Acceso de control para herramientas de supervisión de hardware basadas en CIM

El sistema del modelo de información común (CIM) proporciona una interfaz que habilita la administración en el nivel del hardware desde aplicaciones remotas que usan un conjunto de interfaces de programación de aplicaciones (API) estándar. Para garantizar que la interfaz de CIM sea segura, proporcione únicamente el acceso mínimo y necesario a estas aplicaciones remotas. Si aprovisiona una aplicación remota con una cuenta raíz o de administrador y si la aplicación está comprometida, puede comprometerse el entorno virtual.

CIM es un estándar abierto que establece un marco para la supervisión de recursos de hardware sin agente basada en estándares para hosts ESXi. Este marco consta de un administrador de objetos CIM, a menudo llamado agente CIM, y un conjunto de proveedores CIM.

Los proveedores de CIM admiten acceso de administración para controladores de dispositivos y hardware subyacente. Los proveedores de hardware, incluidos los fabricantes de servidores y los proveedores de dispositivos de hardware, pueden escribir proveedores que supervisen y administren sus dispositivos. VMware escribe proveedores que supervisan hardware de servidor, infraestructura de almacenamiento de ESXi y recursos específicos de virtualización. Estos proveedores se ejecutan dentro del host ESXi. Son livianos y se centran en tareas específicas de administración. El agente CIM toma información de todos los proveedores de CIM y usa API estándar para presentar la información al mundo exterior. La API más común es WS-MAN.

No proporcione credenciales de raíz a aplicaciones remotas que accedan a la interfaz de CIM. En su lugar, cree una cuenta de usuario de vSphere con menos privilegios para estas aplicaciones y utilice la función de ticket de API de VIM para emitir un valor de sessionId (denominado "ticket") para esta cuenta de usuario con menos privilegios para autenticarse en CIM. Si se le concede un permiso a la cuenta para obtener tickets de CIM, la API de VIM puede proporcionar el ticket a CIM. A continuación, estos tickets se proporcionan como la contraseña y el identificador de usuario a cualquier llamada API de CIM-XML. Consulte el método AcquireCimServicesTicket() para obtener más información.

El servicio CIM se inicia cuando se instala un CIM VIB de terceros (por ejemplo, cuando se ejecuta el comando esxcli software vib install -n VIBname).

Si se debe habilitar el servicio CIM manualmente, ejecute el siguiente comando:

esxcli system wbem set -e true

Si es necesario, puede deshabilitar wsman (servicio WSManagement) para que se ejecute solamente el servicio CIM:

esxcli system wbem set -W false

Para confirmar que se deshabilitó wsman, ejecute el siguiente comando:

esxcli system wbem get
…
WSManagement PID: 0
WSManagement Service: false

Para obtener más información sobre los comandos ESXCLI, consulte la documentación de ESXCLI. Para obtener más información sobre cómo habilitar el servicio CIM, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/kb/1025757.

Procedimiento

Cree una cuenta de usuario no raíz de vSphere para las aplicaciones de CIM.
Consulte el tema sobre cómo agregar usuarios de vCenter Single Sign-On en vSphere Authentication. El privilegio de vSphere necesario para la cuenta de usuario es Host.CIM.Interacción.
Utilice el SDK de vSphere API que desee para autenticar la cuenta de usuario en vCenter Server. A continuación, realice una llamada a AcquireCimServicesTicket() para devolver un ticket con el fin de autenticarse con ESXi como una cuenta de nivel de administrador mediante las API del puerto 5989 de CIM-XML o del puerto 433 de WS-Man.
Consulte Referencia de vSphere Web Services API para obtener más información.
Renueve el ticket cada dos minutos según sea necesario.