SSO:
SSO( Single Sign-on )は基本的にはネイティブLDAPを含む、Microsoft Active Directory(AD)に追加されたいくつかの認証ソースと連携するメカニズムです。SSOはLDAPやAD等の認証システムとvSphereインフラ間のゲートキーパとして役割を果たします。ユーザか管理者が認証ソースに対して認証を確立した時にSSOはユーザに対して使用トークンを与えます。各トークンの使用は一ずつシームレスにトークンのtime-to-live (TTL)を削減します。TTLが「0」に到達した時に、期限切れとなり、バックグラウンドの認証ソースに対して再認証が必要になります。
単純なインストールで一からvSphere vCenterインフラをインストールする時にSSOはプライム・モード・コンフィグレーションでインストールされます。このモードでインストールを行った場合には認証はローカル・インフラのみに提供されます。vSphere 5.5からSSOは最大10,000ゲストと1、000ホストをサポートします。問題はSSOを失うことは誰もvSphereインフラにログインできないことです。ユーザはローカルな認証でホストに直接認証することはできます。
これは小規模なインフラでは構わないことです。SSOの紛失はvCenter Serverの紛失同様に痛みを伴います。単純なインストールであれば同じゲストを設定できます。大規模であればvCenter Server と SSO は別ゲストを推奨されています。vSphere 6.0ではSSOはPlatform Services Controllerの一部で、別サーバに置かれます。SSOをゲストにすることでロードバランシングを使用しての単一点障害の排除などの多くのオプションに道が開かれます。
機能停止からの回避は:
簡単な方法としてプライマリなSSOフェイルの事故でSSO業務を引き継ぐHAバックアップ・ノードの設定です。これは追加のコストが必要となります。VMwareはApachとの基本的なロードバランシングSSOサーバ・グループの作成を実演説明しています。ロードバランシングSSOサーバ・インフラの設定はより深い認証とロードバランシングの知識を要求されます。
仮想インフラを使用している場合はSSOサーバが稼働するホスト・フェイルはHAを使用して通常にリスタートするか、バックアップ・ノードが引き継ぎます。もちろんこれは構成エラーを除外しません。このシナリオではスナップショットは非常に有益で、容易にロールバックすることができます。それは構成エラーによる一時的なSSO損失であってもです。この作業に価値があるかどうかはユーザが決めることですが、規模の大きなユーザでは、このような設定をあまり採用していません。
複数のサイトで稼働させる場合は手法が変わってきます。複数サイトでのインストールにはSSOインストレーション・ドロップ-ダウンからの複数サイト選択が含まれます。複数サイト・選択は複数マスター設定で各サイトで個別のプライマリ・ノードを持つ設定です。違いはユーザが複数サイト・モード設定時にそれらをリンクする一つのSSOサーバを持つことです。
この設定の潜在的な問題はデータベースがそれぞれの間でレプリケーションをしないことです。これは実質的には問題にはならないでしょう。データベースは時々はレプリケーションが必要ですが、OpenLDAP や AD等の認証システムを別途に使用している間はこの必要性は最低限です。
ソース:SearchVMware
関連トピックス:
- ヘルス・チェック【仮想化プラットホーム VMware vSphere】
- バックアップ・ストレージへのランサムウェア攻撃を防止するための7つの実践的なヒント [ネットワーク強靭化対策]
- vSphere5やWorkstation8のVMでHyper-Vを使用する場合の注意点
- VMware vSphere 5でのトップ5セキュリティ機能
- 仮想マシンにWindows 10をインストールしてみました。
- vShere ESXi5の導入手順
- LUNでどの位のVMを保持できるか?[ストレージ・コンフィグレーション:4/5]
- Workstation8上のESX(i)上で64bitOSがインストールできない場合の対処法
RSSフィードを取得する
