vCenter 5.1 では、ユーザ認証で
新規追加されたコンポーネント「vCenter Single Sign On」を使用します。

「どこの認証で使われるのか」などよく話題になるので、

いくつかポイントを書いておこうと思います。

 

主にどの部分の認証で使用されるのかというと・・・

 

vSphere Client でも、

Web Client (従来からあったものとは別の vCenter 5.1 からの)でも、
vCenter 5.1 への接続では vCenter SSO の認証が使用されます。

ただし、
vSphere Client でも、コンソール/SSH 等でのログインでも

ESXi への直接ログインでは、vCenter SSO の認証は使用されません。

 

IDソースとして使えるもの

vCenter SSO では、認証情報の確認先として
vCenter SSO サーバ自身の Windows ローカルユーザ情報のほかに
Active Directory(AD)や OpenLDAP が使用できます。

 

ESXi および vCenter Server 5.1 のドキュメント
vSphere セキュリティ > vCenter Server 認証およびユーザー管理 > vCenter Single Sign On の構成
ID ソースについて
https://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-8F93FE75-BF91-4677-9344-73FE3906A3C8.html

 

vCenter SSO の管理ユーザ と 管理ツール


IDソースの追加や編集などの、vCenter SSO の設定ができるvCenter SSO 管理者として、

デフォルトで admin@System-Domain ユーザが用意されています。
※これは Windows のユーザではなく、vCener SSO コンポーネントがもつ独自のユーザです。

 

vCenter SSO を管理するには Web Client に admin@System-Domain でログインします。
それにより、vCenter SSO 管理者以外には表示されない設定画面が表示されるようになります。

vc51u1-ad-logon_sso1.png

 

Web Client の 画面上部に、vCenter SSO 管理者でログインしていることが表示されます。

たとえばホーム画面で「管理」をクリックすると・・・

vc51u1-ad-logon_sso2.png

 

vCenter SSO 管理者 以外には表示されない SSO 関連 の管理メニューが表示されます。

※これはvCenter Server の管理ロールを持つユーザだとしても表示されません。

 

「構成」 → 「アイデンティティ ソース」 を開くと、

IDソースの追加 / 編集 / 削除 などができる画面が表示されます。

vCenter SSO のインストール(もしくは Simple Install)のときに AD ドメインが自動検出できなかった場合や、

ID ソース(別の AD ドメインや OpenLDAP など) を追加するときは、この画面で設定します。

 

下の例では vCenter を Simple Install したままの状態ですが、3つの ID ソースが登録されています。

  • vCenter SSO のローカル認証情報(System-Domain)
  • ローカルコンピュータ(例では VCENTER51U1-2。vCenter SSO のコンピュータ名です。)
  • vCenter SSO の Windows が参加している AD ドメイン(例では vmad.local)

vc51u1-ad-logon_sso3.png

 

vCenter SSO の管理ユーザ のパスワードポリシーについて

 

vCenter SSO 管理者ユーザには、独自のパスワードポリシーがあります。
パスワード期限切れが通知されず、期限が切れるとログインできなくなるため、
admin@System-domain を普段あまり使わなそうな環境(たぶんほとんどの環境)では
期限切れにならないように定期的に変更するか、無期限(0日と設定)にするなどの対策が必要です。
※デフォルトだと 365日でパスワードが期限切れになります。

Resetting an expired password in vCenter Single Sign-On (SSO) (2035864)
http://kb.vmware.com/kb/2035864

※ちなみに、パスワードのリセット方法もあります・・・

 

パスワードポリシーの設定も、

vCenter SSO 管理者でログインした Web Client から変更できます。

ホーム画面の 「管理」 → 「構成」 → 「ポリシー」タブ → 「パスワードポリシー」 → 「編集」

※例ではデフォルトの 365日のままです。

vc51u1-ad-logon_sso4.png

パスワードポリシーについての詳細は下記のあたりを参照してください。

ESXi および vCenter Server 5.1 のドキュメント

vSphere セキュリティ > vCenter Server 認証およびユーザー管理 > vCenter Single Sign On の構成

vCenter Single Sign On のパスワード ポリシーの編集

https://pubs.vmware.com/vsphere-51/topic/com.vmware.vsphere.security.doc/GUID-B9C4409A-B053-40C3-96DE-232BB99AAA35.html

 

SSO の管理が終わったら、

Web Client からは、下記のようにログアウトします。

vc51u1-ad-logon_sso5.png

 

こちらもどうぞ。

vCenter 5.1 入門 その1 (構成コンポーネントの変更点について)

vCenter 5.1 入門 その2 (Simple Install について)

vCenter 5.1 入門 その4 (ADユーザ認証について)

 

以上。vCenter SSO についてでした・・・