如何利用权限实现行为管控

• 如何利用权限实现行为管控
• 1 vsphere 中权限总览
  • 1.1 角色
  • 1.2 用户/用户组
    • 1.2.1 AD 为以下服务提供 authentication
  • 1.3 对象
  • 1.4 角色的创建
    • 1.4.1 克隆(根据需要进行删减，最容的方式)

1 vsphere 中权限总览

  vCenter 中基于 Inventory 可以进行详细的权限控制，权限主要由三种核心组件构成

• 角色（由一组特权构成）
• 用户/用户组
• 对象

1.1 角色

  角色由一组特权构成，vCenter 与ESXi Host都有系统默认的角色，其中，ESXi Host 默认的角色有三个：

• Administrator
• Read-only
• No access

1.2 用户/用户组

   vSphere 环境中，用户的来源(只有以下三种来源)：

• Active Directory/OpenLDAP （域控/LDAP）
• vCenter OS Local Users/Groups （vCenter 操作系统的用户/用户组）
• ESXi Host Local Users/Groups （用户举例：root）

Tip: 从 vSphere 5.1 开始，用户登录存在 SSO（Single sgin-on） 验证， 若用户没加入 SSO 则无法使用

1.2.1 AD 为以下服务提供 authentication

• vSphere Client(Active Directory)/vSphere Web Client
• DCUI（直接控制台用户界面）
• TSM（remote/Local）：技术支持模式，可简单理解为本地命令行界面和远程命令行界面
• cSphere API

Tip: ESXi Host 默认允许一个名为 ESX Admins 的用户组拥有root 权限；
忘记 root 密码可通过该方式恢复

1.3 对象

   Inventory 下一切都是对象。包括 vCenter、数据中心、cluster、Host主机、资源池、虚拟机等

1.4 角色的创建

1.4.1 克隆(根据需要进行删减，最容的方式)