VMwarevCenter訪問控制_第1頁
VMwarevCenter訪問控制_第2頁
VMwarevCenter訪問控制_第3頁
VMwarevCenter訪問控制_第4頁
VMwarevCenter訪問控制_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余4頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、VMWAREVCENTER 訪問控制1.簡介使用用戶、組、角色和權(quán)限可控制哪些用戶可以訪問 vSphere 受管對象以及他們可以執(zhí)行哪些操作。vCenterServer 和 ESX/ESX 主機(jī)根據(jù)分配給用戶的權(quán)限確定用戶的訪問級別。vCenterServer和 ESX/ESX 主機(jī)憑借用戶名、 密碼和權(quán)限組合這一機(jī)制對用戶的訪問權(quán)限進(jìn)行驗(yàn)證并授予其執(zhí)行操作的權(quán)限。服務(wù)器和主機(jī)將維護(hù)授權(quán)用戶及分配給每個(gè)用戶的權(quán)限的列表。特權(quán)定義執(zhí)行操作和讀取屬性所需的基本個(gè)人權(quán)限。ESX/ESXi 和 vCenterServer 使用一組特權(quán)或角色來控制哪些用戶或組可以訪問特定的 vSphere 對象。ESX

2、/ESXi 和 vCenterServer 提供一組預(yù)定角色。您也可以創(chuàng)建新的角色。特別注意的是:在 ESX/ESX 主機(jī)上分配的特權(quán)和角色與在 vCenterServer 系統(tǒng)上分配的特權(quán)和角色是相互獨(dú)立的。當(dāng)使用 vCenterServer 管理主機(jī)時(shí),只有通過 vCenterServer 系統(tǒng)分配的特權(quán)和角色可用。如果使用 vSphereClient 直接連接主機(jī),則只有直接在主機(jī)上分配的特權(quán)和角色可用。vSphereClient2 .VSPHERE 用戶/組用戶是經(jīng)過授權(quán)可登錄主機(jī)或 vCenterServer 的個(gè)人。多個(gè)用戶可以在同一時(shí)間從不同的vSphereClient 會(huì)話訪問

3、 vCenterServer 系統(tǒng)。vSphere 未明確限制具有相同身份驗(yàn)證憑據(jù)的用戶同時(shí)訪問vSphere 環(huán)境并在其中執(zhí)行操作。單獨(dú)管理在 vCenterServervCenterServer 系統(tǒng)上定義的用戶和在單個(gè)主機(jī)上定義的用戶。即使主機(jī)和 vCenterServer 系統(tǒng)的用戶列表似乎有共同的用戶(例如,稱為 devuser 的用戶),也應(yīng)將這些用戶視為碰巧擁有相同名稱的獨(dú)立用戶。vCenterServer 中的 devuser 屬性(包括權(quán)限和密碼等)與ESX/ESX 主機(jī)上的 devuser 屬性相互獨(dú)立。如果以 devuser 身份登錄 vCenterServer,則可能擁

4、有查看和刪除數(shù)據(jù)存儲(chǔ)內(nèi)文件的權(quán)限。如果以 devuser 身份登錄 ESX/ESX 主機(jī),則可能沒有這些權(quán)限。2.1 VCENTERSERVER 用戶vCenterServer 授權(quán)用戶是包括在 vCenterServer 引用的 Windows 域列表中的用戶,或者是 vCenterServer 系統(tǒng)上的本地 Windows 用戶。一旦用戶連接到 vCenterServer,便會(huì)應(yīng)用這些用戶定義的權(quán)限。不能使用 vCenterServervCenterServer 手動(dòng)創(chuàng)建、移除或以其他方式更改 vCenterServervCenterServer 用戶。要操作用戶列表或更改用戶密碼,使只能

5、使用用于管理 Windows 域或活動(dòng)目錄的工具。對 Windows 域作出的任何更改均反映在 vCenterServer 中。由于不能直接管理 vCenterServer 中的用戶,因此用戶界面不會(huì)提供用戶列表供您查看。只有在選擇用戶為其配置權(quán)限時(shí)才會(huì)看到這些更改。鏈接模式組中已連接的 vCenterServer 使用活動(dòng)目錄維護(hù)用戶列表,以允許該組中的所有 vCenterServer 系統(tǒng)共享公用的用戶集。2.2 主機(jī)用戶經(jīng)授權(quán)直接在 ESX/ESXi 主機(jī)上工作的用戶已在安裝 ESX/ESX 時(shí)默認(rèn)添加到內(nèi)部用戶列表,或者由系統(tǒng)管理員在安裝后添加到內(nèi)部用戶列表。如果使用 vSphereC

6、lient 以 root 身份登錄到ESX/ESX 主機(jī),則可以使用用戶和組選項(xiàng)卡執(zhí)行針對這些用戶的各種管理活動(dòng)??梢蕴砑佑脩簟⒁瞥脩?、更改密碼、設(shè)置組成員資格并配置權(quán)限。每臺(tái) ESX/ESX 主機(jī)都有兩個(gè)默認(rèn)用戶:根用戶(root)擁有全部管理特權(quán)。管理員使用此用戶登錄,并可使用其關(guān)聯(lián)的密碼通過 vSphereClient 登錄主機(jī)。根用戶可在其所登錄的特定主機(jī)上執(zhí)行所有控制操作,包括操作權(quán)限、創(chuàng)建組和用戶(僅在 ESX/ESXi 主機(jī)上)以及使用事件等。vpxuser 用戶是一個(gè) vCenterServer 實(shí)體, 在 ESX/ESX 主機(jī)上擁有根權(quán)限, 能夠管理該主機(jī)上的活動(dòng)。 vpx

7、user在 ESX/ESX 主機(jī)連接 vCenterServer 時(shí)創(chuàng)建。除非通過 vCenterServer 對該主機(jī)進(jìn)行了管理,否則它不會(huì)顯示在 ESX 主機(jī)上。2.3 組vCenterServer 和 ESX/ESX 主機(jī)上的組列表的來源與其各自用戶列表的來源相同。如果通過vCenterServer 進(jìn)行操作,則會(huì)從 Windows 域調(diào)用組列表。如果直接登錄 ESX/ESX 主機(jī),則在該主機(jī)維護(hù)的表中調(diào)用組列表。通過 Windows 域或活動(dòng)目錄數(shù)據(jù)庫為 vCenterServer 系統(tǒng)創(chuàng)建組。當(dāng)直接連接主機(jī)時(shí),使用 vSphereClient 中的用戶和組”選項(xiàng)卡為 ESX/ESXi

8、 主機(jī)創(chuàng)建組。2.4 用戶和組的最佳做法使用最佳做法管理用戶和組可提高 vSphere 環(huán)境的安全性和易管理性。VMware 建議采用以下最佳做法在 vSphere 環(huán)境中創(chuàng)建用戶和組:使用 vCenterServer 集中化訪問控制,而不是在單個(gè)主機(jī)上定義用戶和組。選擇本地 Windows 用戶或組以授予 vCenterServer 中的管理員角色。為 vCenterServer 用戶創(chuàng)建新組。避免使用 Windows 內(nèi)置組或其他現(xiàn)有組。(安全起見,這個(gè)非常重要)3 .角色角色是一組預(yù)定義的特權(quán)。特權(quán)定義執(zhí)行操作和讀取屬性所需的基本個(gè)人權(quán)限。當(dāng)分配用戶或組權(quán)限時(shí),將用戶或組與角色配對,并關(guān)

9、聯(lián)與清單對象配對的用戶或組。單個(gè)用戶對于清單中的不同對象可能有不同角色。例如,如果清單中有兩個(gè)資源池(池 A 和 1tkB),可以為特定用戶在池 A 上分配虛擬機(jī)用戶角色和在池 B 上分配只讀角色。這將允許該用戶啟動(dòng)池 A 中的虛擬機(jī),而無法使用池 B 中的虛擬機(jī),盡管該用戶仍然可以查看池 B 中的虛擬機(jī)狀態(tài)。在 ESX/ESX 主機(jī)上創(chuàng)建的角色與在 vCenterServer 系統(tǒng)上創(chuàng)建的角色是相互獨(dú)立的。當(dāng)使用vCenterServer 管理主機(jī)時(shí), 只有通過 vCenterServer 創(chuàng)建的角色可用。 如果使用 vSphereClient 直接連接主機(jī),則只有直接在主機(jī)上創(chuàng)建的角色可用

10、。4 .權(quán)限在 vSphere 中,權(quán)限由清單對象的用戶或組和分配的角色組成,例如虛擬機(jī)或 ESX/ESX 主機(jī)。權(quán)限授予用戶執(zhí)行對象(向其分配了角色)上的角色所指定的活動(dòng)的權(quán)限。例如,要配置 ESX/ESX 注機(jī)的內(nèi)存,必須授予用戶的角色包括主機(jī).配置.內(nèi)存配置特權(quán)。通過將不同角色分配給不同對象的用戶或組,可以準(zhǔn)確控制用戶可以在 vSphere 環(huán)境中執(zhí)行的任務(wù)。最初所有其他用戶在任何對象上均無訪問權(quán)限,這意味著他們不能查看這些對象或?qū)ζ鋱?zhí)行操作。具有管理員特權(quán)的用戶必須向這些用戶授予權(quán)限以允許他們執(zhí)行必要的任務(wù)。5 .角色和權(quán)限的最佳做法使用角色和權(quán)限的最佳做法可充分提高 vCenterS

11、erver 環(huán)境的安全性和易管理性。在 vCenterServer 環(huán)境中配置角色和權(quán)限時(shí),VMware 建議采用以下最佳做法:如果可能,向組而不是單個(gè)用戶授予權(quán)限。權(quán)限二僅在需要時(shí)授予權(quán)限。使用最少權(quán)限數(shù)使得了解和管理權(quán)限結(jié)構(gòu)變得更容易如果要為組分配限制性角色,請檢查該組是否不包括管理員用戶或其他具有管理特權(quán)的用戶。否則,您可能無意識地限制了部分清單層次結(jié)構(gòu)(已從中向該組分配了限制性角色)中管理員的特權(quán)。使用文件夾將對象分組,使各組對象對應(yīng)于要授予其的不同權(quán)限。授予根 vCenterServervCenterServer 級別的權(quán)限時(shí)要小心。具有根級別權(quán)限的用戶有權(quán)訪問 vCenterSer

12、ver 上的全局?jǐn)?shù)據(jù),例如角色、自定義屬性、vCenterServer 設(shè)置和許可證。對許可證和角色的更改會(huì)傳播到鏈接模式組中的所有 vCenterServer 系統(tǒng),即使用戶在組中的所有 vCenterServer 系統(tǒng)上均沒有權(quán)限。大多數(shù)情況下,根據(jù)權(quán)限啟用傳播。這可確保當(dāng)向清單層次結(jié)構(gòu)中插入新對象時(shí),它們會(huì)繼承權(quán)限并且用戶可以對其進(jìn)行訪問。使用無權(quán)訪問”角色可屏蔽您希望特定用戶無權(quán)訪問的層次結(jié)構(gòu)的指定區(qū)域。6 .域用戶訪問控制設(shè)置實(shí)例6.1將 ESX/ESXI 加入域6.2VCENTER 上創(chuàng)建角色賦予能訪問某些數(shù)據(jù)存儲(chǔ),網(wǎng)絡(luò)及資源池的權(quán)限以及虛擬主機(jī)某些操作的權(quán)利FileEditVie

13、wInventoryAdrmni?trationPlug-InsHelp麗 3GC5Read-onJyAdministratorYrtualmachinepoweruser(sample)VirtualmachineLFS&T(sample)Resourcepooladministrator(sample)VMwareConsolidated&4chjpuser(sample)Oatdstoreconsumer(sanipJe)consumer(sannpte)曬巾jal陋3由訥Treatcx6.3給對象設(shè)置用戶權(quán)限前面講了,在 vSphere 中,權(quán)限由清單對象的用戶或組和分

14、配的角色組成,因此這里需要給該用戶綁定要訪問的對象。以管理員身份登錄,右鍵單擊某個(gè)對象,然后選擇添加權(quán)限:心Home卜在Administration博Role吃Roles獨(dú)I照嘩見防也AlafrriQp 即 gNewMndgCtrl+Al+WRemote叫范地嶼1mportNadhme.左邊選擇域用戶,右邊選擇剛才新建的角色:VCe.vm.emc.cGffliL:-!TrantngTemperaryVMs-S6LabVMs-56引Joriatlan56-nc-1上JorwtlvinSc-J-RPHSefVtrVMs-SiJj州wareM3Recowery-56VirtualMdchnetT!M

15、sSkEvents(?NewFoMarJonijfhanSttfewVrtuaJlMachH命世1刖p”.焙VM-far-5hjdeNA3sa-3Ctrl+FCbri+WCtrl+A4m*RfQ#i|hNd4lffFToa普1g己petrrussiontoanindMdLwlo*groupofusers,addtheirrrneHtheUswfandGroupsktbetow.ThnseiectwmoreoftheMJ郡淅號rc4e-.UsenandGroupsTheseuser*arndqroup5caninteractwiththecurrentciiectaccordriQtothe5e

16、lect?drole.AsswsdRote片duse*s司 7 叮碼率5cnmterctMthth?currentobjectat匚ordingtothechosertroteandpifviletiti.tualMachineCreator-jorihDescriptton:Sole戊JprMbgetoits用Inventory嚏JVMsandTemplatesVC6.vmamc.8m:-團(tuán)T寓nirqIemporaryVMs-56(5)Jcnathari用VM-for-ai印VW-for-5ti出Jonathan56-vZjAdd.Rcnow這里可以查看自己的權(quán)限列表:Horne|AdministTation端 Rotes!aVC6.vm.5K,com必AddRole:匚ImRateRolesWarneRtad-onfyAdmimstrAtwVirtualmachnapoweruser(sample)Virtualmachn&user(s-ample)Resaurc 自 pool 我 ministr 忒 or(&a( (nplT) )VMwareConsoWatedBackupuser(a 曄舊D

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論