Controlar o acesso para ferramentas de monitoramento de hardware baseadas em CIM

O sistema Common Information Model (CIM) fornece uma interface que permite o gerenciamento de nível de hardware de aplicativos remotos usando um conjunto de APIs padrão. Para garantir que a interface CIM seja segura, forneça apenas o acesso mínimo necessário a esses aplicativos remotos. Se você provisionar um aplicativo remoto com uma conta raiz ou de administrador, e se o aplicativo estiver comprometido, o ambiente virtual poderá ser comprometido.

CIM é um padrão aberto que define uma estrutura para o monitoramento sem agente e baseado em padrões de recursos de hardware para hosts ESXi. Essa estrutura consiste em um gerenciador de objetos CIM, geralmente chamado de agente CIM, e um conjunto de provedores CIM.

Os provedores de CIM oferecem suporte ao acesso de gerenciamento aos drivers de dispositivo e ao hardware subjacente. Os fornecedores de hardware, incluindo fabricantes de servidores e fornecedores de dispositivos de hardware, podem escrever provedores que monitoram e gerenciam seus dispositivos. VMware grava provedores que monitoram o hardware do servidor, a ESXi infraestrutura de armazenamento e os recursos específicos de virtualização. Esses provedores são executados dentro do host ESXi e são leves e focados em tarefas de gerenciamento específicas. O agente CIM obtém informações de todos os provedores CIM e as apresenta ao mundo externo usando APIs padrão. A API mais comum é WS-MAN.

Não forneça credenciais de raiz para aplicativos remotos que acessam a interface do CIM. Em vez disso, crie uma conta de usuário do vSphere com menos privilégios para esses aplicativos e use a função de tíquete da API do VIM para emitir um sessionId (chamado de "tíquete") para essa conta de usuário com menos privilégios para se autenticar no CIM. Se a conta tiver recebido permissão para obter tíquetes CIM, a API do VIM poderá fornecer o tíquete ao CIM. Esses tíquetes são fornecidos como ID de usuário e senha para qualquer chamada de API CIM-XML. Consulte o método AcquireCimServicesTicket() para obter mais informações.

O serviço CIM é iniciado quando você instala um VIB CIM de terceiros, por exemplo, quando você executa o comando esxcli software vib install -n VIBname .

Se você precisar ativar o serviço CIM manualmente, execute o seguinte comando:

esxcli system wbem set -e true

Se necessário, você pode desativar o wsman (WSManagement Service) para que apenas o serviço CIM esteja em execução:

esxcli system wbem set -W false

Para confirmar que o wsman está desativado, execute o seguinte comando:

esxcli system wbem get
…
WSManagement PID: 0
WSManagement Service: false

Para obter mais informações sobre comandos ESXCLI, consulte a Documentação do ESXCLI . Para obter mais informações sobre como ativar o serviço CIM, consulte o VMware artigo da base de conhecimento em https://kb.vmware.com/kb/1025757.

Procedimento

Crie uma conta de usuário não raiz do vSphere para aplicativos CIM.
Consulte o tópico sobre como adicionar vCenter Single Sign-On usuários no Autenticação do vSphere . O privilégio do vSphere necessário para a conta de usuário é Host.CIM . Interaction .
Use o vSphere API SDK de sua escolha para autenticar a conta de usuário no vCenter Server. Em seguida, chame AcquireCimServicesTicket() para retornar um tíquete para autenticar com ESXi como uma conta de nível de administrador usando a porta CIM-XML 5989 ou a porta WS-Man 433.
Consulte vSphere Web Services API Reference para obter mais informações.
Renove o tíquete a cada dois minutos, conforme necessário.