こんにちは、AWS事業本部の荒平(@0Air)です。
VMware Cloud on AWSでは、基本的にcloudadmin@vmc.localというユーザーを用いてvCenterにログインを行います。cloudadmin以外のローカルユーザーを作成することはできません。(参考)
とはいえ、cloudadminだけでは、パスワード共有やユーザー管理の面でセキュリティリスクがあります。
外部のIdPとして、Active DirectoryなどのLDAPと連携する方法を紹介します。
構成図
本エントリの構成図です。
vCenter Serverにログイン試行すると、LDAP連携先(Active Directory)に問い合わせを行い、認証します。その結果を元に、事前定義されたロールと紐付け、ユーザーにアクセス許可(認可)を出します。
やってみる
設定手順は、以下のVMware Docsに従います。
Active Directoryは今回SDDC内に立ち上げていますが、ホスト障害の可能性を考慮すると、オンプレミスやEC2に立てたほうが望ましいと思います。
0. [参考] Active Directoryの状況
準備等は割愛しますが、今回の検証にて利用するActive Directoryの状況です。
ドメイン配下にUsers, Administratorが存在する標準のものを利用します。
1. Single Sign On 設定
vCenterとActive Directoryを紐付けていきます。
cloudadmin@vmc.localにログインした状態で、左上のハンバーガーメニューから、「管理」をクリックします。
「Single Sign-On」の「設定」から、「IDソース」タブにて追加をクリックします。
必要な情報を入力して、「追加」をクリックします。入力値はドメインやOU構成に応じて変更してください。
今回の場合は、先述の通り、SDDC上に立てているActive Directoryサーバ宛にLDAP通信が流れます。
証明書を追加して、LDAPSを利用することもできます。
2. ログインの可否を確認する
vSphere Clientを一度ログアウトし、Active Directoryに登録されているユーザーでログインできるか確認します。
手順通りの状態であれば、権限がないためログイン・参照ができないはずです。
3. vSphereのグローバル権限をユーザー/グループに割り当てる
サイドメニューから、「グローバル権限」のページに移動し、新規権限を「追加」します。
追加する権限を設定します。
ドメイン名、権限を与える対象のユーザー・グループ、ロールを指定します。
VMware Cloud on AWSで利用できるデフォルトの特権ユーザーはCloudAdminです。
対象のドメイン/ユーザーにCloudAdminが付与できました。
このユーザーにログインして動作を確認します。
4. 動作確認(再度)
登録したユーザー名とActiveDirectoryの認証情報でログインします。
無事にログインが成功し、対象のユーザーで閲覧できることが確認できました。
おわりに
インフラ担当者が複数いる場合や、しっかり権限分離をしておきたい場合にLDAP(ActiveDirectory)連携を設定すると便利です。
一部記載しましたが、連携先のActive DirectoryはSDDCの外にあることが望ましいです(何か障害があった際にvCenterへログインできない可能性があるため)。EC2やDirectory Serviceに構築しておきましょう。
このエントリが誰かの助けになれば幸いです。
それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました!
10
