Vmware добавить пользователя с правами администратора
Обновлено: 06.07.2024
Как я уже ранее говорил, системный администратор должен уметь работать с виртуализацией, особенно с VMware ESXi. Так как это самый распространенный гипервизор. Практически все компании предлагают виртуальные серверы на базе VMware. Я уже начала писать статьи на тему настройки и работы в ESXi. Сегодня хочу рассказать о том как создать нового пользователя в ESXi 7.0.
Доступ к важной инфраструктуре должен быть только у того кто несет за неё ответственность. Для всех остальных создавайте учетные записи с ограниченными правами.
Добавляем пользователя в ESXi
В появившемся окне заполняем поля имя, описание и пароль.
Все пользователя мы создали. Но сейчас вы еще не сможете зайти под ним, так как его необходимо добавить в группу.
Выбираем созданного ранее пользователя добавляем его в необходимую группу.
Сохраняем и пробуем зайти.
Начинающий системный администратор помни! Если вы несете ответственность за работоспособность данного сервера. Доступ к ESXi 7.0 должен быть только у вас.
Для всех остальных создавайте отдельные учетные записи с ограниченными правами.
Для организации работы большого количества пользователей с виртуальной инфраструктурой VMware vSphere предназначается механизм делегирования полномочий. Делегирование позволяет предоставлять минимальный необходимый доступ только к тем объектам, к которым требуется, без риска, что пользователь залезет куда не надо и что-нибудь сломает.
Иерархия vCenter включает в себя корневой объект Datacenters (при подключении с помощью vSphere Clients имя объекта будет соответствовать имени сервера vCenter или его IP адресу, в зависимости от того, что было указано в строчке подключения).
В корневом каталоге могут располагаться один или несколько дочерних объектов: виртуальных датацентров или каталогов, внутри которых, в свою очередь, могут располагаться другие дочерние объекты: дочерние каталоги, хосты, кластеры, пулы ресурсов, виртуальные машины, хранилища, виртуальные коммутаторы, группы портов и т.д.
Некоторые из объектов видны в иерархии vCenter только при включении определенного отображения, например, кластеры и пулы ресурсов видны в Hosts and Cluster, шаблоны виртуальных машин - в VMs and Templates, сети - в Networking и т.д. Исключением являются два типа объектов - виртуальные машины и vApp, которые отображаются и в Hosts and Cluster, и в VMs and Templates.
Модель прав в VMware vCenter основана на ролях, представляющих собой совокупность привилегий - различных операций, которые разрешается выполнять пользователю, например, создавать или удалять виртуальные машины, изменять настройки кластера, просматривать хранилища, подключать ВМ к сети и многое другое. Для удобства привилегии группируются в несколько категорий в зависимости от области применения.
Список ролей и привилегий может быть расширен при установке сторонних компонентов (например, vCenter Operations Manager, vCenter Site Recovery Manager), интегрирующихся с vCenter.
По умолчанию в vCenter присутствует несколько заранее созданных ролей. Существует два типа ролей:
- Administrator - данная роль включает все доступные привилегии.
- Read Only - позволяет только видеть объекты в иерархии vCenter, но не изменять или взаимодействовать с ними. При создании новой роли возможность просмотра выставляется автоматически.
- No Access - данная роль запрещает любые действия с объектами, а также скрывает их от просмотра в иерархии vCenter. Она может быть полезна, если вам требуется скрыть какой-либо объект от определенного пользователя или группы.
- Virtual Machine User.
- Virtual Machine Power User.
- Resource pool administrator.
- Datastore Consumer.
- Network administrator.
- другие роли.
Системные роли нельзя ни удалять, ни изменять. Они присутствуют всегда и имеют заранее заданный идентификатор (Role ID), зная который и имея доступ к СУБД vCenter "можно взломать все эти ваши ESXi" (чуть подробнее описано тут). Пользовательские роли можно изменять или удалять. Кроме того, все роли создаваемые администратором, или добавляемые сторонними приложениями, также являются User Defined и имеют свой уникальный идентификатор.
Администратор может создать роль с нуля или скопировать одну из имеющихся.
В качестве учетных записей, используемых для назначения ролей могут использоваться доменные учетные записи пользователей и групп, локальные учетные записи сервера vCenter, а также учетные записи хранящиеся в каталоге vCenter SSO (vsphere.local).
По умолчанию пользователи, которым не назначены никакие роли, не могут подключиться к серверу vCenter (что эквивалентно правам роли No Access).
При установке vCenter Server с нуля, права на подключения к vCenter есть только у административной учетной записи Administrator@vsphere.local, которой автоматически присваивается роль Administrator на виртуальную инфраструктуру.
Чтобы пользователь получил права, требуется назначить ему соответствующую роль на определенный объект.
Появилась тут задача дать одному программисту права на доступ через консоль к его виртуальной машине. Выхода два либо давать права на уровне vCenter или ESXI хоста. Я буду делать на уровне хоста. Логинимся на нужный хост под учеткой имеющей административные права.
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-01
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-02
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-03
Добавляем новую роль Add roles
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-04
Задаем название и раскрываем пункт virtual machine
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-05
выбираем действия разрешенные с виртуальной машиной, Включать, выключать, заморозка.
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-06
Видим, что наша роль добавилась
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-07
Далее идем в inventory
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-08
Теперь добавить добавим права той роли, что создали на весть хост и его виртуальные машины, идем в Permision
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-09
щелкаем правым кликом Add role
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-10
Выбираем нашу созданную роль и жмем снизу Add
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-11
Выбираем домен для поиска учетки и добавляем
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-12
Видим добавленного нашего пользователя, otrsagent1.
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-13
Добавить права на конкретную машину, можно выбрать нужную виртуалку и тоже выбрать вкладку Permision щелкаем Add
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-14
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-15
Как дать права на отдельную виртуальную машину в vCenter и ESXI 5.x.x-16
видим, что у нас присутсятвует только одна виртуалка и сделать с ней можно только то что мы разрешили.
Делаем возможность управлять vCenter 6.7 пользователям Active Directory.
Заходим в vCenter под учётной записью administrator@vsphere.local. Переходим в раздел Administration > Single Sign ON > Configuration > Active Directory Domain. Нажимаем кнопку JOIN AD.
Вводим учётные данные администратора домена, JOIN. Просят перезагрузить vCenter.
Перезагружаем vCenter. Переходим в раздел Administration > Single Sign ON > Configuration > Identity Sources.
Нажимаем кнопку ADD IDENTITY SOURCE.
Выбираем тип - Active Directory. Указываем имя домена. ADD. В Identity Sources появляется домен. Выделяем, нажимаем кнопку SET AS DEFAULT.
Это нужно для того, чтобы вводить логин как v.pupkin, иначе придётся писать v.pupkin@mydomainname.local. OK
Дальше создаём в AD группу, например, vcenter-admins.
В UI vCenter 6.7 выделяем слева vCenter.
User - выбираем в выпадающем списке домен.
В поиске ищем название группы - vcenter-admins. Должно работать автодополнение.
Роль - Administrator. OK
Готово. Осталось добавить в группу пользователей, которым разрешено администрировать vCenter.
Читайте также: