Pour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. En mode de verrouillage, les opérations doivent être exécutées via vCenter Server par défaut.

Vous pouvez sélectionner le mode de verrouillage normal ou le mode de verrouillage strict, ce qui offre différents degrés de verrouillage. Vous pouvez également utiliser la liste des utilisateurs exceptionnels. Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Utilisez la liste d'utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d'applications externes qui doivent accéder directement à l'hôte lorsque celui-ci est en mode de verrouillage.

Comportement du mode de verrouillage

En mode de verrouillage, certains services sont désactivés et d'autres ne sont accessibles qu'à certains utilisateurs.

Services du mode de verrouillage disponibles pour différents utilisateurs

Lorsque l'hôte est en cours d'exécution, les services disponibles varient selon que le mode de verrouillage est activé et en fonction du type de mode de verrouillage.

  • En mode de verrouillage strict et normal, les utilisateurs disposant de privilèges peuvent accéder à l'hôte via vCenter Server à l'aide de vSphere Client ou de vSphere Web Services SDK.
  • Le comportement de l'interface de console directe du mode de verrouillage strict et différent de celui du mode de verrouillage normal.
    • En mode de verrouillage strict, le service d'interface utilisateur de la console directe est désactivé.
    • En mode de verrouillage normal, les comptes présents dans la liste des utilisateurs exceptionnels peuvent accéder à l'interface DCUI s'ils disposent des privilèges d'administrateur. En outre, tous les utilisateurs qui sont spécifiés dans le paramètre système avancé DCUI.Access peuvent accéder à l'interface DCUI.
  • Si ESXi Shell ou SSH est activé et que l'hôte est placé en mode de verrouillage, les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur peuvent utiliser ces services. ESXi Shell ou SSH est désactivé pour tous les autres utilisateurs. Les sessions ESXi ou SSH des utilisateurs qui ne disposent pas de privilèges d'administrateur sont fermées.

Tout accès est connecté à la fois pour le mode de verrouillage strict et normal.

Tableau 1. Comportement du mode de verrouillage
Service Mode normal Mode de verrouillage normal  Mode de verrouillage strict
API vSphere Web Services Tous les utilisateurs, en fonction des autorisations vCenter (vpxuser)

Utilisateurs exceptionnels, en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

vCenter (vpxuser)

Utilisateurs exceptionnels, en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

Fournisseurs CIM Utilisateurs disposant des privilèges d'administrateur sur l'hôte Utilisateurs avec exceptions vCenter (vpxuser), en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

Utilisateurs avec exceptions vCenter (vpxuser), en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

Interface utilisateur de la console directe (DCUI) Utilisateurs disposant de privilèges d'administrateur sur l'hôte et utilisateurs dans le paramètre système avancé DCUI.Access

Utilisateurs définis dans le paramètre système avancé DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte
Le service de l'interface DCUI est arrêté.
ESXi Shell (s'il est activé) et SSH (s'il est activé) Utilisateurs disposant des privilèges d'administrateur sur l'hôte

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

Utilisateurs définis dans le paramètre système avancé DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

Comportement du mode de verrouillage pour les utilisateurs connectés à ESXi Shell lorsque le mode de verrouillage est activé

Les utilisateurs peuvent se connecter à ESXi Shell ou accéder à l'hôte via SSH avant que le mode de verrouillage soit activé. Dans ce cas, les utilisateurs présents dans la liste des utilisateurs exceptionnels et disposant de privilèges d'administrateur sur l'hôte restent connectés. La session est fermée pour tous les autres utilisateurs. Ce comportement s'applique à la fois au mode de verrouillage normal et strict.

Comment désactiver le mode de verrouillage ?

Vous pouvez désactiver le mode de verrouillage comme suit.
Dans vSphere Client
Les utilisateurs peuvent désactiver à la fois le mode de verrouillage normal et strict dans vSphere Client. Reportez-vous à la section Désactiver le mode de verrouillage à partir de vSphere Client.
Dans l'interface utilisateur de la console directe
Les utilisateurs qui peuvent accéder à l'interface utilisateur de la console directe sur l'hôte ESXi peuvent désactiver le mode de verrouillage normal. En mode de verrouillage strict, le service d'interface de console directe est arrêté. Reportez-vous à la section Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe.

Activer le mode de verrouillage à partir de vSphere Client

Sélectionnez le mode de verrouillage afin d'exiger que toutes les modifications de la configuration de l'hôte passent par vCenter Server. vSphere prend en charge le mode de verrouillage normal et le mode de verrouillage strict.

Si vous souhaitez interdire complètement tout accès direct à un hôte, vous pouvez sélectionner le mode de verrouillage strict. Le mode de verrouillage strict empêche d'accéder à un hôte si vCenter Server n'est pas disponible et que SSH et ESXi Shell sont désactivés. Reportez-vous à la section Comportement du mode de verrouillage.

Procédure

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Profil de sécurité.
  4. Dans le panneau mode verrouillage, cliquez sur Modifier.
  5. Cliquez sur Mode verrouillage et sélectionnez l'une des options du mode de verrouillage.
    Option Description
    Normal Vous pouvez accéder à l'hôte via vCenter Server. Seuls les utilisateurs qui se trouvent dans la liste des utilisateurs exceptionnels et qui disposent des privilèges d'administrateur peuvent se connecter à l'interface utilisateur de la console directe. Si SSH ou ESXi Shell est activé, il peut être possible d'y accéder.
    Strict Vous ne pouvez accéder à l'hôte que via vCenter Server. Si SSH ou ESXi Shell est activé, les sessions des comptes dans le paramètre système avancé DCUI.Access et des comptes d'utilisateurs exceptionnels disposant de privilèges d'administrateur qui sont en cours restent activées. Toutes les autres sessions sont fermées.
  6. Cliquez sur OK.

Désactiver le mode de verrouillage à partir de vSphere Client

Désactivez le mode de verrouillage pour permettre des modifications de configuration à partir de connexions directes à l'hôte ESXi. Lorsque le mode de verrouillage est activé, la sécurité de l'environnement est accrue.

Les utilisateurs peuvent désactiver à la fois le mode de verrouillage normal et strict dans vSphere Client.

Procédure

  1. Accédez à un hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Profil de sécurité.
  4. Dans le panneau mode verrouillage, cliquez sur Modifier.
  5. Cliquez sur Mode verrouillage et sélectionnez Désactivé pour désactiver le mode de verrouillage.
  6. Cliquez sur OK.

Résultats

Le système quitte le mode de verrouillage, vCenter Server affiche une alarme et une entrée est ajoutée au journal d'audit.

Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe

Vous pouvez activer et désactiver le mode de verrouillage normal dans l'interface utilisateur de la console directe (DCUI). Vous ne pouvez activer et désactiver le mode de verrouillage strict que dans vSphere Client.

Lorsque l'hôte est en mode de verrouillage normal, les comptes suivants peuvent accéder à l'interface utilisateur de la console directe :
  • Les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur sur l'hôte. La liste des utilisateurs exceptionnels est destinée aux comptes de service tels qu'un agent de sauvegarde.
  • Les utilisateurs définis dans l'option avancée DCUI.Access de l'hôte. Cette option peut être utilisée pour activer l'accès en cas de défaillance irrémédiable.

Les autorisations de l'utilisateur sont conservées lorsque vous activez le mode de verrouillage. Les autorisations de l'utilisateur sont restaurées lorsque vous désactivez le mode de verrouillage à partir de l'interface de la console directe.

Note : Si vous mettez à niveau un hôte en mode de verrouillage vers ESXi 6.0 sans quitter le mode de verrouillage, puis que vous quittez ce mode après la mise à niveau, toutes les autorisations définies avant que l'hôte n'entre en mode de verrouillage sont perdues. Le système attribue le rôle d'administrateur à tous les utilisateurs qui se trouvent dans l'option avancée DCUI.Access afin d'assurer l'accès à l'hôte.

Pour conserver les autorisations, désactivez le mode de verrouillage de l'hôte dans vSphere Client avant la mise à niveau.

Procédure

  1. Dans l'interface utilisateur de la console directe de l'hôte, appuyez sur F2 et ouvrez une session.
  2. Faites défiler jusqu'au paramètre Configurer le mode verrouillage et appuyez sur Entrée pour modifier le paramètre actuel.
  3. Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de la console directe.

Spécification des comptes disposant de privilèges d'accès en mode de verrouillage

Vous pouvez spécifier les comptes de service qui peuvent accéder à l'hôte ESXi directement en les ajoutant à la liste des utilisateurs exceptionnels. Vous pouvez spécifier un utilisateur qui peut accéder à l'hôte ESXi en cas de défaillance irrémédiable de vCenter Server.

Que peuvent faire les comptes lorsque vSphere est en mode de verrouillage ?

La version de vSphere détermine ce que les différents comptes peuvent faire par défaut lorsque le mode de verrouillage est activé et comment vous pouvez modifier le comportement par défaut.
  • Dans vSphere 5.0 et versions antérieures, seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe sur un hôte ESXi en mode de verrouillage.
  • Dans vSphere 5.1 et versions ultérieures, vous pouvez ajouter un utilisateur au paramètre système avancé DCUI.Access pour chaque hôte. Le paramètre est destiné à une défaillance irrémédiable de vCenter Server. Les sociétés verrouillent généralement le mot de passe de l'utilisateur disposant de cet accès dans un coffre-fort. Un utilisateur figurant dans la liste DCUI.Access n'a pas besoin de disposer de tous les privilèges administratifs sur l'hôte.
  • Dans vSphere 6.0 et versions ultérieures, le paramètre système avancé DCUI.Access est toujours pris en charge. En outre, vSphere 6.0 et versions ultérieures prennent en charge une liste des utilisateurs exceptionnels destinée aux comptes de service qui doivent se connecter directement à l'hôte. Les comptes d'administrateur disposant des privilèges d'administrateur, qui se trouvent dans la liste des utilisateurs exceptionnels, peuvent se connecter à ESXi Shell. En outre, ces utilisateurs peuvent se connecter à l'interface DCUI d'un hôte en mode de verrouillage normal et quitter ce même mode.
    Spécifiez les utilisateurs exceptionnels dans vSphere Client
    Note : Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Les utilisateurs qui sont membres d'un groupe Active Directory perdre leurs autorisations lorsque l'hôte est en mode de verrouillage.

Ajouter des utilisateurs au paramètre système avancé DCUI.Access

En cas de défaillance irrémédiable, le paramètre système avancé DCUI.Access vous permet de quitter le mode de verrouillage lorsque vous ne pouvez pas accéder à l'hôte depuis vCenter Server. Vous ajoutez des utilisateurs à la liste en modifiant les paramètres avancés de l'hôte à partir de vSphere Client.

Note : Les utilisateurs de la liste DCUI.Access peuvent modifier les paramètres du mode de verrouillage, quels que soient leurs privilèges. La possibilité de changer les modes de verrouillage peut affecter la sécurité de votre hôte. Pour les comptes de services qui ont besoin d'un accès direct à l'hôte, pensez plutôt à ajouter des utilisateurs à la liste des utilisateurs exceptionnels. Les utilisateurs exceptionnels peuvent uniquement exécuter les tâches pour lesquelles ils ont des privilèges. Reportez-vous à la section Spécifier les utilisateurs exceptionnels du mode de verrouillage plus loin dans cette rubrique.
  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans la section Système, cliquez sur Paramètres système avancés, puis sur Modifier.
  4. Appliquez le filtre à l'interface DCUI.
  5. Dans la zone de texte DCUI.Access, entrez les noms d'utilisateur ESXi locaux, séparés par des virgules.

    L'utilisateur racine est inclus par défaut. Pensez à supprimer l'utilisateur racine de la liste DCUI.Access et à spécifier un compte nommé pour un meilleur contrôle.

  6. Cliquez sur OK.

Spécifier les utilisateurs exceptionnels du mode de verrouillage

Vous pouvez ajouter des utilisateurs à la liste des utilisateurs exceptionnels depuis vSphere Client. Ces utilisateurs ne perdent pas leurs autorisations lorsque l'hôte entre en mode de verrouillage. Il est logique d'ajouter des comptes de services tels qu'un agent de sauvegarde à la liste des utilisateurs exceptionnels.

Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Habituellement, ces comptes représentent des solutions tierces et des applications externes qui doivent continuer à fonctionner en mode de verrouillage.
Note : La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent des tâches très spécifiques, pas aux administrateurs. L'ajout d'utilisateurs administrateurs à la liste des utilisateurs exceptionnels annule le mode de verrouillage.

Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Ils ne sont ni membres d'un groupe Active Directory ni utilisateurs de vCenter Server. Ces utilisateurs sont autorisés à effectuer des opérations sur l'hôte en fonction de leurs privilèges. Cela signifie, par exemple, qu'un utilisateur en lecture seule ne peut pas désactiver le mode de verrouillage sur un hôte.

  1. Accédez à l'hôte dans l'inventaire de vSphere Client.
  2. Cliquez sur Configurer.
  3. Dans Système, sélectionnez Profil de sécurité.
  4. Dans le panneau mode verrouillage, cliquez sur Modifier.
  5. Cliquez sur Utilisateurs exceptionnels et sur l'icône Ajouter utilisateur pour ajouter des utilisateurs exceptionnels.
  6. Cliquez sur OK.