VMwarevCenter访问控制

1、VMWARE VCENTER 访 问控制1.简介使用用户、组、角色和权限可控制哪些用户可以访问vSphere受管对象以及他们可以执行哪些操作。vCenter Server和ESX/ESX主机根据分配给用户的权限确定用户的访问级别。vCenter Server和ESX/ESX主机凭借用户名、密码和权限组合这一机制对用户的访问权限进行验证并授予其执行操作的权限。服务器和主机将维护授权用户及分配给每个用户的权限的列表。特权定义执行操作和读取属性所需的基本个人权限。ESX/ESXi和 vCenter Server使用一组特权或角色来控制哪些用户或组可以访问特定的vSphere对象。ESX/ESX和vC

2、enter Server提供一组预定角色。您也可以创建新的角色。vCenter Server系统上分配的特权和角特别注意的是：在ESX/ESX主机上分配的特权和角色与在色是相互独立的。当使用vCenter Server管理主机时，只有通过vCenter Server系统分配的特权和角色可用。如果使用vSphere Client直接连接主机，则只有直接在主机上分配的特权和角色可用。vSphere Client2. VSPHERE 用户 / 组用户是经过授权可登录主机或vCenter Server的个人。多个用户可以在同一时间从不同的vSphere Client会话访问vCenter Server

3、系统。vSphere未明确限制具有相同身份验证凭据的用户同时访问vSphere环境并在其中执行操作。单独管理在 vCenter Server系统上定义的用户和在单个主机上定义的用户。即使主机和vCenterServer系统的用户列表似乎有共同的用户（例如，称为 devuser的用户），也应将这些用户视为 碰巧拥有相同名称的独立用户。vCenter Server中的devuser属性（包括权限和密码等）与ESX/ESX主机上的devuser属性相互独立。如果以 devuser身份登录vCenter Server，则可能拥有 查看和删除数据存储内文件的权限。如果以devuser身份登录ESX/ES

4、X主机，则可能没有这些权限。2.1 VCENTER SERVER 用户vCenter Server授权用户是包括在 vCenter Server弓I用的 Windows 域列表中的用户，或者是 vCenter Server系统上的本地Windows用户。一旦用户连接到vCenter Server，便会应用这些用户定义的权限。不能使用vCenter Server手动创建、移除或以其他方式更改vCenter Server用户。要操作用户列表或更改用户密码，使只能使用用于管理Windows域或活动目录的工具。对Windows域作岀的任何更改均反映在vCenter Server中。由于不能直接管理vC

5、enter Server中的用户，因此用户界面不会提供用户列表供您查看。只有在选择用户为其配置权限时才会看到这些更改。链接模式组中已连接的vCenter Server使用活动目录维护用户列表，以允许该组中的所有vCenter Server系统共享公用的用户集。2.2主机用户经授权直接在 ESX/ESXi主机上工作的用户已在安装ESX/ESX时默认添加到内部用户列表，或者由系统管理员在安装后添加到内部用户列表。如果使用vSphere Client以root身份登录到ESX/ESX主机，则可以使用用户和组选项卡执行针对这些用户的各种管理活动。可以添加用户、 移除用户、更改密码、设置组成员资格并配置

6、权限。每台ESX/ESX主机都有两个默认用户：根用户(root)拥有全部管理特权。管理员使用此用户登录，并可使用其关联的密码通过vSphereClient登录主机。根用户可在其所登录的特定主机上执行所有控制操作，包括操作权限、创建组 和用户(仅在 ESX/ESXi主机上)以及使用事件等。vpxuser用户是一个 vCenter Server实体，在 ESX/ESXi主机上拥有根权限，能够管理该主机上的 活动。vpxuser在 ESX/ESXi主机连接 vCenter Server时创建。除非通过 vCenter Server对该主机 进行了管理，否则它不会显示在ESX主机上。2.3组vCent

7、er Server和ESX/ESX主机上的组列表的来源与其各自用户列表的来源相同。如果通过vCenter Server进行操作，则会从 Windows域调用组列表。如果直接登录ESX/ESXi主机，则在该主机维护的表中调用组列表。通过Windows域或活动目录数据库为 vCenter Server系统创建组。当直接连接主机时，使用 vSphere Clie nt中的用户和组”选项卡为ESX/ESXi主机创建组。2.4用户和组的最佳做法使用最佳做法管理用户和组可提高vSphere环境的安全性和易管理性。VMware建议采用以下最佳做法在vSphere环境中创建用户和组： 使用vCenter Se

8、rver集中化访问控制，而不是在单个主机上定义用户和组。选择本地 Windows用户或组以授予 vCenter Server中的管理员角色。为vCenter Server用户创建新组。避免使用Windows内置组或其他现有组。（安全起见，这个非常重要）3角色角色是一组预定义的特权。 特权定义执行操作和读取属性所需的基本个人权限。当分配用户或组权限时，将用户或组与角色配对，并关联与清单对象配对的用户或组。单个用户对于清单中的不同对象可能有不同角色。例如，如果清单中有两个资源池（池A和池B）,可以为特定用户在池A上分配虚拟机用户角色和在池B上分配只读角色。 这将允许该用户启动池A中的虚拟机,而无法

9、使用池 B中的虚拟机，尽管该用户仍然可以查看池B中的虚拟机状态。在ESX/ESX主机上创建的角色与在vCenter Server系统上创建的角色是相互独立的。当使用vCenter Server管理主机时，只有通过vCenter Server创建的角色可用。如果使用vSphere Client直 接连接主机，则只有直接在主机上创建的角色可用。4.权限在vSphere中，权限由清单对象的用户或组和分配的角色组成，例如虚拟机或 权限授予用户执行对象（向其分配了角色）上的角色所指定的活动的权限。ESX/ESX主 机例如，要配置 ESX/ESXi主机的内存，必须授予用户的角色包括主机配置内存配置特权。通

10、过将不同角色分配给不同对象的用户或组，可以准确控制用户可以在权限=vSphere环境中执行的任务。最初所有其他用户在任何对象上均无访问权限，这意味着他们不能查看这些对象或对其执行操作。具有管理员特权的用户必须向这些用户授予权限以允许他们执行必要的任务。5.角色和权限的最佳做法使用角色和权限的最佳做法可充分提高vCenter Server环境的安全性和易管理性。在vCenterServer环境中配置角色和权限时，VMware建议采用以下最佳做法：如果可能，向组而不是单个用户授予权限。仅在需要时授予权限。使用最少权限数使得了解和管理权限结构变得更容易如果要为组分配限制性角色，请检查该组是否不包括管

11、理员用户或其他具有管理特权的用户。否则，您可能无意识地限制了部分清单层次结构（已从中向该组分配了限制性角色）中管理员的特权。使用文件夹将对象分组，使各组对象对应于要授予其的不同权限。授予根vCenter Server级别的权限时要小心。具有根级别权限的用户有权访问vCenter Server上的全局数据，例如角色、自定义属性、 vCenter Server设置和许可证。对许可证和角色的更改会 传播到链接模式组中的所有vCenter Server系统，即使用户在组中的所有vCenter Server系统上均没有权限。大多数情况下，根据权限启用传播。这可确保当向清单层次结构中插入新对象时，它们会继

12、承权限并且用户可以对其进行访问。使用无权访问”角色可屏蔽您希望特定用户无权访问的层次结构的指定区域。6.域用户访问控制设置实例6.1 将ESX/ESXI加入域AhJtwnW "fa- M車VW-pm fZ hfa.iifPkiriM i wiir n KL 4i I Ai1*ItM-dWHCh"V：q W CT9btaMwi.WFW*f>|MstwihMTwcrt JU&CCvra MnCFC d MlT>6.2 VCENTER上创建角色赋予能访问某些数据存储，网络及资源池的权限以及虚拟主机某些操作的权利File Edit View Inventory

13、Adrmniration Plug-Ins Help4 Hcwne 卜 兀 Admintstration> 曙 Role* P ® X3GC«5Read-onJyAdministratorYrtual machine power user (sample)Virtual machine lfs&t (sample)Resource pool administrator (sample)VMware Consolidated &ckipuser (sample)Oatstore consumer (sanipJe)Mtork consumer (fdnn

14、ple)诉rtuml MmchiHE Er閃tor6.3给对象设置用户权限前面讲了，在vSphere中，权限由清单对象的用户或组和分配的角色组成，因此这里需要给该用 户绑定要访问的对象。以管理员身份登录，右键单击某个对象，然后选择添加权限：-VC-；|J_! TranlngTemper ary VMs-SbLab VMs-562Ji Joriatl>an56-nc -1 玄 JorwtlvinSc- J-rPmSefVtrVMs-SiJj VHu*ar* Recowery-56Virtual Mdchnetf aA&Eswits>wFoidefyew Vfctual Mac

15、hine.Mew vA（）p>.Ctrl+F1ChrUU 仁时屛Add Pwmi55iijrb.Qri+PAlarmkQperi n Hew Wndow.arl+At+MRemade3s«-3Tiriport Machne.Tempera/r'P- r； 岀 Jariatidrt 巴 辭 VM-for-d（5ff 5）VW-for-8t i-* JonattianSt-VM-far-5hj（JentA加-E IWTAMWT4 胡吋 4 "申办咄T WMBda-小4! te "VUtaF? IV4 jfflUGE WIM'i HMcm W MO

16、 澹 IJtt IW 剛鞅申MRrM-jaritf jiwwfteran .hUisninwt fffiiHS nrdng1J><bdkW>t>M WVCr*#MM0 hdu#p*i Xt- vwupnam. T uw 0w-ChacklWM l Mdhj« to «rid» faj tqmi * dHiar*»»RfUQJM5TXpr存d申|wPHnWTMIVm|J£MpW*1M94M賁duMMfr«uM£4_ I亦和m£ *-««*d廿g|E 旳rt*2JU

17、ter>4rWl左边选择域用户，右边选择刚才新建的角色:X湎曲HMSWEIS10 Al PrtYfefes十zJNomeRoteFnopaipUWuaiNachine.H YesTtiese users and qroup can interact 刚th the currertt object acizoriinfl to the 5elevted f ale.Add.,| RcnowY Pr opagbe 5 CFnld Ot lectsTo ssJqti 3 pet mission to an indvriwl o* group of users, add their 他側辟 to

18、 the Uswf and Groups kt betow. Thn seiect ms 审 more of the 啲m筋 anQ 羽旳n 韦 rc4e-.呂第Bed Rote珂ewted use 诩対 *昭军,cn trier住ct 阿th th? current object atcoriln to the chosert rote and pi（vil&ati.Desaiphon： Select b pdvfoge to 阳* its<lescrlf>tion6.4以域用 户登录 VCENTER现在可以登录了，且只能访问那些赋予的对象:刍 Home > Inventory P 令 VMs and TemplatesJ VCG.vm.enftczom EJ Lj “屈刚闿 Jonathans 苗 VW-for-StJ（5）VW-for-StL：T e mpor a ryVMs - 56rafT New FfAferCtrl+FH> New Virtu&l MacNne.-.Ctrl+NNew vApp P *Ctrl+AAdd Per nissio.<trl+PAl<m2pen in Mew