VMware_vSphere 5.1_VSICM51_M09_AccessControl.pptxVIP

访问和身份验证控制 第 9 单元 您的位置 如果有多个用户访问 VMware vSphere? 环境，最佳实践是只为每个用户分配必要的权限。借助 VMware? vCenter Server? 可以灵活分配权限。 重要信息 第 1 课： 配置 ESXi 主机访问权限和身份验证 第 2 课： 配置角色和权限 第 3 课： vSphere 5.1 中的 vShield Endpoint 本单元课程 第 1 课：配置 ESXi 主机访问权限和身份验证 学习完本课后，您应当能够： 通过启用和禁用服务来配置 VMware vSphere? ESXi? 防火墙。 启用和禁用 ESXi 主机的锁定模式。 配置用户登录设置，以使用目录服务进行身份验证。 学员的学习目标 配置安全配置文件服务 配置 ESXi 防火墙 启用和禁用锁定模式 将 ESXi 与 Active Directory 集成 现在您应该能够： 通过启用和禁用服务来配置 ESXi 防火墙。 启用和禁用 ESXi 主机的锁定模式。 配置用户登录设置，以使用目录服务进行身份验证。 回顾学员的学习目标 第 2 课：配置角色和权限 学习完本课后，您应当能够： 定义权限。 介绍权限的应用规则。 创建自定义角色。 创建权限。 学员的学习目标 借助访问控制系统，vCenter Server 管理员可以定义用户对清单对象的访问特权。 重要概念： 特权 – 用于定义可执行的操作 角色 – 代表一组特权 对象 – 操作的目标 用户/组 – 表明操作的执行对象 将角色、用户/组和对象结合起来即可定义权限。 访问控制概述 vCenter Server 或 ESXi 用户/组可以是本地用户或 Active Directory (AD) 域用户。 AD 服务可为所有本地服务提供身份验证： VMware vSphere? Client? 直接控制台用户界面 技术支持模式（本地和远程） 通过 VMware vSphere? API 访问 系统为 AD 用户组 ESX Admins 中的用户自动分配 Administrator 角色。 用户和组 角色即特权的集合： 它们使用户可以执行各种任务。 角色按类别分组。 角色包括系统角色、示例角色和自定义角色。 角色 对象是要对其执行操作的实体。 对象包括数据中心、文件夹、资源池、集群、主机、数据存储、网络和虚拟机。 所有对象均具有“Permissions”（权限）选项卡。 此选项卡显示与选定对象相关联的用户/组和角色。 对象 要分配权限，请： 选择用户。 选择角色。 （可选）将权限传递给子对象。 分配权限 “Roles”（角色）窗格显示为哪些用户分配了针对特定对象的选定角色。 查看角色和分配情况 权限可沿着对象层次结构向下传递到所有子对象上，也可以只对直接对象应用。 应用权限：情景 1 Greg – Administrator Greg – No Access 如果某个用户属于多个用户组，且这些组都具有访问同一对象的权限： 该用户将获得这些用户组对该对象的所有特权。 应用权限：情景 2 组 1 – VM_Power_On（自定义角色） 组 2 – Take_Snapshots（自定义角色） 组 1 的成员： Greg Susan 组 2 的成员： Greg Carla 如果某个用户属于多个用户组，而且这些组具有访问不同对象的权限： 那么对于这些用户组有权访问的每个对象，此用户也将拥有相同的权限，就像直接为该用户授予了这些权限一样。 应用权限：情景 3 组 1 – Administrator 组 2 – Read-only 组 1 的成员： Greg Susan 组 2 的成员： Greg Carla 对于对象而言，为用户明确定义的访问权限优先于所有组权限。 应用权限：情景 4 组 1 – VM_Power_On（自定义角色） 组 2 – Take_Snapshots（自定义角色） Greg – Read-only 组 1 的成员： Greg Susan 组 2 的成员： Greg Carla 创建只能执行必要任务的角色： 示例：Virtual Machine Creator 使用文件夹界定权限的范围： 例如，将 Virtual Machine Creator 角色分配给用户 Nancy，并对 Finance 文件夹应用该较角色。 创建角色 Virtual Machine Creator 角色 Datastore（数据存储） Allocate  space（分配空间） Network（网络） Assign network（分配网络） Resource（资源） Assign virtual  machine to resourc