Windows Active DirectoryグループでのvSphere管理権限のコントロール

Windows Active Directory(AD)の作成とvSphereを使用し、仮想インフラストラクチャを管理できるユーザーを制御するためのグループ方法について説明します。

vSphere管理に管理者アカウントを利用するメリットには管理者責任、認証、権限付与の便利性があります。

vSphere administration用と使用するWindows ADの作成
Windows Active Directoryはネットワークにおける認証情報（ユーザ名とパスワード）用の単一なレポジトリのようなものです。VMwareで他の認証情報レポジトリを作成せず、Windows ADを利用したい時、VMwareは簡単にADとVMwareを連携させることができます。

もし、ユーザがネットワーク上で唯一のVMware管理者であっても、「vSphere Admins」というWindowsグループからの作成からスタートします。最初はグループ内では作成した人のみですが、後で他の人を追加できます。また例えば「vSphere Desktop VM admins」や 「vSphere Web Server admins」等他のグループを追加することもできます。これらの人はフルアクセスを持ちませんが、分野で分類された特定のVMware仮想マシンを管理することができます。さらにユーザに特定の仮想マシンに対して電源ON・OFFができるように「vSphere Support Techs」と名前を付けたグループをさらに指定と作成をすることができます。

「vSphere Admins」グループを作成するにはWindows DC(Domain controller)で「Active Directory Users and Computers」を起動させます。

一旦稼働したら下記の図のように「vSphere Admins」というWindows AD内に新規グローバル・セキュリティ・グループを作成します。

次にこのグループにユーザ自身と他のvSphereを追加します。

これはWindows AD内部用です。次にvSphere内で行う必要があります。

ユーザのWindowsグループが管理ができるようにvSphereをコンフィグレーション
Windows ADグループと内部にユーザを設定したら、vSphereにWindowsグループを使用するように指定する必要があります。このグループでユーザにフルのvSphere管理権限を与えたいなら「Hosts and Clusters Inventory」内のInventryツリーでハイ・レベルをクリックします。

vCenterサーバをクリックし、次に「Permissions」タブをクリックします。ここでAdministratorsグループがフル・アクセスを持ったことが確認できます。

次に新規vSphere管理グループを作成し、現状のグループを取り除きます。新規グループ作成か、アクセスが無くなる前に現状のグループを取り除きはしません。

新規グループを追加するには、「permissions」タブの空いたスペースで右クリックし、「Add Permissions」をクリックします。

この後、「Assign Permissions」ウィンドウが現れます。このウィンドウで新規ユーザとグループを追加するために「Add」をクリックします。

「Select」ユーザとグループ・ウィンドウが表示されます。ユーザとグループを呼び出すために使用するドメインを選択します。ここでは「WIREDBRAINCOFFEE」ドメインを選択しています。リストには多くのユーザとグループがあるのでSearchオプションを使用して、vSphereをサーチします。これは新規作成されたvSphere Adminsグループのみを表示します。グループを選択し、「Add]をクリックします。

ここで「OK]をクリックします。

「Assign Permissions」ウィンドウにもどり、Assign Permissionsは追加されていますが、デフォルトではRead-Onlyパーミッションのみです。

右ハンド・サイドで「 Assigned Role」下のドロップ-ダウン・メニューを使用して、Administratorまでスクロール・ダウンします。

次にこの管理者ロール・アサインメントをvSphere Adminsグループに実施されるように「OK」をクリックします。

この時点で、2つの違ったグループをvSphereへ管理変更を行えました。

ここでデフォルトの管理者グループを削除する必要があります。これを行うには右クリックし、「Delete」をクリックします。「Confirm Removal」メッセージが現れたら、「Yes」をクリックして続けます。

vSphereクライアントですぐにスタートさせた時、管理者としてアサインされたことが分かります。

新規Windows AD / vSphereセキュリティ・コンフィグレーションのテスト
このテストを行うにはvSphereクライアントに接続する必要があります。ユーザ自身でログインし、Windows ADでユーザ自身用に定義したユーザ名とパスワードを使用します。すでにWindows ADログインで使用してユーザのPCをアサインしていて、ログインが新規vSphere Adminグループで定義したWindows ADログインと同じなら、「Use Windows Session Credentials」をクリックして、接続にユーザ名っとパスワードを入力する必要はありません。

最後にvSphere vCenterサーバのパーミッション・タブへ移動し、vSphere Adminsが呼び出したドメイン・グループのみがログインでき、仮想インフラを管理できることを検証します。

ソース：SearchVMware

関連トピックス:

• フォルダ機能について【仮想化プラットホーム VMware vSphere】
• vSphere CLI インストールについて【仮想化プラットホーム VMware vSphere】
• Windows 8 & Windows Server 2012 のHyper-Vで仮想マシンを作成・インストール
• Active Directory との連携【仮想化プラットホーム VMware vSphere】
• NFSストレージのマウント方法【仮想化プラットホーム VMware vSphere】
• 仮想環境でのCPUの設定、監視方法について【仮想化プラットホーム VMware vSphere】
• VMotion機能について【VMware環境管理 VMware vCenter】
• クローン機能について【VMware環境管理 VMware vCenter】