Aprenda a administrar perfiles de función, perfiles de cuentas de usuario, perfiles de modo de bloqueo y perfiles de permisos de Active Directory que se agrupen como parte del perfil de host de seguridad. A partir de vSphere 8.0, los usuarios con acceso a ESXi Shell y la función de administrador pueden eliminar o conceder a ESXi Shell acceso a las cuentas de usuario.

Puede configurar las opciones de perfil de host, que son parte del perfil de seguridad.

Requisitos previos

Asegúrese de tener el complemento SecurityConfigProfile disponible para validar los perfiles de función, cuenta de usuario y permiso de Active Directory, ya que existen dependencias entre ellos.

Procedimiento

  1. En vSphere Client, seleccione Menú > Directivas y perfiles.
  2. En Directivas y perfiles, haga clic en Perfiles de host.
  3. Seleccione el perfil de host que desea editar y haga clic en la pestaña Configurar.
  4. Haga clic en Editar perfil de host.
  5. Despliegue la categoría de perfil Seguridad y servicios > Configuración de seguridad y abra la carpeta Seguridad.
    Se mostrarán los siguientes perfiles:
    Función

    Este perfil permite ver funciones predeterminadas y agregar funciones personalizadas dentro del sistema ESXi.

    Configuración de usuario

    Este perfil permite crear y administrar cuentas de usuario.

    De forma predeterminada, las cuentas de usuario que se hayan creado recientemente tienen acceso al ESXi Shell. A partir de vSphere 8.0, los administradores pueden utilizar la opción avanzada Security.DefaultShellAccess para cambiar este comportamiento predeterminado.

    Estas son algunas de las operaciones que puede realizar para las cuentas de usuario:

    • Crear una cuenta de usuario.
    • Configurar la contraseña de la cuenta de usuario.
    • Configurar la contraseña del usuario raíz
    • Activar o desactivar el acceso a ESXi Shell de la cuenta de usuario.
      Nota: No modifique la propiedad de acceso al shell de la cuenta de usuario raíz.
    • Configurar la función de cualquier usuario que no sea el predeterminado
    • Asignar una función predeterminada o personalizada (configurar permisos) para una cuenta local.
    • Configurar la clave SSH para cualquier usuario
    Permiso de Active Directory

    Este perfil permite administrar los permisos para grupos o usuarios de Active Directory. Por ejemplo, puede crear permisos para asociar un usuario o un grupo de Active Directory con una función.

    Cuando un host ESXi se une al dominio de Active Directory, se crea un permiso de administrador para el grupo ESX Admins del dominio. Además, cuando se proporcionan algunos permisos a un usuario o un grupo de Active Directory en el host ESXi, se crea un permiso correspondiente en ese host. El perfil de permiso de Active Directory captura dicho permiso.

    Modo de bloqueo

    Este perfil permite aumentar la seguridad de los hosts ESXi mediante la restricción de los privilegios y los permisos de usuario.

    Puede configurar las siguientes opciones del modo de bloqueo:
    • Modo de bloqueo normal: se puede acceder a un host ESXi desde una consola local y vCenter Server. El servicio de DCUI no se detiene.
    • Modo de bloqueo estricto: solo se puede acceder a un host ESXi desde vCenter Server. El servicio de DCUI se detiene.
    • Usuarios con excepción: los usuarios que aún tienen sus permisos independientemente del estado del modo de bloqueo.

    Para obtener información sobre el perfil de seguridad, consulte la documentación sobre Seguridad de vSphere.