Para mejorar la seguridad de los hosts ESXi, puede ponerlos en modo de bloqueo. En el modo de bloqueo, las operaciones deben realizarse mediante vCenter Server de forma predeterminada.

Puede seleccionar entre el modo de bloqueo normal o el estricto, que ofrecen diferentes grados de bloqueo. También puede utilizar la lista de usuarios con excepción. Los usuarios con excepción no pierden sus privilegios cuando el host entra en el modo de bloqueo. Utilice la lista de usuarios con excepción para agregar cuentas de soluciones de terceros y aplicaciones externas que deben tener acceso directo al host cuando este último está en modo de bloqueo.

Comportamiento del modo de bloqueo

En el modo de bloqueo, algunos dispositivos se desactivan y algunos servicios quedan accesibles solo para ciertos usuarios.

Servicios de modo de bloqueo disponibles para diferentes usuarios

Cuando el host está en ejecución, los servicios disponibles dependen de si el modo de bloqueo está activado y del tipo de modo de bloqueo.

  • En modo de bloqueo estricto y normal, los usuarios con privilegios pueden acceder al host mediante vCenter Server, desde vSphere Client o mediante el uso de vSphere Web Services SDK.
  • El comportamiento de la interfaz de la consola directa no es igual en el modo de bloqueo estricto que en el modo de bloqueo normal.
    • En el modo de bloqueo estricto, el servicio de interfaz de usuario de la consola directa (DCUI) está desactivado.
    • En el modo de bloqueo normal, las cuentas de la lista de usuarios con excepción pueden acceder a la DCUI si poseen privilegios de administrador. Además, todos los usuarios que se especifican en la opción avanzada del sistema DCUI.Access pueden acceder a la DCUI.
  • Si ESXi Shell o SSH están activados y el host se encuentra en el modo de bloqueo, las cuentas de la lista de usuarios con excepción que tienen privilegios de administrador pueden usar estos servicios. Para los demás usuarios, el acceso a ESXi Shell o SSH queda desactivado. Se cierran las sesiones de ESXi o SSH de usuarios que no tienen privilegios de administrador.

Todas las operaciones de acceso se registran para ambos modos de bloqueo, estricto y normal.

Tabla 1. Comportamiento del modo de bloqueo
Servicio Modo normal Modo de bloqueo normal Modo de bloqueo estricto
vSphere Web Services API Todos los usuarios, según los permisos vCenter (vpxuser)

Usuarios con excepción, según los permisos

vCloud Director (vslauser, si está disponible)

vCenter (vpxuser)

Usuarios con excepción, según los permisos

vCloud Director (vslauser, si está disponible)

Proveedores de CIM Usuarios con privilegios de administrador en el host Usuarios con excepción de vCenter (vpxuser), según los permisos

vCloud Director (vslauser, si está disponible)

Usuarios con excepción de vCenter (vpxuser), según los permisos

vCloud Director (vslauser, si está disponible)

UI de consola directa (DCUI) Usuarios con privilegios de administrador en el host y usuarios que se encuentran en la configuración avanzada del sistema DCUI.Access

Usuarios definidos en la configuración avanzada del sistema DCUI.Access

Usuarios con excepción con privilegios de administrador en el host 		El servicio de DCUI se detiene.
ESXi Shell (si está activado) y SSH (si está activado) Usuarios con privilegios de administrador en el host

Usuarios definidos en la opción avanzada DCUI.Access

Usuarios con excepción con privilegios de administrador en el host

Usuarios definidos en la configuración avanzada del sistema DCUI.Access

Usuarios con excepción con privilegios de administrador en el host

Comportamiento del modo de bloqueo para los usuarios que inician sesión en ESXi Shell cuando el modo de bloqueo está activado

Los usuarios pueden iniciar sesión en ESXi Shell o acceder al host a través de SSH antes de activar el modo de bloqueo. En ese caso, la sesión de los usuarios que estén en la lista de usuarios con excepción y que tengan privilegios de administrador en el host permanecerá activa. La sesión se cierra para los demás usuarios. La finalización se aplica tanto al modo de bloqueo normal como al estricto.

Cómo puede desactivar el modo de bloqueo

El modo de bloqueo se puede desactivar de la siguiente manera.
Desde vSphere Client
Los usuarios pueden desactivar el modo de bloqueo normal y el modo de bloqueo estricto desde vSphere Client. Consulte Desactivar el modo de bloqueo desde vSphere Client.
Desde la interfaz de usuario de la consola directa
Los usuarios que pueden acceder a la interfaz de usuario de la consola directa en el host ESXi pueden desactivar el modo de bloqueo normal. En el modo de bloqueo estricto, el servicio de interfaz de la consola directa se detiene. Consulte Activar o desactivar el modo de bloqueo normal desde la interfaz de usuario de la consola directa.

Activar el modo de bloqueo desde vSphere Client

Seleccione el modo de bloqueo para requerir que todos los cambios en la configuración del host pasen por vCenter Server. vSphere admite el modo de bloqueo normal y el modo de bloqueo estricto.

Si prefiere no permitir todo acceso directo a un host por completo, puede seleccionar el modo de bloqueo estricto. El modo de bloqueo estricto impide que se acceda a un host si vCenter Server no está disponible y SSH y ESXi Shell están desactivados. Consulte Comportamiento del modo de bloqueo.

Procedimiento

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Perfil de seguridad.
  4. En el panel Modo de bloqueo, haga clic en Editar.
  5. Haga clic en Modo de bloqueo y seleccione una de las opciones del modo de bloqueo.
    Opción Descripción
    Normal Se puede acceder al host desde vCenter Server. Solo los usuarios que están en la lista de usuarios con excepción y tienen privilegios de administrador pueden iniciar sesión en la interfaz de usuario de la consola directa. Si SSH o ESXi Shell están activados, es posible que se pueda tener acceso.
    Estricto Se puede acceder al host únicamente desde vCenter Server. Si se activan SSH o ESXi Shell, se mantienen habilitadas las sesiones en ejecución en las cuentas con el ajuste avanzado DCUI.Access y las cuentas de usuarios con excepción que tienen privilegios de administrador. Todas las demás sesiones se cierran.
  6. Haga clic en Aceptar.

Desactivar el modo de bloqueo desde vSphere Client

Desactive el modo de bloqueo para permitir cambios de configuración en las conexiones directas al host ESXi. Si el modo de bloqueo está activado, el entorno es más seguro.

Los usuarios pueden desactivar el modo de bloqueo normal y el modo de bloqueo estricto desde vSphere Client.

Procedimiento

  1. Desplácese hasta un host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Perfil de seguridad.
  4. En el panel Modo de bloqueo, haga clic en Editar.
  5. Haga clic en Modo de bloqueo y seleccione Deshabilitado para desactivar el modo de bloqueo.
  6. Haga clic en Aceptar.

Resultados

El sistema sale del modo de bloqueo, vCenter Server muestra una alarma y se agrega una entrada al registro de auditoría.

Activar o desactivar el modo de bloqueo normal desde la interfaz de usuario de la consola directa

Puede activar y desactivar el modo de bloqueo normal desde la interfaz de usuario de la consola directa (DCUI). El modo de bloqueo estricto puede activarse y desactivarse únicamente desde vSphere Client.

Cuando el host se encuentra en el modo normal de bloqueo, las siguientes cuentas pueden acceder a la interfaz de usuario de la consola directa:
  • Cuentas en la lista de usuarios con excepción que tienen privilegios de administrador en el host. La lista de usuarios con excepción sirve para cuentas de servicios, como un agente de copia de seguridad.
  • Usuarios definidos en la opción avanzada DCUI.Access del host. Esta opción puede utilizarse para activar el acceso en caso de que ocurra un error grave.

Los permisos de usuario se conservan cuando se activa el modo de bloqueo. Los permisos de usuario se restauran al desactivar el modo de bloqueo desde la interfaz de la consola directa.

Nota: Si actualiza un host que se encuentra en el modo de bloqueo a la versión 6.0 de ESXi sin salir de ese modo, y si sale del modo después de actualizar, se perderán todos los permisos definidos antes de que el host entrara en el modo de bloqueo. El sistema asigna la función de administrador a todos los usuarios que se encuentran en la opción avanzada DCUI.Access para garantizar el acceso al host.

Para conservar los permisos, desactive el modo de bloqueo del host desde vSphere Client antes de realizar la actualización.

Procedimiento

  1. En la interfaz de usuario de la consola directa del host, presione F2 e inicie sesión.
  2. Desplácese hasta la opción Configurar el modo de bloqueo y presione Entrar para alternar la configuración actual.
  3. Presione Esc hasta que vuelva al menú principal de la interfaz de usuario de la consola directa.

Especificar cuentas con privilegios de acceso en el modo de bloqueo

Puede especificar cuentas de servicio que puedan acceder al host ESXi. Para ello, agréguelas directamente a la lista de usuarios con excepción. Puede especificar que un único usuario acceda al host ESXi en caso de que se produzca un error grave en vCenter Server.

Qué pueden hacer las cuentas cuando vSphere está en modo de bloqueo

La versión de vSphere determina qué pueden hacer diferentes cuentas de forma predeterminada cuando se activa el modo de bloqueo y cómo se puede cambiar el comportamiento predeterminado.
  • En vSphere 5.0 y versiones anteriores, únicamente el usuario raíz puede iniciar sesión en la interfaz de usuario de la consola directa (DCUI) en un host ESXi que se encuentra en el modo de bloqueo.
  • En vSphere 5.1 y las versiones posteriores, puede agregar un usuario a la configuración avanzada del sistema DCUI.Access para cada host. El ajuste está pensado para un error grave de vCenter Server. Por lo general, las empresas bloquean la contraseña del usuario con este acceso en un lugar seguro. Un usuario de la lista DCUI.Access no necesita tener privilegios administrativos completos en el host.
  • En vSphere 6.0 y las versiones posteriores, la configuración avanzada del sistema DCUI.Access sigue siendo compatible. Asimismo, vSphere 6.0 y las versiones posteriores admiten una lista de usuarios con excepción, destinada a las cuentas de servicio que deben conectarse al host directamente. Las cuentas con privilegios de administrador que figuran en la lista de usuarios con excepción pueden iniciar sesión en ESXi Shell. Por otra parte, estos usuarios pueden iniciar sesión en la DCUI de un host en el modo de bloqueo normal y pueden salir del modo de bloqueo.
    Especifique los usuarios con excepción desde vSphere Client.
    Nota: Los usuarios con excepción son usuarios locales del host o usuarios de Active Directory con privilegios definidos localmente para el host ESXi. Los usuarios que son miembros de un grupo de Active Directory pierden sus permisos cuando el host se coloca en modo de bloqueo.

Agregar usuarios a la configuración avanzada del sistema DCUI.Access

Si se produce un error grave, la configuración avanzada del sistema DCUI.Access permite salir del modo de bloqueo cuando no se puede acceder al host desde vCenter Server. Para agregar usuarios a la lista, edite las opciones de configuración avanzada del host desde vSphere Client.

Nota: Los usuarios de la lista de DCUI.Access pueden cambiar la configuración del modo de bloqueo independientemente de los privilegios que tengan. La capacidad de cambiar los modos de bloqueo puede afectar a la seguridad del host. En el caso de las cuentas de servicio que necesitan acceso directo al host, puede ser conveniente agregar usuarios a la lista de usuarios con excepción. Los usuarios con excepción solamente pueden realizar las tareas para las cuales tienen privilegios. Consulte "Especificar usuarios con excepción para el modo de bloqueo" más adelante en este tema.
  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, haga clic en Configuración avanzada del sistema y en Editar.
  4. Filtre por DCUI.
  5. En el cuadro de texto DCUI.Access, introduzca los nombres de usuarios locales de ESXi separados por comas.
    Nota: No puede introducir usuarios de Active Directory. Solo se admiten usuarios de ESXi locales.

    Se incluye al usuario raíz de forma predeterminada. Considere quitar al usuario raíz de la lista de DCUI.Access y especificar una cuenta con nombre para mejorar el proceso de auditoría.

  6. Haga clic en Aceptar.

Especificar usuarios con excepción para el modo de bloqueo

Puede agregar usuarios a la lista de usuarios con excepción desde vSphere Client. Estos usuarios no pierden sus permisos cuando el host entra en el modo de bloqueo.

Es frecuente que esos usuarios tengan cuentas que representen soluciones y aplicaciones externas que necesitan seguir funcionando en el modo de bloqueo. Por ejemplo, es lógico agregar cuentas de servicio, como un agente de copia de seguridad, a la lista de usuarios con excepción.
Nota: La lista de usuarios con excepción no está pensada para administradores sino para las cuentas de servicio que realizan tareas muy específicas. Agregar usuarios administradores a la lista de usuarios con excepción va en contra de la finalidad del modo de bloqueo.

Los usuarios con excepción son usuarios locales del host o usuarios de Active Directory con privilegios definidos localmente para el host ESXi. No son miembros de un grupo de Active Directory y no son usuarios de vCenter Server. Estos usuarios tienen permitido realizar operaciones en el host en función de sus privilegios. Esto significa, por ejemplo, que un usuario de solo lectura no puede desactivar el modo de bloqueo en un host.

  1. Desplácese hasta el host en el inventario de vSphere Client.
  2. Haga clic en Configurar.
  3. En Sistema, seleccione Perfil de seguridad.
  4. En el panel Modo de bloqueo, haga clic en Editar.
  5. Haga clic en Usuarios con excepción y en el icono Agregar usuario para agregar usuarios con excepción.
  6. Haga clic en Aceptar.