vSphere安全性 3单击某行以选择权限 任务 更改权限 a单击更改角色图标 b从角色下拉菜单中为用户或组选择一个角色 c切换传播到子项复选框以更改权限继承。 d单击确定 移除权限 单击移除权限图标。 更改用户验证设置 vCenter Server定期根据用户目录中的用户和组验证其用户和组列表。根据验证结果,它会移除该域中不再 存在的用户或组。可以禁用验证或更改两次验证之间的时间间隔。如果域中有数千个用户或组,或者如果完 成搜索需要很长时间,则可以考虑调整搜索设置 寸于早于 vCenter server50的 vCenter server版本,这些设置适用于与 vCenter server关联的 Active Directory。对于 v Center server5.0及更高版本,这些设置适用于 vCenter Single Sign-On标识源 注此步骤仅适用于 vCenter server用户列表。您无法以相同的方式搜索EsXi用户列表。 步骤 1在 vSphere Client对象导航器中,浏览到 vCenter server系统。 2选择配置,然后单击设置>常规 3单击编辑,然后选择用户目录 4根据需要更改值,然后单击保存。 用户目录超时 连接到 Active Directory服务器的超时时间间隔(以秒为单位)。该值指定 enter server允许搜索在所选域上运行的最大时间。搜索大型域需要很长时间。 查询限制 启用此选项可设置 vCenter Server显示的最大用户和组数目。 查询限制大小 在选择用户或组对话框中 vCenter server显示所选域中用户和组的最大数目。如果 输入0(零),则所有用户和组均会出现。 禁用此选项可禁用验证 验周期 指定 vCenter Server.验证权限的频率(以分钟为单位)。 全局权限 全局权限应用到跨多个解决方案的全局root对象,例如, vCenter server和 REalize orchestrator。使用全 局权限可为用户或组提供所有对象层次结构中所有对象的特权。 VMware,lc保留所有权利
3 单击某行以选择权限。 任务 步骤 更改权限 a 单击更改角色图标。 b 从角色下拉菜单中为用户或组选择一个角色。 c 切换传播到子项复选框以更改权限继承。 d 单击确定。 移除权限 单击移除权限图标。 更改用户验证设置 vCenter Server 定期根据用户目录中的用户和组验证其用户和组列表。根据验证结果,它会移除该域中不再 存在的用户或组。可以禁用验证或更改两次验证之间的时间间隔。如果域中有数千个用户或组,或者如果完 成搜索需要很长时间,则可以考虑调整搜索设置。 对于早于 vCenter Server 5.0 的 vCenter Server 版本,这些设置适用于与 vCenter Server 关联的 Active Directory。对于 vCenter Server 5.0 及更高版本,这些设置适用于 vCenter Single Sign-On 标识源。 注 此步骤仅适用于 vCenter Server 用户列表。您无法以相同的方式搜索 ESXi 用户列表。 步骤 1 在 vSphere Client 对象导航器中,浏览到 vCenter Server 系统。 2 选择配置,然后单击设置 > 常规。 3 单击编辑,然后选择用户目录。 4 根据需要更改值,然后单击保存。 选项 描述 用户目录超时 连接到 Active Directory 服务器的超时时间间隔(以秒为单位)。该值指定 vCenter Server 允许搜索在所选域上运行的最大时间。搜索大型域需要很长时间。 查询限制 启用此选项可设置 vCenter Server 显示的最大用户和组数目。 查询限制大小 在选择用户或组对话框中 vCenter Server 显示所选域中用户和组的最大数目。如果 输入 0(零),则所有用户和组均会出现。 验证 禁用此选项可禁用验证。 验证周期 指定 vCenter Server 验证权限的频率(以分钟为单位)。 全局权限 全局权限应用到跨多个解决方案的全局 root 对象,例如,vCenter Server 和 vRealize Orchestrator。使用全 局权限可为用户或组提供所有对象层次结构中所有对象的特权。 vSphere 安全性 VMware, Inc. 保留所有权利。 26
vSphere安全性 每个解决方案自身的对象层次结构中都有一个root对象。全局root对象充当所有解决方案的root对象的父 对象。您可以向用户或组分配全局权限,确定每个用户或组的角色。角色确定用户或组针对层次结构中所有 对象所具有的一组特权。您可以分配预定义角色,也可以创建自定义角色。请参见使用角色分配特权。重要 的是对 vCenter Server权限与全局权限加以区分 vCenter server权限 您通常将权限应用到 vCenter server清单对象,如ESXi主机或虚拟机。操 作时,指定拥有一组对象特权的用户或组(叫做角色)。 全局权限 全局权限向用户和组提供查看或管理部署的每个清单层次结构中所有对象的特 如果分配了全局权限但未选择“传播”,则与此权限关联的用户或组无法访问 层次结构中的对象。这些用户和组仅拥有某些功能的访问权限,如创建角色。 重要使用全局权限时要小心谨慎。确认您确实希望分配对所有清单层次结构中所有对象的权限。 添加全局权限 可以使用全局权限向用户或组授予对您的部署中所有清单层次结构中的所有对象的特权。 重要使用全局权限时要小心谨慎。确认您确实希望分配对所有清单层次结构中所有对象的权限。 前提条件 您必须对所有清单层次结构的根对象具有权限修改权限特权,才能执行此任务 步骤 1使用 vSphere Client登录 vCenter server 2选择系统管理,然后在“访问控制”区域中单击全局权限 3单击添加权限图标 选择将拥有选定角色所定义的特权的用户或组。 a从用户下拉菜单中,选择用户或组所在的域 b在“搜索”框中键入名称。 系统将搜索用户名和组名称。 c选择用户或组 5从角色下拉菜单中选择角色。 6通过选中传播到子对象复选框,决定是否传播权限。 如果分配了全局权限但未选中传播到子对象,则与此权限关联的用户或组无法访问层次结构中的对象 这些用户和组仅拥有某些功能的访问权限,如创建角色。 7单击确定。 VMware,lc保留所有权利
每个解决方案自身的对象层次结构中都有一个 root 对象。全局 root 对象充当所有解决方案的 root 对象的父 对象。您可以向用户或组分配全局权限,确定每个用户或组的角色。角色确定用户或组针对层次结构中所有 对象所具有的一组特权。您可以分配预定义角色,也可以创建自定义角色。请参见使用角色分配特权。重要 的是对 vCenter Server 权限与全局权限加以区分。 vCenter Server 权限 您通常将权限应用到 vCenter Server 清单对象,如 ESXi 主机或虚拟机。操 作时,指定拥有一组对象特权的用户或组(叫做角色)。 全局权限 全局权限向用户和组提供查看或管理部署的每个清单层次结构中所有对象的特 权。 如果分配了全局权限但未选择“传播”,则与此权限关联的用户或组无法访问 层次结构中的对象。这些用户和组仅拥有某些功能的访问权限,如创建角色。 重要 使用全局权限时要小心谨慎。确认您确实希望分配对所有清单层次结构中所有对象的权限。 添加全局权限 可以使用全局权限向用户或组授予对您的部署中所有清单层次结构中的所有对象的特权。 重要 使用全局权限时要小心谨慎。确认您确实希望分配对所有清单层次结构中所有对象的权限。 前提条件 您必须对所有清单层次结构的根对象具有权限.修改权限特权,才能执行此任务。 步骤 1 使用 vSphere Client 登录 vCenter Server。 2 选择系统管理,然后在“访问控制”区域中单击全局权限。 3 单击添加权限图标。 4 选择将拥有选定角色所定义的特权的用户或组。 a 从用户下拉菜单中,选择用户或组所在的域。 b 在“搜索”框中键入名称。 系统将搜索用户名和组名称。 c 选择用户或组。 5 从角色下拉菜单中选择角色。 6 通过选中传播到子对象复选框,决定是否传播权限。 如果分配了全局权限但未选中传播到子对象,则与此权限关联的用户或组无法访问层次结构中的对象。 这些用户和组仅拥有某些功能的访问权限,如创建角色。 7 单击确定。 vSphere 安全性 VMware, Inc. 保留所有权利。 27
vSphere安全性 标记对象的权限 在 vCenter Server对象层次结构中,标记对象不是 vCenter Server的子项,而是在 vCenter Server root级 别创建的。在具有多个 vCenter server实例的环境中,标记对象在 vCenter server实例间共享。标记对象 权限的工作方式不同于 vCenter Server对象层次结构中其他对象的权限 只有全局权限或分配给标记对象的权限适用 如果将权限授予 vCenter server清单对象(例如虚拟机)上的某个用户,则该用户可以执行与该权限相关的 任务。但是,用户无法对对象执行标记操作。 例如,如果将分配 vSphere标记特权授予主机TPA上的用户Dana,该权限对Dana能否在主机TPA上分 配标记没有影响。Dana必须拥有root级别的分配 VSphere标记特权(即全局权限)或者必须拥有针对该 标记对象的特权。 表21.全局权限和标记对象权限如何影响用户可以执行的操作 vCenter server对埭级别的 全局权限 标记级别的权限 未分配标记特权。 Dana拥有标记的分配或取消分Dana在ESXi主机TPA上拥有Dana拥有标记的分配或取消分 配 vSphere标记特权 删除 vSphere标记待权 配 vSphere标记特权 Dana拥有分配或取消分配未分配标记特权 Dana在ESX主机TPA上拥有Dana拥有分配或取消分配 Sphere标记特杠 删除 vSphere标记特权 vSphere标记全局特权。这包 括标记级别的特权 未分配标记特权 未分配标记特权 Dana在ESXi主机TPA上拥有Dana在任何对象(包括主机 分配取消分配 vSphere标记TPA)上均没有标记特权 全局权限是标记对象权限的补充 全局权限,即在根对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。 vCenter Server 权限不会影响标记对象。 例如,假设您在root级别使用全局权限向用户Robn分配了删除 vSphere标记特权。对于标记“生产” 您未向Robn分配删除 vSphere标记特权。这种情况下, Robin对标记“生产”拥有特权,因为 Robin拥 有全局权限。除非修改全局权限,否则您无法限制特权。 表22.全局权限是标记级别权限的补充 标记级别的权限 有效权限 Robin拥有删除 vSphere标记特权 Robin没有标记的删除 vSphere Robin拥有删除 vSphere标记特权 标记特 未分配标记特权 Robin没有针对标记分配的删除 Robin没有删除 vSphere标记特权 vSphere标记特权。 标记级别权限可以扩展全局权限 可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限 VMware,lc保留所有权利
标记对象的权限 在 vCenter Server 对象层次结构中,标记对象不是 vCenter Server 的子项,而是在 vCenter Server root 级 别创建的。在具有多个 vCenter Server 实例的环境中,标记对象在 vCenter Server 实例间共享。标记对象 权限的工作方式不同于 vCenter Server 对象层次结构中其他对象的权限。 只有全局权限或分配给标记对象的权限适用 如果将权限授予 vCenter Server 清单对象(例如虚拟机)上的某个用户,则该用户可以执行与该权限相关的 任务。但是,用户无法对对象执行标记操作。 例如,如果将分配 vSphere 标记特权授予主机 TPA 上的用户 Dana,该权限对 Dana 能否在主机 TPA 上分 配标记没有影响。Dana 必须拥有 root 级别的分配 vSphere 标记特权(即全局权限)或者必须拥有针对该 标记对象的特权。 表 2‑1. 全局权限和标记对象权限如何影响用户可以执行的操作 全局权限 标记级别的权限 vCenter Server 对象级别的 权限 有效权限 未分配标记特权。 Dana 拥有标记的分配或取消分 配 vSphere 标记特权。 Dana 在 ESXi 主机TPA 上拥有 删除 vSphere 标记特权。 Dana 拥有标记的分配或取消分 配 vSphere 标记特权。 Dana 拥有分配或取消分配 vSphere 标记特权。 未分配标记特权。 Dana 在 ESXi 主机TPA 上拥有 删除 vSphere 标记特权。 Dana 拥有分配或取消分配 vSphere 标记全局特权。这包 括标记级别的特权。 未分配标记特权。 未分配标记特权。 Dana 在 ESXi 主机TPA 上拥有 分配或取消分配 vSphere 标记 特权。 Dana 在任何对象(包括主机 TPA)上均没有标记特权。 全局权限是标记对象权限的补充 全局权限,即在根对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。vCenter Server 权限不会影响标记对象。 例如,假设您在 root 级别使用全局权限向用户 Robin 分配了删除 vSphere 标记特权。对于标记“生产”, 您未向 Robin 分配删除 vSphere 标记特权。这种情况下,Robin 对标记“生产”拥有特权,因为 Robin 拥 有全局权限。除非修改全局权限,否则您无法限制特权。 表 2‑2. 全局权限是标记级别权限的补充 全局权限 标记级别的权限 有效权限 Robin 拥有删除 vSphere 标记特权 Robin 没有标记的删除 vSphere 标记特权。 Robin 拥有删除 vSphere 标记特权。 未分配标记特权 Robin 没有针对标记分配的删除 vSphere 标记特权。 Robin 没有删除 vSphere 标记特权 标记级别权限可以扩展全局权限 可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限。 vSphere 安全性 VMware, Inc. 保留所有权利。 28
vSphere安全性 表23.全局权限可以扩展标记级别权限 全局权限 有效权限 Lee拥有分配威取消分配 vSphere Lee拥有删除 vSphere标记特权。Lee拥有标记的分配 vSphere标记特权和删除 vSphere 未分配标记特权。 Lee拥有针对标记分配的删除 Lee拥有标记的删除 vSphere标记特权。 vSphere标记特权。 使用角色分配特权 角色是一组预定义的特权。特权定义了执行操作和读取属性所需的权限。例如,虚拟机管理员角色允许用户 读取和更改虚拟机属性 分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。对于清单中的不同对象,单个用户或 组可能有不同角色。 例如,假设清单中有两个资源池(池A和池B)。可以为组Saes在池A上分配虚拟机用户角色,而在池 B上分配只读角色。执行上述分配后,组Saes中的用户可以打开池A中的虚拟机,但只能查看池B中的 虚拟机。 默认情况下, vCenter Server可提供系统角色和样本角色。 系统角色 系统角色是永久的。不能编辑与这些角色关联的特权 样本角色 VMware可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移 除这些角色。 注为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行 修改。无法将样本重置为其默认设置 用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。 注即使所涉及到的用户已登录,对角色和特权的更改也会立即生效。但搜索除外,更改会在用户注销再重 新登录之后才生效。 vCenter server和Esi中的自定义角色 可以为 vCenter server及其管理的所有对象或者为各个主机创建自定义角色 vCenter server自定义角可使用 vSphere Client中的角色编辑功能创建自定义角色,以创建符合用户 色(推荐) 需求的特权组。 EsXi自定义角色 可以使用cL或 VMware Host Client为各个主机创建自定义角色。请参见 vSphere单台主机管理 VMware Host client文档。自定义主机角色无法从 vCenter Server进行访问。 如果通过 vCenter Server管理Esxi主机,请勿保留主机和 vCenter server 中的自定义角色。在 vCenter Server级别定义角色。 VMware,lc保留所有权利
表 2‑3. 全局权限可以扩展标记级别权限 全局权限 标记级别的权限 有效权限 Lee 拥有分配或取消分配 vSphere 标记特权。 Lee 拥有删除 vSphere 标记特权。 Lee 拥有标记的分配 vSphere 标记特权和删除 vSphere 标记特权。 未分配标记特权。 Lee 拥有针对标记分配的删除 vSphere 标记特权。 Lee 拥有标记的删除 vSphere 标记特权。 使用角色分配特权 角色是一组预定义的特权。特权定义了执行操作和读取属性所需的权限。例如,虚拟机管理员角色允许用户 读取和更改虚拟机属性。 分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。对于清单中的不同对象,单个用户或 组可能有不同角色。 例如,假设清单中有两个资源池(池 A 和池 B)。可以为组 Sales 在池 A 上分配虚拟机用户角色,而在池 B 上分配只读角色。执行上述分配后,组 Sales 中的用户可以打开池 A 中的虚拟机,但只能查看池 B 中的 虚拟机。 默认情况下,vCenter Server 可提供系统角色和样本角色。 系统角色 系统角色是永久的。不能编辑与这些角色关联的特权。 样本角色 VMware 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移 除这些角色。 注 为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行 修改。无法将样本重置为其默认设置。 用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。 注 即使所涉及到的用户已登录,对角色和特权的更改也会立即生效。但搜索除外,更改会在用户注销再重 新登录之后才生效。 vCenter Server 和 ESXi 中的自定义角色 可以为 vCenter Server 及其管理的所有对象或者为各个主机创建自定义角色。 vCenter Server 自定义角 色(推荐) 可使用 vSphere Client 中的角色编辑功能创建自定义角色,以创建符合用户 需求的特权组。 ESXi 自定义角色 可以使用 CLI 或 VMware Host Client 为各个主机创建自定义角色。请参见 vSphere 单台主机管理 - VMware Host Client 文档。自定义主机角色无法从 vCenter Server 进行访问。 如果通过 vCenter Server 管理 ESXi 主机,请勿保留主机和 vCenter Server 中的自定义角色。在 vCenter Server 级别定义角色。 vSphere 安全性 VMware, Inc. 保留所有权利。 29
vSphere安全性 使用 vCenter Server管理主机时,可以通过 vCenter Server创建与该主机关联的权限并将其存储在 vCenter Server上。如果直接连接到主机,则只有直接在主机上创建的角色才可用。 注如果您添加自定义角色而不向其分配任何特权,则该角色将创建为只读角色,且具有以下三个系统定义 的特权:系统匿名、系统查看和系统读取。 在 vSphere Web Client中创建角色 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref: video creating_ role in vsphere webclient) 创建自定义角色 您可以创建 vCenter server自定义角色,以满足环境的访问控制需求。可以创建角色或克隆现有角色。 您可以在与其他 VCenter Server系统属于同一个 vCenter Single Sign-On域的 vCenter Server系统上创建 或编辑角色。 VMware Directory Service( vidin)会将您所做的角色更改传播到组中的所有其他 vCenter Server 系统。对特定用户和对象的角色分配不会在 vCenter Server系统上共享。 前提条件 验证您是否以具有管理员特权的用户身份登录, 1使用 vSphere Client登录 vCenter Server. 2选择系统管理,然后在访问控制区域中单击角色 3创建角色: 选项 描述 创建角色 单击创建角色操作图标。 通过克隆创建角色 选择某个角色,然后单击克隆角色操作图标 有关详细信息,请参见 vCenter server系统角色。 4选择和取消选择角色的特权 有关详细信息,请参见第13章,定义的特权。 注创建克隆的角色时,无法更改特权。要更改特权,请在创建克隆的角色后将其选中,然后单击編辑 角色操作图标 5输入新角色的名称, 6单击完成 后续步骤 现在,您可以通过选择对象并将角色分配给该对象的用户或组来创建权限 VMware,lc保留所有权利
使用 vCenter Server 管理主机时,可以通过 vCenter Server 创建与该主机关联的权限并将其存储在 vCenter Server 上。如果直接连接到主机,则只有直接在主机上创建的角色才可用。 注 如果您添加自定义角色而不向其分配任何特权,则该角色将创建为只读角色,且具有以下三个系统定义 的特权:系统.匿名、系统.查看和系统.读取。 在 vSphere Web Client 中创建角色 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_creating_role_in_vsphere_webclient) 创建自定义角色 您可以创建 vCenter Server 自定义角色,以满足环境的访问控制需求。可以创建角色或克隆现有角色。 您可以在与其他 vCenter Server 系统属于同一个 vCenter Single Sign-On 域的 vCenter Server 系统上创建 或编辑角色。VMware Directory Service (vmdir) 会将您所做的角色更改传播到组中的所有其他 vCenter Server 系统。对特定用户和对象的角色分配不会在 vCenter Server 系统上共享。 前提条件 验证您是否以具有管理员特权的用户身份登录。 步骤 1 使用 vSphere Client 登录 vCenter Server。 2 选择系统管理,然后在访问控制区域中单击角色。 3 创建角色: 选项 描述 创建角色 单击创建角色操作图标。 通过克隆创建角色 选择某个角色,然后单击克隆角色操作图标。 有关详细信息,请参见 vCenter Server 系统角色。 4 选择和取消选择角色的特权。 有关详细信息,请参见第 13 章,定义的特权。 注 创建克隆的角色时,无法更改特权。要更改特权,请在创建克隆的角色后将其选中,然后单击编辑 角色操作图标。 5 输入新角色的名称。 6 单击完成。 后续步骤 现在,您可以通过选择对象并将角色分配给该对象的用户或组来创建权限。 vSphere 安全性 VMware, Inc. 保留所有权利。 30