As permissões são um dos aspectos mais importantes do gerenciamento de objetos do VMware vCenter Server. Gerenciar permissões no vCenter Server é uma tarefa complexa que requer a compreensão das estruturas de permissões globais e locais. Os administradores podem atribuir qualquer tipo de objeto a um usuário ou grupo. Entretanto, nem todos os usuários ou grupos têm acesso a todos os tipos de objetos.
Por exemplo, a função Operations Manager inclui diversas tarefas relacionadas aos armazenamentos de dados anexados aos hosts. Se um administrador criar um armazenamento de dados e depois atribuí-lo a um host, ele se tornará automaticamente o proprietário do armazenamento de dados. No entanto, a função de Gestor de Operações não inclui acesso para gerenciar datastores.
Portanto, o usuário do Operations Manager não teria acesso à janela Configurações avançadas do armazenamento de dados e não poderia atribuí-la a outro usuário. Além disso, qualquer armazenamento de dados anexado a um host criado pelo usuário do Operations Manager seria automaticamente atribuído ao usuário do Operations Manager e não poderia ser reatribuído a qualquer outro usuário.
Este artigo discutirá a estrutura básica de autorização no VMware vSphere, gerenciando permissões e diferentes objetos e atribuindo funções no VMware vCenter.
Precisa de treinamento em VMware?
Se você é novo em virtualização ou VMware, o treinamento certo pode ajudá-lo a se atualizar. E você não pode errar ao aprender como usar o VMware de maneira eficaz, porque ele é líder do setor quando se trata de virtualização.
Noções básicas sobre autorização no VMware vSphere
Para estabelecer se um usuário está autorizado a executar uma tarefa, o vSphere oferece muitos modelos em que o administrador do vSphere pode realizar uma tarefa dependendo da associação a um grupo do vCenter Single Sign-On. A permissão para realizar outras ações depende de sua função em um item ou de sua permissão global.
No vSphere, usuários privilegiados podem conceder acesso a outros usuários para que possam realizar tarefas. Para conceder acesso a outros usuários para instâncias específicas do vCenter Server, você pode utilizar permissões globais ou locais do vCenter Server.
Como as permissões são gerenciadas no VMware vCenter Server?
As permissões e funções do vCenter Server fornecem aos usuários controle preciso sobre a autorização, onde o administrador do vSphere pode designar qual pessoa ou grupo tem acesso a um objeto, permitindo-o a um objeto específico. As funções, que são coleções de privilégios, são usadas para especificar os privilégios
Inicialmente, o sistema vCenter Server permite que apenas o usuário administrador do domínio vCenter Single Sign-On faça login. Administrator@vsphere.local é o administrador padrão e o domínio padrão é vsphere.local. Durante o processo de instalação do vSphere, o domínio padrão pode ser alterado.
O usuário administrador pode realizar estas ações:
- Adicione uma origem de definição de usuário e grupo para identidades ao vCenter Single Sign-On.
- Conceder a um usuário ou grupo acesso a recursos específicos no inventário do vCenter selecionando um objeto, por exemplo, uma VM ou um sistema vCenter Server e atribuir ao usuário ou grupo uma função nesse objeto.
Quais são os 5 objetos do vCenter Server?
Cinco objetos diferentes que podemos ter em um vCenter Server estão listados abaixo:
Roles: Você pode conceder autorizações a um objeto usando uma função. As funções predefinidas incluem Administrador e Administrador do Pool de Recursos. A maioria das funções estabelecidas pode ser duplicada ou modificada, exceto Administrador.
Privileges: Os privilégios controlam o acesso aos recursos e são agrupados em funções – mapeadas para usuários ou grupos específicos.
Users and groups: Alguns direitos só podem ser concedidos a usuários que usaram o Single Sign-On (SSO) para autenticação. Os usuários devem ser definidos no SSO ou vir de fontes de identidade externas, como Microsoft AD ou outro LDAP.
Permissions: A hierarquia do vCenter contém um conjunto de permissões relacionadas para cada objeto. Cada permissão detalha os direitos que um grupo ou pessoa tem acesso a um objeto.
Global Permissions: Os privilégios globais são permissões específicas. O objeto raiz global, que engloba diversas soluções, é onde elas são aplicadas. Considere instalar o vCenter Server e o vRealize Orchestrator lado a lado. Esses dois itens são capazes de usar permissões globais. O domínio vsphere.local replica permissões globais. Os serviços executados por grupos vsphere.local requerem autorização, que não é fornecida por permissões globais.
Como atribuir funções e permissões no VMware vSphere:
Você pode atribuir funções a objetos em seu inventário do VMware vSphere usando o vSphere Client, que permite estabelecer funções com conjuntos de direitos personalizados para atender aos requisitos de controle de acesso do seu ambiente. Faça login em vSphere Client > Administration > Roles.
No menu suspenso Roles provider, escolha um domínio do vCenter Server. Aqui, estamos usando vsphere.local como padrão, e então selecione New.
Crie o nome para a função (role) e a descrição. Selecione datacenter > Select all operations para atribuir a uma nova função (role) e, em seguida clique no botão CREATE para prosseguir.
A lista inclui o novo trabalho. Agora que você escolheu um objeto em seu inventário do VMware vSphere, você pode conceder direitos designando um usuário ou grupo como detentor da função desse objeto.
Selecione um objeto Hosts ou Clusters no Navegador de Objetos vSphere, clique em Permissions, em seguida no botão ADD.
Escolha o domínio do usuário ou grupo no menu suspenso Domínio. Aqui estamos usando o domínio vsphere.local, como padrão. Digite um nome de usuário ou grupo no campo de pesquisa e escolha a entrada desejada. Selecione uma função desejada no menu suspenso. Ao usar a caixa de seleção “Propagate to children”, você pode decidir se deseja propagar permissões para objetos filhos. Por fim, clique em OK.
A guia Permissões mostra as permissões que você adicionou.
Você também pode definir permissões globais, além de conceder acesso a objetos específicos em objetos do VMware vCenter. Em um ambiente vSphere, você pode conceder privilégios a um usuário ou grupo para todos os itens em todas as hierarquias de inventário usando permissões globais.
Conclusão:
Um dos elementos mais cruciais para manter uma instalação do VMware vCenter Server são as permissões. As permissões locais permitem que os administradores controlem o acesso a objetos e configurações em sistemas específicos do vCenter Server, enquanto as permissões globais cuidam da segurança de todos os objetos em uma hierarquia do vCenter Server.
Compreender as hierarquias de permissões globais e locais é necessário para gerenciar permissões no vCenter Server. Para determinar se um usuário tem o direito de realizar uma atividade, o VMware vSphere fornece vários modelos. Sua participação em um grupo do vCenter Single Sign-On controla o que você pode fazer. Você pode executar diferentes atividades com base na sua função em um objeto ou na sua autorização global.