メインコンテンツまでスキップ

外部 LDAP 認証サーバーのセットアップ

ローカルの VMware vCenter 用 LXCI管理ノードにある認証サーバーの代わりに、外部 LDAP 認証サーバーを使用できます。

始める前に

  • VMware vCenter 用 LXCI の初期セットアップは、外部認証サーバーの設定前に完了する必要があります。

  • 次の外部認証サーバーがサポートされています。

    • Microsoft Active Directory。VMware vCenter 用 LXCI アプライアンスと通信可能な外部 Microsoft Windows サーバーに存在している必要があります。

  • VMware vCenter 用 LXCI は、構成された外部 LDAP サーバーへの接続を維持するために、10 分ごとに接続を確認します。多くの LDAP サーバーが存在する環境では、この接続チェック時に CPU の使用率が高くなる可能性があります。最良のパフォーマンスを実現するには、LDAP クライアントの構成時に到達可能な既知の LDAP サーバーのみ指定してください。

  • この XClarity Integrator Web インターフェースにログインできる LDAP ユーザーは、LDAP サーバーの LDAP グループのメンバーである必要があります。

    この LDAP クライアントを構成する前に、グループを作成して LDAP サーバーのそのグループにユーザーを追加します。

    1. 外部認証サーバーで、ユーザー・アカウントを作成します。手順については、LDAP サーバーの資料を参照してください。

    2. LDAP サーバーでグループを作成します。LDAP グループ名には、デフォルト名 LXCI-SUPERVISOR または他のユーザー定義の名前を使用できます。このグループは、LDAP クライアントで定義されているルート識別名のコンテキストに存在する必要があります。

    3. 前に作成したグループのメンバーとしてユーザーを追加します。

手順

外部認証サーバーを使用するように VMware vCenter 用 LXCI を構成するには、次の手順を実行します。

  1. Microsoft Active Directory のユーザー認証方式を設定するには、以下のいずれかの手順を実行します。

    • 非セキュア認証を使用する場合は、追加の構成は必要ありません。Windows Active Directory ドメイン・コントローラーは、デフォルトで非セキュア LDAP 認証を使用します。

    • セキュア LDAP 認証を使用する:

      1. セキュア LDAP 認証を許可するようにドメイン・コントローラーをセットアップします。Active Directory で、セキュアな LDAP 認証を構成するには、https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx を参照してください。

      2. Active Directory ドメイン・コントローラーがセキュアな LDAP 認証を使用するように構成されていることを確認します。

        • ドメイン・コントローラーの「Event Viewer (イベント ビューアー)」ウィンドウで、「LDAP over Secure Sockets layer (SSL) is now available (現在、Secure Sockets Layer (SSL) で LDAP が利用できます)」イベントを探します。

        • Windows の ldp.exe ツールを使用して、ドメイン・コントローラーとのセキュア LDAP 接続をテストします。

      3. サーバー証明書に署名している証明機関の LDAP サーバー証明書、中間証明書 (ある場合)、ルート証明書をインポートします。

        1. VMware vCenter 用 LXCI メニューの左側のナビゲーション・ペインで、「Security Settings (セキュリティー設定)」をクリックします。

        2. 「Certificate Management (証明書管理)」セクションで、「Trusted Certificates (トラステッド証明書)」をクリックします。

        3. Add (追加)」をクリックします。

        4. 「Add (追加)」ウィンドウで、「Choose File (ファイルの選択)」をクリックして、ターゲット証明書をアップロードします。

        5. 「Upload Certificate (証明書のアップロード)」をクリックします。

  2. VMware vCenter 用 LXCI LDAP クライアントを構成します。
    1. VMware vCenter 用 LXCI のみだり側のナビゲーション・ペインで、「Security Settings (セキュリティー設定)」 > 「LDAP Client (LDAP クライアント)」の順に選択します。
    2. 次のいずれかのユーザー認証方式を選択します。
      • ローカル・ユーザーからのログオンを許可。認証はローカル認証を使用して実行されます。このオプションを選択すると、ユーザーはローカル・アカウントを使用して LXCI にしかログインできません。
      • 最初に LDAP ユーザーを許可し、次にローカル ユーザーを許可。最初に外部 LDAP サーバーで認証を実行します。失敗した場合、ローカル認証サーバーで認証を実行します。

        この方式を選択する場合は、以下を実行します。

        1. 1 つ以上のサーバー・アドレスとポートを入力します。

        2. 入力 LDAP グループ名。

          デフォルトでは、LDAP グループ名は LXCI-SUPERVISOR です。ユーザーは他の名前を入力することもできます。

        3. 以下のいずれかのバインディング方式を選択します。

          • 構成済み資格情報。クライアント名とパスワードを使用して、VMware vCenter 用 LXCI を外部認証サーバーにバインドするには、のバインディング方式を使用します。このバインドに失敗すると認証プロセスも失敗します

            クライアント名には、識別名、sAMAccountName、NetBIOS 名または UserPrincipalName などの LDAP サーバーでサポートされている名前を使用できます。クライアント・ユーザー名は、少なくとも読み取り専用特権を持つ、ドメイン内のユーザー・アカウントである必要があります。たとえば、
            cn=administrator,cn=users,dc=example,dc=com
            example\administrator
            administrator@example.com
            です。
            重要
            外部認証サーバーでクライアント・パスワードを変更するには、VMware vCenter 用 LXCI の新規パスワードが更新されているか確認してください。外部 LDAP サーバーでクライアント・パスワードが変更されている場合、ユーザーは、ローカル・アカウントを使用して、Integrator にログインし、新規パスワードを更新します。

          • ログイン資格情報。このバインディング方式を使用すると、LDAP の ユーザー名とパスワードを使用して VMware vCenter 用 LXCI を外部認証サーバーにバインドします。

            指定されたユーザー ID とパスワードは、認証サーバーへの接続テストにのみ使用します。成功すると、LDAP クライアントの設定は保存されますが、指定されたテスト・ログイン資格情報は保存されません。その後のバインドは VMware vCenter 用 LXCI にログインするために使用したユーザー名とパスワードを使用します。

            • ユーザーは、完全修飾ユーザー ID (たとえば、administrator@domain.comDOMAIN\admin) を使用して、VMware vCenter 用 LXCI にログインする必要があります。

            • バインディング方式では、完全修飾テスト・クライアント名を使用する必要があります。

        4. 「Root DN (ルート DN)」フィールドで、LDAP ディレクトリー・ツリーの一番上のエントリーを指定します。この場合、指定したルート識別名を検索ベースとして使用して検索が開始されます。

        5. 「User Search Attribute (ユーザー検索属性)」フィールドで、ユーザー名の検索に使用する属性を指定します。

          バインディング方式が「Configured Credentials (構成済み資格情報)」に設定されている場合、LDAP サーバーへの最初のバインディングのあとに、ユーザー DN、グループ・メンバーシップなどのユーザーに関する特定情報を検索する検索リクエストが実行されます。この検索リクエストでは、そのサーバー上でユーザー ID を表す属性名前を指定する必要があります。この属性名前は、このフィールドで構成されます。

        6. 「Group Search Attribute (グループ検索属性)」フィールドで、ユーザーが属するグループの特定に使用する属性名前を指定します。

        7. 「Group Name Attribute (グループ名属性)」フィールドで、LDAP サーバーが構成したグループ名の特定に使用する属性名前を指定します。

    3. Save (保存)」をクリックします。

      VMware vCenter 用 LXCI は、構成をテストして、共通のエラーを検出しようとします。テストが失敗すると、エラー・メッセージが表示されます。このメッセージにはエラーのソースが示されています。構成済み資格情報バインディングの場合、テストが成功し、指定されたサーバーへの接続が正常に完了した場合、以下の条件で、ユーザー認証が失敗します。

      • LDAP サーバーで誤った構成や変更が行われた場合、ユーザーはローカル・アカウントを使用してログインできる。ローカル・アカウントとパスワードは記録しておくことをお勧めします。

      • ルート識別名が正しくない。

      • ユーザーが LDAP サーバーの LDAP グループのメンバーではない。

    4. OK」をクリックします。

結果

VMware vCenter 用 LXCI によって LDAP サーバー接続が検証されます。検証に成功した場合は、VMware vCenter 用 LXCI にログインするときに、ユーザー認証が外部認証サーバーで行われます。

検証に失敗した場合は、認証モードが自動的に「Allow logons from local users (ローカル・ユーザーからのログオンを許可)」設定に戻り、失敗の原因が表示されたメッセージが表示されます。

正確な役割グループを VMware vCenter 用 LXCI で構成し、ユーザー・アカウントは、LDAP サーバーの LDAP グループのメンバーとして定義される必要があります。そうでないと、ユーザー認証は失敗します。