In genere, si assegnano privilegi agli utenti assegnando autorizzazioni agli oggetti dell'host ESXi gestiti da un sistema vCenter Server. Se si utilizza un host ESXi autonomo, è possibile assegnare i privilegi direttamente.

Assegnazione delle autorizzazioni agli host ESXi gestiti da vCenter Server

Se l'host ESXi è gestito da un vCenter Server, eseguire le attività di gestione tramite vSphere Client.

È possibile selezionare l'oggetto dell'host ESXi nella gerarchia di oggetti di vCenter Server e assegnare il ruolo di amministratore a un numero limitato di utenti. Tali utenti possono quindi eseguire la gestione diretta nell'host ESXi. Vedere Utilizzo dei ruoli vCenter Server per assegnare privilegi.

La procedura consigliata consiste nel creare almeno un account utente denominato, assegnare a tale account privilegi amministrativi completi per l'host e utilizzare questo account anziché l'account root. Impostare una password molto complessa per l'account root e limitarne l'utilizzo. Non rimuovere l'account root.

Assegnazione delle autorizzazioni agli host ESXi autonomi

È possibile aggiungere utenti locali e definire ruoli personalizzati dalla scheda Gestione di VMware Host Client. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.

In tutte le versioni di ESXi, è possibile visualizzare l'elenco degli utenti predefiniti nel file /etc/passwd.

I seguenti ruoli sono predefiniti.

Sola lettura
Consente a un utente di visualizzare gli oggetti associati all'host ESXi ma non di modificarli.
Amministratore
Ruolo di amministratore.
Nessun accesso
Nessun accesso. Si tratta del ruolo predefinito. È possibile sostituire il ruolo predefinito.

È possibile gestire utenti e gruppi locali, nonché aggiungere ruoli personalizzati locali in un host ESXi mediante un VMware Host Client connesso direttamente all'host ESXi. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.

In vSphere 6.0 e versioni successive, è possibile utilizzare i comandi di gestione dell'account ESXCLI per gestire gli account utente locali di ESXi. È possibile utilizzare i comandi di gestione delle autorizzazioni ESXCLI per impostare o rimuovere le autorizzazioni sia per gli account di Active Directory (utenti e gruppi) sia per gli account locali ESXi (solo utenti).

Nota: Se si definisce un utente per l'host ESXi connettendosi all'host direttamente e anche in vCenter Server esiste un utente con lo stesso nome, tali utenti sono diversi. Se si assegna un ruolo all'utente di ESXi, all'utente di vCenter Server non verrà assegnato lo stesso ruolo.

Utenti e privilegi di ESXi predefiniti

Se l'ambiente non include un sistema vCenter Server, gli utenti predefiniti sono i seguenti.

Utente root

Per impostazione predefinita, ogni host ESXi dispone di un singolo account utente root con ruolo di amministratore. Tale account utente root può essere utilizzato per l'amministrazione locale e per connettere l'host a vCenter Server.

L'assegnazione dei privilegi di utente root può semplificare l'integrazione in un host ESXi perché il nome è già noto. Un account root comune rende inoltre più difficile l'associazione delle azioni agli utenti.

Per un controllo migliore, creare singoli account con privilegi di amministratore. Impostare una password molto complessa per l'account root e limitare l'uso dell'account root, ad esempio per l'aggiunta di un host in vCenter Server. Non rimuovere l'account root. Per ulteriori informazioni sull'assegnazione delle autorizzazioni a un utente per un host ESXi, vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client.

La procedura consigliata consiste nell'assicurarsi che tutti gli account con ruolo di amministratore in un host ESXi vengano assegnati a un utente specifico con un account denominato. Utilizzare le funzionalità di Active Directory di ESXi, che consentono di gestire le credenziali di Active Directory.
Importante: È possibile rimuovere i privilegi di accesso per l'utente root. Tuttavia, è innanzitutto necessario creare un'altra autorizzazione al livello root in cui il ruolo di amministratore è assegnato a un altro utente.
Utente vpxuser
vCenter Server utilizza i privilegi vpxuser quando gestisce le attività per l'host.

L'amministratore di vCenter Server può eseguire la maggior parte delle stesse attività dell'utente root nell'host, nonché pianificare attività, utilizzare modelli e così via. Tuttavia, l'amministratore di vCenter Server non può creare, eliminare o modificare direttamente gli utenti e i gruppi locali per gli host. Solo un utente con privilegi di amministratore può eseguire queste attività direttamente in un host.

Non è possibile gestire l'utente vpxuser utilizzando Active Directory.

Attenzione: Non modificare l'utente vpxuser in alcun modo. Non modificarne la password. Non modificarne le autorizzazioni. In caso contrario, è possibile che si verifichino problemi quando si utilizzano host tramite vCenter Server.
Utente dcui
L'utente dcui viene eseguito negli host e agisce con diritti di amministratore. Lo scopo principale di questo utente è quello di configurare gli host per la modalità di blocco dall'interfaccia utente di Direct Console (DCUI).

Questo utente agisce come agente della console diretta e non può essere modificato o utilizzato dagli utenti interattivi.

Disattivazione dell'accesso shell per gli utenti ESXi non root

In vSphere 8.0 e versioni successive, è possibile disattivare l'accesso shell per gli utenti ESXi non root, ad esempio gli utenti vpxuser e dcui predefiniti. Disattivando l'accesso shell, è possibile migliorare la sicurezza applicando un approccio "solo API" per questi utenti.

Per disattivare l'accesso shell, è possibile utilizzare esxcli system account set --id user --shell-access false. L'API corrispondente è LocalAccountManager.updateUser. È inoltre possibile utilizzare VMware Host Client per modificare il flag Abilita accesso shell degli utenti locali di ESXi.

Nota: Quando si disattiva l'accesso shell per un utente con accesso amministrativo, in virtù del fatto che non dispone dell'accesso shell, tale utente non può concedere l'accesso shell ad altri utenti o modificare le password degli utenti che dispongono dell'accesso shell. Altre autorizzazioni, come i profili host, consentiranno comunque a utenti come vpxuser e dcui di modificare le password di altri utenti.

Quando si apportano modifiche di questo tipo, verificare che non interrompano i workflow di terze parti esistenti.