vm.gowatana.jp

NEOにほんごVMware(仮)

Avi Load Balancer 22.1.7 で LDAP(AD)認証を設定してみる。

Avi Load Balancer で、Active Directory(AD)認証を設定してみます。Avi では、LDAP サーバーとして AD を登録します。

今回の内容です。

 

Avi の AD 認証については、VVS の(Advanced Load Balancing for VMware Cloud Foundation) でも下記のあたりで少し言及されていますが、今回はひとまず設定手順確認のためスーパー ユーザーの権限を割り当てます。

 

今回の環境

下記のような手順で、VCF 5.2.1 の環境に、Avi Load Balancer 22.1.7 をデプロイしてあります。

 

AD のドメイン コントローラーは下記にのように構築してあり、LDAPS を有効化してあります。

上記の投稿にあるように、下記のドメイン オブジェクトを作成してあります。

  • VCF-Users OU(下記のグループとユーザーを格納)
  • VCF-Admins グループ
  • vcf-admin@c.go-lab.jp ユーザー(VCF-Admins グループに所属)

 

1. 認証プロファイルの作成

ドキュメントでは、下記のあたりが参考になります。

Avi Load Balancer の Web UI に admin ユーザーでログインして、「テンプレート」タブ →「セキュリティ」→「認証プロファイル」を開き、「作成」をクリックします。

 

認証プロファイルの名前とタイプを入力して、LDAP サーバーの「追加」をクリックします。

  • 名前:c.go-lab.jp
  • タイプ:LDAP

 

パラメータを入力して、さらに下にスクロールします。

  • サーバ:192.168.70.3 ※ドメイン コントローラーのアドレス
  • LDAP 認証のセキュリティ モード:LDAPS
  • ポート:636
  • ベース DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp

 

LDAP 検索のためのパラメータを入力して、「保存」をクリックします。赤枠がない部分はデフォルト値のままにしてあります。

  • 管理者バインド:選択
  • 管理バインド DN:CN=Administrator,CN=Users,DC=c,DC=go-lab,DC=jp
  • 管理バインド パスワード:Administrator@c.go-lab.jp ユーザーのパスワード
  • 参照を無視:OFF のまま
  • ユーザー検索 DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
  • ユーザー検索範囲:スコープ 1 レベル
  • ユーザー ID 属性:UserPrincipalName
  • グループ 検索 DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
  • グループ検索範囲:スコープのサブツリー
  • グループ フィルタ:(objectClass=*)
  • グループ メンバー属性:member
  • グループ メンバー属性の完全 DN の有効化:ON のまま

 

認証プロファイルが作成されたことを確認し、「✓」をクリックして設定を検証します。

 

「認証プロファイルの検証」画面が開きます。

 

「ユーザー エントリのテスト」を選択したまま、ユーザー名を入力して「検証」をクリックして、LDAP の情報が参照できることを確認します。

  • ユーザー名:vcf-admin@c.go-lab.jp

「結果」欄に表示された内容から、ユーザーの DN を確認しておきます。

 

「ユーザー グループ メンバーシップをテスト」を選択して、ユーザーの DN を入力して「検証」をクリックします。

  • ユーザー名:CN=VCF Admin,OU=VCF-Users,DC=c,DC=go-lab,DC=jp

「結果」画面の表示から、このユーザーが「VCF-Admins」グループのメンバーであることが LDAP 検索出来ていることを確認しておきます。

 

LDAP の検証がうまくいかない場合は、「ベース DN をテスト」を選択して、ベース DN のみを入力して LDAP の情報を参照してみます。そして、DN の文字列などを再確認します。

  • ベース DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp

 

2. 認証マッピング プロファイルの作成

「テンプレート」タブ →「セキュリティ」→「認証マッピング プロファイル」を開き、「作成」をクリックします。

 

プロファイルの名前とタイプを入力して、マッピング ルールの「追加」をクリックします。

  • 名前:Role_Mapping_c.go-lab.jp
    ※Auth_Mapping~のほうがよかった気が・・・(何故・・・)
  • タイプ:LDAP

 

マッピング ルールのパラメータを入力して、「保存」をクリックします。今回は、対象ユーザー全員を、管理者にしています。

  • LDAP グループ一致:メンバー
  • グループ:VCF-Admins
  • 属性一致:任意
  • アクション:スーパー ユーザー

 

マッピング ルールが作成されたことを確認して、「保存」をクリックします。

 

これで、認証マッピング ルールが作成されました。

 

3. システム設定でのプロファイル割り当て

「管理」タブ →「システム設定」を開き、「編集」をクリックします。

 

「認証」で設定を入力して、「追加」ボタンでプロファイルを割り当ててから「保存」をクリックします。

  • 認証:リモート
  • ローカル ユーザーのログインを有効化:ON のまま
  • 認証プロファイル:c.go-lab.jp
  • マッピング プロファイル:Role_Mapping_c.go-lab.jp

 

これで、LDAP 認証が可能になりました。

 

画面右上から、「ログアウト」をクリックします。

 

ドメイン ユーザーでログインします。

  • ユーザー:vcf-admin@c.go-lab.jp

 

ドメイン ユーザーでログインできました。

※VCF Admin は、vcf-admin@c.go-lab.jp ユーザーの表示名です。

 

以上、Avi Load Balancer で AD 連携してみる話でした。