vCenter ログインユーザについて

vCenter が Windows Server の場合には、vCenter Server へリモートデスクトップ接続し、ユーザを作成した後、そのユーザを \Users または、 \Administrators グループに所属させることで vSphere Client、または vSphere Web Client を使って簡単に vCenter へ接続できました。

半面、vCenter Server Appliance (以下、vCSA) は、Windows Server ではなく、Linux ベース OS です。 (vCSA 6.0 は Enterprise SUSE、vCSA 6.5 は VMware Photon 等)

ユーザを作成する際には、OS の中に入ってユーザを作成するのではなく、vSphere Web Client を使って Single Sign-On (以下、SSO) ユーザを作成してからそのユーザに権限、またはグループを追加する必要があります。

今回は、vSphere Web Client を使って SSO ユーザに個別に権限を与える方法とユーザを管理者グループに所属させる方法をご紹介します。

SSO ユーザ作成

administrator ユーザで vSphere Web Client へログイン し、ホーム > 管理 > シングルサインオン > ユーザーおよびグループ > ユーザ > + アイコンをクリックします。

SSO ユーザ追加画面

新規ユーザー 作成画面が表示されるので、必須項目である ユーザー名パスワードパスワードの確認を入力し、OK をクリックします。

SSO ユーザ作成

そうすると以下のように、ユーザが作成されます。

以下の例では、ユーザ名が test、 SSO ドメイン名が vsphere.local なので、ログインユーザ ID は、test@vsphere.local になります。

SSO ユーザ追加確認

権限追加方法 その1 : ユーザに個別権限を追加

ユーザを作成するだけでは、vCenter へログインすることはできません。

vCenter へログインできるように権限を追加する必要があります。

以下の例では、先ほど作成したユーザに システム管理者権限を付与 します。

ホーム > 管理 > アクセスコントロール > グローバル権限 > 管理 > + アイコンをクリックします。

SSO 権限追加画面

グローバル権限のルート – 権限の追加 画面が表示されたら追加をクリックします。

SSO 権限を与えるユーザ追加画面

ユーザ/グループの選択 画面が表示されます。

権限を与えるユーザを選択し、追加をクリックすると ユーザー: 欄にユーザが追加されます。

OK をクリックします。

SSO 権限を与えるユーザ選択

グローバル権限のルート – 権限の追加 画面に戻るので、追加されたユーザを選んで、システム管理者権限を選択し、子へ伝達にチェックを入れ、OK をクリックします。

SSO ユーザに与える権限選択

test ユーザに権限が追加されたので、ログインできるか確認します。

vSphere Web Client へログインテスト

問題なくログインできました。

vSphere Web Client へログイン成功

でも、一つ問題が・・・

これで、test ユーザは、管理者権限を持っているので、データセンタ・クラスタ作成、ESXi ホスト操作、ネットワーク設定、仮想マシン作成などいろんなことができるようにはなりましたが、システム管理者であっても Web Client 上で使えないメニューが存在します。

例えば、上記の画像で言うと、システム構成 メニューがそうです。

システム構成 メニューを操作するためには、SystenConfiguration.Administrators という権限が必要になります。 

正確に言うと SystenConfiguration.Administrators というグループに test ユーザを所属させる必要があります。

よって、現在 test ユーザには、システム管理者 権限しか付与されていないため、システム構成 メニューを触ることは出来ません。

システム管理者でも操作できないメニュー

システム構成 メニューに入れないと VMware 関連サービスの停止・起動・再起動のような操作が出来ないので困る

権限追加方法 その2 : ユーザを Administrators グループに所属させる

SystenConfiguration.Administrators のグループ名で分かるように SystenConfiguration は、Administrators なら触れます。

こういうケースがまた今後、出てくる可能性があるため、管理者権限が必要なユーザなら システム管理者 のような個別権限を与えずに、最初から Administrators グループに入れてしまえば管理も楽になって良いです。

管理 > シングルサインオン > ユーザーおよびグループ > グループ > Administrators > + アイコンをクリックし、Administrators グループにユーザを追加します。

ユーザを管理者グループに追加

これで、本物の管理者なら触れるほとんどのメニューが使えるようになります。

以上、Single Sign-On : vCenter ログインユーザ作成、及び権限追加 でした。