Le système CIM (Common Information Model, modèle de données unifié) fournit une interface permettant aux applications distantes de surveiller les ressources matérielles à l'aide d'un ensemble d'API standard. Pour garantir que l'interface CIM est sécurisée, ne fournissez que le niveau d'accès minimal nécessaire à ces applications distantes. Si vous provisionnez une application distante avec un compte racine ou d'administrateur, et si l'application est compromise, l'environnement virtuel peut l'être également.
Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressources matérielles sans agent et basée sur des normes pour les hôtes ESXi. Cette structure se compose d'un gestionnaire d'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.
Les fournisseurs CIM prennent en charge l'accès de gestion aux pilotes des périphériques et au matériel sous-jacent. Les fournisseurs de matériel, y compris les fabricants de serveurs et les fournisseurs de périphériques matériel, peuvent inscrire les fournisseurs qui surveillent et gèrent leurs périphériques. VMware inscrit les fournisseurs qui surveillent le matériel de serveur, l'infrastructure de stockage ESXi et les ressources spécifiques à la virtualisation. Ces fournisseurs sont exécutés au sein de l'hôte ESXi. Ils sont légers et axés sur des tâches de gestion spécifiques. Le courtier CIM recueille les informations de tous les fournisseurs CIM et les présente à l'extérieur à l'aide d'API standard. L'API la plus standard est WS-MAN.
Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder à l'interface CIM. Créez plutôt un compte d'utilisateur vSphere de moindre privilège pour ces applications et utilisez la fonction de ticket de l'API VIM pour émettre un sessionId (appelé « ticket ») pour ce compte d'utilisateur de moindre privilège à des fins d'authentification auprès du modèle de données unifié (Common Information Model, CIM). Si le compte a été autorisé à obtenir des tickets de modèle de données unifié, l'API VIM peut ensuite fournir le ticket au modèle de données unifié. Ces tickets sont ensuite fournis sous la forme de l'ID et du mot de passe d'utilisateur à un appel d'API CIM-XML. Reportez-vous à la méthode AcquireCimServicesTicket() pour plus d'informations.
Le service CIM démarre lorsque vous installez un VIB CIM tiers, par exemple, lorsque vous exécutez la commande esxcli software vib install -n VIBname
.
Si vous devez activer le service CIM manuellement, exécutez la commande suivante :
esxcli system wbem set -e true
Si nécessaire, vous pouvez désactiver wsman (WSManagement Service) afin que seul le service CIM soit en cours d'exécution :
esxcli system wbem set -W false
Pour confirmer que wsman est désactivé, exécutez la commande suivante :
esxcli system wbem get … WSManagement PID: 0 WSManagement Service: false
Pour plus d'informations sur les commandes ESXCLI, consultez la Documentation ESXCLI. Pour plus d'informations sur l'activation du service CIM, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/1025757.