1、VMWAREVCENTER 訪問控制1.簡介使用用戶、組、角色和權(quán)限可控制哪些用戶可以訪問 vSphere 受管對象以及他們可以執(zhí)行哪些操作。vCenterServer 和 ESX/ESX 主機根據(jù)分配給用戶的權(quán)限確定用戶的訪問級別。vCenterServer和 ESX/ESX 主機憑借用戶名、 密碼和權(quán)限組合這一機制對用戶的訪問權(quán)限進行驗證并授予其執(zhí)行操作的權(quán)限。服務(wù)器和主機將維護授權(quán)用戶及分配給每個用戶的權(quán)限的列表。特權(quán)定義執(zhí)行操作和讀取屬性所需的基本個人權(quán)限。ESX/ESXi 和 vCenterServer 使用一組特權(quán)或角色來控制哪些用戶或組可以訪問特定的 vSphere 對象。ESX

2、/ESXi 和 vCenterServer 提供一組預(yù)定角色。您也可以創(chuàng)建新的角色。特別注意的是：在 ESX/ESX 主機上分配的特權(quán)和角色與在 vCenterServer 系統(tǒng)上分配的特權(quán)和角色是相互獨立的。當使用 vCenterServer 管理主機時，只有通過 vCenterServer 系統(tǒng)分配的特權(quán)和角色可用。如果使用 vSphereClient 直接連接主機，則只有直接在主機上分配的特權(quán)和角色可用。vSphereClient2 .VSPHERE 用戶/組用戶是經(jīng)過授權(quán)可登錄主機或 vCenterServer 的個人。多個用戶可以在同一時間從不同的vSphereClient 會話訪問

3、 vCenterServer 系統(tǒng)。vSphere 未明確限制具有相同身份驗證憑據(jù)的用戶同時訪問vSphere 環(huán)境并在其中執(zhí)行操作。單獨管理在 vCenterServervCenterServer 系統(tǒng)上定義的用戶和在單個主機上定義的用戶。即使主機和 vCenterServer 系統(tǒng)的用戶列表似乎有共同的用戶（例如，稱為 devuser 的用戶），也應(yīng)將這些用戶視為碰巧擁有相同名稱的獨立用戶。vCenterServer 中的 devuser 屬性（包括權(quán)限和密碼等）與ESX/ESX 主機上的 devuser 屬性相互獨立。如果以 devuser 身份登錄 vCenterServer,則可能擁

4、有查看和刪除數(shù)據(jù)存儲內(nèi)文件的權(quán)限。如果以 devuser 身份登錄 ESX/ESX 主機，則可能沒有這些權(quán)限。2.1 VCENTERSERVER 用戶vCenterServer 授權(quán)用戶是包括在 vCenterServer 引用的 Windows 域列表中的用戶，或者是 vCenterServer 系統(tǒng)上的本地 Windows 用戶。一旦用戶連接到 vCenterServer,便會應(yīng)用這些用戶定義的權(quán)限。不能使用 vCenterServervCenterServer 手動創(chuàng)建、移除或以其他方式更改 vCenterServervCenterServer 用戶。要操作用戶列表或更改用戶密碼，使只能

5、使用用于管理 Windows 域或活動目錄的工具。對 Windows 域作出的任何更改均反映在 vCenterServer 中。由于不能直接管理 vCenterServer 中的用戶，因此用戶界面不會提供用戶列表供您查看。只有在選擇用戶為其配置權(quán)限時才會看到這些更改。鏈接模式組中已連接的 vCenterServer 使用活動目錄維護用戶列表，以允許該組中的所有 vCenterServer 系統(tǒng)共享公用的用戶集。2.2 主機用戶經(jīng)授權(quán)直接在 ESX/ESXi 主機上工作的用戶已在安裝 ESX/ESX 時默認添加到內(nèi)部用戶列表，或者由系統(tǒng)管理員在安裝后添加到內(nèi)部用戶列表。如果使用 vSphereC

6、lient 以 root 身份登錄到ESX/ESX 主機，則可以使用用戶和組選項卡執(zhí)行針對這些用戶的各種管理活動?？梢蕴砑佑脩?、移除用戶、更改密碼、設(shè)置組成員資格并配置權(quán)限。每臺 ESX/ESX 主機都有兩個默認用戶：根用戶（root）擁有全部管理特權(quán)。管理員使用此用戶登錄，并可使用其關(guān)聯(lián)的密碼通過 vSphereClient 登錄主機。根用戶可在其所登錄的特定主機上執(zhí)行所有控制操作，包括操作權(quán)限、創(chuàng)建組和用戶（僅在 ESX/ESXi 主機上）以及使用事件等。vpxuser 用戶是一個 vCenterServer 實體， 在 ESX/ESX 主機上擁有根權(quán)限， 能夠管理該主機上的活動。 vpx

7、user在 ESX/ESX 主機連接 vCenterServer 時創(chuàng)建。除非通過 vCenterServer 對該主機進行了管理，否則它不會顯示在 ESX 主機上。2.3 組vCenterServer 和 ESX/ESX 主機上的組列表的來源與其各自用戶列表的來源相同。如果通過vCenterServer 進行操作，則會從 Windows 域調(diào)用組列表。如果直接登錄 ESX/ESX 主機，則在該主機維護的表中調(diào)用組列表。通過 Windows 域或活動目錄數(shù)據(jù)庫為 vCenterServer 系統(tǒng)創(chuàng)建組。當直接連接主機時，使用 vSphereClient 中的用戶和組”選項卡為 ESX/ESXi

8、 主機創(chuàng)建組。2.4 用戶和組的最佳做法使用最佳做法管理用戶和組可提高 vSphere 環(huán)境的安全性和易管理性。VMware 建議采用以下最佳做法在 vSphere 環(huán)境中創(chuàng)建用戶和組：使用 vCenterServer 集中化訪問控制，而不是在單個主機上定義用戶和組。選擇本地 Windows 用戶或組以授予 vCenterServer 中的管理員角色。為 vCenterServer 用戶創(chuàng)建新組。避免使用 Windows 內(nèi)置組或其他現(xiàn)有組。（安全起見，這個非常重要）3 .角色角色是一組預(yù)定義的特權(quán)。特權(quán)定義執(zhí)行操作和讀取屬性所需的基本個人權(quán)限。當分配用戶或組權(quán)限時，將用戶或組與角色配對，并關(guān)

9、聯(lián)與清單對象配對的用戶或組。單個用戶對于清單中的不同對象可能有不同角色。例如，如果清單中有兩個資源池（池 A 和 1tkB）,可以為特定用戶在池 A 上分配虛擬機用戶角色和在池 B 上分配只讀角色。這將允許該用戶啟動池 A 中的虛擬機,而無法使用池 B 中的虛擬機，盡管該用戶仍然可以查看池 B 中的虛擬機狀態(tài)。在 ESX/ESX 主機上創(chuàng)建的角色與在 vCenterServer 系統(tǒng)上創(chuàng)建的角色是相互獨立的。當使用vCenterServer 管理主機時， 只有通過 vCenterServer 創(chuàng)建的角色可用。 如果使用 vSphereClient 直接連接主機，則只有直接在主機上創(chuàng)建的角色可用

10、。4 .權(quán)限在 vSphere 中，權(quán)限由清單對象的用戶或組和分配的角色組成，例如虛擬機或 ESX/ESX 主機。權(quán)限授予用戶執(zhí)行對象（向其分配了角色）上的角色所指定的活動的權(quán)限。例如，要配置 ESX/ESX 注機的內(nèi)存，必須授予用戶的角色包括主機.配置.內(nèi)存配置特權(quán)。通過將不同角色分配給不同對象的用戶或組，可以準確控制用戶可以在 vSphere 環(huán)境中執(zhí)行的任務(wù)。最初所有其他用戶在任何對象上均無訪問權(quán)限，這意味著他們不能查看這些對象或?qū)ζ鋱?zhí)行操作。具有管理員特權(quán)的用戶必須向這些用戶授予權(quán)限以允許他們執(zhí)行必要的任務(wù)。5 .角色和權(quán)限的最佳做法使用角色和權(quán)限的最佳做法可充分提高 vCenterS

11、erver 環(huán)境的安全性和易管理性。在 vCenterServer 環(huán)境中配置角色和權(quán)限時，VMware 建議采用以下最佳做法：如果可能，向組而不是單個用戶授予權(quán)限。權(quán)限二僅在需要時授予權(quán)限。使用最少權(quán)限數(shù)使得了解和管理權(quán)限結(jié)構(gòu)變得更容易如果要為組分配限制性角色，請檢查該組是否不包括管理員用戶或其他具有管理特權(quán)的用戶。否則，您可能無意識地限制了部分清單層次結(jié)構(gòu)（已從中向該組分配了限制性角色）中管理員的特權(quán)。使用文件夾將對象分組，使各組對象對應(yīng)于要授予其的不同權(quán)限。授予根 vCenterServervCenterServer 級別的權(quán)限時要小心。具有根級別權(quán)限的用戶有權(quán)訪問 vCenterSer

12、ver 上的全局數(shù)據(jù)，例如角色、自定義屬性、vCenterServer 設(shè)置和許可證。對許可證和角色的更改會傳播到鏈接模式組中的所有 vCenterServer 系統(tǒng)，即使用戶在組中的所有 vCenterServer 系統(tǒng)上均沒有權(quán)限。大多數(shù)情況下，根據(jù)權(quán)限啟用傳播。這可確保當向清單層次結(jié)構(gòu)中插入新對象時，它們會繼承權(quán)限并且用戶可以對其進行訪問。使用無權(quán)訪問”角色可屏蔽您希望特定用戶無權(quán)訪問的層次結(jié)構(gòu)的指定區(qū)域。6 .域用戶訪問控制設(shè)置實例6.1將 ESX/ESXI 加入域6.2VCENTER 上創(chuàng)建角色賦予能訪問某些數(shù)據(jù)存儲，網(wǎng)絡(luò)及資源池的權(quán)限以及虛擬主機某些操作的權(quán)利FileEditVie

13、wInventoryAdrmni?trationPlug-InsHelp麗 3GC5Read-onJyAdministratorYrtualmachinepoweruser(sample)VirtualmachineLFS&T(sample)Resourcepooladministrator(sample)VMwareConsolidated&4chjpuser(sample)Oatdstoreconsumer(sanipJe)consumer(sannpte)曬巾jal陋3由訥Treatcx6.3給對象設(shè)置用戶權(quán)限前面講了，在 vSphere 中，權(quán)限由清單對象的用戶或組和分

14、配的角色組成，因此這里需要給該用戶綁定要訪問的對象。以管理員身份登錄，右鍵單擊某個對象，然后選擇添加權(quán)限：心Home卜在Administration博Role吃Roles獨I照嘩見防也AlafrriQp 即 gNewMndgCtrl+Al+WRemote叫范地嶼1mportNadhme.左邊選擇域用戶，右邊選擇剛才新建的角色:VCe.vm.emc.cGffliL:-!TrantngTemperaryVMs-S6LabVMs-56引Joriatlan56-nc-1上JorwtlvinSc-J-RPHSefVtrVMs-SiJj州wareM3Recowery-56VirtualMdchnetT!M

15、sSkEvents(?NewFoMarJonijfhanSttfewVrtuaJlMachH命世1刖p”.焙VM-far-5hjdeNA3sa-3Ctrl+FCbri+WCtrl+A4m*RfQ#i|hNd4lffFToa普1g己petrrussiontoanindMdLwlo*groupofusers,addtheirrrneHtheUswfandGroupsktbetow.ThnseiectwmoreoftheMJ郡淅號rc4e-.UsenandGroupsTheseuser*arndqroup5caninteractwiththecurrentciiectaccordriQtothe5e

16、lect?drole.AsswsdRote片duse*s司 7 叮碼率5cnmterctMthth?currentobjectat匚ordingtothechosertroteandpifviletiti.tualMachineCreator-jorihDescriptton:Sole戊JprMbgetoits用Inventory嚏JVMsandTemplatesVC6.vmamc.8m：-團T寓nirqIemporaryVMs-56（5）Jcnathari用VM-for-ai印VW-for-5ti出Jonathan56-vZjAdd.Rcnow這里可以查看自己的權(quán)限列表:Horne|AdministTation端 Rotes!aVC6.vm.5K,com必AddRole：匚ImRateRolesWarneRtad-onfyAdmimstrAtwVirtualmachnapoweruser(sample)Virtualmachn&user(s-ample)Resaurc 自 pool 我 ministr 忒 or(&a( (nplT) )VMwareConsoWatedBackupuser(a 曄舊D