ESXi Shell fournit des commandes de maintenance essentielles et est désactivé par défaut sur les hôtes ESXi. Vous pouvez activer l'accès local et distant au shell si nécessaire. Pour réduire le risque d'accès non autorisé, activez ESXi Shell pour le dépannage uniquement.

ESXi Shell est indépendant du mode verrouillage. Même si l'hôte s'exécute en mode verrouillage, vous pouvez toujours vous connecter à ESXi Shell si ce service est activé.

Les services applicables sont les suivants.

ESXi Shell
Activez ce service pour accéder localement à ESXi Shell.
SSH
Activez ce service pour accéder à ESXi Shell à distance en utilisant SSH.

L'utilisateur racine et les utilisateurs disposant du rôle d'administrateur peuvent accéder à ESXi Shell. Les utilisateurs du groupe Active Directory ESX Admins reçoivent automatiquement le rôle d'Administrateur. Par défaut, seul l'utilisateur racine peut exécuter des commandes système (telles que vmware -v) en utilisant ESXi Shell.

Note : N'activez pas ESXi Shell si vous n'avez pas réellement besoin d'un accès.

Définir le délai d'inactivité pour ESXi Shell à l'aide de vSphere Client

Si vous activez ESXi Shell sur un hôte, mais que vous oubliez de vous déconnecter de la session, la session inactive demeure connectée indéfiniment. La connexion restée ouverte augmente les possibilités qu'une personne obtienne un accès privilégié à l'hôte. Vous pouvez éviter cela en paramétrant un délai d'expiration des sessions inactives.

Le délai d'expiration d'inactivité correspond à la période au terme de laquelle un utilisateur est déconnecté d'une session interactive inactive. Vous pouvez définir ce délai pour les sessions locales et distantes (SSH) dans l'interface de la console directe (DCUI) ou dans vSphere Client.

Procédure

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Paramètres système avancés.
  4. Cliquez sur Modifier, sélectionnez UserVars.ESXiShellInteractiveTimeOut et entrez le paramètre de délai d'expiration.
    Une valeur de zéro (0) désactive le délai d'inactivité.
  5. Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.
    1. Accédez à Système > Services.
    2. Sélectionnez ESXi Shell et le protocole SSH l'un après l'autre, puis cliquez sur Redémarrer.

Résultats

Si la session est inactive, les utilisateurs sont déconnectés à l'expiration du délai d'attente.

Définir le délai d'expiration de la disponibilité pour ESXi Shell à l'aide de vSphere Client

ESXi Shell est désactivé par défaut. Vous pouvez paramétrer un délai d'attente de disponibilité pour ESXi Shell pour renforcer la sécurité quand vous activez le shell.

Le paramètre de délai d'expiration de la disponibilité correspond au temps qui peut s'écouler avant que vous ne deviez vous connecter suite à l'activation d'ESXi Shell. Lorsque le délai est écoulé, le service est désactivé et les utilisateurs ne peuvent plus se connecter.

Procédure

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Paramètres système avancés.
  4. Cliquez sur Modifier et sélectionnez UserVars.ESXiShellTimeOut.
  5. Entrez la valeur de délai d'inactivité.
  6. Cliquez sur OK.
  7. Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.
    1. Accédez à Système > Services.
    2. Sélectionnez ESXi Shell et le protocole SSH l'un après l'autre, puis cliquez sur Redémarrer.

Résultats

Si vous avez ouvert une session au moment de l'expiration de ce délai, elle restera ouverte. Cependant, une fois que vous vous êtes déconnecté ou que votre session est terminée, les utilisateurs ne sont plus autorisés à se connecter.

Définir le délai d'expiration de la disponibilité ou le délai d'inactivité pour ESXi Shell à l'aide de DCUI

ESXi Shell est désactivé par défaut. Pour renforcer la sécurité lorsque vous activez le shell, vous pouvez définir un délai d'expiration de la disponibilité, un délai d'inactivité ou les deux.

Les deux types de délais d'expiration s'appliquent selon différentes situations.
Délai d'inactivité ESXi Shell
Si un utilisateur active ESXi Shell sur un hôte, mais oublie de se déconnecter de la session, la session inactive demeure connectée indéfiniment. La connexion ouverte peut augmenter les possibilités qu'une personne obtienne un accès privilégié à l'hôte. Vous pouvez éviter cette situation en paramétrant un délai d'expiration des sessions inactives.
Délai d'expiration de la disponibilité ESXi Shell
Le délai d'expiration de la disponibilité détermine le délai pouvant s'écouler avant que vous ne vous connectiez après avoir activé initialement le shell. Si vous dépassez ce délai, le service est désactivé et vous ne pouvez pas vous connecter à ESXi Shell.

Conditions préalables

Activez le ESXi Shell. Reportez-vous à la section Activer l'accès à ESXi Shell à l'aide de l'interface DCUI.

Procédure

  1. Connectez-vous à ESXi Shell.
  2. Dans le menu des options de mode de dépannage, sélectionnez Modifier les délais d'ESXi Shell et de SSH et cliquez sur Entrée.
  3. Entrez le délai d'inactivité (en secondes) ou le délai d'attente de disponibilité.
  4. Appuyez sur Entrée et Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de console directe.
  5. Cliquez sur OK.
  6. Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.
    1. Dans vSphere Client, sélectionnez l'hôte et accédez à Configurer > Système > Services.
    2. Sélectionnez ESXi Shell et le protocole SSH l'un après l'autre, puis cliquez sur Redémarrer.

Résultats

  • Si vous définissez le délai d'inactivité, les utilisateurs sont déconnectés une fois la session devenue inactive pendant la durée spécifiée.
  • Si vous définissez le délai d'expiration de la disponibilité, mais que vous ne vous connectez pas avant que ce délai d'expiration soit écoulé, les connexions sont à nouveau désactivées.

Activer l'accès à ESXi Shell à l'aide de vSphere Client

Les interfaces ESXi Shell et SSH sont désactivées par défaut. Maintenez ces interfaces désactivées, sauf si vous effectuez des activités de dépannage ou d'assistance. Pour les activités quotidiennes, utilisez vSphere Client, où l'activité est soumise à des méthodes de contrôle d'accès basé sur les rôles et modernes.

Note : Accédez à l'hôte à l'aide de vSphere Client, d'outils de ligne de commande à distance (ESXCLI et PowerCLI) et d'API publiées. N'activez pas l'accès à distance à l'hôte à l'aide de SSH, sauf si des circonstances spéciales l'exigent.

Conditions préalables

Si vous souhaitez utiliser une clé SSH autorisée, vous pouvez la télécharger. Reportez-vous à la section Clés SSH ESXi.

Procédure

  1. Accédez à l'hôte dans l'inventaire.
  2. Cliquez sur Configurer, puis cliquez sur Services sous Système.
  3. Gérez les services ESXi, SSH ou d'interface utilisateur de la console directe.
    1. Dans le volet Services, sélectionnez le service.
    2. Cliquez sur Modifier la stratégie de démarrage et sélectionnez la stratégie de démarrage Démarrer et arrêter manuellement.
    3. Pour activer le service, cliquez sur Démarrer.
    Lorsque vous sélectionnez Démarrer et arrêter manuellement, le service ne démarre pas lorsque vous redémarrez l'hôte. Si vous voulez démarrer le service lors du redémarrage de l'hôte, sélectionnez Démarrer et arrêter avec hôte.

Que faire ensuite

Définissez le délai d'attente de disponibilité et le délai d'inactivité pour ESXi Shell. Reportez-vous aux sections Définir le délai d'expiration de la disponibilité pour ESXi Shell à l'aide de vSphere Client et Définir le délai d'inactivité pour ESXi Shell à l'aide de vSphere Client.

Activer l'accès à ESXi Shell à l'aide de l'interface DCUI

L'interface utilisateur de la console directe (DCUI) vous permet d'interagir avec l'hôte localement en utilisant des menus textuels. Déterminez si les exigences de votre environnement en matière de sécurité permettent l'activation de l'interface utilisateur de la console directe (DCUI).

Vous pouvez utiliser l'interface utilisateur de la console directe (DCUI) pour activer l'accès local et distant au service ESXi Shell. Accédez à l'interface DCUI (Direct Console User Interface) à partir de la console physique attachée à l'hôte. Après le redémarrage de l'hôte et le chargement d' ESXi, appuyez sur F2 pour vous connecter à l'interface DCUI. Entrez les informations d'identification que vous avez créées lors de l'installation d' ESXi.
Note : Les modifications apportées à l'hôte en utilisant l'interface utilisateur de la console directe, vSphere Client, ESXCLI ou d'autres outils d'administration sont enregistrées dans un stockage permanent toutes les heures ou lors d'un arrêt dans les règles. Si l'hôte échoue avant que les modifications ne soient validées, celles-ci risquent d'être perdues.

Procédure

  1. Depuis l'interface utilisateur de la console directe, appuyez sur F2 pour accéder au menu Personnalisation du système.
  2. Sélectionnez Options de dépannage et appuyez sur Entrée.
  3. Dans le menu des options de mode de dépannage, sélectionnez un service à activer.
    • Activer ESXi Shell
    • Activer SSH
  4. Appuyez sur Entrée pour activer le service.
  5. Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de la console directe.

Que faire ensuite

Définissez le délai d'attente de disponibilité et le délai d'inactivité pour ESXi Shell. Reportez-vous à la section Définir le délai d'expiration de la disponibilité ou le délai d'inactivité pour ESXi Shell à l'aide de DCUI.

Connexion au service ESXi Shell pour une opération de dépannage

Effectuez les tâches de configuration d'ESXi avec vSphere Client, ESXCLI ou VMware PowerCLI. Connectez-vous au ESXi Shell (anciennement mode support technique ou TSM) uniquement à des fins de dépannage.

Procédure

  1. Connectez-vous au ESXi Shell en utilisant l'une des méthodes suivantes.
    • Si vous avez un accès direct à l'hôte, appuyez sur la combinaison de touches Alt+F1 pour ouvrir la page de connexion de la console physique de la machine.
    • Si vous vous connectez à l'hôte à distance, utilisez SSH ou une autre connexion à distance pour ouvrir une session sur l'hôte.
  2. Entrez un nom d'utilisateur et un mot de passe reconnus par l'hôte.