ESXi 호스트에 대한 권한 할당

일반적으로 vCenter Server 시스템이 관리하는 ESXi 호스트 개체에 사용 권한을 할당하여 사용자에게 권한을 부여합니다. 독립형 ESXi 호스트를 사용하는 경우 권한을 직접 할당할 수 있습니다.

vCenter Server가 관리하는 ESXi 호스트에 사용 권한 할당

vCenter Server가 ESXi 호스트를 관리하는 경우 vSphere Client를 통해 관리 작업을 수행합니다.

vCenter Server 개체 계층에서 ESXi 호스트 개체를 선택하고 제한된 수의 사용자에게 관리자 역할을 할당할 수 있습니다. 그런 다음 해당 사용자가 ESXi 호스트에서 직접 관리를 수행할 수 있습니다. vCenter Server 역할을 사용하여 권한 할당의 내용을 참조하십시오.

가장 좋은 방법은 명명된 사용자 계정을 1개 이상 생성하고 호스트에 전체 관리 권한을 할당한 다음 이 계정을 루트 계정 대신 사용하는 것입니다. 루트 계정에 매우 복잡한 암호를 설정하며 루트 계정의 사용을 제한합니다. 루트 계정은 제거하지 마십시오.

독립형 ESXi 호스트에 사용 권한 할당

로컬 사용자를 추가하고 VMware Host Client의 [관리] 탭에서 사용자 지정 역할을 정의할 수 있습니다. "vSphere 단일 호스트 관리 - VMware Host Client" 설명서를 참조하십시오.

모든 ESXi 버전에 대해 미리 정의된 사용자 목록을 /etc/passwd 파일에서 볼 수 있습니다.

다음 역할이 미리 정의됩니다.

읽기 전용: 사용자가 ESXi 호스트와 연결된 개체를 보지만 개체를 변경하지는 못하도록 합니다.
관리자: 관리자 역할입니다.
권한 없음: 권한이 없습니다. 이 역할은 기본 역할입니다. 기본 역할은 재정의할 수 있습니다.

ESXi 호스트에 직접 연결된 VMware Host Client를 사용하여 로컬 사용자 및 그룹을 관리하고 로컬 사용자 지정 역할을 ESXi 호스트에 추가할 수 있습니다. "vSphere 단일 호스트 관리 - VMware Host Client" 설명서를 참조하십시오.

vSphere 6.0 이상에서는 ESXi 로컬 사용자 계정 관리에 ESXCLI 계정 관리 명령을 사용할 수 있습니다. Active Directory 계정(사용자 및 그룹)과 ESXi 로컬 계정(사용자만) 모두에 대한 사용 권한 설정 또는 제거에 ESXCLI 사용 권한 관리 명령을 사용할 수 있습니다.

참고: 호스트에 직접 연결하여 ESXi 호스트에 대한 사용자를 정의하고 동일한 이름의 사용자가 vCenter Server에도 있는 경우 해당 사용자가 다릅니다. ESXi 사용자에게 역할을 할당하는 경우 vCenter Server 사용자에는 동일한 역할이 할당되지 않습니다.

미리 정의된 ESXi 사용자 및 권한

환경에 vCenter Server 시스템이 포함되지 않는 경우 다음 사용자가 미리 정의됩니다.

루트 사용자

기본적으로 각 ESXi 호스트에는 관리자 역할이 있는 단일 루트 사용자 계정이 있습니다. 해당 루트 사용자 계정은 로컬 관리에 사용할 수 있으며 호스트를 vCenter Server에 연결하는 데 사용할 수 있습니다.

루트 사용자 권한을 할당하면 이 이름이 이미 알려져 있으므로 ESXi 호스트에 더 쉽게 침입할 수 있습니다. 또한 공통 루트 계정을 가지면 사용자에 대한 작업을 일치시키기도 더 어려워집니다.

더 나은 감사가 이루어지도록 하려면 관리자 권한을 가진 개별 계정을 생성하십시오. 루트 계정에 매우 복잡한 암호를 설정하고 vCenter Server에 호스트를 추가하는 등의 경우에 사용하기 위한 루트 계정의 사용을 제한합니다. 루트 계정은 제거하지 마십시오. ESXi 호스트에 대한 사용 권한을 사용자에게 할당하는 데 대한 자세한 내용은 "vSphere 단일 호스트 관리 - VMware Host Client" 설명서를 참조하십시오.

가장 좋은 방법은 ESXi 호스트에서 관리자 역할이 있는 계정이 명명된 계정이 있는 특정 사용자에게 할당되었는지 확인하는 것입니다. ESXi Active Directory 기능을 사용하여 Active Directory 자격 증명을 관리합니다.

중요: 루트 사용자의 액세스 권한을 제거할 수 있습니다. 하지만 먼저 루트 수준에서 다른 권한을 생성하여 관리자 역할에 다른 사용자를 할당해야 합니다.

vpxuser 사용자

vCenter Server에서는 호스트의 작업을 관리할 때 vpxuser 권한을 사용합니다.

vCenter Server 관리자는 호스트에서 루트 사용자와 동일한 작업을 대부분 수행할 수 있으며 작업을 스케줄링하고 템플릿 등과 관련된 작업도 수행할 수 있습니다. 그러나 vCenter Server 관리자는 호스트의 로컬 사용자 및 그룹을 직접 만들거나 삭제하거나 편집할 수 없습니다. 관리자 권한을 가진 사용자만 호스트에서 직접 이러한 작업을 수행할 수 있습니다.

Active Directory를 사용하여 vpxuser 사용자를 관리할 수는 없습니다.

경고: 어떤 식으로든 vpxuser 사용자를 변경하지 마십시오. 암호 및 사용 권한을 변경하면 안 됩니다. 암호나 사용 권한을 변경하면 vCenter Server를 통해 호스트에 대한 작업을 수행할 때 문제가 발생할 수 있습니다.

dcui 사용자

dcui 사용자는 관리자 권한으로 호스트에서 실행됩니다. 이 사용자는 기본적으로 DCUI(Direct Console User Interface)에서 호스트를 잠금 모드로 구성하기 위한 용도로 사용됩니다.

이 사용자는 직접 콘솔의 에이전트 역할을 하므로 대화형 사용자가 수정하거나 사용할 수 없습니다.

루트가 아닌 ESXi 사용자에 대한 셸 액세스 비활성화

vSphere 8.0 이상에서는 루트가 아닌 ESXi 사용자(예: 미리 정의된 vpxuser 및 dcui 사용자)에 대한 셸 액세스를 비활성화할 수 있습니다. 셸 액세스를 비활성화하면 이러한 사용자에 대해 "API 전용" 규칙을 적용하여 보안을 강화할 수 있습니다.

셸 액세스를 비활성화하려면 esxcli system account set --id user --shell-access false 명령을 사용하면 됩니다. 해당 API는 LocalAccountManager.updateUser입니다. VMware Host Client를 사용하여 ESXi 로컬 사용자의 [셸 액세스 사용] 플래그를 변경할 수도 있습니다.

참고: 관리 액세스 권한이 있는 사용자의 셸 액세스 권한을 비활성화하면(셸 액세스가 거부되어) 해당 사용자는 다른 사용자에게 셸 액세스 권한을 부여하거나 셸 액세스 권한이 있는 사용자의 암호를 변경할 수 없습니다. 호스트 프로파일과 같은 다른 권한은 vpxuser 및 dcui와 같은 사용자가 다른 사용자의 암호를 변경할 수 있도록 허용합니다.

이러한 종류의 변경을 수행할 때는 기존 타사 워크플로를 중단하지 않는지 확인합니다.