Der Zugriff auf vSphere-Komponenten wird durch Authentifizierung und Autorisierung geregelt. vCenter Single Sign-On ist für die Authentifizierung verantwortlich und prüft, ob ein Benutzer sich anmelden darf oder nicht. Sobald ein Benutzer angemeldet ist, muss jedoch auch eine Autorisierung erteilt werden, damit er vSphere-Objekte anzeigen oder manipulieren kann.

Es gibt verschiedene von vSphere unterstützte Autorisierungsmethoden, die in der Ressource “Understanding Authorization in vSphere” ausführlich beschrieben werden. In diesem Artikel werden wir uns auf das Berechtigungsmodell von vCenter Server und die damit verbundenen Verwaltungsaufgaben konzentrieren.

vCenter Server bietet eine genaue Kontrolle über die Autorisierung durch die Verwendung von Berechtigungen und Rollen. Wenn Sie einem Objekt innerhalb der vCenter Server-Objekthierarchie eine Berechtigung zuweisen, geben Sie den Benutzer oder die Gruppe und die Berechtigungen an, die sie für dieses Objekt haben. Berechtigungen werden über Rollen definiert, bei denen es sich um Sammlungen von Berechtigungen handelt.

Nur der Administratorbenutzer für die vCenter Single Sign-On-Domäne ist zunächst zum Zugriff auf das vCenter Server-System berechtigt. Die Standarddomäne ist “vsphere.local” und der Standardadministrator ist “administrator@vsphere.local”. Während der Installation von vSphere kann die Standarddomäne jedoch geändert werden.

Der Administrator-Benutzer kann wie folgt vorgehen:

  1. Fügen Sie eine Identitätsquelle hinzu, in der Benutzer und Gruppen für vCenter Single Sign-On definiert sind. Siehe die vSphere-Authentifizierungsdokumentation.
  1. Erteilen Sie einem Benutzer oder einer Gruppe Berechtigungen, indem Sie ein Objekt wie eine virtuelle Maschine oder ein vCenter Server-System auswählen und dem Benutzer oder der Gruppe eine Rolle für dieses Objekt zuweisen.

Erstellen von Benutzern und Gruppen

Der erste Schritt bei der Verwaltung von Benutzern und Berechtigungen in vSphere besteht darin, Benutzerkonten zu erstellen. Dies kann über den vSphere Client oder den vSphere Web Client erfolgen. Administratoren können lokale Benutzerkonten erstellen oder eine Verbindung zu einem externen Verzeichnisdienst wie z. B. Active Directory herstellen. Sobald die Benutzerkonten erstellt wurden, können sie in Gruppen organisiert werden, um die Verwaltung von Berechtigungen zu vereinfachen.

Zuweisung von Berechtigungen

Nachdem die Benutzer und Gruppen erstellt wurden, ist der nächste Schritt die Zuweisung von Berechtigungen. Berechtigungen in vSphere legen fest, welche Aktionen ein Benutzer oder eine Gruppe in der virtuellen Umgebung ausführen darf. Dies kann Aktionen wie die Erstellung virtueller Maschinen, die Verwaltung von Netzwerkkonfigurationen oder die Überwachung der Leistung umfassen. Berechtigungen können auf verschiedenen Ebenen zugewiesen werden, einschließlich dem vCenter Server, einzelnen ESXi-Hosts und virtuellen Maschinen.

Rollenbasierte Zugriffskontrolle (RBAC)

vSphere verwendet die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) zur Verwaltung von Berechtigungen. RBAC ermöglicht es Administratoren, Benutzern und Gruppen vordefinierte Rollen zuzuweisen, die deren Berechtigungen innerhalb der virtuellen Umgebung bestimmen. Ein Benutzer mit der Rolle “Benutzer der virtuellen Maschine” wäre beispielsweise in der Lage, Aktionen wie das Ein- und Ausschalten virtueller Maschinen und die Verbindung zur Konsole auszuführen, aber nicht in der Lage, administrative Aufgaben wie die Erstellung virtueller Netzwerke durchzuführen.

Verwaltung von Privilegien

Zusätzlich zu RBAC bietet vSphere auch die Möglichkeit, Berechtigungen zu verwalten. Privilegien sind bestimmte Aktionen, die ein Benutzer oder eine Gruppe innerhalb der virtuellen Umgebung ausführen darf. Ein Benutzer mit dem Privileg “Datastore.File Management” wäre beispielsweise in der Lage, Dateien innerhalb eines Datastores zu verwalten.

Delegieren der Verwaltung

vSphere bietet auch die Möglichkeit, die Verwaltung zu delegieren. Dies ermöglicht es Administratoren, anderen Benutzern bestimmte Berechtigungen zu erteilen, damit diese bestimmte Aufgaben innerhalb der virtuellen Umgebung durchführen können. Delegierte Administratoren können auf eine bestimmte Untergruppe von vCenter Server-Objekten zugreifen, z. B. auf ein bestimmtes Rechenzentrum oder einen Cluster.

Fazit

Die Verwaltung von Benutzern und Berechtigungen in vSphere erfordert ein solides Verständnis von RBAC, Berechtigungen und Delegation. Die ordnungsgemäße Verwaltung dieser Komponenten kann dazu beitragen, dass Ihre virtuellen

Please leave the comment