El sistema del modelo de información común (CIM) proporciona una interfaz que habilita la administración en el nivel del hardware desde aplicaciones remotas que usan un conjunto de interfaces de programación de aplicaciones (API) estándar. Para que la interfaz del CIM sea segura, proporcione únicamente el acceso mínimo y necesario a estas aplicaciones. Si una aplicación se aprovisionó con una cuenta raíz o una cuenta de administrador completa y la aplicación se ve comprometida, todo el entorno virtual puede quedar comprometido.

Por qué y cuándo se efectúa esta tarea

El CIM es un estándar abierto que establece un marco para la supervisión de recursos de hardware sin agente basada en estándares en ESXi. Este marco consta de un administrador de objetos CIM, a menudo llamado agente CIM, y un conjunto de proveedores CIM.

Los proveedores CIM se usan como mecanismo para proporcionar acceso de administración a los controladores de dispositivos y al hardware subyacente. Los distribuidores de hardware, incluidos los fabricantes de servidores y los distribuidores de dispositivos de hardware específicos, pueden escribir a los proveedores para que proporcionen supervisión y administración de sus dispositivos particulares. VMware también escribe a los proveedores que implementan la supervisión del hardware de servidor, de la infraestructura de almacenamiento de ESXi y de los recursos específicos de virtualización. Estos proveedores operan en el sistema ESXi y, por lo tanto, su diseño es extremadamente ligero y se centra en tareas de administración específicas. El agente CIM recibe información de todos los proveedores CIM y la presenta al mundo exterior mediante las API estándar, de las cuales la más frecuente es WS-MAN.

No proporcione credenciales de raíz a aplicaciones remotas para acceder a la interfaz de CIM. En lugar de eso, cree una cuenta de servicio específica para estas aplicaciones y otorgue acceso de solo lectura a la información de CIM a cualquier cuenta local que figure en el sistema ESXi, así como a cualquier función establecida en vCenter Server.

Procedimiento

  1. Cree una cuenta de servicio específica para las aplicaciones de CIM.
  2. Otorgue acceso de solo lectura a la información de CIM a cualquier cuenta local que figure en el sistema ESXi, así como a cualquier función establecida en vCenter Server.
  3. (Opcional) : Si la aplicación requiere acceso de escritura en la interfaz de CIM, cree una función que se aplique a la cuenta de servicio únicamente con dos privilegios:
    • Host > Configuración > Administración del sistema

    • Host > CIM > Interacción con CIM

    Esta función puede ser local para el host o establecerse de forma central en vCenter Server, según cómo funcione la aplicación de supervisión.

Resultados

Cuando un usuario inicia sesión en el host con la cuenta de servicio que se creó para las aplicaciones de CIM, el usuario solo tiene los privilegios Administración del sistema e Interacción con CIM, o bien acceso de solo lectura.