ESXi Shell fournit des commandes de maintenance essentielles et est désactivé par défaut sur les hôtes ESXi. Vous pouvez activer l'accès local et distant au shell si nécessaire. Pour réduire le risque d'accès non autorisé, activez ESXi Shell pour le dépannage uniquement.
ESXi Shell est indépendant du mode verrouillage. Même si l'hôte s'exécute en mode verrouillage, vous pouvez toujours vous connecter à ESXi Shell si ce service est activé.
Les services applicables sont les suivants.
- ESXi Shell
- Activez ce service pour accéder localement à ESXi Shell.
- SSH
- Activez ce service pour accéder à ESXi Shell à distance en utilisant SSH.
L'utilisateur racine et les utilisateurs disposant du rôle d'administrateur peuvent accéder à ESXi Shell. Les utilisateurs du groupe Active Directory ESX Admins reçoivent automatiquement le rôle d'Administrateur. Par défaut, seul l'utilisateur racine peut exécuter des commandes système (telles que vmware -v) en utilisant ESXi Shell.
Définir le délai d'inactivité pour ESXi Shell à l'aide de vSphere Client
Si vous activez ESXi Shell sur un hôte, mais que vous oubliez de vous déconnecter de la session, la session inactive demeure connectée indéfiniment. La connexion restée ouverte augmente les possibilités qu'une personne obtienne un accès privilégié à l'hôte. Vous pouvez éviter cela en paramétrant un délai d'expiration des sessions inactives.
Procédure
Résultats
Si la session est inactive, les utilisateurs sont déconnectés à l'expiration du délai d'attente.
Définir le délai d'expiration de la disponibilité pour ESXi Shell à l'aide de vSphere Client
ESXi Shell est désactivé par défaut. Vous pouvez paramétrer un délai d'attente de disponibilité pour ESXi Shell pour renforcer la sécurité quand vous activez le shell.
Le paramètre de délai d'expiration de la disponibilité correspond au temps qui peut s'écouler avant que vous ne deviez vous connecter suite à l'activation d'ESXi Shell. Lorsque le délai est écoulé, le service est désactivé et les utilisateurs ne peuvent plus se connecter.
Procédure
- Accédez à l'hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Dans Système, sélectionnez Paramètres système avancés.
- Cliquez sur Modifier et sélectionnez UserVars.ESXiShellTimeOut.
- Entrez la valeur de délai d'inactivité.
- Cliquez sur OK.
- Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.
- Accédez à .
- Sélectionnez ESXi Shell et le protocole SSH l'un après l'autre, puis cliquez sur Redémarrer.
Résultats
Si vous avez ouvert une session au moment de l'expiration de ce délai, elle restera ouverte. Cependant, une fois que vous vous êtes déconnecté ou que votre session est terminée, les utilisateurs ne sont plus autorisés à se connecter.
Définir le délai d'expiration de la disponibilité ou le délai d'inactivité pour ESXi Shell à l'aide de DCUI
ESXi Shell est désactivé par défaut. Pour renforcer la sécurité lorsque vous activez le shell, vous pouvez définir un délai d'expiration de la disponibilité, un délai d'inactivité ou les deux.
- Délai d'inactivité ESXi Shell
- Si un utilisateur active ESXi Shell sur un hôte, mais oublie de se déconnecter de la session, la session inactive demeure connectée indéfiniment. La connexion ouverte peut augmenter les possibilités qu'une personne obtienne un accès privilégié à l'hôte. Vous pouvez éviter cette situation en paramétrant un délai d'expiration des sessions inactives.
- Délai d'expiration de la disponibilité ESXi Shell
- Le délai d'expiration de la disponibilité détermine le délai pouvant s'écouler avant que vous ne vous connectiez après avoir activé initialement le shell. Si vous dépassez ce délai, le service est désactivé et vous ne pouvez pas vous connecter à ESXi Shell.
Conditions préalables
Activez le ESXi Shell. Reportez-vous à la section Activer l'accès à ESXi Shell à l'aide de l'interface DCUI.
Procédure
- Connectez-vous à ESXi Shell.
- Dans le menu des options de mode de dépannage, sélectionnez Modifier les délais d'ESXi Shell et de SSH et cliquez sur Entrée.
- Entrez le délai d'inactivité (en secondes) ou le délai d'attente de disponibilité.
- Appuyez sur Entrée et Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de console directe.
- Cliquez sur OK.
- Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.
- Dans vSphere Client, sélectionnez l'hôte et accédez à .
- Sélectionnez ESXi Shell et le protocole SSH l'un après l'autre, puis cliquez sur Redémarrer.
Résultats
- Si vous définissez le délai d'inactivité, les utilisateurs sont déconnectés une fois la session devenue inactive pendant la durée spécifiée.
- Si vous définissez le délai d'expiration de la disponibilité, mais que vous ne vous connectez pas avant que ce délai d'expiration soit écoulé, les connexions sont à nouveau désactivées.
Activer l'accès à ESXi Shell à l'aide de vSphere Client
Les interfaces ESXi Shell et SSH sont désactivées par défaut. Maintenez ces interfaces désactivées, sauf si vous effectuez des activités de dépannage ou d'assistance. Pour les activités quotidiennes, utilisez vSphere Client, où l'activité est soumise à des méthodes de contrôle d'accès basé sur les rôles et modernes.
Conditions préalables
Si vous souhaitez utiliser une clé SSH autorisée, vous pouvez la télécharger. Reportez-vous à la section Clés SSH ESXi.
Procédure
Que faire ensuite
Définissez le délai d'attente de disponibilité et le délai d'inactivité pour ESXi Shell. Reportez-vous aux sections Définir le délai d'expiration de la disponibilité pour ESXi Shell à l'aide de vSphere Client et Définir le délai d'inactivité pour ESXi Shell à l'aide de vSphere Client.
Activer l'accès à ESXi Shell à l'aide de l'interface DCUI
L'interface utilisateur de la console directe (DCUI) vous permet d'interagir avec l'hôte localement en utilisant des menus textuels. Déterminez si les exigences de votre environnement en matière de sécurité permettent l'activation de l'interface utilisateur de la console directe (DCUI).
Procédure
- Depuis l'interface utilisateur de la console directe, appuyez sur F2 pour accéder au menu Personnalisation du système.
- Sélectionnez Options de dépannage et appuyez sur Entrée.
- Dans le menu des options de mode de dépannage, sélectionnez un service à activer.
- Activer ESXi Shell
- Activer SSH
- Appuyez sur Entrée pour activer le service.
- Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de la console directe.
Que faire ensuite
Définissez le délai d'attente de disponibilité et le délai d'inactivité pour ESXi Shell. Reportez-vous à la section Définir le délai d'expiration de la disponibilité ou le délai d'inactivité pour ESXi Shell à l'aide de DCUI.
Connexion au service ESXi Shell pour une opération de dépannage
Effectuez les tâches de configuration d'ESXi avec vSphere Client, ESXCLI ou VMware PowerCLI. Connectez-vous au ESXi Shell (anciennement mode support technique ou TSM) uniquement à des fins de dépannage.
Procédure
- Connectez-vous au ESXi Shell en utilisant l'une des méthodes suivantes.
- Si vous avez un accès direct à l'hôte, appuyez sur la combinaison de touches Alt+F1 pour ouvrir la page de connexion de la console physique de la machine.
- Si vous vous connectez à l'hôte à distance, utilisez SSH ou une autre connexion à distance pour ouvrir une session sur l'hôte.
- Entrez un nom d'utilisateur et un mot de passe reconnus par l'hôte.