、ドメイン内のユーザにロールを付与します。
管理者でログインし、ウェブクライアントで同じ設定を行います。左側のリストツリーでお好みのビューを選択します。ウェブクライアントの右側のパネルで、[アクセス許可]を選択し、緑色の[+]ボタンをクリックします。その後の設定はWindowsクライアントと全く同じで、[認証ドメイン]を選択し、[ADドメイン]をクリックします。
vSphere Web Client を使用したユーザおよびユーザ グループへの権限の追加
重要性を増すSSO
新バージョンのvCenterでは、SSOがより重要になっています。SSOに興味がある方は、VMwareの公式サイトでvSphere 5.1のマニュアルをご覧ください。
アドオンとして、VMwareは、大規模サイトの管理者が、機能性と信頼性を追加するために、SSOを5.1からバージョン***にアップグレードすることを推奨しています。このプロセスは非常に簡単で、vCenterのアップグレードは必要ありません。
