您当前的位置： 首页 > 学无止境 > 心得笔记 网站首页心得笔记

vsphere5.5学习笔记-访问权限和身份验证控制

发布时间：2018-01-18 10:14:58编辑：雪饮阅读（）

 esxi shell

esxi shell打开后可以对esxi主机支持字符界面(alt+f1)操作



 

在esxi主机的”配置->安全配置文件->锁定模式”



 

如果该锁定模式是启用状态，则我们直接远程登录不了它



 

关闭锁定模式后我们才可以登录



alt+f2可以重新回到图形界面

 esxi shell开启后会比较危险，所以最好关闭，如果你打开后主机上就有警告可以看到



ssh

 

ssh打开后也有危险，ssh服务开启后主机就支持了远程客户端的访问



 

打开ssh后可以用putty等类似的客户端应用远程连接到该esxi主机



另外锁定模式对ssh也是有影响的

最后最好也把ssh停止了。

用户

 

用vsphere直接连接登录到一台esxi主机上在”本地用户和组”中会发现默认3个用户



其中第二个用户就是vcenter用来管理esxi主机的用户，vcenter通过该用户登录到esxi进行主机管理的。

 

这里还可以自己添加新用户





这里就暂时不添加了。

权限、角色、用户

 

登录到vcenter中可以添加新权限



 

左边添加新增权限的所属用户，右边可以选择给该新用户分配的角色(给该用户分配的功能集)



 

为该新权限添加所属的用户时，用户来源可以是本服务器上也可以是本服务器所在的整个域上



 

比如这里我们要添加一个来源于域中的新用户，我们先在域控制器中添加一个新用户











 

在域控制器中新增了用户后就可以通过这里将域中新增的用户分配到我们正要建立的权限中，当然也可以添加组，这里我们就不添加组了，直接添加用户。



 

然后左边就是刚才新建的用户，右边给该用户分配一个角色





 

新建立的权限还可以进行编辑





 

这里就给分配为只读的权限吧







 

使用新增加权限进行登录vcenter



 

登录之后大多数项目都是不可用的，这就是只读权限限制了的，另外这里只有一个主机，看不到其它主机这是因为刚才分配权限的时候是针对这个主机分配的。



权限可以分配在数据中心、esxi主机、虚拟机这些不同的层级上

自定义角色

 

登录到web客户端在”系统管理”中可以添加自定义角色



 

这里就把主机、虚拟机、网络这三个权限给这个新增的角色吧







 

然后回到数据中心上刷新下权限列表



然后添加权限的时候就可以看到有一个新增的角色可选择



身份验证

 

我这里做过实验，身份验证加入域后是这样的



 

退出域





退出域后应该是这样，即本地身份验证，如果有多个esxi主机都使用本地身份验证，则连接每台esxi主机都需要该esxi主机的登录账户，而加身份验证加入域后就可以通过域的账户统一登录了。

 

而在我们这里加或者不加入域都无所谓，因为esxi主机已经被vcenter管理了，而vcenter又加入域了。



 

加入域



 

输入域管理员账号就可以加入到域了





注意:加入域前要先将待加入域的esxi主机resolve hostname改成FQDN(完全限定域名)

 



 

否则可能会报错如:

 



 

计算机加入域后在域控制器中是可以看到的



文件夹

 

在数据中心还可以添加文件夹



 

文件夹添加后，esxi主机可以通过拖拽添加到文件夹中，然后文件夹也可以分配权限



权限的层级结构

权限是按层次分配的，那么下一级对象的权限会继承上一级对象的权限。

 

权限可沿着对象层次结构向下传递给所有子对象，也可以只对直接对象

应用。

如果某个用户属于多个用户组，且这些组都具有访问同一对象的权限：

则该用户将获得分配给这些用户组的该对象的所有特权。

 

如果某个用户属于多个用户组，而且这些组具有访问不同对象的权限

对于这些用户组有权访问的每个对象，此用户也可以用相同的权限进

行访问，就像直接为该用户授予了这些权限一样。

 

针对某个对象，为用户明确定义的访问权限优先于用户组的所有访问权限。