Les privilèges sont généralement octroyés aux utilisateurs par attribution d'autorisations aux objets hôtes ESXi gérés par un système vCenter Server. Si vous utilisez un hôte ESXi autonome, vous pouvez attribuer les privilèges directement.
Attribution d'autorisations aux hôtes ESXi gérés par vCenter Server
Si votre hôte ESXi est géré par vCenter Server, effectuez les tâches de gestion à l'aide de vSphere Client.
Vous pouvez sélectionner l'objet hôte ESXi dans la hiérarchie d'objets vCenter Server et attribuer le rôle d'administrateur à un nombre limité d'utilisateurs. Ces utilisateurs peuvent ensuite effectuer une gestion directe sur l'hôte ESXi. Reportez-vous à la section Utilisation des rôles vCenter Server pour attribuer des privilèges.
Il est recommandé de créer au moins un compte d'utilisateur nommé et de lui attribuer des privilèges d'administration complets sur l'hôte, puis de l'utiliser à la place du compte racine. Définissez un mot de passe avec un niveau de complexité élevé pour le compte racine et limitez l'utilisation de ce compte. Ne supprimez pas le compte racine.
Attribution d'autorisations aux hôtes ESXi autonomes
Dans l'onglet Gestion de VMware Host Client, vous pouvez ajouter des utilisateurs locaux et définir des rôles personnalisés. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
Pour toutes les versions d'ESXi, vous pouvez voir la liste des utilisateurs prédéfinis dans le fichier /etc/passwd.
Les rôles suivants sont prédéfinis.
Vous pouvez gérer les utilisateurs et les groupes locaux et ajouter des rôles personnalisés locaux à un hôte ESXi à l'aide d'une instance de VMware Host Client directement connectée à l'hôte ESXi. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
Dans vSphere 6.0 et versions ultérieures, vous pouvez gérer les comptes d'utilisateurs locaux ESXi à l'aide des commandes de gestion de compte ESXCLI. Vous pouvez définir ou supprimer des autorisations sur les comptes Active Directory (utilisateurs et groupes) et sur les comptes locaux ESXi (utilisateurs uniquement) à l'aide des commandes de gestion des autorisations ESXCLI.
Utilisateurs et privilèges ESXi prédéfinis
Si votre environnement ne comprend pas de système vCenter Server, les utilisateurs suivants sont prédéfinis.
- Utilisateur racine
-
Par défaut, chaque hôte ESXi dispose d'un compte d'utilisateur racine unique ayant le rôle Administrateur. Ce compte d'utilisateur racine peut être utilisé pour l'administration locale et pour connecter l'hôte à vCenter Server.
L'attribution du privilège d'utilisateur racine peut faciliter l'accès à un hôte ESXi, car le nom est déjà connu. Un compte racine commun rend également plus difficile la mise en correspondance des actions avec les utilisateurs.
Pour optimiser l'audit, créez des comptes individuels avec des privilèges d'administrateur. Définissez un mot de passe très complexe pour le compte racine et limitez l'utilisation de ce compte (par exemple, pour une utilisation lors de l'ajout d'un hôte à vCenter Server). Ne supprimez pas le compte racine. Pour plus d'informations sur l'attribution d'autorisations à un utilisateur pour un hôte ESXi, consultez la documentation Gestion individuelle des hôtes vSphere - VMware Host Client.
Il convient de s'assurer que tout compte disposant du rôle Administrateur sur un hôte ESXi est attribué à un utilisateur spécifique ayant un compte nommé. Utilisez les fonctionnalités Active Directory d' ESXi, qui vous permettent de gérer les informations d'identification Active Directory.Important : Vous pouvez supprimer les privilèges d'accès pour l'utilisateur racine. Cependant, vous devez d'abord créer une autre autorisation au niveau de la racine, puisqu'un autre utilisateur est affecté au rôle d'administrateur. - Utilisateur vpxuser
- vCenter Server utilise les privilèges vpxuser pour gérer les activités de l'hôte.
- Utilisateur dcui
- L'utilisateur dcui s'exécute sur des hôtes et dispose des droits d'Administrateur. L'objectif principal de cet utilisateur est de configurer des hôtes pour le mode verrouillage à partir de l'interface utilisateur de console directe (DCUI).
Désactivation de l'accès au shell pour les utilisateurs ESXi non racines
Dans vSphere 8.0 et versions ultérieures, vous pouvez désactiver l'accès au shell pour les utilisateurs ESXi non racine, tels que les utilisateurs vpxuser et dcui prédéfinis. En désactivant l'accès au shell, vous pouvez améliorer la sécurité en appliquant une position « API uniquement » pour ces utilisateurs.
Pour désactiver l'accès au shell, vous pouvez utiliser la commande esxcli system account set --id
user --shell-access false
. L'API correspondante est LocalAccountManager.updateUser. Vous pouvez également utiliser VMware Host Client pour modifier l'indicateur Activer l'accès au shell des utilisateurs locaux ESXi.
Lorsque vous apportez des modifications de ce type, vérifiez qu'elles n'interrompent pas les workflows tiers existants.