Das CIM-System (Common Information Model) bietet eine Schnittstelle, mit der es möglich ist, Hardware von Remoteanwendungen aus mit einem Standard-API-Satz zu verwalten. Um die Sicherheit der CIM-Schnittstelle sicherzustellen, sollten Sie diesen Anwendungen nur den nötigen Mindestzugriff einräumen. Wenn eine Anwendung mit einem Root- oder Volladministratorkonto bereitgestellt wurde und die Anwendung manipuliert wird, ist möglicherweise die gesamte virtuelle Umgebung gefährdet.

Warum und wann dieser Vorgang ausgeführt wird

CIM ist ein offener Standard, der ein Framework für agentenlose und standardbasierte Überwachung von Hardwareressourcen für ESXi definiert. Dieses Framework besteht aus einem CIM Object Manager, häufig auch CIM-Broker genannt, und einem Satz von CIM-Anbietern.

CIM-Anbieter werden als Mechanismus zum Bereitstellen des Verwaltungszugriffs auf Gerätetreiber und die zugrunde liegende Hardware verwendet. Hardwareanbieter einschließlich Serverhersteller und Anbieter spezieller Hardwaregeräte können Anbieter für die Überwachung und Verwaltung ihrer speziellen Geräte entwickeln. VMware schreibt auch Anbieter, mit denen die Überwachung von Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifischen Ressourcen implementiert wird. Diese Anbieter werden im ESXi-System ausgeführt. Aus diesem Grund sind sie sehr leichtgewichtig und auf spezifische Verwaltungsaufgaben ausgerichtet. Der CIM-Broker erfasst Informationen von allen CIM-Anbietern und stellt sie der Außenwelt über Standard-APIs bereit, wobei WS-MAN der geläufigste ist.

Stellen Sie Remoteanwendungen keine Root-Anmeldedaten für den Zugriff auf die CIM-Schnittstelle bereit. Erstellen Sie stattdessen ein für diese Anwendungen bestimmtes Dienstkonto und gewähren Sie jedem auf dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff auf CIM-Informationen.

Prozedur

  1. Erstellen Sie ein für CIM-Anwendungen bestimmtes Dienstkonto.
  2. Gewähren Sie jedem auf dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff auf CIM-Informationen.
  3. (Optional) : Wenn die Anwendung Schreibzugriff auf die CIM-Schnittstelle erfordert, erstellen Sie eine auf das Dienstkonto anzuwendende Rolle mit nur zwei Rechten:
    • Host > Config > SystemManagement

    • Host > CIM > CIMInteraction

    Diese Rolle kann je nach Funktionsweise der Überwachungsanwendung lokal auf dem Host oder auf vCenter Server zentral definiert sein.

Ergebnisse

Wenn sich ein Benutzer am Host mit dem Dienstkonto anmeldet, das Sie für CIM-Anwendungen erstellt haben, verfügt er nur über die Rechte SystemManagement und CIMInteraction oder hat nur Lesezugriff.