第十三章-权限管理讲述.pptx

第1课：配置 ESXi 主机访问权限和身份验证 第2课：配置角色和权限 学习完本课后，您应当能够执行以下任务：? 通过启用和禁用服务来配置 VMware? ESXi? 防火墙? 启用和禁用 ESXi 主机的锁定模式? 配置用户登录名，以使用目录服务进行身份验证 配置 ESXi 主机访问权限和身份验证 配置 ESXi 防火墙 配置安全配置文件服务 启用和禁用锁定模式 将 ESXi 与 Active Directory (AD) 集成 使用 vShield 确保虚拟数据中心安全 学习完本课后，您应当能够执行以下任务：? 定义权限。? 介绍权限的应用规则。? 创建自定义角色。? 创建权限。 配置角色和权限 vSphere 中权限总览 在vCenter中基于Inventory可以进行详细的权限控制，借助访问控制系统， vCenter Server 管理员可以定义用户对清单对象的访问特权。 重要概念： ? 特权 – 用于定义可执行的操作 ? 角色 – 代表一组特权 ? 对象 – 操作的目标 ? 用户/组 – 表明执行操作的对象 将角色、用户/组和对象结合起来 即可定义权限。 角色详解 Administrator Read-only No access 角色即特权的集合： ? 它们使用户可以执行各种 任务。 ? 角色按类别分组。 角色包括系统角色、示例角色 和自定义角色。 用户/用户组 在vSphere环境中，用户的来源有下列集中来源： Active Directory / OpenLDAP vCenter OS Local Users/Group Esxi Host Local Users /Group 其中，AD可以为下列服务提供 authentication vSphere client / vSphere Webclient DCUI TSM（Remote/Local） vSphere API Esxi Host默认允许一个名为ESX Admins 的用户组拥有root权限 Inventory之下 – 一切皆是对象，在vSphere 环境中， 所有的权限分配都基于Inventory之下的对象 对象是要对其执行操作的实体。? 对象包括数据中心、文件夹、资源池、集群、主机、数据存储、网络和虚拟机。所有对象均具有“ Permissions”（权限）选项卡。? 此选项卡显示与选定对象相关联的用户/组和角色。 对象 分配权限 要分配权限，步骤：1. 选择用户。2. 选择角色。3. （可选）将权限传递给子对象。 权限分配-结果检视 查看Roles下面的角色选项里，就可以看到角色相关信息， 分别查看Usage和Privileges 角色创建 创建角色 创建只能执行必要任务的角色：? 例如： Virtual MachineCreator使用文件夹界定权限的范围：? 例如，将 Virtual MachineCreator 角色分配给用户Nancy，并将其应用到Finance 文件夹 应用权限：情景 1 权限可沿着对象层次结构向下传递给所有子对象，也可以只对直接对象 应用。 如果某个用户属于多个用户组，且这些组都具有访问同一对象的权限： ? 则该用户将获得分配给这些用户组的该对象的所有特权。 应用权限：情景 2 应用权限：情景 3 如果某个用户属于多个用户组，而且这些组具有访问不同对象的权限： ? 对于这些用户组有权访问的每个对象，此用户也可以用相同的权限进 行访问，就像直接为该用户授予了这些权限一样。 应用权限：情景 4 针对某个对象，为用户明确定义的访问权限优先于用户组的所有访问权限。 为什么需要权限管理组件 如果有多个用户访问 VMware vSphere? 环境，最佳实践是只为每个用户分配必要的权限。 利用 VMware vCenter Server? 可以灵活分配权限。 VMware vSphere：安装、配置、管理 – 修订版 A? 权限是用户/组以及对清单中的对象所应用的角色的结合。? 权限可沿着对象层次结构向下传递给所有子对象，也可以只对直接对象应用。? 为了实现更好的安全性并增强控制能力，最佳实践是用最少的特权定义角色。 要点 谢谢观赏 THE END