Les privilèges sont généralement octroyés aux utilisateurs par attribution d'autorisations aux objets hôtes ESXi gérés par un système vCenter Server. Si vous utilisez un hôte ESXi autonome, vous pouvez attribuer les privilèges directement.

Attribution d'autorisations aux hôtes ESXi gérés par vCenter Server

Si votre hôte ESXi est géré par vCenter Server, effectuez les tâches de gestion à l'aide de vSphere Client.

Vous pouvez sélectionner l'objet hôte ESXi dans la hiérarchie d'objets vCenter Server et attribuer le rôle d'administrateur à un nombre limité d'utilisateurs. Ces utilisateurs peuvent ensuite effectuer une gestion directe sur l'hôte ESXi. Reportez-vous à la section Utilisation des rôles vCenter Server pour attribuer des privilèges.

Il est recommandé de créer au moins un compte d'utilisateur nommé et de lui attribuer des privilèges d'administration complets sur l'hôte, puis de l'utiliser à la place du compte racine. Définissez un mot de passe avec un niveau de complexité élevé pour le compte racine et limitez l'utilisation de ce compte. Ne supprimez pas le compte racine.

Attribution d'autorisations aux hôtes ESXi autonomes

Dans l'onglet Gestion de VMware Host Client, vous pouvez ajouter des utilisateurs locaux et définir des rôles personnalisés. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Pour toutes les versions d'ESXi, vous pouvez voir la liste des utilisateurs prédéfinis dans le fichier /etc/passwd.

Les rôles suivants sont prédéfinis.

Lecture seule
Permet à un utilisateur d'afficher les objets associés à l'hôte ESXi, mais pas de les modifier.
Administrateur
Rôle d'administrateur.
Aucun accès
Aucun accès. Ce rôle est le rôle par défaut. Vous pouvez remplacer le rôle par défaut.

Vous pouvez gérer les utilisateurs et les groupes locaux et ajouter des rôles personnalisés locaux à un hôte ESXi à l'aide d'une instance de VMware Host Client directement connectée à l'hôte ESXi. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Dans vSphere 6.0 et versions ultérieures, vous pouvez gérer les comptes d'utilisateurs locaux ESXi à l'aide des commandes de gestion de compte ESXCLI. Vous pouvez définir ou supprimer des autorisations sur les comptes Active Directory (utilisateurs et groupes) et sur les comptes locaux ESXi (utilisateurs uniquement) à l'aide des commandes de gestion des autorisations ESXCLI.

Note : Si vous définissez un utilisateur pour l'hôte ESXi en le connectant directement à l'hôte et qu'il existe un utilisateur de même nom dans vCenter Server, ces deux utilisateurs sont distincts. Si vous attribuez un rôle à l'utilisateur ESXi, il n'est pas attribué à l'utilisateur vCenter Server.

Utilisateurs et privilèges ESXi prédéfinis

Si votre environnement ne comprend pas de système vCenter Server, les utilisateurs suivants sont prédéfinis.

Utilisateur racine

Par défaut, chaque hôte ESXi dispose d'un compte d'utilisateur racine unique ayant le rôle Administrateur. Ce compte d'utilisateur racine peut être utilisé pour l'administration locale et pour connecter l'hôte à vCenter Server.

L'attribution du privilège d'utilisateur racine peut faciliter l'accès à un hôte ESXi, car le nom est déjà connu. Un compte racine commun rend également plus difficile la mise en correspondance des actions avec les utilisateurs.

Pour optimiser l'audit, créez des comptes individuels avec des privilèges d'administrateur. Définissez un mot de passe très complexe pour le compte racine et limitez l'utilisation de ce compte (par exemple, pour une utilisation lors de l'ajout d'un hôte à vCenter Server). Ne supprimez pas le compte racine. Pour plus d'informations sur l'attribution d'autorisations à un utilisateur pour un hôte ESXi, consultez la documentation Gestion individuelle des hôtes vSphere - VMware Host Client.

Il convient de s'assurer que tout compte disposant du rôle Administrateur sur un hôte ESXi est attribué à un utilisateur spécifique ayant un compte nommé. Utilisez les fonctionnalités Active Directory d' ESXi, qui vous permettent de gérer les informations d'identification Active Directory.
Important : Vous pouvez supprimer les privilèges d'accès pour l'utilisateur racine. Cependant, vous devez d'abord créer une autre autorisation au niveau de la racine, puisqu'un autre utilisateur est affecté au rôle d'administrateur.
Utilisateur vpxuser
vCenter Server utilise les privilèges vpxuser pour gérer les activités de l'hôte.

L'administrateur vCenter Server peut exécuter sur l'hôte la majorité des tâches de l'utilisateur racine, mais aussi programmer des tâches, utiliser des modèles, etc. Cependant, l'administrateur vCenter Server ne peut pas directement créer, supprimer ou modifier des utilisateurs et groupes locaux pour des hôtes. Seul un utilisateur disposant des privilèges d'administrateur peut effectuer ces tâches directement sur un hôte.

Vous ne pouvez pas gérer l'utilisateur vpxuser via Active Directory.

Attention : Ne modifiez l'utilisateur vpxuser en aucune façon. Ne modifiez pas son mot de passe. Ne modifiez pas ses autorisations. Dans le cas contraire, vous risquez d'avoir des difficultés à utiliser des hôtes via vCenter Server.
Utilisateur dcui
L'utilisateur dcui s'exécute sur des hôtes et dispose des droits d'Administrateur. L'objectif principal de cet utilisateur est de configurer des hôtes pour le mode verrouillage à partir de l'interface utilisateur de console directe (DCUI).

Cet utilisateur agit en tant qu'agent pour la console directe et ne peut pas être modifié ou utilisé par des utilisateurs interactifs.

Désactivation de l'accès au shell pour les utilisateurs ESXi non racines

À partir de vSphere 8.0, vous pouvez utiliser l'API ou ESXCLI pour désactiver l'accès au shell pour l'utilisateur vpxuser et l'utilisateur dcui. Vous pouvez également utiliser l'API ou ESXCLI pour empêcher l'utilisateur vpxuser de modifier les mots de passe des autres utilisateurs. Lorsque vous apportez des modifications de ce type, vérifiez qu'elles n'interrompent pas les workflows tiers existants. Pour plus d'informations, reportez-vous à la documentation sur l'API ou ESXCLI.