Hier erfahren Sie, wie Sie Rollenprofile, Benutzerkontoprofile, Sperrmodusprofile und Active Directory-Berechtigungsprofile verwalten, die im Rahmen des Hostprofils für Sicherheit gruppiert sind. Ab vSphere 8.0 können Benutzer mit Zugriff auf die ESXi Shell und die Administratorrolle ESXi Shell-Zugriff auf Benutzerkonten entfernen oder gewähren.

Sie können die Hostprofiloptionen, die Teil des Sicherheitsprofils sind, konfigurieren.

Voraussetzungen

Vergewissern Sie sich, dass Sie über das SecurityConfigProfile-Plug-In verfügen, um die Rollen-, Benutzerkonten- und Active Directory-Berechtigungsprofile zu prüfen, da Abhängigkeiten zwischen diesen Profilen bestehen.

Prozedur

  1. Wählen Sie im vSphere Client die Option Menü > Richtlinien und Profile aus.
  2. Klicken Sie unter Richtlinien und Profile auf Hostprofile.
  3. Wählen Sie das Hostprofil aus, das Sie bearbeiten möchten, und klicken Sie auf die Registerkarte Konfigurieren.
  4. Klicken Sie auf Hostprofil bearbeiten.
  5. Erweitern Sie die Profilkategorie Sicherheit und Dienste > Sicherheitseinstellungen und öffnen Sie den Ordner Sicherheit.
    Die folgenden Profile werden angezeigt:
    Rolle

    Mit diesem Profil können Sie innerhalb des ESXi-Systems Standardrollen anzeigen und benutzerdefinierte Rollen hinzufügen.

    Benutzerkonfiguration

    Dieses Profil ermöglicht Ihnen das Erstellen und Verwalten von Benutzerkonten.

    Standardmäßig haben neu erstellte Benutzerkonten Zugriff auf die ESXi Shell. Ab vSphere 8.0 können Administratoren die erweiterte Option Security.DefaultShellAccess verwenden, um dieses Standardverhalten zu ändern.

    Nachfolgend werden einige Vorgänge geschildert, die Sie für Benutzerkonten ausführen können:

    • Erstellen Sie ein Benutzerkonto.
    • Konfigurieren Sie das Kennwort für ein Benutzerkonto.
    • Konfigurieren Sie das Kennwort für den Root-Benutzer.
    • Aktivieren oder deaktivieren Sie den ESXi Shell-Zugriff für das Benutzerkonto.
      Hinweis: Ändern Sie nicht die Shell-Zugriffseigenschaft für das Root-Benutzerkonto.
    • Konfigurieren Sie die Rolle für alle Benutzer, bei denen es sich nicht um den Standardbenutzer handelt.
    • Weisen Sie für ein lokales Konto eine Standard- oder benutzerdefinierte Rolle (durch Konfigurieren der Berechtigungen) zu.
    • Konfigurieren Sie den SSH-Schlüssel für alle Benutzer.
    Active Directory-Berechtigung

    Mit diesem Profil können Sie Berechtigungen für Active Directory-Benutzer oder -Gruppen verwalten. Sie können z. B. Berechtigungen erstellen, die einen Active Directory-Benutzer oder eine Active Directory-Gruppe mit einer Rolle verknüpft.

    Wenn ein ESXi-Host einer Active Directory-Domäne beitritt, wird für die DOMAIN-Gruppe ESX Admins eine Administratorberechtigung erstellt. Wenn dem Active Directory-Benutzer oder der Active Directory-Gruppe einige Berechtigungen auf dem ESXi-Host erteilt werden, wird eine entsprechende Berechtigung auf diesem Host erstellt. Das Active Directory-Berechtigungsprofil erfasst diese Berechtigung.

    Sperrmodus

    Mit diesem Profil können Sie die Sicherheit Ihrer ESXi-Hosts erhöhen, indem Sie die Benutzerberechtigungen und -rechte einschränken.

    Sie können die folgenden Sperrmoduseinstellungen konfigurieren:
    • Normaler Sperrmodus: Auf einen ESXi-Host kann von einer lokalen Konsole und vCenter Server aus zugegriffen werden. DCUI-Dienst wird nicht angehalten.
    • Strenger Sperrmodus: Auf einen ESXi-Host kann nur über vCenter Server zugegriffen werden. Der DCUI-Dienst wird beendet.
    • Ausnahme für Benutzer: die Benutzer, die weiterhin über ihre Berechtigungen verfügen, unabhängig vom Status des Sperrmodus.

    Weitere Informationen zum Sicherheitsprofil finden Sie in der Dokumentation vSphere-Sicherheit.