Windows Active Directory(AD)の作成とvSphereを使用し、仮想インフラストラクチャを管理できるユーザーを制御するためのグループ方法について説明します。
vSphere管理に管理者アカウントを利用するメリットには管理者責任、認証、権限付与の便利性があります。
vSphere administration用と使用するWindows ADの作成
Windows Active Directoryはネットワークにおける認証情報(ユーザ名とパスワード)用の単一なレポジトリのようなものです。VMwareで他の認証情報レポジトリを作成せず、Windows ADを利用したい時、VMwareは簡単にADとVMwareを連携させることができます。
もし、ユーザがネットワーク上で唯一のVMware管理者であっても、「vSphere Admins」というWindowsグループからの作成からスタートします。最初はグループ内では作成した人のみですが、後で他の人を追加できます。また例えば「vSphere Desktop VM admins」や 「vSphere Web Server admins」等他のグループを追加することもできます。これらの人はフルアクセスを持ちませんが、分野で分類された特定のVMware仮想マシンを管理することができます。さらにユーザに特定の仮想マシンに対して電源ON・OFFができるように「vSphere Support Techs」と名前を付けたグループをさらに指定と作成をすることができます。
「vSphere Admins」グループを作成するにはWindows DC(Domain controller)で「Active Directory Users and Computers」を起動させます。
一旦稼働したら下記の図のように「vSphere Admins」というWindows AD内に新規グローバル・セキュリティ・グループを作成します。
次にこのグループにユーザ自身と他のvSphereを追加します。
これはWindows AD内部用です。次にvSphere内で行う必要があります。
ユーザのWindowsグループが管理ができるようにvSphereをコンフィグレーション
Windows ADグループと内部にユーザを設定したら、vSphereにWindowsグループを使用するように指定する必要があります。このグループでユーザにフルのvSphere管理権限を与えたいなら「Hosts and Clusters Inventory」内のInventryツリーでハイ・レベルをクリックします。
vCenterサーバをクリックし、次に「Permissions」タブをクリックします。ここでAdministratorsグループがフル・アクセスを持ったことが確認できます。
次に新規vSphere管理グループを作成し、現状のグループを取り除きます。新規グループ作成か、アクセスが無くなる前に現状のグループを取り除きはしません。
新規グループを追加するには、「permissions」タブの空いたスペースで右クリックし、「Add Permissions」をクリックします。
この後、「Assign Permissions」ウィンドウが現れます。このウィンドウで新規ユーザとグループを追加するために「Add」をクリックします。
「Select」ユーザとグループ・ウィンドウが表示されます。ユーザとグループを呼び出すために使用するドメインを選択します。ここでは「WIREDBRAINCOFFEE」ドメインを選択しています。リストには多くのユーザとグループがあるのでSearchオプションを使用して、vSphereをサーチします。これは新規作成されたvSphere Adminsグループのみを表示します。グループを選択し、「Add]をクリックします。
ここで「OK]をクリックします。
「Assign Permissions」ウィンドウにもどり、Assign Permissionsは追加されていますが、デフォルトではRead-Onlyパーミッションのみです。
右ハンド・サイドで「 Assigned Role」下のドロップ-ダウン・メニューを使用して、Administratorまでスクロール・ダウンします。
次にこの管理者ロール・アサインメントをvSphere Adminsグループに実施されるように「OK」をクリックします。
この時点で、2つの違ったグループをvSphereへ管理変更を行えました。
ここでデフォルトの管理者グループを削除する必要があります。これを行うには右クリックし、「Delete」をクリックします。「Confirm Removal」メッセージが現れたら、「Yes」をクリックして続けます。
vSphereクライアントですぐにスタートさせた時、管理者としてアサインされたことが分かります。
新規Windows AD / vSphereセキュリティ・コンフィグレーションのテスト
このテストを行うにはvSphereクライアントに接続する必要があります。ユーザ自身でログインし、Windows ADでユーザ自身用に定義したユーザ名とパスワードを使用します。すでにWindows ADログインで使用してユーザのPCをアサインしていて、ログインが新規vSphere Adminグループで定義したWindows ADログインと同じなら、「Use Windows Session Credentials」をクリックして、接続にユーザ名っとパスワードを入力する必要はありません。
最後にvSphere vCenterサーバのパーミッション・タブへ移動し、vSphere Adminsが呼び出したドメイン・グループのみがログインでき、仮想インフラを管理できることを検証します。
ソース:SearchVMware
関連トピックス:
- フォルダ機能について【仮想化プラットホーム VMware vSphere】
- vSphere CLI インストールについて【仮想化プラットホーム VMware vSphere】
- Windows 8 & Windows Server 2012 のHyper-Vで仮想マシンを作成・インストール
- Active Directory との連携【仮想化プラットホーム VMware vSphere】
- NFSストレージのマウント方法【仮想化プラットホーム VMware vSphere】
- 仮想環境でのCPUの設定、監視方法について【仮想化プラットホーム VMware vSphere】
- VMotion機能について【VMware環境管理 VMware vCenter】
- vCenterServerを使用してのESXサーバーへのコネクト方法【VMware環境管理 VMware vCenter】