Pour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. En mode de verrouillage, les opérations doivent être exécutées via vCenter Server par défaut.

vSphere 6.0 propose différents degrés de verrouillage par le biais de deux modes de verrouillage : normal et strict. La liste d'utilisateurs exceptionnels est une autre nouveauté de vSphere 6.0. Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Utilisez la liste d'utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d'applications externes qui doivent accéder directement à l'hôte lorsque celui-ci est en mode de verrouillage. Reportez-vous à Spécifier les utilisateurs exceptionnels du mode de verrouillage.

Mode de verrouillage normal et mode de verrouillage strict

À partir de vSphere 6.0, vous pouvez sélectionner le mode de verrouillage normal ou le mode de verrouillage strict, ce qui offre différents degrés de verrouillage.

Mode de verrouillage normal :

En mode de verrouillage normal, le service DCUI n'est pas interrompu. En cas de perte de connexion avec le système vCenter Server, si l'accès via vSphere Web Client n'est plus disponible, les comptes disposant de privilèges peuvent se connecter à l'interface utilisateur de la console directe de l'hôte ESXi et quitter le mode de verrouillage. Seuls les comptes suivants peuvent accéder à l'interface utilisateur de la console directe :

  • Comptes répertoriés dans la liste des utilisateurs exceptionnels pour le mode de verrouillage qui disposent des privilèges d'administration sur l'hôte. La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent des tâches très spécifiques. L'ajout d'administrateurs ESXi à cette liste serait contraire à l'objectif du mode de verrouillage.

  • Les utilisateurs définis dans l'option avancée DCUI.Access de l'hôte. Cette option sert d'accès de secours à l'interface utilisateur de la console directe en cas de perte de connexion avec vCenter Server. Ces utilisateurs n'ont pas besoin de disposer de privilèges d'administration sur l'hôte.

Mode verrouillage strict

En mode de verrouillage strict (nouveau dans vSphere 6.0), le service DCUI est interrompu. En cas de perte de la connexion avec vCenter Server, si vSphere Web Client n'est plus disponible, l'hôte ESXi n'est plus disponible non plus, à moins que les services ESXi Shell et SSH soient activés et que des utilisateurs exceptionnels soient définis. Si vous ne pouvez pas rétablir la connexion avec le système vCenter Server, vous devez réinstaller l'hôte.

Mode de verrouillage et services ESXi Shell et SSH

Le mode de verrouillage strict interrompt le service DCUI. Toutefois, les services ESXi Shell et SSH sont indépendants du mode de verrouillage. Pour que le mode de verrouillage constitue une mesure de sécurité efficace, assurez-vous que les services ESXi Shell et SSH sont également désactivés. Ils sont désactivés par défaut.

Lorsqu'un hôte est en mode de verrouillage, les utilisateurs répertoriés dans la liste des utilisateurs exceptionnels peuvent accéder à l'hôte à partir de ESXi Shell et via SSH s'ils disposent du rôle Administrateur sur l'hôte. Cet accès reste possible en mode de verrouillage strict. Pour une sécurité maximale, laissez les services ESXi Shell et SSH désactivés.

Remarque :

La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent des tâches spécifiques, telles que les sauvegardes d'hôtes, pas aux administrateurs. L'ajout d'utilisateurs administrateurs à la liste des utilisateurs exceptionnels annule le mode de verrouillage.

Activation et désactivation du mode de verrouillage

Les utilisateurs disposant de privilèges peuvent activer le mode de verrouillage de plusieurs manières :

Les utilisateurs disposant de privilèges peuvent désactiver le mode de verrouillage dans vSphere Web Client. Dans cette interface, ils peuvent désactiver le mode de verrouillage normal, mais pas le mode de verrouillage strict.

Remarque :

Si vous activez ou désactivez le mode de verrouillage en utilisant l'interface utilisateur de la console directe, les autorisations des utilisateurs et des groupes sont ignorées sur l'hôte. Pour conserver ces autorisations, vous pouvez activer et désactiver le mode de verrouillage à l'aide de vSphere Web Client.