了解如何管理分组为安全主机配置文件一部分的角色配置文件、用户帐户配置文件、锁定模式配置文件和 Active Directory 权限配置文件。从 vSphere 8.0 开始,具有 ESXi Shell 访问权限和管理员角色的用户可以移除或授予用户帐户 ESXi Shell 访问权限。

可以配置属于安全配置文件一部分的主机配置文件选项。

前提条件

请确保您可使用 SecurityConfigProfile 插件来验证角色、用户帐户和 Active Directory 权限配置文件,因为它们之间具有依赖关系。

过程

  1. vSphere Client 中,选择菜单 > 策略和配置文件
  2. 策略和配置文件下,单击主机配置文件
  3. 选择要编辑的主机配置文件,然后单击配置选项卡。
  4. 单击编辑主机配置文件
  5. 展开安全和服务 > 安全设置配置文件类别,然后打开安全文件夹。
    此时将显示以下配置文件:
    角色

    此配置文件使您能够查看默认角色,并在 ESXi 系统内添加自定义角色。

    用户配置

    此配置文件使您能够创建并管理用户帐户。

    默认情况下,新创建的用户帐户具有 ESXi Shell 访问权限。从 vSphere 8.0 开始,管理员可以使用高级选项 Security.DefaultShellAccess 更改此默认行为。

    下面是一些可以对用户帐户执行的操作:

    • 创建用户帐户。
    • 配置用户帐户的密码。
    • 配置 root 用户的密码。
    • 激活或停用用户帐户 ESXi Shell 访问权限。
      注: 请勿修改 root 用户帐户的 shell 访问属性。
    • 配置不是默认用户的任何用户的角色。
    • 为本地帐户分配默认或自定义角色(配置权限)。
    • 配置任何用户的 SSH 密钥。
    Active Directory 权限

    此配置文件使您能够管理 Active Directory 用户或组的权限。例如,您可以创建将 Active Directory 用户或组与角色关联的权限。

    当 ESXi 主机加入 Active Directory 域时,会为 DOMAIN 组 ESX Admins 创建管理员权限。此外,当 Active Directory 用户或组在 ESXi 主机上获得某些权限时,将在该主机上创建相应的权限。Active Directory 权限配置文件将捕获该权限。

    锁定模式

    使用此配置文件,您可以通过限制用户权限和特权来提高 ESXi 主机的安全性。

    您可以配置以下锁定模式设置:
    • 正常锁定模式:可以从本地控制台和 vCenter Server 访问 ESXi 主机。DCUI 服务未停止。
    • 严格锁定模式:只能从 vCenter Server 访问 ESXi 主机。DCUI 服务停止。
    • 异常用户:无论锁定模式状态为何,均具有其权限的用户。

    有关安全配置文件的详细信息,请参见《vSphere 安全性》文档。