permissões do servidor vCenter olhar de Let Introdução
VCenterserver sistema de controle de acesso permite que os administradores para definir permissões de usuário para acessar objetos no inventário.
Então nós deixar claro alguns conceitos:
- Permissões: permissões para cada usuário para especificar o grupo ou um grupo ou um usuário com privilégios a que objetos
sistema de servidor vCenter depende das permissões atribuídas ao modelo de objeto em permissões vSphere. Cada autoridade fornecerá um conjunto de privilégios a um usuário ou grupo, que é um papel para o objeto selecionado. Diferente para cada função determina um conjunto de permissões atribuídas a diferentes usuários ou grupos de usuários
- Privilege: executar operações específicas, tais como a máquina virtual, criar um alerta
- Função: um conjunto de privilégios.
- Objeto: Alvo para executar uma operação. (Centro de dados, pastas, pools de recursos, os clusters, os anfitriões, armazenamento de dados, rede e máquina virtual)
- Usuários grupo lata que está indo para executar essas operações, você pode apenas privilégios atribuir a usuários autenticados ou autenticados: usuários ou grupos
Por exemplo, você pode selecionar um objeto de máquina virtual, adicionar uma permissão, o papel ReadOnly concedido a um grupo 1, e adicionar uma segunda autoridade, a função de Administrador é concedido para o usuário 2. Atribuindo funções diferentes para um grupo de usuários em objetos diferentes, você pode controlar quais usuários tarefas pode executar em seu ambiente vSphere.
(Sinal de autenticação de usuário único vCenter deve ser registrado para identificar os usuários de código e grupos definidos no ponto único de autenticação vCenter usando os identifica definição ferramenta do usuário de origem e de grupo (por exemplo, Active Directory) no caracteres padrão (por exemplo, administrador) no servidor vCenter é predefinido e não pode ser alterado. outros papéis (como administrador do pool de recursos) é um exemplo de funções predefinidas. Você pode começar do zero para criar funções personalizadas podem ser criados por clonagem e papéis exemplos de modificação papéis personalizados)
para adicionar permissões para o diretório vCenterserver
- Selecione um objeto no cliente vSphere web (pode ser um centro de dados pode ser uma pasta, ele pode ser uma máquina virtual)
- Botão direito do mouse as permisions selecione Adicionar um usuário ou grupo permissões para este objeto de implementar, e, em seguida, dar ao usuário ou grupo para atribuir um papel
Sobre o papel:
um conjunto de privilégios é atribuído a uma função:
- Roles permitir que usuários executem tarefas.
- Para simplificar a configuração, os personagens agrupados por categoria (funções do sistema, exemplo papel, funções personalizadas)
• Função de administrador: função de Administrador permite ao usuário visualizar um objeto e realizar todas as operações sobre o objeto.
• Sem Papel senha do administrador: objeto não tem um papel a senha do usuário administrador para o usuário com a função de Administrador tem os mesmos privilégios, exceto privilégio operações criptográficas.
papel • Sem acesso: o usuário não tem acesso ao papel de objeto não pode visualizar ou alterar o objeto de qualquer forma.
• somente leitura papéis: somente leitura objeto caráter permite visualizar informações detalhadas sobre o estado do objeto e do objeto do usuário.
Todos os papéis são independentes uns dos outros. Nenhuma hierarquia ou herança entre eles
O objeto é uma entidade realizar operações.
Os objetos incluem centros de dados, pastas, pools de recursos, clusters, anfitriões, armazenamento de dados, rede e máquinas virtuais. Todos os objetos têm uma guia permissões. Permissões guia exibe usuários ou grupos e funções associadas com o objeto selecionado
As permissões de aplicativos
- A primeira cena
Permissões aplicada directamente a um objecto permissões substituição herdadas
As permissões podem propagar ao longo para baixo na hierarquia objeto para todos os objetos filho, pode ser aplicado apenas objetos diretos.
Além de especificar as permissões são propagadas para baixo, mas também pode ser explicitamente definido por diferentes objeto privilégio para um nível inferior ao de nível superior cover conjunto de permissões. No slide, o usuário Greg é concedido acessar dados somente leitura no centro de treinamento. Este papel será propagada para todos os objetos filho, exceto máquina virtual Prod03-2. Para esta máquina virtual, Greg é um administrador.
- O segundo cenário
Se um usuário pertencer a vários grupos e grupos têm permissões diferentes para o mesmo objeto: permissões de usuários são atribuídos a vários grupos do conjunto
quando um usuário é membro de diferentes grupos são atribuídos diferentes papéis e, em seguida, aplicar sobre o mesmo assunto, todas as permissões para este objeto, em seguida, o usuário terá esses papéis
no slide, Grupo1 é atribuído papel VM_Power_On, que é uma função personalizada contém apenas um privilégio: a capacidade de rodar em uma máquina virtual. Grupo2 foi atribuído papel take_snapshot, que é um outro costume papéis incluem privilégios para criar e instantâneos de exclusão. Ambos os papéis são propagadas para objetos filho. Porque Greg pertencem ao Grupo 1 e Grupo 2, para que ele recebeu treinamento no centro de dados VM_Power_On e privilégios take_snapshot para todos os objetos.
- A terceira cena
Cada equipe tem permissões diferentes para cada objeto, como se o usuário diretamente sobre as permissões apropriadas, diretamente no objeto e Privilege
Como quando um usuário é um membro de vários grupos têm diferentes permissões em um objeto, os mesmos direitos (e outro grupo os mesmos direitos) aplicam-se a este grupo tem permissões para cada objeto, como se eles foram concedidos diretamente para o usuário.
No slide, Grupo1 é alocado no centro de dados como uma função de administrador de treinamento, Grupo2 são atribuídos a read-only papel no objeto da máquina virtual Prod03-1. Permissões concedidas Group1 é propagada para objetos filho. Porque Greg é membro do Grupo1 e Grupo2, por isso, além da máquina chamada Prod03-1 virtual (camada inferior da meta), que tem privilégios de administrador no treinamento de todo o centro de dados (objetos de nível superior), e seu acesso só de leitura.
- A quarta cena
Permissões para o utilizador defina explicitamente um objecto tem precedência sobre todas as permissões de grupo no mesmo objecto.
No slide, existem três permissões são atribuídas aos centros de dados de treinamento: • Grupo 1 é atribuída ao papel VM_Power_On. • Grupo2 atribuído papel take_snapshot. • Greg foi designado para somente leitura papel. Porque Greg é membro do Grupo1 e Grupo2, também presume-se que todos os papéis na disseminação de objetos filho estão habilitados. Embora Greg é membro do Grupo1 e Grupo2, mas ele tem acesso somente leitura a todos os objetos no centro de dados e sua formação ao abrigo. Greg get acesso somente leitura, porque permissões de usuário explícitas em objetos têm precedência sobre todas as permissões de grupo sobre o mesmo assunto.
Criar uma função:
basta criar a tarefa necessária de papéis coadjuvantes: por exemplo, um criador de máquina virtual. Utilize pastas para executar permissões alcance limitado: por exemplo, máquinas virtuais criadas papel atribuído ao usuário e aplicá-lo para a pasta de Nancy financeira.
máquinas virtuais criadas papel é um dos muitos exemplos que podem ser criados papel. Como uma prática recomendada, usar como poucos privilégios definir uma função, a fim de maximizar a segurança e controle do meio ambiente.
Além disso, dado o nome de papel, deixou claro que cada função permite que o conteúdo esclarecer a sua finalidade.
Use pastas para conter alçada.
Por exemplo, para limitar a criação da máquina virtual, criar uma pasta na visualização de inventário VMs e Modelos. Nesta pasta para o usuário para criar uma função de aplicativo da máquina virtual.
