ESX Benutzer anlegen mit Verknüpfung von VI Rollen
Verfasst: 27.11.2008, 13:31
Hallo,
ein etwas kompliziertes Anliegen.
Kurze Problembeschreibung:
Auf einem ESX Host soll ein spezieller Benutzer angelegt werden - Name vmrc.
Dieser Benutzer hat normalen SSH Zugriff auf den ESX Host.
Mit diesem Benutzer soll es nun möglich sein:
a) mittels vmware-vmrc auf Maschinen zuzugreifen, die auf diesen Host laufen
b) mittels VI Client direkt auf die Maschine mit einer bestimmten Rolle zuzugreifen
Problem b) könnte man mit einer Active Directory Rolle entgegenwirken, allerdings hat er dann immer noch keinen Zugriff auf eine VM.
Die Rolle wird definiert, dass der Zugeteilte Benutzer NUR Zugriff auf die Konsole einer VM hat.
Nun zum bisherigen Vorgang:
1) Rolle angelegt und mit einem AD Benutzer getestet (VI Zugriff usw)
2) Mittels Powershell Skript ($auth = Get-View AuthorizationManager && $auth.RoleID) die RoleID ausgelesen
3) auf dem betreffenden Host den Benutzer angelegt und konfiguriert (PW)
4) auf dem Host in der /etc/vmware/hostd/authorization.xml den nötigen Eintrag mit der RoleID gemacht
5) service mgmt-vmware restart gemacht
Und nun treten zwei Probleme auf:
Problem 1:
Ist der RoleID != -1 wird der Eintrag beim Neustart des Dienstes gelöscht.
Problem 2:
Hat der Benutzer RoleID = -1, funktioniert zwar alles wunderbar, der Benutzer hat aber voll Zugriff auf den Host (wie root)
Wie kann ich das Problem lösen?
ein etwas kompliziertes Anliegen.
Kurze Problembeschreibung:
Auf einem ESX Host soll ein spezieller Benutzer angelegt werden - Name vmrc.
Dieser Benutzer hat normalen SSH Zugriff auf den ESX Host.
Mit diesem Benutzer soll es nun möglich sein:
a) mittels vmware-vmrc auf Maschinen zuzugreifen, die auf diesen Host laufen
b) mittels VI Client direkt auf die Maschine mit einer bestimmten Rolle zuzugreifen
Problem b) könnte man mit einer Active Directory Rolle entgegenwirken, allerdings hat er dann immer noch keinen Zugriff auf eine VM.
Die Rolle wird definiert, dass der Zugeteilte Benutzer NUR Zugriff auf die Konsole einer VM hat.
Nun zum bisherigen Vorgang:
1) Rolle angelegt und mit einem AD Benutzer getestet (VI Zugriff usw)
2) Mittels Powershell Skript ($auth = Get-View AuthorizationManager && $auth.RoleID) die RoleID ausgelesen
3) auf dem betreffenden Host den Benutzer angelegt und konfiguriert (PW)
4) auf dem Host in der /etc/vmware/hostd/authorization.xml den nötigen Eintrag mit der RoleID gemacht
5) service mgmt-vmware restart gemacht
Und nun treten zwei Probleme auf:
Problem 1:
Ist der RoleID != -1 wird der Eintrag beim Neustart des Dienstes gelöscht.
Problem 2:
Hat der Benutzer RoleID = -1, funktioniert zwar alles wunderbar, der Benutzer hat aber voll Zugriff auf den Host (wie root)
Wie kann ich das Problem lösen?