Asignar privilegios para hosts ESXi

Normalmente, se otorgan privilegios a los usuarios mediante la asignación de permisos para los objetos de los hosts ESXi que administra un sistema vCenter Server. Si se utiliza un host ESXi independiente, se pueden asignar los privilegios directamente.

Asignar permisos para hosts ESXi administrados por vCenter Server

Si el host ESXi está administrado por vCenter Server, realice las tareas de administración a través de vSphere Client.

Puede seleccionar el objeto de host ESXi en la jerarquía de objetos de vCenter Server y asignar la función de administrador a una cantidad limitada de usuarios. Esos usuarios podrán realizar entonces una administración directa en el host ESXi. Consulte Usar funciones de vCenter Server para asignar privilegios.

La práctica recomendada implica crear al menos una cuenta de usuario designado, asignarle privilegios administrativos completos en el host y utilizar esta cuenta en lugar de la cuenta raíz. Establezca una contraseña de alta complejidad para la cuenta raíz y limite la utilización de la cuenta raíz. No elimine la cuenta raíz.

Asignar permisos para hosts independientes de ESXi

Se pueden agregar usuarios locales y definir funciones personalizadas desde la pestaña Administración de VMware Host Client. Consulte la documentación de Administrar un host único de vSphere: VMware Host Client.

Para todas las versiones de ESXi, puede ver la lista de usuarios predefinidos en el archivo /etc/passwd.

Las siguientes funciones están predefinidas.

Solo lectura: Permite que un usuario vea los objetos asociados con el host ESXi, pero no le permite realizar cambios en los objetos.
Administrador: Función de administrador.
Sin acceso: Sin acceso. Esta función es la función predeterminada. Es posible anular la función predeterminada.

Se pueden administrar grupos y usuarios locales, y agregar funciones locales personalizadas a un host ESXi mediante una instancia de VMware Host Client conectada directamente al host ESXi. Consulte la documentación de Administrar un host único de vSphere: VMware Host Client.

En vSphere 6.0 y versiones posteriores, es posible utilizar los comandos ESXCLI para la administración de cuentas de usuarios locales de ESXi. Los comandos ESXCLI de administración de permisos se pueden utilizar para configurar o quitar permisos tanto en cuentas de Active Directory (usuarios y grupos) como en cuentas locales de ESXi (usuarios únicamente).

Nota: Si se define un usuario para el host ESXi mediante una conexión directa al host, y existe un usuario con el mismo nombre en vCenter Server, los usuarios son diferentes. Si se asigna una función al usuario de ESXi, al usuario de vCenter Server no se le asigna la misma función.

Privilegios y usuarios de ESXi predefinidos

Si el entorno no incluye un sistema vCenter Server, están predefinidos los siguientes usuarios.

Usuario raíz

Cada host ESXi tiene, de manera predeterminada, una sola cuenta de usuario raíz con la función de administrador. Esa cuenta de usuario raíz puede utilizarse para la administración local y para conectar el host a vCenter Server.

La asignación de privilegios de usuario raíz puede facilitar el ingreso a un host ESXi debido a que el nombre ya se conoce. Tener una cuenta raíz común también dificulta hacer coincidir acciones con usuarios.

Para optimizar la auditoría, cree cuentas individuales con privilegios de administrador. Establezca una contraseña de complejidad alta para la cuenta raíz y limite el uso de la cuenta, por ejemplo, para utilizar en el momento de agregar un host a vCenter Server. No elimine la cuenta raíz. Para obtener más información sobre la asignación de permisos a un usuario para un host ESXi, consulte el documento Administrar un host único de vSphere: VMware Host Client.

La práctica recomendada es que todas las cuentas con la función de administrador en un host ESXi se asignen a un usuario específico que tenga una cuenta con nombre. Utilice las funcionalidades de ESXi Active Directory que permiten administrar las credenciales de Active Directory.

Importante: Puede quitar los privilegios de acceso al usuario raíz. Sin embargo, primero deberá crear otro permiso a nivel de raíz con otro usuario asignado a la función de administrador.

Usuario vpxuser

vCenter Server utiliza los privilegios del usuario vpxuser cuando se administran actividades del host.

El administrador de vCenter Server puede realizar casi todas las mismas tareas en el host que el usuario raíz y, también, programar tareas, trabajar con plantillas, etc. Sin embargo, el administrador de vCenter Server no puede crear, eliminar o editar usuarios y grupos locales para los hosts de forma directa. Solo un usuario con privilegios de administrador puede realizar estas tareas directamente en un host.

No se puede administrar el usuario vpxuser mediante Active Directory.

Precaución: No modifique el usuario vpxuser de ninguna manera. No cambie su contraseña. No cambie sus permisos. Si lo hace, podría experimentar problemas al trabajar con los hosts a través de vCenter Server.

Usuario dcui

El usuario dcui se ejecuta en hosts y actúa con derechos de administrador. El fin principal de este usuario es configurar los hosts para el modo de bloqueo desde la interfaz de usuario de la consola directa (DCUI).

Este usuario actúa como agente para la consola directa, y los usuarios interactivos no pueden modificarlo ni usarlo.

Desactivar el acceso al shell para usuarios no raíz de ESXi

En vSphere 8.0 y versiones posteriores, puede desactivar el acceso al shell para los usuarios de ESXi no raíz, como los usuarios predefinidos vpxuser y dcui. Al desactivar el acceso al shell, puede mejorar la seguridad aplicando una postura de "solo API" para estos usuarios.

Para desactivar el acceso al shell, puede utilizar el comando esxcli system account set --id user --shell-access false. La API correspondiente es LocalAccountManager.updateUser. También puede utilizar VMware Host Client para cambiar el indicador Activar acceso al shell de los usuarios locales de ESXi.

Nota: Cuando se desactiva el acceso al shell para un usuario con acceso administrativo, a causa de que se le deniega el acceso al shell, ese usuario no puede conceder acceso al shell a otros usuarios ni cambiar las contraseñas de los usuarios que tienen acceso al shell. Otros permisos, como los perfiles de host, seguirán permitiendo que los usuarios, como vpxuser y dcui, cambien las contraseñas de otros usuarios.

Al realizar cambios de este tipo, compruebe que no interrumpen los flujos de trabajo de terceros existentes.