Avi Load Balancer で、Active Directory(AD)認証を設定してみます。Avi では、LDAP サーバーとして AD を登録します。
今回の内容です。
Avi の AD 認証については、VVS の(Advanced Load Balancing for VMware Cloud Foundation) でも下記のあたりで少し言及されていますが、今回はひとまず設定手順確認のためスーパー ユーザーの権限を割り当てます。
今回の環境
下記のような手順で、VCF 5.2.1 の環境に、Avi Load Balancer 22.1.7 をデプロイしてあります。
AD のドメイン コントローラーは下記にのように構築してあり、LDAPS を有効化してあります。
上記の投稿にあるように、下記のドメイン オブジェクトを作成してあります。
- VCF-Users OU(下記のグループとユーザーを格納)
- VCF-Admins グループ
- vcf-admin@c.go-lab.jp ユーザー(VCF-Admins グループに所属)
1. 認証プロファイルの作成
ドキュメントでは、下記のあたりが参考になります。
- LDAP 認証プロファイル ※バージョンは Avi 22.1.x
Avi Load Balancer の Web UI に admin ユーザーでログインして、「テンプレート」タブ →「セキュリティ」→「認証プロファイル」を開き、「作成」をクリックします。
認証プロファイルの名前とタイプを入力して、LDAP サーバーの「追加」をクリックします。
- 名前:c.go-lab.jp
- タイプ:LDAP
パラメータを入力して、さらに下にスクロールします。
- サーバ:192.168.70.3 ※ドメイン コントローラーのアドレス
- LDAP 認証のセキュリティ モード:LDAPS
- ポート:636
- ベース DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
LDAP 検索のためのパラメータを入力して、「保存」をクリックします。赤枠がない部分はデフォルト値のままにしてあります。
- 管理者バインド:選択
- 管理バインド DN:CN=Administrator,CN=Users,DC=c,DC=go-lab,DC=jp
- 管理バインド パスワード:Administrator@c.go-lab.jp ユーザーのパスワード
- 参照を無視:OFF のまま
- ユーザー検索 DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
- ユーザー検索範囲:スコープ 1 レベル
- ユーザー ID 属性:UserPrincipalName
- グループ 検索 DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
- グループ検索範囲:スコープのサブツリー
- グループ フィルタ:(objectClass=*)
- グループ メンバー属性:member
- グループ メンバー属性の完全 DN の有効化:ON のまま
認証プロファイルが作成されたことを確認し、「✓」をクリックして設定を検証します。
「認証プロファイルの検証」画面が開きます。
「ユーザー エントリのテスト」を選択したまま、ユーザー名を入力して「検証」をクリックして、LDAP の情報が参照できることを確認します。
- ユーザー名:vcf-admin@c.go-lab.jp
「結果」欄に表示された内容から、ユーザーの DN を確認しておきます。
「ユーザー グループ メンバーシップをテスト」を選択して、ユーザーの DN を入力して「検証」をクリックします。
- ユーザー名:CN=VCF Admin,OU=VCF-Users,DC=c,DC=go-lab,DC=jp
「結果」画面の表示から、このユーザーが「VCF-Admins」グループのメンバーであることが LDAP 検索出来ていることを確認しておきます。
LDAP の検証がうまくいかない場合は、「ベース DN をテスト」を選択して、ベース DN のみを入力して LDAP の情報を参照してみます。そして、DN の文字列などを再確認します。
- ベース DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
2. 認証マッピング プロファイルの作成
「テンプレート」タブ →「セキュリティ」→「認証マッピング プロファイル」を開き、「作成」をクリックします。
プロファイルの名前とタイプを入力して、マッピング ルールの「追加」をクリックします。
- 名前:Role_Mapping_c.go-lab.jp
※Auth_Mapping~のほうがよかった気が・・・(何故・・・) - タイプ:LDAP
マッピング ルールのパラメータを入力して、「保存」をクリックします。今回は、対象ユーザー全員を、管理者にしています。
- LDAP グループ一致:メンバー
- グループ:VCF-Admins
- 属性一致:任意
- アクション:スーパー ユーザー
マッピング ルールが作成されたことを確認して、「保存」をクリックします。
これで、認証マッピング ルールが作成されました。
3. システム設定でのプロファイル割り当て
「管理」タブ →「システム設定」を開き、「編集」をクリックします。
「認証」で設定を入力して、「追加」ボタンでプロファイルを割り当ててから「保存」をクリックします。
- 認証:リモート
- ローカル ユーザーのログインを有効化:ON のまま
- 認証プロファイル:c.go-lab.jp
- マッピング プロファイル:Role_Mapping_c.go-lab.jp
これで、LDAP 認証が可能になりました。
画面右上から、「ログアウト」をクリックします。
ドメイン ユーザーでログインします。
- ユーザー:vcf-admin@c.go-lab.jp
ドメイン ユーザーでログインできました。
※VCF Admin は、vcf-admin@c.go-lab.jp ユーザーの表示名です。
以上、Avi Load Balancer で AD 連携してみる話でした。