Per aumentare la sicurezza degli host ESXi, è possibile attivare la modalità di blocco. In modalità blocco, le operazioni devono essere eseguite tramite vCenter Server per impostazione predefinita.

È possibile selezionare la modalità di blocco normale o la modalità di blocco rigido, che offrono diverse gradazioni di blocco. È inoltre possibile utilizzare l'elenco Utenti eccezione. Gli Utenti eccezione non perdono i propri privilegi quando l'host passa alla modalità di blocco. Utilizzare l'elenco Utenti eccezione per aggiungere gli account di soluzioni di terze parti e applicazioni esterne che devono accedere all'host direttamente quando l'host è in modalità di blocco.

Comportamento modalità di blocco

In modalità di blocco, alcuni servizi sono disattivati e alcuni servizi sono accessibili solo a determinati utenti.

Servizi in modalità di blocco disponibili per diversi utenti

Quando l'host è in esecuzione, i servizi disponibili dipendono dalla modalità di blocco attivata e dal tipo di modalità di blocco.

  • In modalità di blocco rigido e normale, gli utenti privilegiati possono accedere all'host tramite vCenter Server, da vSphere Client o utilizzando vSphere Web Services SDK.
  • Il comportamento dell'interfaccia della console diretta è diverso per la modalità di blocco rigido e la modalità di blocco normale.
    • In modalità di blocco rigido, il servizio DCUI (Interfaccia utente della console diretta) è disattivato.
    • In modalità di blocco normale, gli account nell'elenco Utenti eccezione possono accedere al DCUI se dispongono di privilegi di amministratore. Inoltre, tutti gli utenti specificati nell'impostazione del sistema avanzato DCUI.Access possono accedere al DCUI.
  • Se l'ESXi Shell o SSH è attivato e l'host viene posto in modalità di blocco, gli account nell'elenco Utenti eccezione che dispongono di privilegi di amministratore possono utilizzare questi servizi. Per tutti gli altri utenti, l'accesso ESXi Shell o SSH è disattivato. Le sessioni ESXi o SSH per gli utenti che non dispongono di privilegi di amministratore vengono chiuse.

Tutti gli accessi sono registrati per la modalità di blocco rigido e normale.

Tabella 1. Comportamento modalità di blocco
Servizio Modalità normale Modalità di blocco normale Modalità di blocco rigido
API per servizi Web vSphere Tutti gli utenti, in base alle autorizzazioni vCenter (utente vpx)

Utenti eccezione, in base alle autorizzazioni

vCloud Director (vslauser, se disponibile)

vCenter (utente vpx)

Utenti eccezione, in base alle autorizzazioni

vCloud Director (vslauser, se disponibile)

Provider CIM Utenti con privilegi di amministratore sull'host Utenti eccezione di vCenter (utente vpx), in base alle autorizzazioni

vCloud Director (vslauser, se disponibile)

Utenti eccezione di vCenter (utente vpx), in base alle autorizzazioni

vCloud Director (vslauser, se disponibile)

Direct Console UI (DCUI) Utenti con privilegi di amministratore sull'host e gli utenti nell'impostazione di sistema avanzata DCUI.Access

Utenti definiti nell'impostazione di sistema avanzata DCUI.Access

Utenti eccezione con privilegi di amministratore sull'host 		Il servizio DCUI è interrotto.
ESXi Shell (se attivato) e SSH (se attivato) Utenti con privilegi di amministratore sull'host

Utenti definiti nell'opzione avanzata DCUI.Access

Utenti eccezione con privilegi di amministratore sull'host

Utenti definiti nell'impostazione di sistema avanzata DCUI.Access

Utenti eccezione con privilegi di amministratore sull'host

Comportamento della modalità di blocco per gli utenti che hanno effettuato l'accesso a ESXi Shell quando la modalità di blocco è attivata

Gli utenti possono accedere alla ESXi Shell o accedere all'host tramite SSH prima che sia attivata la modalità di blocco. In quel caso, gli utenti che sono nell'elenco Utenti eccezione e che dispongono dei privilegi di amministratore nell'host restano connessi. La sessione è chiusa per tutti gli altri utenti. L'interruzione si applica sia alla modalità di blocco normale sia alla modalità di blocco rigido.

Come disattivare la modalità di blocco?

È possibile disattivare la modalità di blocco come segue.
Da vSphere Client
Gli utenti possono disattivare sia la modalità di blocco normale sia la modalità di blocco rigido da vSphere Client. Vedere Disattivazione della modalità blocco da vSphere Client.
Dall'interfaccia utente di Direct Console
Gli utenti che possono accedere a Direct Console User Interface nell'host ESXi possono disattivare la modalità di blocco normale. In modalità di blocco rigido, il servizio dell'interfaccia Direct Console viene arrestato. Vedere Attivazione o disattivazione della modalità di blocco normale da Direct Console User Interface.

Attivazione della modalità di blocco da vSphere Client

Selezionare la modalità di blocco per fare in modo che tutte le modifiche della configurazione dell'host vengano apportate tramite vCenter Server. vSphere supporta la modalità di blocco normale e la modalità di blocco rigido.

Se si desidera impedire completamente l'accesso diretto a un host, è possibile selezionare la modalità di blocco rigido. La modalità di blocco rigido rende impossibile accedere a un host se vCenter Server non è disponibile e SSH ed ESXi Shell sono disattivati. Vedere Comportamento modalità di blocco.

Procedura

  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, selezionare Profilo di sicurezza.
  4. Nel pannello Modalità di blocco, fare clic su Modifica .
  5. Fare clic su Modalità di blocco e selezionare una delle opzioni della modalità di blocco.
    Opzione Descrizione
    Normale È possibile accedere all'host tramite vCenter Server. Solo gli utenti inclusi nell'elenco Utenti eccezione che dispongono di privilegi di amministratore possono accedere all'interfaccia utente di Direct Console. Se SSH o ESXi Shell sono attivati, è possibile effettuare l'accesso.
    Rigido È possibile accedere all'host solo tramite vCenter Server. Se SSH o ESXi Shell sono attivati, rimangono abilitate le sessioni in esecuzione per gli account nelle impostazioni di sistema avanzate di DCUI.Access e per gli account di Utenti eccezione che dispongono di privilegi di amministratore. Tutte le altre sessioni vengono chiuse.
  6. Fare clic su OK.

Disattivazione della modalità blocco da vSphere Client

Disattivare la modalità di blocco per consentire le modifiche alla configurazione dalle connessioni dirette all'host ESXi. Se la modalità di blocco viene lasciata attiva, l'ambiente risulterà più sicuro.

Gli utenti possono disattivare sia la modalità di blocco normale sia la modalità di blocco rigido da vSphere Client.

Procedura

  1. Cercare un host nell'inventario vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, selezionare Profilo di sicurezza.
  4. Nel pannello Modalità di blocco, fare clic su Modifica .
  5. Fare clic su Modalità blocco e selezionare Disabilitata per disattivare la modalità di blocco.
  6. Fare clic su OK.

risultati

Il sistema esce dalla modalità di blocco, vCenter Server visualizza un allarme e viene aggiunta una voce al registro di controllo.

Attivazione o disattivazione della modalità di blocco normale da Direct Console User Interface

È possibile attivare e disattivare la modalità di blocco normale da Direct Console User Interface. È possibile attivare e disattivare la modalità di blocco rigido solo da vSphere Client.

Quando l'host è in modalità di blocco normale, i seguenti account possono accedere all'interfaccia utente di Direct Console:
  • Account dell'elenco Utenti eccezione che dispongono di privilegi di amministratore nell'host. L'elenco Utenti eccezione è destinato agli account di servizio come un agente di backup.
  • Utenti definiti nell'opzione avanzata DCUI.Access per l'host. Questa opzione può essere utilizzata per attivare l'accesso in caso di errore irreversibile.

Le autorizzazioni degli utenti vengono mantenute quando si abilita la modalità di blocco. Le autorizzazioni degli utenti vengono ripristinate quando si disattiva la modalità di blocco da Direct Console User Interface.

Nota: Se si aggiorna un host in modalità di blocco a ESXi versione 6.0 senza uscire dalla modalità di blocco e se si esce dalla modalità di blocco dopo l'aggiornamento, tutte le autorizzazioni definite prima dell'attivazione della modalità di blocco dell'host vengono perse. Per garantire che l'host rimanga accessibile, il sistema assegna il ruolo di amministratore a tutti gli utenti presenti nell'opzione avanzata DCUI.Access.

Per mantenere le autorizzazioni, disattivare la modalità di blocco per l'host da vSphere Client prima dell'aggiornamento.

Procedura

  1. Nell'interfaccia utente di Direct Console nell'host, premere F2 e accedere.
  2. Scorrere fino all'impostazione Configura modalità di blocco e premere Invio per attivare o disattivare l'impostazione corrente.
  3. Premere Esc finché non si torna al menu principale dell'interfaccia utente della console diretta.

Definizione di account con privilegi di accesso in modalità di blocco

È possibile specificare gli account di servizio che possono accedere direttamente all'host ESXi aggiungendoli all'elenco Utenti eccezioni. È possibile specificare un singolo utente che possa accedere all'host ESXi in un errore irreversibile vCenter Server.

Che cosa possono fare gli account quando vSphere è in modalità di blocco?

La versione del vSphere determina ciò che possono fare diversi account per impostazione predefinita quando è attivata la modalità di blocco e come è possibile modificare il comportamento predefinito.
  • In vSphere 5.0 e versioni precedenti, solo l'utente root può accedere all'interfaccia utente della console diretta su un host ESXi in modalità di blocco.
  • In vSphere 5.1 e versioni successive, è possibile aggiungere un utente all'impostazione del sistema avanzato DCUI.Access per ogni host. L'impostazione è destinata a un errore irreversibile vCenter Server. Le aziende generalmente bloccano la password dell'utente con questo accesso in modo sicuro. Un utente nell'elenco DCUI.Access non deve disporre di privilegi amministrativi completi sull'host.
  • In vSphere 6.0 e versioni successive, l'impostazione del sistema avanzato DCUI.Access è ancora supportata. Inoltre, vSphere 6.0 e versioni successive supportano un elenco di Utenti eccezione relativo agli account di servizio che devono accedere direttamente all'host. Gli account con privilegi di amministratore presenti nell'elenco Utenti eccezione possono accedere alla ESXi Shell. Inoltre, gli utenti possono accedere al DCUI di un host in modalità di blocco normale e possono uscire dalla modalità di blocco.
    È possibile specificare degli utenti eccezione da vSphere Client.
    Nota: Gli utenti eccezione sono utenti locali host o utenti Active Directory con privilegi definiti localmente per l'host ESXi. Gli utenti che sono membri di un gruppo di Active Directory perdono le proprie autorizzazioni quando l'host si trova in modalità di blocco.

Aggiunta di utenti all'impostazione di sistema avanzata DCUI.Access

Se si verifica un errore irreversibile, l'impostazione di sistema avanzata DCUI.Access consente di uscire dalla modalità di blocco quando non è possibile accedere all'host da vCenter Server. È possibile aggiungere utenti all'elenco modificando le impostazioni avanzate per l'host da vSphere Client.

Nota: Utenti dell'elenco DCUI.Access possono modificare le impostazioni della modalità di blocco indipendentemente dai propri privilegi. La possibilità di modificare le modalità di blocco può influire sulla sicurezza dell'host. Per gli account di servizio che richiedono l'accesso diretto all'host, è consigliabile aggiungere utenti all'elenco Utenti eccezione. Gli utenti delle eccezioni possono eseguire solo attività per le quali dispongono di privilegi. Vedere Specifica degli utenti eccezione modalità blocco più avanti in questo argomento.
  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, fare clic su Impostazioni di sistema avanzate, quindi selezionare Modifica.
  4. Filtrare in base a DCUI.
  5. Nella casella di testo DCUI. Access, immettere i nomi utente ESXi locali, separati da virgole.
    Nota: Non è possibile immettere utenti Active Directory. Sono supportati solo gli utenti di ESXi locali.

    Per impostazione predefinita, è incluso l'utente root. È consigliabile rimuovere l'utente root dall'elenco DCUI.Access e specificare un account denominato per migliorarne la controllabilità.

  6. Fare clic su OK.

Specifica gli utenti eccezione modalità blocco

È possibile aggiungere degli utenti all'elenco Utenti eccezione da vSphere Client. Questi utenti non perdono le proprie autorizzazioni quando l'host passa alla modalità di blocco.

In genere questi utenti sono account che rappresentano soluzioni di terze parti e applicazioni esterne che devono continuare a funzionare in modalità di blocco. Ad esempio, è consigliabile aggiungere account di servizio come un agente di backup all'elenco Utenti eccezione.
Nota: L'elenco Utenti eccezione è destinato agli account di servizio che eseguono attività molto specifiche e non agli amministratori. L'aggiunta di utenti amministratori all'elenco Utenti eccezione vanifica lo scopo della modalità di blocco.

Gli utenti eccezione sono utenti locali host o utenti Active Directory con privilegi definiti localmente per l'host ESXi. Non sono membri di un gruppo Active Directory e non sono utenti vCenter Server. A questi utenti è consentito eseguire operazioni sull'host in base ai propri privilegi. Ciò significa, ad esempio, che un utente di sola lettura non può disattivare la modalità di blocco in un host.

  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, selezionare Profilo di sicurezza.
  4. Nel pannello Modalità di blocco, fare clic su Modifica .
  5. Fare clic su Utenti eccezione e fare clic sull'icona Aggiungi utente per aggiungere gli utenti eccezione.
  6. Fare clic su OK.