Contrôler l'accès aux outils de surveillance du matériel basée sur CIM

Le système CIM (Common Information Model, modèle de données unifié) fournit une interface permettant aux applications distantes de surveiller les ressources matérielles à l'aide d'un ensemble d'API standard. Pour garantir que l'interface CIM est sécurisée, ne fournissez que le niveau d'accès minimal nécessaire à ces applications distantes. Si vous provisionnez une application distante avec un compte racine ou d'administrateur, et si l'application est compromise, l'environnement virtuel peut l'être également.

Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressources matérielles sans agent et basée sur des normes pour les hôtes ESXi. Cette structure se compose d'un gestionnaire d'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.

Les fournisseurs CIM prennent en charge l'accès de gestion aux pilotes des périphériques et au matériel sous-jacent. Les fournisseurs de matériel, y compris les fabricants de serveurs et les fournisseurs de périphériques matériel, peuvent inscrire les fournisseurs qui surveillent et gèrent leurs périphériques. VMware inscrit les fournisseurs qui surveillent le matériel de serveur, l'infrastructure de stockage ESXi et les ressources spécifiques à la virtualisation. Ces fournisseurs sont exécutés au sein de l'hôte ESXi. Ils sont légers et axés sur des tâches de gestion spécifiques. Le courtier CIM recueille les informations de tous les fournisseurs CIM et les présente à l'extérieur à l'aide d'API standard. L'API la plus standard est WS-MAN.

Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder à l'interface CIM. Créez plutôt un compte d'utilisateur vSphere de moindre privilège pour ces applications et utilisez la fonction de ticket de l'API VIM pour émettre un sessionId (appelé « ticket ») pour ce compte d'utilisateur de moindre privilège à des fins d'authentification auprès du modèle de données unifié (Common Information Model, CIM). Si le compte a été autorisé à obtenir des tickets de modèle de données unifié, l'API VIM peut ensuite fournir le ticket au modèle de données unifié. Ces tickets sont ensuite fournis sous la forme de l'ID et du mot de passe d'utilisateur à un appel d'API CIM-XML. Reportez-vous à la méthode AcquireCimServicesTicket() pour plus d'informations.

Le service CIM démarre lorsque vous installez un VIB CIM tiers, par exemple, lorsque vous exécutez la commande esxcli software vib install -n VIBname.

Si vous devez activer le service CIM manuellement, exécutez la commande suivante :

esxcli system wbem set -e true

Si nécessaire, vous pouvez désactiver wsman (WSManagement Service) afin que seul le service CIM soit en cours d'exécution :

esxcli system wbem set -W false

Pour confirmer que wsman est désactivé, exécutez la commande suivante :

esxcli system wbem get
…
WSManagement PID: 0
WSManagement Service: false

Pour plus d'informations sur les commandes ESXCLI, consultez la Documentation ESXCLI. Pour plus d'informations sur l'activation du service CIM, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/1025757.

Procédure

Créez un compte d'utilisateur vSphere non racine pour les applications CIM.
Reportez-vous à la rubrique concernant l'ajout d'utilisateurs vCenter Single Sign-On dans Authentification vSphere. Le privilège vSphere requis pour le compte d'utilisateur est Host.CIM.Interaction.
Utilisez le SDK vSphere API de votre choix pour authentifier le compte d'utilisateur au niveau de vCenter Server. Appelez ensuite AcquireCimServicesTicket() pour renvoyer un ticket à des fins d'authentification auprès de ESXi en tant que compte de niveau administrateur, à l'aide des API de port 5989 CIM-XML ou de port 433 WS-Management.
Pour plus d'informations, consultez Référence de l'API vSphere Web Services.
Renouvelez le ticket toutes les deux minutes si nécessaire.