LDAP with SSL (LDAPS) を使用して vCenter Single Sign-On Identity ソースを構成する
search cancel

LDAP with SSL (LDAPS) を使用して vCenter Single Sign-On Identity ソースを構成する

book

Article ID: 415100

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

免責事項: これは英文の記事「Configuring a vCenter Single Sign-On Identity Source using LDAP with SSL (LDAPS)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。


この記事には、セキュリティ強化された LDAP over SSL (LDAPS) 接続を使用するように vCenter Single Sign-On (SSO) の ID ソースを構成する手順が記載されています。
これは、vCenter Server と承認する ID ソース間のすべての LDAP トラフィックを暗号化する安全な環境に適しています。

Environment

VMware vCenter 7.x
VMware vCenter 8.x

Resolution

: この KB には一般的な手順が記載されています。特定の手順については、組織内のディレクトリ管理者にご確認ください。

LDAP サーバで SSL を使用するよう構成するには、 Microsoft article LDAP over SSL (LDAPS) Certificate を参照してください。
この KB 内の手順は、使用されるドメインコントローラに正常な証明書が存在し、証明書がエクスポートされていることを前提としています。詳細は上記の Microsoft の記事をご覧ください。

LDAPs 経由の Active Directory 設定についての詳細は [Lightweight Directory Access Protocol] を介した Active Directory および OpenLDAP Server ID ソースの設定 を確認してください。

 

目次

 

Step 1: 証明書の詳細情報を Active Directory Domain Controller から取得する方法

vCenter Server Appliance には openssl バイナリが含まれています。

以下のコマンドより対象ドメインコントローラから SSL 証明書チェーン全体を取得できます。

openssl s_client -showcerts -connect dc.domain.com:636 </dev/null 2>/dev/null|openssl x509 -outform PEM

コマンドが完了すると、SSL 証明書の中身が出力されます。ルート証明書は以下のような内容が表示されます:

Certificate chain
0 s:/CN=DC3.example.com
i:/DC=com/DC=example/CN=BRM-CA
-----BEGIN CERTIFICATE-----
MIIFyjCCBLKgAwIBAgIKYURFHAAAAAAABDANBgkqhkiG9w0BAQUFADBCMRMwEQYK
..........
...snip...
..........
TmqX6OuznopBJKNW5Z5LbHzuUCfY8ryBhYZhHKsf9CmZa12j/ODfznFtAgbPNw==
-----END CERTIFICATE-----
1 s:/DC=com/DC=example/CN=BRM-CA
i:/CN=BRM-ROOT-CA
-----BEGIN CERTIFICATE-----
MIIFkjCCBHqgAwIBAgIKYSn5HgAAAAAAAjANBgkqhkiG9w0BAQUFADAWMRQwEgYD
..........
...snip...
..........
N4C2CAlLaR3sXlHBRNlfsLO+rZo45hwW8Xw3rLD+ETtgKMmAVUI=
-----END CERTIFICATE-----


ルート証明書箇所に出力された内容全てを .cer ファイルに挿入します。

:

  • ルート証明書が提供されている場合でも、接続文字列で指定されたホスト名は必ず Subject Alternative Name (SAN) フィールドに値が存在する必要があります。
  • テキストを切り取る際には BEGIN や END の行も証明書に含めてください。

 

 

Step 2: vCenter Single Sign-On Identity ソースでセキュアな LDAPS を使用する設定方法

  1. 拡張リンクモード環境の場合、この設定は接続されている他ノードに同期されるため、以下の操作は 1 つの vCenter Server 上のみで実行します。
  2. vCenter Server Appliance 仮想マシンのスナップショットを作成します。
    : 拡張リンクモード環境の場合、すべての vCenter Server Appliance 仮想マシンをシャットダウンし、すべてのノードでパワーオフ状態のスナップショットを作成します。
  3. vSphere Client に Single Sign On 管理者アカウントでログインします。
  4. メニューをクリックし、[管理]>[Single Sign On] [設定]>[ID プロバイダ] を選択します。
  5. ドメインが vsphere.local または localos 以外の ID ソースがすでに存在する場合には削除します。
  6. [追加]をクリックし、ID ソースタイプは LDAP を介した Active Directory を選択します。
  7. 必要な項目を入力します。
    1.  ターゲットの LDAP URL 情報を追加します。
    2. 「証明書 (LDAPS の場合)」 の右横にある参照をクリックし、追加された LDAP URL 情報持つをドメインコントローラから取得して証明書を選択します。
    3. ルート証明書が提供されている場合でも、接続文字列で指定されたホスト名は必ず Subject Alternative Name (SAN) フィールドに値が存在する必要があります。
  8. [追加]をクリックすると新しいソースが以下のように追加されます。

 

Additional Information

  • VMware Skyline Health Diagnostics for vSphere - FAQ
  • 既に ID ソースが同じドメイン内に存在する場合、LDAPS ID ソースを追加する前に既存 ID ソースを削除する必要があります。
  • SSL 証明書を変更や更新するには、一度 ID ソースを削除し、再度追加する必要があります。
  • ID ソースを追加する際に使用されたユーザアカウントがロックされたり、削除、パスワード失効すると AD ユーザによる vCenter Server へのログインが失敗します。これらの場合には再度 ID ソースの追加操作を行う必要があり、その際にユーザ名とパスワードを更新してください。
  • ID ソースを追加するために使用したアカウントが Protected Users group などによって制限されていないことを確認してください。
Powered by Wolken Software