permisos del servidor vCenter mirada vamos Introducción
sistema de control de acceso VCenterserver permite a los administradores definir permisos de usuario a los objetos de acceso en el inventario.
Luego dejar en claro algunos conceptos:
- Permisos: permisos para cada usuario para especificar el grupo o un grupo o un usuario con privilegios a los que objetos
sistema de servidor vCenter depende de los permisos asignados al modelo de objetos en permisos vSphere. Cada autoridad proporcionará un conjunto de privilegios a un usuario o grupo, que es un papel para el objeto seleccionado. Diferente para cada papel determina un conjunto de permisos asignados a diferentes usuarios o grupos de usuarios
- Privilegio: realizar operaciones específicas tales como la máquina virtual, crear una alerta
- Papel: un conjunto de privilegios.
- Objeto: Blanco al realizar una operación. (Centro de datos, carpetas, grupos de recursos, racimos, hosts, almacenamiento de datos, la red y la máquina virtual)
- Usuarios grupo lata que se va a realizar estas operaciones, sólo puede asignar privilegios a los usuarios autenticados o autenticados: los usuarios o grupos
Por ejemplo, puede seleccionar un objeto de máquina virtual, añadir un permiso, el papel de sólo lectura concedida a un grupo 1, y añadir una segunda autoridad, la función de administrador se concede al usuario 2. Al asignar diferentes roles a un grupo de usuarios en diferentes objetos, puede controlar qué usuarios pueden realizar tareas en su entorno vSphere.
(Autenticación de usuario vCenter inicio de sesión único debe ser registrado para la identificación de los usuarios de origen y grupos definidos en el punto único de autenticación vCenter utilizando las herramientas de definición identifica la fuente de usuario y de grupo (por ejemplo, Active Directory) en el carácter por defecto (por ejemplo, administrador) en el servidor vCenter está predefinida y no puede ser cambiado. otras funciones (como administrador del fondo de recursos) es un ejemplo de una roles predefinidos. puede empezar desde cero para crear funciones personalizadas se pueden crear mediante la clonación y los roles de los ejemplos de modificación papeles personalizados)
para agregar permisos al directorio vCenterserver
- Seleccione un objeto en el cliente vSphere Web (puede ser un centro de datos puede ser una carpeta, puede ser una máquina virtual)
- Haga clic con el permisions Selección de ADD permisos a un usuario o grupo para este objeto de implementar, y después dar al usuario o grupo para asignar un papel
Sobre el papel:
un conjunto de privilegios se asigna a una función:
- Papeles permiten a los usuarios realizar tareas.
- Para simplificar la configuración, los distintos grupos de categoría (funciones de sistema, ejemplo papel, papeles personalizados)
• Función de administrador: Función de administrador permite al usuario ver un objeto y realizar todas las operaciones en el objeto.
• No hay papel clave del administrador: objeto no tiene un papel clave del usuario administrador al usuario con la función de administrador tiene los mismos privilegios, a excepción de privilegio operaciones criptográficas.
papel • Sin acceso: el usuario no tiene acceso a la función objeto no puede ver o cambiar el objeto de ninguna manera.
• Roles de sólo lectura: de sólo lectura objeto de caracteres le permite ver información detallada sobre el estado del objeto y el objeto del usuario.
Todas las funciones son independientes entre sí. Sin jerarquía o heredad entre ellos
El objeto es una entidad de realizar operaciones.
Los objetos incluyen los centros de datos, carpetas, grupos de recursos, clusters, anfitriones, almacenamiento de datos de red y máquinas virtuales. Todos los objetos tienen una pestaña de permisos. Permisos ficha muestra usuarios o grupos y funciones asociadas con el objeto seleccionado
permisos de la aplicación
- La primera escena
Permisos de aplicarse directamente a una permisos override objeto heredado
Los permisos pueden propagarse a lo largo abajo de la jerarquía de objetos de todos los objetos secundarios, se puede aplicar sólo los objetos directos.
Además de especificar los permisos se propagan hacia abajo, pero también se puede establecer explícitamente por diferente objeto de privilegio a un nivel inferior al conjunto de permisos tapa más alta de nivel. En la diapositiva, Greg usuario se le concede datos de acceso de sólo lectura en el centro de formación. Este papel se propagará a todos los objetos secundarios con excepción de máquina virtual Prod03-2. Para esta máquina virtual, Greg es un administrador.
- El segundo escenario
Si un usuario pertenece a varios grupos y los grupos tienen diferentes permisos a un mismo objeto: permisos usuarios se asignan a varios grupos del conjunto
cuando un usuario es miembro de diferentes grupos se asignan diferentes papeles y luego aplicar sobre el mismo tema, todos los permisos para este objeto, el usuario tendrán estos papeles
en la diapositiva, Grupo 1 se le asigna el papel VM_Power_On, que es una función personalizada contiene sólo un privilegio: la capacidad de funcionar en una máquina virtual. Grupo 2 fue asignado el papel take_snapshot, que es otra costumbre papeles incluyen privilegios para crear y instantáneas de borrado. Ambas funciones se propagan a los objetos secundarios. Debido a Greg pertenecen a Grupo 1 y Grupo 2, por lo que recibió entrenamiento en el centro de datos y privilegios VM_Power_On take_snapshot para todos los objetos.
- La tercera escena
Cada equipo tiene diferentes permisos para cada objeto, como si el usuario directamente en los permisos apropiados, directamente en el objeto y el privilegio
Al igual que cuando un usuario es un miembro de varios grupos tener distintos permisos en un objeto, los mismos derechos (y otro grupo de los mismos derechos) se aplican a este grupo tiene permisos para cada objeto, como si se les concedió directamente al usuario.
En la diapositiva, Grupo 1 se le asigna en el centro de datos como una función de administrador de formación, Grupo 2 se asignan a sólo lectura papel en la máquina objeto virtual Prod03-1. Los permisos concedidos Grupo1 se propaga a los objetos secundarios. Debido a que Greg es un miembro del Grupo 1 y Grupo 2, por lo que además de la máquina llamada Prod03-1 virtual (objetivo capa inferior), que tiene privilegios de administrador en el entrenamiento de la totalidad del centro de datos (objetos de nivel superior), y su acceso de sólo lectura.
- La cuarta escena
Permisos para el usuario para definir explícitamente un objeto tiene prioridad sobre todos los permisos de grupo sobre el mismo objeto.
En la diapositiva, hay tres permisos se asignan a los centros de datos de entrenamiento: • Grupo 1 está asignada a un rol VM_Power_On. • Grupo 2 le asigna el papel take_snapshot. • Greg fue asignado a la función de sólo lectura. Debido a que Greg es un miembro del Grupo 1 y Grupo 2, también se asume que todos los papeles en la difusión de los objetos secundarios están habilitadas. Aunque Greg es un miembro del Grupo 1 y Grupo 2, pero tiene acceso a todos los objetos en el centro de datos y su formación en el marco de sólo lectura. Greg consiga acceso de sólo lectura, ya que los permisos de usuario explícitos sobre los objetos tienen prioridad sobre todos los permisos de grupo sobre el mismo tema.
Crear un papel:
acaba de crear la tarea necesaria de papeles secundarios: por ejemplo, un creador de la máquina virtual. Utilice carpetas para ejecutar permisos de alcance limitado: por ejemplo, las máquinas virtuales creadas papel asignan al usuario y se aplican a la carpeta Nancy financiera.
Las máquinas virtuales creadas papel es uno de los muchos ejemplos que se pueden crear papel. Como práctica recomendada, utilice el menor número de privilegios definen un papel, con el fin de maximizar la seguridad y el control del medio ambiente.
Además, dado el nombre de la función, dejó claro que cada función permite que el contenido de aclarar su propósito.
Utilice carpetas para contener competencia.
Por ejemplo, para limitar la creación de la máquina virtual, crear una carpeta en la vista de inventario de VM y plantillas. En esta carpeta para el usuario para crear una función de aplicación de la máquina virtual.
