El modelo de permisos de los sistemas vCenter Server se basa en la asignación de permisos a los objetos de la jerarquía de objetos de vSphere. Cada permiso otorga un conjunto de privilegios a un usuario o grupo; es decir, asigna una función para el objeto seleccionado.

Es necesario comprender los siguientes conceptos:

Permisos

Cada objeto en la jerarquía de objetos de vCenter Server tiene permisos asociados. Cada permiso especifica en un solo grupo o usuario qué privilegios tiene ese grupo o usuario sobre el objeto.

Usuarios y grupos

En los sistemas vCenter Server se pueden asignar privilegios solo a usuarios autenticados o a grupos de usuarios autenticados. Los usuarios se autentican mediante vCenter Single Sign-On. Los usuarios y los grupos deben definirse en el origen de identidad que vCenter Single Sign-On utiliza para autenticar. Defina usuarios y grupos utilizando las herramientas en su origen de identidad, por ejemplo, Active Directory.

Funciones

Las funciones permiten asignar permisos en un objeto en función de un conjunto típico de tareas que realizan los usuarios. En vCenter Server, las funciones predeterminados —tales como Administrador— están predefinidos y no se pueden cambiar. Otras funciones, como Administrador de grupo de recursos, son funciones de muestra predefinidos. Se pueden crear funciones personalizadas, ya sea desde cero o mediante la clonación y la modificación de las funciones de muestra.

Privilegios

Los privilegios son controles de acceso detallados. Esos privilegios se pueden agrupar en funciones que, a continuación, se pueden asignar a los usuarios o a los grupos.

Figura 1. Permisos de vSphere
Se combinan varios privilegios en una función. Se asigna la función a usuarios o grupos.

Para asignar permisos sobre un objeto, siga estos pasos:

  1. Seleccione el objeto en la jerarquía de objetos de vCenter sobre el cual desea aplicar el permiso.

  2. Seleccione el grupo o el usuario que tendrá los privilegios sobre el objeto.

  3. Seleccione la función, o el conjunto de privilegios, que el grupo o el usuario cumplirá sobre el objeto. De forma predeterminada, los permisos se propagan; esto significa que el grupo o el usuario cumple la función determinada sobre el objeto seleccionado y sus objetos secundarios.

El modelo de permisos ofrece funciones predefinidas y así, facilita y acelera la ejecución de tareas. También es posible combinar privilegios para crear funciones personalizadas. Consulte Privilegios definidos como referencia para todos los privilegios y los objetos sobre los que puede aplicar privilegios. Consulte Privilegios necesarios para la realización de tareas comunes para ver algunos ejemplos de los conjuntos de privilegios que necesita para realizar estas tareas.

En muchos casos, los permisos deben definirse tanto en un objeto de origen como en un objeto de destino. Por ejemplo, al mover una máquina virtual, se necesitan algunos privilegios en esa máquina, pero también otros privilegios en el centro de datos de destino.

El modelo de permisos de los hosts ESXi independientes es más simple. Consulte Asignar permisos para ESXi

Validar usuarios de vCenter Server

Los sistemas vCenter Server que usan un servicio de directorio suelen validar usuarios y grupos en función del dominio del directorio de usuarios. La validación se produce en intervalos regulares especificados en la configuración de vCenter Server. Por ejemplo, si se asigna una función sobre varios objetos al usuario Smith y, posteriormente, se cambia el nombre del usuario en el dominio a Smith2, el host interpreta que Smith ya no existe y elimina los permisos asociados con ese usuario de los objetos de vSphere en la siguiente validación.

De modo similar, si se elimina el usuario Smith del dominio, todos los permisos asociados con ese usuario se eliminan en la siguiente validación. Si se agrega un nuevo usuario Smith al dominio antes de la siguiente validación, el nuevo usuario Smith reemplaza al antiguo usuario Smith en los permisos sobre cualquier objeto.