概要
vSphere環境では、内部セキュリティのための「ドメイン」と、マシン名解決に関与するDNSの「ドメイン」と、外部認証をするためのIDソースの「ドメイン」を意識する必要があります。混同されがちで、混乱の元になりがちなこれらについて、私の理解で整理します。
詳細
vSphere環境では、内部セキュリティのための「ドメイン」と、マシン名解決に関与するDNSの「ドメイン」と、外部認証をするためのIDソースの「ドメイン」を意識する必要があります。これらは単に「ドメイン」と呼ばれることが多いために、混同されがちで、混乱の元になりがちです。
これらについて、私の理解で整理します。
3つのドメイン
vSphere環境では、以下の3つのドメインを意識する必要があります。
| 種別 | 管理箇所 | 管理対象 | vSphereでの用途 | |
|---|---|---|---|---|
| 1 | SSOのドメイン | vCenter Single Sign-On(SSO) | vSphere環境のローカルユーザー | ログイン時の認証 |
| 2 | DNSのドメイン | 外部のDNSサーバ(BIND、Active Directory、WindowsのDNSサービスなど) | ネットワーク上のマシン | マシンの名前解決 |
| 3 | 外部のIDソースのドメイン | 外部のディレクトリサーバ(OpenLDAP、Active Directoryなど) | 組織内のユーザー、グループ | ログイン時の認証 |
SSOドメイン名の検討
3つのドメインのうち、SSOのドメイン名はvCenter(の一部として、SSOを含むPSC)をインストールする際に指定するものです。vSphere 5.5ではvsphere.localに固定されていましたが、6.0からは指定可能になりました。
初期の状態では
administrator@<your_domain_name>のユーザーのみにこの権限があります。vSphere 5.5 では、このユーザーはadministrator@vsphere.localでした。vSphere 6.0 では、新しい Platform Services Controller を使用して vCenter Server をインストールするときや vCenter Server Appliance をデプロイするときに vSphere ドメインを変更できます。(「vSphere のインストールとセットアップ - Update 2 - vSphere 6.0」p.212)
SSOドメイン名を検討する際、外部のIDソースのドメイン名と被らないようにする必要があります。
このドメイン名に Microsoft Active Directory や OpenLDAP のドメイン名を使用しないでください。(同上)
Active DirectoryはDNSサーバーとIDソース(ユーザー認証元)を兼ねることが多いので、SSOドメイン名はActive Directory上のドメイン名とは分けることが必要になることが多いです。SSOを複数構築する必要がなければ、vSphere 5.5までに倣ってvsphere.localをSSOドメイン名として使用するのは、比較的安全だと思われます。
参照
本ページ内容は筆者が参照の便のためにある持点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。