Das CIM-System (Common Information Model) bietet eine Schnittstelle, mit der es möglich ist, Hardware von Remoteanwendungen aus mit einem Standard-API-Satz zu verwalten. Um die Sicherheit der CIM-Schnittstelle sicherzustellen, sollten Sie diesen Remoteanwendungen nur den nötigen Mindestzugriff einräumen. Wenn Sie eine Remoteanwendung mit einem Root- oder Administratorkonto bereitstellen und die Anwendung manipuliert wird, besteht für die virtuelle Umgebung ein Sicherheitsrisiko.

Warum und wann dieser Vorgang ausgeführt wird

CIM ist ein offener Standard, der ein Framework für die agentenlose und standardbasierte Überwachung von Hardwareressourcen für ESXi-Hosts definiert. Dieses Framework besteht aus einem CIM Object Manager, häufig auch CIM-Broker genannt, und einem Satz von CIM-Anbietern.

CIM-Anbieter unterstützen den Verwaltungszugriff auf Gerätetreiber und zugrunde liegende Hardware. Hardwareanbieter, einschließlich Serverhersteller und Hardwaregeräteanbieter, können Anbieter erstellen, die ihre Geräte überwachen und verwalten. VMware schreibt Anbieter, mit denen die Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifische Ressourcen überwacht werden. Diese Lightweight-Anbieter werden innerhalb des ESXi-Hosts ausgeführt und sind auf spezielle Verwaltungsaufgaben fokussiert. Der CIM-Broker ruft Informationen von allen CIM-Anbietern ab und zeigt sie extern mithilfe von Standard-APIs an, wobei WS-MAN die geläufigste ist.

Stellen Sie Remoteanwendungen, die auf die CIM-Schnittstelle zugreifen, keine Root-Anmeldedaten bereit. Erstellen Sie stattdessen ein Dienstkonto für diese Anwendungen. Gewähren Sie jedem auf dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle schreibgeschützten Zugriff auf CIM-Informationen.

Prozedur

  1. Erstellen Sie ein Dienstkonto für CIM-Anwendungen.
  2. Gewähren Sie dem Dienstkonto schreibgeschützten Zugriff auf ESXi-Hosts, die CIM-Informationen erfassen.
  3. (Optional) : Wenn die Anwendung Schreibzugriff benötigt, erstellen Sie eine Rolle mit nur zwei Rechten.
    • Host > Config > SystemManagement

    • Host > CIM > CIMInteraction

  4. Erstellen Sie für jeden ESXi-Host, den Sie überwachen, eine Berechtigung, die die benutzerdefinierte Rolle mit dem Dienstkonto verknüpft.

    Weitere Informationen hierzu finden Sie unter Verwenden von Rollen zum Zuweisen von Rechten.