解析VMware ESXi访问权限和身份验证机制

霉　Ｓｅｃｕｒｉｔｙ＿信息安全　

解析ＶＭｗａ　ｒ　ｅ　ＥＳＸ　ｉ　

访问权限和身份验证机制　

一河南杨雪婵　

虚拟化在企业中的应用变得越来越广泛，在众多的虚拟化产品中，ＶＭＷａｒｅ虚拟机技术　

毫无疑问是大家的首选。和Ｗｉｎｄｏｗｓ系统一样，在ＶＭＷａ　ｒｅ中也提供了完善的访问权限和身份　

验证机制，可以有效的提高安全性，对使用者的操作进行严格的规范　合理的配置访问权限，　

对于保证Ｖｍｗａｒｅ虚拟化产品的正常运行似极为重要的　这里，就由浅入深的讲解了具体的操　

作方法和相关的注意事项。　

管理用户和用户组　

用户具有登录ｖＣｅｎｔｅｒ　果加入到域中，那么对于域　说，可以使用活动目录域账　

户，通过ｖＳｐｈｅｒｅ　Ｃ１ｉｅｎｔ进　

主机或ＶＭＷａｒｅ　ＥＳＸ／ＥＳＸｉ服　

务器的权限，用户组可以包　

括若干用户，可授予其相同　

的权限。用户或用户组可　

在ＶＭＷａｒｅ　ＥＳＸ／ＥＳＸｉ服务器　

中的域管理员来说，默认拥　

有了对ｖＣｅｎｔｅｒ管理的所有　

ＥＳＸ／ＥＳＸｉ服务器，虚拟机等　

对对象完全的控制权限。　

即系统会自动为Ａｃｔｉｖｅ　

Ｄｉｒｅｃｔｏｒｙ中　名　为“ＥＳＸ　

Ａｄｍｉｎｓ”组中的用户分　

行登录。当然，只有域管理　

员组中的成员才可以使用　

ＤＣＵＩ直接控制台界面。在　

ｖＣｅｎｔｅｒ主机和ＥＳＸ／ＥＳＸｉ主　

机分别管理自己的角色组，　

创建．也可在ｖＣｅｎｔｅｒ主机　

上创建。当然，也可借助于　

Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ域账户进　

角色是分开管理的，即某个　

用户直接登录到ＥＳＸ／ＥＳＸｉ　配ＡｄｍｉｎｉＳｔａｒｔｏｒ角　色。　

行授权。对于ｖＣｅｎｔｅｒ主机　

Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ服务可　

以为本地服务提供身份验　

证，对于ＥＳＸ／ＥＳＸｉ主机来　

主机上，在ｖＣｅｎｔｅｒ主机上　

创建的角色，在ＥＳＸ／ＥＳＸｉ主　

机上是看不到的。　

来说，可以加入域环境，也可　

以运行在工作组环境下。如　

使用角色来分配权限　

角色是一个或多个特权　

的组合，使用特权可以执行　

Ｕｓｅｒ组来说，可以授予其对　

数据存储，Ｇｌｏｂａｌ等访问权　

限。　

色、自定义角色等。对于系　

统角色来说，是永久的不可　

删除的，不能编辑与这些角　

色相关的特权。例如管理员　

特定的任务，可以将一项特　

权和其他特权划分为一个　角色可以按照类别进行　

组。例如对于虚拟机Ｐｏｗｅｒ　

分类，例如系统角色、示例角　角色、Ｒｅａｄ　ｏｎｌｙ角色等。对　

１３４　２（｝１８．０７　ｎ，、ｖｗ　３６５ｍａｓｔｅｒ　ｃ（，ｍ　

！　稍：　ｊ　礁　带　ｄＩ１］ｌ１］　３６５　信息安全Ｉ　Ｓｅｃｕ　ｒｉｔｙ　

于示例角色来说，ＶＭＷａｒｅ为　

了方便起见角色定义，提供　

了样本角色作为准则和建　

于管理员角色来说，就具有　

对所有对象的访问特权，可　

以为ｖＳｐｈｅｒｅ环境中的所有　

ｖＣｅｎｔｅｒ主机用户和所有虚　

了控制台页面之外的所有页　

面内容，也无法利用菜单或　

工具栏执行任何操作。对于　

无权访问角色来说，通常用　

议，可以根据需要修改或删　

除这些角色。　

在ＥＳＸ／ＥＳＸｉ主机和　

拟对象执行添加、移除和设　

置访问权限和特权。对于只　

读角色来说，可以查看对象　

于撇销从父对象传播下来的　

子对象的权限。在配置权限　

时，存在一个向下传递的过　

程，如果不希望某个对象继　

承上面一层父对象的权限，　

即撤销继承的权限，就要授　

予无权访问角色。　

ｖＣｅｎｔｅｒ主机上提供了一些　

默认的角色，包括管理员角　

的状态和详细信息，但不能　

对其编辑和修改，其无权查　

看这些对象的属性，其可以　

查看ｖＳｐｈｅｒｅ　Ｃ１ｌｅｎｔ中除　

色、只读角色和无权访问角　

色等，这些角色是系统角色，　

无法进行编辑和删除。对　

利用权限来管理对象　

对象即要对其执行操作　

的实体，包括数据中心、文件　

夹、资源池、群集、主机、数据　

存储、网络、虚拟机等。对于　

每一个对象来说，都可以在　

与之关联的“ＰｅｒｍｉＳＳｉｏｎｓ”　

页面中对其进行权限控制，　

即允许哪些账户对于执行　

将权限传递给子对象。否则　

色，来查看其对于数据中心　

有哪些管理选项，对哪些文　

件夹和ＥＳＸｉ主机，以及这些　

ＥＳＸｉ主机上有哪些虚拟机和　

刖户进行管理操作。在信息　

面板中会显示得到该角色的　

用户和用户组信息，权限可　

的话，这些角色值授予当前　

对象，当前对象下的子对象　

是不会继承权限的。　

例如对数据中心进行了　

授权，在该数据中心下有多　

台ＥＳＸ／ＥＳＸｉ主机，如果禁　

止继承权限的话，那么这些　

ＥＳＸ／ＥＳＸｉ主机将不会继承这　

里的权限。当给对象分配了　

相应的角色，授予适当的权　

限，之后可以对其进行查看，　

了解某角色分配了哪些对　

以沿着对象层次结构向下传　

递给所有的子对象，例如当　

何种操作权限。例如对某　

账户来说，对其拥有管理权　

限，某些账户对其拥有只读　

权限等。在分配权限时，可　

以在清单中选择一个对象，　

对数据中心设置了权限后，　

其下的所有虚拟机都将继承　

该权限。　

当然，也可以对其中的子　

在权限页面中执行添加权限　

操作，在分配权限窗口左侧　

选择具体的用户，在角色分　

配列表中为其选定所需的角　

色，如果选择“Ｐｒｏｐａｇａｔｅ　ｔｏ　

Ｃｈｉｌｄ　Ｏｂｊｅｃｔ”项，表示可以　

象，以及该角色授予了哪些　

用户和用户组具体的权限。　

在ｖＳｐｈｅｒｅ　Ｃ１ｉｅｎｔ中切换　

到主页面板，在系统管理下　

对象直接定义权限。例如，　

当对某用户设置了对于数据　

中心的管理员角色，那么该　

用户对其中的所有虚拟机都　

的角色栏中进行查看。在角　

色列表中例如选择某个角　

具有管理权限。如果想禁止　

该用户管理其中的某台虚拟　

Ｓｅｃｕｒｉｔｙ　Ｉ信息安全　

机，可以直接对其该虚拟机　

对象应用权限，即授予其没　

些权限一样。　

例如用户Ａ属于组１和　

员特权身份登录，在ｖＣｅｎｔｅｒ　

或者ＥＳＸｉ主机上创建自定　

义角色，便于委派合适的１：　

有访问权限。这和大家熟　

悉Ｗｉｎｄｏｗｓ的权限叠加机制　

不同，当对较低级别的对象　

组２，组１拥有对数据中心的　

管理权限，组２拥有对某虚　

拟机的只读权限，那么用户Ａ　

将拥有上述所有权限。对于　

某个对象来说，当用户Ａ隶　

属于多个用户组的话，当对　

作任务。注意，在执行具体　

操作时，应以尽可能小的特　

权来定义角色来提高系统的　

安全性以及控制力度。例如，　

单独设置了权限，则会替换　

从较高级别对象继承下来的　

权限，即其权限的优先级更　

高。如果某个用户隶属于多　

个用户组，而不同的用户组　

对于同一个对象拥有不同的　

权限，那么该用户就具有了　

可以使用文件夹来限定权　

限，在ｖＣｅｎｔｅｒ主机上使用　

用户Ａ单独设置了访问权限，　

那么其优先级要高于其隶属　

的不同用户组的权限。例如　

ＶＭ和模版清单，在其中创建　

某个文件夹，在该文件夹ｌＦ　

创建多个虚拟机，之后对，Ｈ　

对于用户Ａ，设置了其拥有对　

数据中心的只读权限，该用　

户隶属于组１和组２，这两　

分配给这些用户组的所有权　

限，例如虚拟机开机权限，创　

户赋予创建虚拟机的权限，　

并将其应用到该文件夹中。　

然后创建一个虚拟机角色，　

建虚拟机快照权限等。如果　

某用户隶属于多个用户组，　

而这些组具有访问不同对象　

的权限，那么对于这些组有　

个组拥有对数据中心不同的　

权限，那么用户Ａ的权限将　

覆盖其在这些组中获取的权　

限，即其只拥有只读权限，不　

授权其分配磁盘空问、分配　

网络权限、创建虚拟机清单、　

创建磁盘和网络、配置虚拟　

权访问的每个对象。该用户　

也可以拥有相同的访问权　

限，犹如为该用户赋予了这　

具有其他权限，这和Ｗｉｎｄｏｗｓ　

的权限管理机制截然不同。　

可以根据需要，使用管理　

机等权限。将该角色授予该　

用户，即可让其拥有相ｌ天的　

权限。　

在ＥＳＸ　ｉ主机上管理账户　

使用域管理员身份登　

录域控，在活动目录用户　

登录。注意，以域管理员账　

户登录是不行的，因为其在　

虚拟机信息。　

在左侧选择该ＥＳＸｉ主　

机项，依次点击菜单“清　

单”一“系统管理”一“角色”　

项，在角色列表中看到内置　

的无权访问、只读、管理员角　

和计算机窗口左侧选择　

“Ｃｏｍｐｕｔｅｒｓ”项，在右侧可以　

看到所有的ＥＳＸｉ和ｖＣｅｎｔｅｒ　

主机，如果不存在则需要加　

入到域中。运行ｖＳｐｈｅｒｅ　

目标ＥＳＸｉ主机上不具有本　

地管理员角色。而根账户是　

拥有对该机的管理权限。在　

ｖＳｐｈｅｒｅ　Ｃ１ｉｅｎｔ界面中依次　

点击菜单“系统管理”一“清　

单”一“清单”项，可以查看　

在当前ＥＳＸｉ主机上存在的　

色。选择对应角色，在有侧　

可以显示其使用情况。例如　

选择管理员角色，存右侧显　

Ｃ１ｉｅｎｔ，输入目标ｖＣｅｎｔｅｒ　

主机ＩＰ，以Ｒｏｏｔ账户和密码　

信息安全●Ｓｅｃｕ　ｒｉｔ　

示Ｒｏｏｔ账户、ＤＣＵＩ、进程管　

限”面板中的右键菜单中点　

以选择其下的某虚拟机，来　

设定访问权限。注意，针对　

理账户等用户拥有该角色。　

要对用户授予角色，可打开　

清单列表，在右侧的“本地用　

户和组”面板选择用户或组　

标签，右键点击“添加”项，　

来添加新的用户或组。例如，　

在新增用户窗口中输入登录　

名（例如“ａｄｍｉｎｉｓｔｒａｔｏｒ”）　

击“添加权限”项，在“分配　

权限”窗口中的“用户和组”　

栏中点击“添加”按钮，在　

“打开”窗口中的“域”列表　

中选择“服务器”项，选择该　

“ａｄｍｉｎｉｓｔｒａｔｏｒ”账户，点击　

子对象的权限设定会覆盖　

从父对象继承的权限。例　

如，想让域管理员拥有对该　

ＥＳＸｉ主机的访问权限，可以　

在“权限”面板中的右键菜　

单上点击“添加权限”项，在　

“打开”窗口点击“添加”按　

钮，在“选择用户和组”窗口　

中的“域”列表中选择具体　

的域名，在列表中显示该域　

“添加”按钮添加进来。点击　

“确定”按钮，在用户和组列　

表中可以看到，该账户拥有　

的是只读角色。如果想为其　

和密码，选择“授予该用户　

ｓｈｅｌｌ程序访问权限”项，可　

以让其通过Ｓｈｅｌｌ执行管理　

操作。在“组”列表中选择　

“ｒｏｏｔ”项，点击“确定”按钮，　

添加该账户。　

在“权限”面板中可以　

看到，Ｒｏｏｔ组拥有管理员　

赋予管理员角色，可在“分配　

的角色”列表中ｉＮ择“管理　

员”项，点击“确定”按钮，这　

中的所有账户信息，注意这　

里不是该ＥＳＸｉ主机的本地　

账户。选择域管理员账户　

Ａｄｍｉｎｉｓｔｒａｔｏｒ，将其添加进　

来，按照上述方法，授予其本　

地管理员权限。之后就可以　

以域管理员身份登录即可，　

注意其账户名表示格式为　

“ｘｘｘ＼ａｄｍｉｎｉｓｔｒａｔｏｒ”，其中　

的“ＸＸＸ”为域名。　

样，就授权了该本地用户拥　

有管理员角色。当然，在每　

台ＥＳＸｉ主机分别创建本地　

账户，管理起来比较繁琐。　

为此，可以使用活动目　

录域账户进行集中管理。可　

角色，这样该账户就拥有了　

针对该ＥＳＸｉ主机的完全管　

理权限。之后关闭ｖＳｐｈｅｒｅ　

Ｃ１ｉｅｎｔ，以该Ａｄｍｉｎｉｓｔｒａｔｏｒ　

以选择该ＥＳＸｉ主机，针对　

某用户进行权限设定，也可　账户身份进行登录，在“权　

使用自定义角色实现管理操作　

除使用系统自带角色外，　

还可使用自定义角色来大大　

提高管理灵活性。在域控上　

打开Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ用　

和“Ｕｓｅｒ２”的账户，为其设　

置一个复杂的密码，选择“用　

户不能更改密码”和“密码　

永不过期”项。运行ｖＳｐｈｅｒｅ　

Ｃ１　ｉｅｎｔ，以上述Ａｄｍｉｎｉｓｔｒａｔｏｒ　

所有的ＥＸＳｉ主机以及其下运　

行的所有虚拟机。　

在地址栏中点击“主机和　

群集”一“虚拟机和模版”项　

（或者点击“Ｃｔｒｌ＋Ｓｈｉｆｔ＋Ｖ”　

键），在左侧显示正在运行的　

户和计算机窗口，在左侧选　

择“Ｕｓｅｒｓ”项，在右键菜单上　

依次点击“新建”一“用户”　

项，分别创建名为“Ｕｓｅｒｌ”　

账户登录，在地址栏中选择　

“主页”项，在清单栏中双击　

“主机和群集”项，在左侧显示　

虚拟机。点击地址栏中的“清　

单”一“系统管理”一“角色”　

Ｓｅｃｕｒｉｔｖ　ＩＩ信息安全　洲编　赵　　；远投　：ｎｅｔａｄｍｉｎ　３６５ｍａｓｔｅｒ．ｃ　，ｍ　

项（或点击“Ｃｔｒ１＋Ｓｈｉｆｔ＋Ｒ”　

配权限”窗口中添加域账户　

“Ｕｓｅｒｌ”，在“分配的角色”列　

如果不想让域账户　

“Ｕｓｅｒ２”管理访问该文件夹　

键），在角色管理窗口左侧显　

示无权访问、只读、管理员、　

虚拟机超级用户、虚拟机用　

户、资源池管理员、Ｖｍｗａｒｅ　

Ｃｏｎｓｏｌｉｄａｔｅｄ用户等角色。　

表中选择上述“Ｎｅｗｒｏｌｅ”角　

色，点击“确定”按钮保存配　

置。这样，域账户就拥有了在　

该ＥＳＸｉ主机上创建虚拟机的　

权限。为便于在公用存储上　

创建虚拟机，打开数据存储和　

数据存储群集界面，在左侧选　

下的虚拟机，但可以自由使用　

虚拟机的话，可以先选择该文　

件夹，在其右键菜单上点击　

“添加权限”项，在分配权限　

窗口中添加域账户“Ｕｓｅｒ２”，　

在分配的角色列表中选择　

“虚拟机用户（示例）”角色，　

点击工具栏上的“添加角色”　

按钮，输入自定义角色名称　

（例如“Ｎｅｗｒｏｌｅ”），在特权列　

表中为其指派权限，例如选　

择“数据存储”项，使其拥有　

数据存储的管理权限，选择　

“网络”项，授予访问网络的　

权限，选择“资源”项，授予　

访问资源权限。选择“虚拟　

择合适的公用存储对象，在右　

侧的“权限”面板中使用同样　

非方法，授予域账户“Ｕｓｅｒｌ”　

拥有“Ｎｅｗｒｏｌｅ”角色的权限。　

打开虚拟机和模版界面，　

为了管理方便可以创建新的　

使其可以使用虚拟机（例如开　

关机等），但是不能管理虚拟　

机（例如修改虚拟机配置等）。　

点击“确定”按钮，这样该文　

件夹下的所有虚拟机都会继　

承该权限设定。　

机”一“配置”项，授予管理　

虚拟机的权限，例如添加现　

文件夹，在其中存储虚拟机。　

例如选择某个文件夹，在其下　

如果禁止域账户　

“ｕｓｅｒ２”访问该文件下的名　

为“ＷｉｎＳｒｖｌＯ”的虚拟机，可　

在该虚拟机右键菜单上点击　

“添加权限”项，在分配权限　

窗口中添加域账户“ｕｓｅｒ２”，　

授予其“无权访问”角色。　

点击“确定”按钮，这样该　

有磁盘、添加新磁盘、移除磁　

盘、主机ＵＳＢ设备连接等。选　

择“虚拟机”一“交互”项，授　

予其相关的交互权限。选择　

存储一些虚拟机，在“权限”　

面板中点击右键，在弹出菜单　

中点击“添加权限”项，在“分　

配权限”窗口中点击“添加”　

“虚拟机”一“清单”一“新建”　

项，允许其新建清单，但不允　

许其删除清单。设置相关特　

权后，点击“确定”按钮创建　

该自定义角色。　

按钮，按照上述方法将域账　

户“Ｕｓｅｒｌ”添加进来，在“分　

配的角色”列表中选择上述　

“Ｎｅｗｒｏｌｅ”角色，在权限列表　

中可以显示其拥有的权限。　

点击“确定”按钮，完成角色　

的分配操作。这样，该账户就　

账户就无法访问该虚拟机了。　

注意，如果对目标虚拟机没有　

访问权限，当以该账户登录　

后，该虚拟机是不可见的。这　

样，就实现了子对象权限对　

注意，为了让该用户顺利　

创建虚拟机，需要在ＥＳＸｉ主　

机级别指派权限，在主机和　

群集页面中选择合适的ＥＳＸｉ　

主机，在右侧的“权限”面板　

可以在指定的文件夹下执行　

创建虚拟机以及其他预设的　

管理权限了。如果在其下创　

建新的子文件夹，则可以继承　

上一级的权限设定　

父对象权限的替换。当运行　

ｖＳｐｈｅｒｅ　Ｃ１ｉｅｎｔ，使用上述域　

账户登录到目标ｖＣｅｎｔｅｒ主　

中点击右键，在弹出菜单中　

点击“添加权限”项，在“分　

机上，就只能按照的权限来访　

问或管理虚拟机。ｃ：】　

１３８　２０１８．０７、　ｎ，、ｖ．３６５ｍａｓｔｅｒＣＯＩｌ