管理用户以控制哪些用户获得授权可以登录 ESXi

用户和角色控制谁可以访问 ESXi 主机组件以及每个用户可以执行什么操作。

在 vSphere 5.1 和更高版本中, ESXi 用户管理具有以下局限。
  • 直接连接到 ESXi 主机时所创建的用户不同于 vCenter Server 用户。当主机由 vCenter Server 管理时,vCenter Server 将忽略直接在主机上创建的用户。
  • 通过 vSphere Client 无法创建 ESXi 用户。必须通过 VMware Host Client 直接登录主机才能创建 ESXi 用户。

  • ESXi 5.1 及更高版本不支持本地组。但是,支持 Active Directory 组。

要阻止匿名用户(如 root)通过直接控制台用户界面 (DCUI) 或 ESXi Shell 访问主机,请在主机的根文件夹中移除用户的管理员权限。此操作对本地用户与 Active Directory 用户和组均适用。

VMware Host Client 中添加 ESXi 用户

将用户添加到用户表会更新由主机维护的内部用户列表。

前提条件

有关密码要求的信息,请参见在 VMware Host Client 中配置密码和帐户锁定策略《vSphere 安全性》文档。

过程

  1. 通过 VMware Host Client 登录到 ESXi
    通过 vSphere Client 无法创建 ESXi 用户。要创建 ESXi 用户,必须通过 VMware Host Client 直接登录主机。
  2. VMware Host Client 清单中单击管理,然后单击安全性与用户
  3. 单击用户
  4. 单击添加用户
  5. 输入用户名和密码。
    注: 不要创建名称为 ALL 的用户。某些情况下,与名称 ALL 关联的特权可能对有些用户不可用。例如,如果名称为 ALL 的用户拥有管理员特权,则拥有 只读特权的用户可能可以远程登录到主机。此种行为已经超出预期范围。
    • 用户名中不可包含空格。
    • 用户名中不可包含非 ASCII 字符。
    • 创建符合长度和复杂性要求的密码。主机将使用默认身份验证插件 pam_passwdqc.so 来检查密码合规性。如果密码不合规,会显示错误消息指明密码要求。
  6. 要激活对 ESXi Shell 的本地访问权限,请选中启用 Shell 访问复选框。
  7. 单击添加

VMware Host Client 中更新 ESXi 用户

可以在 VMware Host Client 中更改 ESXi 用户的描述和密码。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击用户
  3. 从列表中选择用户并单击编辑用户
  4. 更新用户详细信息并单击保存

VMware Host Client 中的主机上移除本地 ESXi 用户

可从主机中移除本地 ESXi 用户。

小心: 不要移除 root 用户。
如果从主机中移除用户,其将失去对主机中所有对象的权限,且无法再次登录。
注: 如果从域中移除已登录的用户,其主机权限在您重新启动主机前将予以保留。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击用户
  3. 从列表中选择要移除的用户,单击移除用户,然后单击
    不要以任何原因移除 root 用户。