vCenter Server 系统的权限模型需要向 vSphere 对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。

您需要了解以下概念:

权限

vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。

用户和组

vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。

角色

角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。

特权

特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。

图 1. vSphere 权限
一种角色中组合了多种特权。角色将分配给用户或组。

要向对象分配权限,请执行以下步骤:

  1. 在 vCenter 对象层次结构中选择要对其应用权限的对象。

  2. 选择应对该对象具有特权的组或用户。

  3. 选择组或用户针对该对象应具有的角色(即一组特权)。默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。

借助权限模型,您可以通过提供预定义的角色轻松完成操作。还可以将特权组合在一起以创建自定义角色。有关所有特权以及可对其应用特权的对象的参考信息,请参见定义的特权。有关执行这些任务时所需的权限集的示例,请参见常见任务的所需特权

在许多情况下,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要对该虚拟机具有某些特权,同时还需要对目标数据中心具有特权。

独立 ESXi 主机的权限模型比较简单。请参见为 ESXi 分配权限

vCenter Server 用户验证

使用目录服务的 vCenter Server 系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server 设置中指定的固定时间间隔执行。例如,如果为用户 Smith 分配了对多个对象的角色,并在域中将用户名更改为 Smith2,则在下次验证发生时主机会认为 Smith 已不存在,并从 vSphere 对象中移除与该用户关联的权限。

同样,如果将用户 Smith 从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证发生之前将新用户 Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。