Das CIM-System (Common Information Model) bietet eine Schnittstelle, mit der es möglich ist, Hardware von Remoteanwendungen aus mit einem Standard-API-Satz zu verwalten. Um die Sicherheit der CIM-Schnittstelle sicherzustellen, sollten Sie diesen Remoteanwendungen nur den nötigen Mindestzugriff einräumen. Wenn Sie eine Remoteanwendung mit einem Root- oder Administratorkonto bereitstellen und die Anwendung manipuliert wird, besteht für die virtuelle Umgebung ein Sicherheitsrisiko.

CIM ist ein offener Standard, der ein Framework für die agentenlose und standardbasierte Überwachung von Hardwareressourcen für ESXi-Hosts definiert. Dieses Framework besteht aus einem CIM Object Manager, häufig auch CIM-Broker genannt, und einem Satz von CIM-Anbietern.

CIM-Anbieter unterstützen den Verwaltungszugriff auf Gerätetreiber und zugrunde liegende Hardware. Hardwareanbieter, einschließlich Serverhersteller und Hardwaregeräteanbieter, können Anbieter erstellen, die ihre Geräte überwachen und verwalten. VMware schreibt Anbieter, mit denen die Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifische Ressourcen überwacht werden. Diese Lightweight-Anbieter werden innerhalb des ESXi-Hosts ausgeführt und sind auf spezielle Verwaltungsaufgaben fokussiert. Der CIM-Broker ruft Informationen von allen CIM-Anbietern ab und zeigt sie extern mithilfe von Standard-APIs an, wobei WS-MAN die geläufigste ist.

Stellen Sie Remoteanwendungen, die auf die CIM-Schnittstelle zugreifen, keine Root-Anmeldedaten bereit. Stattdessen erstellen Sie ein vSphere-Benutzerkonto mit weniger Berechtigungen für diese Anwendungen und verwenden zur Authentifizierung beim CIM die VIM-API-Ticketfunktion zur Ausgabe einer Sitzungs-ID (als „Ticket“ bezeichnet) für dieses Benutzerkonto. Wenn dem Konto die Berechtigung zum Abrufen von CIM-Tickets erteilt wurde, kann die VIM-API das Ticket im CIM bereitstellen. Diese Tickets werden dann als Benutzer-ID und Kennwort für alle CIM-XML-API-Aufrufe angegeben. Weitere Informationen finden Sie in der AcquireCimServicesTicket()-Methode.

Der CIM-Dienst startet, wenn Sie das CIM-VIB eines Drittanbieters installieren, beispielsweise beim Ausführen des Befehls esxcli software vib install -n VIBname.

Wenn Sie den CIM-Dienst manuell aktivieren müssen, führen Sie folgenden Befehl aus:

esxcli system wbem set -e true

Sie können wsman (WSManagement Service) gegebenenfalls deaktivieren, damit nur der CIM-Dienst ausgeführt wird:

esxcli system wbem set -W false

Führen Sie folgenden Befehl aus, um zu bestätigen, dass wsman deaktiviert ist:

esxcli system wbem get
…
WSManagement PID: 0
WSManagement Service: false

Weitere Informationen zu ESXCLI-Befehlen finden Sie unter ESXCLI-Dokumentation. Weitere Informationen zum Aktivieren des CIM-Diensts finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/kb/1025757.

Prozedur

  1. Erstellen Sie in vSphere ein Nicht-Root-Benutzerkonto für CIM-Anwendungen.
    Weitere Informationen finden Sie im Thema zum Hinzufügen von vCenter Single Sign-On-Benutzern unter vSphere-Authentifizierung. Die erforderliche vSphere-Berechtigung für das Benutzerkonto lautet Host.CIM.Interaktion.
  2. Verwenden Sie das vSphere API-SDK Ihrer Wahl, um das Benutzerkonto bei vCenter Server zu authentifizieren. Rufen Sie anschließend AcquireCimServicesTicket() auf, um ein Ticket zur Authentifizierung mit ESXi als Administratorebenenkonto unter Verwendung der API „CIM-XML port 5989“ oder der API „WS-Man port 433“ zurückzugeben.
    Weitere Informationen finden Sie in der vSphere Web Services-API-Referenz.
  3. Verlängern Sie das Ticket gegebenenfalls alle zwei Minuten.