ESXi 6.7 WebUI / User für reboot only

[next42]

Hallo liebes Forum,

ich bin auf der Suche nach einer Möglichkeit einzelnen Usern nur die Berechtigung für:

- VM einschalten
- VM reboot
- VM ausschalten

zu geben.

Die User sollen dann jeweils nur Berechtigungen für spezielle VMs erhalten.

Bisher habe ich das Problem, das die User sich dann nicht sauber im WebUI anmelden können und sobald die VM angeklickt wird bricht die Verbindung zusammen mit der Meldung das keine Rechte bestehen.

Hat jemand eine Idee oder ein How-To?

Vielen Dank im Voraus für eure Unterstützung!

[irix]

Die Loesung heist vCenter und kostet dich ~470,- EUR.

Gruss
Joerg

[next42]

Hi Joerg,

vielen Dank für deine Antwort.

ESXi hat doch bereits intern eine Rechte- u. Benutzerverwaltung.

Würde das Ganze gerne darüber lösen. Ein vCenter zusätzlich installieren möchte ich möglichst vermeiden.

VG

[irix]

Eigentlich hat er das nicht. User und Rechtemanagement sind ein Feature des vCenters.

Gruss
Joerg

[next42]

Anbei die Screenshots.

[Dayworker]

Dieses Spiel mußt du dann für jeden einzelnen Benutzer und für jede gewünschte VM wiederholen, daß geht in der VCSA wesentlich einfacher, übersichtlicher und fehlerfreier. Du wärest nicht der erste Benutzer, der sich den Ast absägt, auf dem er sitzt.

[add]
Die Frage wäre für mich auch, weshalb ein Benutzer zwar seine VM starten, stoppen und rebooten aber nicht verändern können soll. Das Starten/Stoppen von VMs läßt sich automatisiert beim ESXi-Start/Stopp erledigen und ansonsten kann jede Gast-Benutzer doch die VM rebooten.

[next42]

Hi Dayworker,

das wäre kein Thema die jeweilige Gruppe dann bei jeder VM hinzuzufügen.

Anwendungszenario: Endkunde / Enduser bekommt eine VM und darf diese Neustarten etc. aber keine Änderungen an Speicher / CPU usw. vornehmen.

Grundsätzlich sollte das ja eigentlich wie im Screenshot gezeigt funktionieren. Nur scheinbar fehlt noch eine weitere Berechtigung für das "ansehen" der VM denn hier kommt immer die Fehlermeldung das keine Berechtigung vorhanden ist.

[rprengel]

Hi Dayworker,

das wäre kein Thema die jeweilige Gruppe dann bei jeder VM hinzuzufügen.

Anwendungszenario: Endkunde / Enduser bekommt eine VM und darf diese Neustarten etc. aber keine Änderungen an Speicher / CPU usw. vornehmen.

Grundsätzlich sollte das ja eigentlich wie im Screenshot gezeigt funktionieren. Nur scheinbar fehlt noch eine weitere Berechtigung für das "ansehen" der VM denn hier kommt immer die Fehlermeldung das keine Berechtigung vorhanden ist.

Hallo,
fallsu du nur eine kleine Umgebung betreust. Die kleine Esseentials-Variante kostet für 3 ESX Hosts so rund 600 Euro.
Ansonsten der Tip die komplette Benutzerverwaltung in z.B. einem Ldap anzubilden und regelmässig per Script die Rechte zu kontrollieren und bei Bedarf zu setzten.
Je nach vertraglich vereinbarter Leistung bist du damut aber auf sehr dünnem Eis unterwegs.

Gruss

[next42]

Hi,

wie gesagt. Kein Interesse daran das mit zusätzlicher Software zu lösen sondern mit den Bordmitteln.

Trotzdem danke für den Hinweis. Ist aber bei der aktuellen Umgebung mit einem ESXi Server overkill und unnötig wenn die WebUI das schon können soll.

[irix]

Dann muesste man mal vergleichen was die Rollen, welche es im vCenter gibt, an Einzelrechten aktiviert haben damit du es nachbauen kannst. Die Frage ob es in der Doku irgendwo mal gelistet ist. Was passiert wenn du generell ReadOnly dazu gibts und dann zusaetzlich dein Reboot?

Gruss
Joerg

[next42]

Mit den Einstellungen wie oben im Screenshot sieht es folgendermaßen aus.

Der User kann sich via Webinterface einloggen und sieht nur die VMs die er auch tatsächlich sehen soll / darf.

Sobald er dann aber auf eine VM klickt oder sie mittels Haken davor auswählen will passiert folgendes:

[Dayworker]

Hab momentan keine ESXi vor mir stehen und dein Bild ist leider abgeschnitten, aber du wirst ihm vermutlich noch die Rolle/Berechtigung zum Lesen erteilen müssen.

[next42]

Nachfolgendes hatte ich bereits eingeschaltet:

[Dayworker]

Anon würde ich rausnehmen, daß sorgt auch bei anderer SW gerne mal für Verwirrung, wenn man dann doch mit Benutzern daherkommt.


[add1]
Vielleicht geht es wesentlich einfacher, den Admin-Account zu Clonen und dann alle unnötigen Berechtigungen wegzunehmen. Es kann allerdings gut sein, daß dem geclonten Account noch ein oder zwei wichtige Berechtigungen fehlen. Diese müßte man dann sicherlich manuell in den erweiterten ESXi-Systemeinstellungen hinzufügen.

[add2]
Eine hierarchische Auflistung aller Berechtigungen gibt es unter https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vm_admin.doc/GUID-18F4B892-D685-4473-AC25-3195D68DFD90.html

[add3]
Stell den Zugriff mal auf Englisch um, dann kann man im VMTN unter https://communities.vmware.com/thread/557827 auch irgendwann eine Lösung bekommen.