Pour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. En mode de verrouillage, les opérations doivent être exécutées via vCenter Server par défaut.

Mode de verrouillage normal et mode de verrouillage strict

Avec vSphere 6.0 et versions ultérieures, vous pouvez sélectionner le mode de verrouillage normal ou le mode de verrouillage strict.

Mode de verrouillage normal 
En mode de verrouillage normal, le service DCUI reste actif. En cas de perte de connexion avec le système vCenter Server, si l'accès via vSphere Client n'est pas disponible, les comptes disposant de privilèges peuvent se connecter à l'interface utilisateur de la console directe de l'hôte ESXi et quitter le mode de verrouillage. Seuls les comptes suivants peuvent accéder à l'interface utilisateur de la console directe :
  • Comptes répertoriés dans la liste des utilisateurs exceptionnels pour le mode de verrouillage qui disposent des privilèges d'administration sur l'hôte. La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent des tâches spécifiques. L'ajout d'administrateurs ESXi à cette liste serait contraire à l'objectif du mode de verrouillage.
  • Les utilisateurs définis dans l'option avancée DCUI.Access de l'hôte. Cette option sert d'accès de secours à l'interface utilisateur de la console directe en cas de perte de connexion avec vCenter Server. Ces utilisateurs n'ont pas besoin de disposer de privilèges d'administration sur l'hôte.
Mode de verrouillage strict
En mode de verrouillage strict, le service DCUI est interrompu. En cas de perte de la connexion avec vCenter Server, si vSphere Client n'est plus disponible, l'hôte ESXi n'est plus disponible non plus, à moins que les services ESXi Shell et SSH soient activés et que des utilisateurs exceptionnels soient définis. Si vous ne pouvez pas rétablir la connexion avec le système vCenter Server, vous devez réinstaller l'hôte.

Mode de verrouillage et services ESXi Shell et SSH

Le mode de verrouillage strict interrompt le service DCUI. Toutefois, les services ESXi Shell et SSH sont indépendants du mode de verrouillage. Pour que le mode de verrouillage constitue une mesure de sécurité efficace, assurez-vous que les services ESXi Shell et SSH sont également désactivés. Ces services sont désactivés par défaut.

Lorsqu'un hôte est en mode de verrouillage, les utilisateurs répertoriés dans la liste des utilisateurs exceptionnels peuvent accéder à l'hôte à partir de ESXi Shell et via SSH s'ils disposent du rôle Administrateur sur l'hôte. Cet accès reste possible en mode de verrouillage strict. Pour une sécurité maximale, laissez les services ESXi Shell et SSH désactivés.

Note : La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent des tâches spécifiques, telles que les sauvegardes d'hôtes, pas aux administrateurs. L'ajout d'utilisateurs administrateurs à la liste des utilisateurs exceptionnels annule le mode de verrouillage.

Mettre un hôte ESXi en mode de verrouillage normal avec VMware Host Client

Vous pouvez utiliser VMware Host Client pour passer en mode de verrouillage normal.

Procédure

  1. Cliquez avec le bouton droit sur Hôte dans l'inventaire VMware Host Client, sélectionnez Mode de verrouillage dans le menu déroulant et sélectionnez Passer en mode de verrouillage normal.
    Un message d'avertissement apparaît.
  2. Cliquez sur Passer en mode de verrouillage normal.

Mettre un hôte ESXi en mode de verrouillage strict avec VMware Host Client

Vous pouvez utiliser VMware Host Client pour passer en mode de verrouillage strict.

Procédure

  1. Cliquez avec le bouton droit sur Hôte dans l'inventaire VMware Host Client, sélectionnez Mode de verrouillage dans le menu déroulant et sélectionnez Passer en mode de verrouillage strict.
    Le message d'avertissement apparaît.
  2. Cliquez sur Passer en mode de verrouillage strict.

Quitter le mode de verrouillage avec VMware Host Client

Si vous êtes entré en mode de verrouillage normal ou strict sur un hôte ESXi, vous pouvez quitter ce mode en utilisant VMware Host Client.

Procédure

  • Cliquez avec le bouton droit sur Hôte dans l'inventaire VMware Host Client, sélectionnez Mode de verrouillage dans le menu déroulant et sélectionnez Quitter le mode de verrouillage.

Spécifier les utilisateurs exceptionnels du mode de verrouillage dans VMware Host Client

Dans vSphere 6.0 et versions ultérieures, vous pouvez ajouter des utilisateurs à la liste des utilisateurs exceptionnels en utilisant VMware Host Client. Ces utilisateurs ne perdent pas leurs autorisations lorsque l'hôte entre en mode de verrouillage. Vous pouvez ajouter des comptes de services tels qu'un agent de sauvegarde à la liste des utilisateurs exceptionnels.

Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Ils ne sont ni membres d'un groupe Active Directory ni utilisateurs de vCenter Server. Ces utilisateurs sont autorisés à effectuer des opérations sur l'hôte en fonction de leurs privilèges. Cela signifie, par exemple, qu'un utilisateur en lecture seule ne peut pas désactiver le mode de verrouillage sur un hôte.
Note : La liste des utilisateurs exceptionnels est utile pour les comptes de service qui exécutent des tâches spécifiques, telles que les sauvegardes d'hôtes, pas pour les administrateurs. L'ajout d'utilisateurs administrateurs à la liste des utilisateurs exceptionnels annule le mode de verrouillage.

Procédure

  1. Cliquez sur Gérer dans l'inventaire VMware Host Client et cliquez sur Sécurité et utilisateurs.
  2. Cliquez sur Mode de verrouillage.
  3. Cliquez sur Ajouter une exception utilisateur, entrez le nom de l'utilisateur et cliquez sur Ajouter une exception.
  4. (Facultatif) Sélectionnez un nom dans la liste des utilisateurs exceptionnels, cliquez sur Supprimer l'exception utilisateur et cliquez sur Confirmer.