Das CIM-System (Common Information Model) bietet eine Schnittstelle, mit der es möglich ist, Hardware von Remoteanwendungen aus mit einem Standard-API-Satz zu verwalten. Um die Sicherheit der CIM-Schnittstelle sicherzustellen, sollten Sie diesen Remoteanwendungen nur den nötigen Mindestzugriff einräumen. Wenn Sie eine Remoteanwendung mit einem Root- oder Administratorkonto bereitstellen und die Anwendung manipuliert wird, besteht für die virtuelle Umgebung ein Sicherheitsrisiko.
CIM ist ein offener Standard, der ein Framework für die agentenlose und standardbasierte Überwachung von Hardwareressourcen für ESXi-Hosts definiert. Dieses Framework besteht aus einem CIM Object Manager, häufig auch CIM-Broker genannt, und einem Satz von CIM-Anbietern.
CIM-Anbieter unterstützen den Verwaltungszugriff auf Gerätetreiber und zugrunde liegende Hardware. Hardwareanbieter, einschließlich Serverhersteller und Hardwaregeräteanbieter, können Anbieter erstellen, die ihre Geräte überwachen und verwalten. VMware schreibt Anbieter, mit denen die Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifische Ressourcen überwacht werden. Diese Lightweight-Anbieter werden innerhalb des ESXi-Hosts ausgeführt und sind auf spezielle Verwaltungsaufgaben fokussiert. Der CIM-Broker ruft Informationen von allen CIM-Anbietern ab und zeigt sie extern mithilfe von Standard-APIs an, wobei WS-MAN die geläufigste ist.
Stellen Sie Remoteanwendungen, die auf die CIM-Schnittstelle zugreifen, keine Root-Anmeldedaten bereit. Stattdessen erstellen Sie ein vSphere-Benutzerkonto mit weniger Berechtigungen für diese Anwendungen und verwenden zur Authentifizierung beim CIM die VIM-API-Ticketfunktion zur Ausgabe einer Sitzungs-ID (als „Ticket“ bezeichnet) für dieses Benutzerkonto. Wenn dem Konto die Berechtigung zum Abrufen von CIM-Tickets erteilt wurde, kann die VIM-API das Ticket im CIM bereitstellen. Diese Tickets werden dann als Benutzer-ID und Kennwort für alle CIM-XML-API-Aufrufe angegeben. Weitere Informationen finden Sie in der AcquireCimServicesTicket()-Methode.
Der CIM-Dienst startet, wenn Sie das CIM-VIB eines Drittanbieters installieren, beispielsweise beim Ausführen des Befehls esxcli software vib install -n VIBname
.
Wenn Sie den CIM-Dienst manuell aktivieren müssen, führen Sie folgenden Befehl aus:
esxcli system wbem set -e true
Sie können wsman (WSManagement Service) gegebenenfalls deaktivieren, damit nur der CIM-Dienst ausgeführt wird:
esxcli system wbem set -W false
Führen Sie folgenden Befehl aus, um zu bestätigen, dass wsman deaktiviert ist:
esxcli system wbem get … WSManagement PID: 0 WSManagement Service: false
Weitere Informationen zu ESXCLI-Befehlen finden Sie unter Dokumentation zur vSphere-Befehlszeilenschnittstelle. Weitere Informationen zum Aktivieren des CIM-Diensts finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/kb/1025757.