Pour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. En mode de verrouillage, les opérations doivent être exécutées via vCenter Server par défaut.
Vous pouvez sélectionner le mode de verrouillage normal ou le mode de verrouillage strict, ce qui offre différents degrés de verrouillage. Vous pouvez également utiliser la liste des utilisateurs exceptionnels. Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Utilisez la liste d'utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d'applications externes qui doivent accéder directement à l'hôte lorsque celui-ci est en mode de verrouillage.
Comportement du mode de verrouillage
En mode de verrouillage, certains services sont désactivés et d'autres ne sont accessibles qu'à certains utilisateurs.
Services du mode de verrouillage disponibles pour différents utilisateurs
Lorsque l'hôte est en cours d'exécution, les services disponibles varient selon que le mode de verrouillage est activé et en fonction du type de mode de verrouillage.
- En mode de verrouillage strict et normal, les utilisateurs disposant de privilèges peuvent accéder à l'hôte via vCenter Server à l'aide de vSphere Client ou de vSphere Web Services SDK.
- Le comportement de l'interface de console directe du mode de verrouillage strict et différent de celui du mode de verrouillage normal.
- En mode de verrouillage strict, le service d'interface utilisateur de la console directe est désactivé.
- En mode de verrouillage normal, les comptes présents dans la liste des utilisateurs exceptionnels peuvent accéder à l'interface DCUI s'ils disposent des privilèges d'administrateur. En outre, tous les utilisateurs qui sont spécifiés dans le paramètre système avancé
DCUI.Access
peuvent accéder à l'interface DCUI.
- Si ESXi Shell ou SSH est activé et que l'hôte est placé en mode de verrouillage, les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur peuvent utiliser ces services. ESXi Shell ou SSH est désactivé pour tous les autres utilisateurs. Les sessions ESXi ou SSH des utilisateurs qui ne disposent pas de privilèges d'administrateur sont fermées.
Tout accès est connecté à la fois pour le mode de verrouillage strict et normal.
Service | Mode normal | Mode de verrouillage normal | Mode de verrouillage strict |
---|---|---|---|
API vSphere Web Services | Tous les utilisateurs, en fonction des autorisations | vCenter (vpxuser) Utilisateurs exceptionnels, en fonction des autorisations vCloud Director (vslauser, s'il est disponible) |
vCenter (vpxuser) Utilisateurs exceptionnels, en fonction des autorisations vCloud Director (vslauser, s'il est disponible) |
Fournisseurs CIM | Utilisateurs disposant des privilèges d'administrateur sur l'hôte | Utilisateurs avec exceptions vCenter (vpxuser), en fonction des autorisations vCloud Director (vslauser, s'il est disponible) |
Utilisateurs avec exceptions vCenter (vpxuser), en fonction des autorisations vCloud Director (vslauser, s'il est disponible) |
Interface utilisateur de la console directe (DCUI) | Utilisateurs disposant de privilèges d'administrateur sur l'hôte et utilisateurs dans le paramètre système avancé DCUI.Access |
Utilisateurs définis dans le paramètre système avancé |
Le service de l'interface DCUI est arrêté. |
ESXi Shell (s'il est activé) et SSH (s'il est activé) | Utilisateurs disposant des privilèges d'administrateur sur l'hôte | Utilisateurs définis dans l'option avancée |
Utilisateurs définis dans le paramètre système avancé Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte |
Comportement du mode de verrouillage pour les utilisateurs connectés à ESXi Shell lorsque le mode de verrouillage est activé
Les utilisateurs peuvent se connecter à ESXi Shell ou accéder à l'hôte via SSH avant que le mode de verrouillage soit activé. Dans ce cas, les utilisateurs présents dans la liste des utilisateurs exceptionnels et disposant de privilèges d'administrateur sur l'hôte restent connectés. La session est fermée pour tous les autres utilisateurs. Ce comportement s'applique à la fois au mode de verrouillage normal et strict.
Comment désactiver le mode de verrouillage ?
- Dans vSphere Client
- Les utilisateurs peuvent désactiver à la fois le mode de verrouillage normal et strict dans vSphere Client. Reportez-vous à la section Désactiver le mode de verrouillage à partir de vSphere Client.
- Dans l'interface utilisateur de la console directe
- Les utilisateurs qui peuvent accéder à l'interface utilisateur de la console directe sur l'hôte ESXi peuvent désactiver le mode de verrouillage normal. En mode de verrouillage strict, le service d'interface de console directe est arrêté. Reportez-vous à la section Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe.
Activer le mode de verrouillage à partir de vSphere Client
Sélectionnez le mode de verrouillage afin d'exiger que toutes les modifications de la configuration de l'hôte passent par vCenter Server. vSphere prend en charge le mode de verrouillage normal et le mode de verrouillage strict.
Si vous souhaitez interdire complètement tout accès direct à un hôte, vous pouvez sélectionner le mode de verrouillage strict. Le mode de verrouillage strict empêche d'accéder à un hôte si vCenter Server n'est pas disponible et que SSH et ESXi Shell sont désactivés. Reportez-vous à la section Comportement du mode de verrouillage.
Procédure
- Accédez à l'hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Dans Système, sélectionnez Profil de sécurité.
- Dans le panneau mode verrouillage, cliquez sur Modifier.
- Cliquez sur Mode verrouillage et sélectionnez l'une des options du mode de verrouillage.
Option Description Normal Vous pouvez accéder à l'hôte via vCenter Server. Seuls les utilisateurs qui se trouvent dans la liste des utilisateurs exceptionnels et qui disposent des privilèges d'administrateur peuvent se connecter à l'interface utilisateur de la console directe. Si SSH ou ESXi Shell est activé, il peut être possible d'y accéder. Strict Vous ne pouvez accéder à l'hôte que via vCenter Server. Si SSH ou ESXi Shell est activé, les sessions des comptes dans le paramètre système avancé DCUI.Access
et des comptes d'utilisateurs exceptionnels disposant de privilèges d'administrateur qui sont en cours restent activées. Toutes les autres sessions sont fermées. - Cliquez sur OK.
Désactiver le mode de verrouillage à partir de vSphere Client
Désactivez le mode de verrouillage pour permettre des modifications de configuration à partir de connexions directes à l'hôte ESXi. Lorsque le mode de verrouillage est activé, la sécurité de l'environnement est accrue.
Les utilisateurs peuvent désactiver à la fois le mode de verrouillage normal et strict dans vSphere Client.
Procédure
- Accédez à un hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Dans Système, sélectionnez Profil de sécurité.
- Dans le panneau mode verrouillage, cliquez sur Modifier.
- Cliquez sur Mode verrouillage et sélectionnez Désactivé pour désactiver le mode de verrouillage.
- Cliquez sur OK.
Résultats
Le système quitte le mode de verrouillage, vCenter Server affiche une alarme et une entrée est ajoutée au journal d'audit.
Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe
Vous pouvez activer et désactiver le mode de verrouillage normal dans l'interface utilisateur de la console directe (DCUI). Vous ne pouvez activer et désactiver le mode de verrouillage strict que dans vSphere Client.
- Les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur sur l'hôte. La liste des utilisateurs exceptionnels est destinée aux comptes de service tels qu'un agent de sauvegarde.
- Les utilisateurs définis dans l'option avancée
DCUI.Access
de l'hôte. Cette option peut être utilisée pour activer l'accès en cas de défaillance irrémédiable.
Les autorisations de l'utilisateur sont conservées lorsque vous activez le mode de verrouillage. Les autorisations de l'utilisateur sont restaurées lorsque vous désactivez le mode de verrouillage à partir de l'interface de la console directe.
DCUI.Access
afin d'assurer l'accès à l'hôte.
Pour conserver les autorisations, désactivez le mode de verrouillage de l'hôte dans vSphere Client avant la mise à niveau.
Procédure
- Dans l'interface utilisateur de la console directe de l'hôte, appuyez sur F2 et ouvrez une session.
- Faites défiler jusqu'au paramètre Configurer le mode verrouillage et appuyez sur Entrée pour modifier le paramètre actuel.
- Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de la console directe.
Spécification des comptes disposant de privilèges d'accès en mode de verrouillage
Vous pouvez spécifier les comptes de service qui peuvent accéder à l'hôte ESXi directement en les ajoutant à la liste des utilisateurs exceptionnels. Vous pouvez spécifier un utilisateur qui peut accéder à l'hôte ESXi en cas de défaillance irrémédiable de vCenter Server.
Que peuvent faire les comptes lorsque vSphere est en mode de verrouillage ?
- Dans vSphere 5.0 et versions antérieures, seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe sur un hôte ESXi en mode de verrouillage.
- Dans vSphere 5.1 et versions ultérieures, vous pouvez ajouter un utilisateur au paramètre système avancé
DCUI.Access
pour chaque hôte. Le paramètre est destiné à une défaillance irrémédiable de vCenter Server. Les sociétés verrouillent généralement le mot de passe de l'utilisateur disposant de cet accès dans un coffre-fort. Un utilisateur figurant dans la listeDCUI.Access
n'a pas besoin de disposer de tous les privilèges administratifs sur l'hôte. - Dans vSphere 6.0 et versions ultérieures, le paramètre système avancé
DCUI.Access
est toujours pris en charge. En outre, vSphere 6.0 et versions ultérieures prennent en charge une liste des utilisateurs exceptionnels destinée aux comptes de service qui doivent se connecter directement à l'hôte. Les comptes d'administrateur disposant des privilèges d'administrateur, qui se trouvent dans la liste des utilisateurs exceptionnels, peuvent se connecter à ESXi Shell. En outre, ces utilisateurs peuvent se connecter à l'interface DCUI d'un hôte en mode de verrouillage normal et quitter ce même mode.Spécifiez les utilisateurs exceptionnels dans vSphere ClientNote : Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Les utilisateurs qui sont membres d'un groupe Active Directory perdre leurs autorisations lorsque l'hôte est en mode de verrouillage.
Ajouter des utilisateurs au paramètre système avancé DCUI.Access
En cas de défaillance irrémédiable, le paramètre système avancé DCUI.Access
vous permet de quitter le mode de verrouillage lorsque vous ne pouvez pas accéder à l'hôte depuis vCenter Server. Vous ajoutez des utilisateurs à la liste en modifiant les paramètres avancés de l'hôte à partir de vSphere Client.
- Accédez à l'hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Dans la section Système, cliquez sur Paramètres système avancés, puis sur Modifier.
- Appliquez le filtre à l'interface DCUI.
- Dans la zone de texte DCUI.Access, entrez les noms d'utilisateur ESXi locaux, séparés par des virgules.
Note : Vous ne pouvez pas entrer les utilisateurs Active Directory. Seuls les utilisateurs ESXi locaux sont pris en charge.
L'utilisateur racine est inclus par défaut. Pensez à supprimer l'utilisateur racine de la liste DCUI.Access et à spécifier un compte nommé pour un meilleur contrôle.
- Cliquez sur OK.
Spécifier les utilisateurs exceptionnels du mode de verrouillage
Vous pouvez ajouter des utilisateurs à la liste des utilisateurs exceptionnels depuis vSphere Client. Ces utilisateurs ne perdent pas leurs autorisations lorsque l'hôte entre en mode de verrouillage.
Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Ils ne sont ni membres d'un groupe Active Directory ni utilisateurs de vCenter Server. Ces utilisateurs sont autorisés à effectuer des opérations sur l'hôte en fonction de leurs privilèges. Cela signifie, par exemple, qu'un utilisateur en lecture seule ne peut pas désactiver le mode de verrouillage sur un hôte.
- Accédez à l'hôte dans l'inventaire de vSphere Client.
- Cliquez sur Configurer.
- Dans Système, sélectionnez Profil de sécurité.
- Dans le panneau mode verrouillage, cliquez sur Modifier.
- Cliquez sur Utilisateurs exceptionnels et sur l'icône Ajouter utilisateur pour ajouter des utilisateurs exceptionnels.
- Cliquez sur OK.