ESXi ホストのセキュリティを向上させるために、ロックダウン モードにすることができます。ロックダウン モードでは、デフォルトで vCenter Server から操作を実行する必要があります。

通常ロックダウン モードまたは厳密なロックダウン モードを選択して、程度の異なるロックダウン機能を提供することができます。例外ユーザー リストを使用することもできます。ホストがロックダウン モードになっても、例外ユーザーは自分に付与された権限を失いません。例外ユーザー リストを使用して、ホストがロックダウン モードのときに、ホストに直接アクセスする必要があるサードパーティのソリューションおよび外部アプリケーションのアカウントを追加します。

ロックダウン モードの動作

ロックダウン モードでは、いくつかのサービスが無効になり、いくつかのサービスは特定のユーザーのみがアクセスできます。

さまざまなユーザーが使用可能なロックダウン モード サービス

ホストが稼動している場合、使用可能なサービスは、ロックダウン モードが有効かどうかと、ロックダウン モードのタイプに応じて決まります。

  • 厳密なロックダウン モードおよび通常ロックダウン モードの場合、権限のあるユーザーは、vSphere Client を通じて、vCenter Server から、または vSphere Web Services SDK を使用することによってホストにアクセスすることができます。
  • ダイレクト コンソール インターフェイスの動作は、厳密なロックダウン モードと通常ロックダウン モードで異なります。
    • 厳密なロックダウン モードの場合、ダイレクト コンソール ユーザー インターフェイス (DCUI) サービスは無効になっています。
    • 通常のロックダウン モードの場合、例外ユーザー リストのアカウントは ダイレクト コンソール ユーザー インターフェイス (DCUI) にアクセスできます(管理者権限がある場合)。さらに、DCUI.Access 詳細システム設定で指定されているすべてのユーザーは、ダイレクト コンソール ユーザー インターフェイス (DCUI) にアクセスできます。
  • ESXi Shell または SSH が有効で、ホストがロックダウン モードの場合、管理者権限を持つ例外ユーザー リストのアカウントがこれらのサービスを使用できます。その他のユーザーの場合、ESXi Shell または SSH アクセスは無効です。管理者権限を持たないユーザーの ESXi または SSH セッションは終了します。

厳密および通常両方のロックダウン モードで、すべてのアクセスがログに記録されます。

表 1. ロックダウン モードの動作
サービス 通常モード 通常ロックダウン モード 厳密なロックダウン モード
vSphere Web Services API 権限に基づくすべてのユーザー vCenter (vpxuser)

権限に基づく例外ユーザー

vCloud Director (vslauser、使用可能な場合)

vCenter (vpxuser)

権限に基づく例外ユーザー

vCloud Director (vslauser、使用可能な場合)

CIM プロバイダ ホストで管理者権限を持つユーザー 権限に基づく vCenter (vpxuser) 例外ユーザー

vCloud Director (vslauser、使用可能な場合)

権限に基づく vCenter (vpxuser) 例外ユーザー

vCloud Director (vslauser、使用可能な場合)

ダイレクト コンソール ユーザー インターフェイス (DCUI) ホストで管理者権限を持つユーザー、および DCUI.Access の詳細システム設定でのユーザー

DCUI.Access の詳細システム設定で定義されているユーザー

ホストで管理者権限を持つ例外ユーザー
DCUI サービス停止。
ESXi Shell(有効な場合)および SSH(有効な場合) ホストで管理者権限を持つユーザー

DCUI.Access 詳細オプションで定義されているユーザー

ホストで管理者権限を持つ例外ユーザー

DCUI.Access の詳細システム設定で定義されているユーザー

ホストで管理者権限を持つ例外ユーザー

ロックダウン モードが有効な場合に ESXi Shell にログインしたユーザーのロックダウン モードの動作

ユーザーは、ロックダウン モードが有効になる前に、ESXi Shell にログインするか、SSH を介してホストにアクセスすることがあります。その場合、例外ユーザー リストに含まれ、ホストの管理者権限を持つユーザーは、ログインしたままになります。他のすべてのユーザーに対しては、セッションが閉じられます。この動作は、通常と厳密の両方のロックダウン モードに適用されます。

ロックダウン モードを無効にする方法

ロックダウン モードは次のようにして無効にできます。
vSphere Client から操作する場合
vSphere Client から、通常ロックダウン モードと厳密なロックダウン モードの両方を無効にできます。 vSphere Client からのロックダウン モードの無効化を参照してください。
ダイレクト コンソール ユーザー インターフェイスから操作する場合
ESXi ホストのダイレクト コンソール ユーザー インターフェイスにアクセスできるユーザーは、通常ロックダウン モードを無効にできます。厳密なロックダウン モードでは、ダイレクト コンソール インターフェイス サービスが停止します。 ダイレクト コンソール ユーザー インターフェイスからの通常ロックダウン モードの有効化または無効化を参照してください。

vSphere Client からのロックダウン モードの有効化

ロックダウン モードを選択すると、すべてのホスト構成の変更は vCenter Server から行う必要があります。vSphere では、通常ロックダウン モードと厳密なロックダウン モードがサポートされます。

ホストへのすべての直接アクセスを完全に許可しないようにする場合は、厳密なロックダウン モードを選択できます。厳密なロックダウン モードを使用すると、vCenter Server が使用不可で、SSH および ESXi Shell が無効になっている場合に、ホストにアクセスできなくなります。ロックダウン モードの動作を参照してください。

手順

  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] で、[セキュリティ プロファイル] 選択します。
  4. [ロックダウン モード] パネルで [編集] をクリックします。
  5. [ロックダウン モード] をクリックして、いずれかのロックダウン モードを選択します。
    オプション 説明
    標準 vCenter Server 経由でホストにアクセスできます。例外ユーザー リストに登録されていて管理者権限を持っているユーザーのみが、ダイレクト コンソール ユーザー インターフェイスにログインできます。SSH または ESXi Shell が有効な場合はアクセスできる可能性があります。
    厳密 vCenter Server 経由でのみホストにアクセスできます。SSH または ESXi Shell が有効であれば、DCUI.Access 詳細システム設定のアカウントおよび管理者権限を持つ例外ユーザー アカウントの実行中セッションは有効な状態に保たれます。その他のセッションは終了します。
  6. [OK] をクリックします。

vSphere Client からのロックダウン モードの無効化

ロックダウン モードを無効にすることで、ESXi ホストに直接接続して構成を変更できるようになります。ロックダウン モードを有効にした方が、環境の安全性は高まります。

vSphere Client から、通常ロックダウン モードと厳密なロックダウン モードの両方を無効にできます。

手順

  1. vSphere Client インベントリでホストを参照します。
  2. [構成] をクリックします。
  3. [システム] で、[セキュリティ プロファイル] 選択します。
  4. [ロックダウン モード] パネルで [編集] をクリックします。
  5. [ロックダウン モード] をクリックし、[無効] を選択してロックダウン モードを無効にします。
  6. [OK] をクリックします。

結果

システムがロックダウン モードを終了し、vCenter Server にアラームが表示され、監査ログにエントリが追加されます。

ダイレクト コンソール ユーザー インターフェイスからの通常ロックダウン モードの有効化または無効化

ダイレクト コンソール ユーザー インターフェイスから通常ロックダウン モードを有効化または無効化できます。厳密なロックダウン モードは、vSphere Client からのみ有効化および無効化できます。

ホストが通常ロックダウン モードになっている場合は、次のアカウントからダイレクト コンソール ユーザー インターフェイスにアクセスできます。
  • ホスト上で管理者権限を持つ例外ユーザー リストのアカウント。例外ユーザー リストは、バックアップ エージェントなどのサービス アカウントに使用します。
  • ホストの DCUI.Access 詳細オプションに定義されているユーザー。このオプションは、致命的な障害の際にアクセスを有効にするために使用します。

ロックダウン モードを有効にすると、ユーザー権限は保持されます。ダイレクト コンソール インターフェイスからロックダウン モードを無効にすると、ユーザー権限はリストアされます。

注: ロックダウン モードのホストをロックダウン モードを終了せずに ESXi 6.0 にアップグレードし、アップグレード後にロックダウン モードを終了した場合は、ホストがロックダウン モードに入る前に定義されていた権限がすべて失われます。システムは、 DCUI.Access 詳細オプションに定義されているすべてのユーザーに管理者ロールを割り当て、ホストに引き続きアクセスできるようにします。

アクセス許可が失われないようにするには、vSphere Client からホストのロックダウン モードを無効にしてからアップグレードを実行してください。

手順

  1. ホストのダイレクト コンソール ユーザー インターフェイスで、F2 を押してログインします。
  2. [ロックダウン モードの構成] 設定にスクロールし、Enter キーを押して現在の設定を切り替えます。
  3. ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Esc キーを押します。

ロックダウン モードでのアクセス権を持つアカウントの指定

サービス アカウントを例外ユーザー リストに追加することによって、ESXi ホストに直接アクセスできるサービス アカウントを指定できます。vCenter Server の致命的な障害が発生したときに ESXi ホストにアクセスできる個別のユーザーを指定できます。

vSphere がロックダウン モードの場合のアカウントの機能

ロックダウン モードが有効な場合に各アカウントでデフォルトで可能な動作と、デフォルト動作を変更する方法は、vSphere バージョンによって決まります。
  • vSphere 5.0 より前のバージョンでは、ロックダウン モードの ESXi ホストのダイレクト コンソール ユーザー インターフェイスにログインできるのは root ユーザーだけです。
  • vSphere 5.1 以降では、各ホストの DCUI.Access 詳細システム設定にユーザーを追加できます。この設定は、vCenter Server で致命的なエラーが発生した場合のために用意されています。通常、企業は、このアクセス権を持つユーザーのパスワードを安全な場所に保管しておくようにします。DCUI.Access リストのユーザーは、ホストに対する完全な管理者権限を保有している必要はありません。
  • vSphere 6.0 以降でも、DCUI.Access 詳細システム設定はサポートされています。それに加えて、vSphere 6.0 以降では、例外ユーザー リストがサポートされています。これはホストに直接ログインする必要があるサービス アカウントを登録するためのリストです。例外ユーザー リストに登録されている管理者権限を持つアカウントは、ESXi Shell にログインできます。また、それらのユーザーは、通常ロックダウン モードになっているホストのダイレクト コンソール ユーザー インターフェイス (DCUI) にログインして、ロックダウン モードを終了できます。
    例外ユーザーは、 vSphere Client から指定します。
    注: 例外ユーザーは、 ESXi ホストにローカルに定義された権限を持つホスト ローカル ユーザーまたは Active Directory ユーザーです。Active Directory グループのメンバーであるユーザーは、ホストがロックダウン モードのときにその権限を失います。

DCUI.Access 詳細システム設定へのユーザーの追加

致命的な障害が発生して vCenter Server からホストにアクセスできない場合、DCUI.Access 詳細システム設定を使用すると、ロックダウン モードを終了できます。ユーザーをリストに追加するには、vSphere Client からホストの [詳細設定] を編集します。

注: DCUI.Access リストに登録されているユーザーは、付与されている権限に関係なくロックダウン モード設定を変更できます。ロックダウン モードを変更できるようにすると、ホストのセキュリティに影響が及ぶ可能性があります。ホストに直接アクセスする必要があるサービス アカウントの場合は、代わりに例外ユーザー リストにユーザーを追加することを検討してください。例外ユーザーであれば、自分に権限が与えられているタスクしか実行できません。このトピックの後半の「ロックダウン モード例外ユーザーの指定」を参照してください。
  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] の下で [システムの詳細設定] をクリックし、[編集] をクリックします。
  4. DCUI のフィルタ。
  5. [DCUI.Access] テキスト ボックスに、ローカル ESXi ユーザー名をコンマ区切りで入力します。
    注: Active Directoryユーザーを入力することはできません。ローカルの ESXi ユーザーのみがサポートされます。

    デフォルトでは、root ユーザーも含まれます。システムの可監査性を高めるため、DCUI.Access リストから root ユーザーを削除して名前付きアカウントを指定することを検討してください。

  6. [OK] をクリックします。

ロックダウン モード例外ユーザーの指定

vSphere Client から例外ユーザー リストにユーザーを追加できます。例外ユーザー リストに追加されたユーザーは、ホストがロックダウン モードになってもアクセス許可を失いません。

通常、これらのユーザーは、ロックダウン モードでも機能し続ける必要があるサードパーティ製ソリューションや外部アプリケーションを表すアカウントです。たとえば、バックアップ エージェントなどのサービス アカウントを例外ユーザー リストに追加しておくことを推奨します。
注: 例外ユーザー リストは、非常に特殊なタスクを実行するサービス アカウントを登録するために用意されたものです。管理者を登録するものではありません。管理者を例外ユーザー リストに追加するのは、ロックダウン モードの目的を無視した使い方です。

例外ユーザーは、ESXi ホストにローカルに定義された権限を持つホスト ローカル ユーザーまたは Active Directory ユーザーです。例外ユーザーは Active Directory グループのメンバーではなく、vCenter Server ユーザーでもありません。例外ユーザーがホスト上で実行できる操作は、そのユーザーに付与されている権限によって決まります。たとえば、読み取り専用ユーザーがホスト上のロックダウン モードを無効にすることはできません。

  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] で、[セキュリティ プロファイル] 選択します。
  4. [ロックダウン モード] パネルで [編集] をクリックします。
  5. [例外ユーザー] をクリックし、[ユーザーの追加] アイコンをクリックして例外ユーザーを追加します。
  6. [OK] をクリックします。