Hallo zusammen,
Ich habe im vCenter Orchestrator einige einfache Workflows definiert wie das (Re-)booten von virtuellen Servern. Die funktionieren sehr gut. Ich möchte nun aber verhindern, dass mit diesen Workflows jeder virtuelle Server einfach ausgeschaltet werden kann. Ich will irgendwie definieren können, dass vCO User nur bestimmte Geräte booten können.
Das ganze habe ich versucht wie folgt zu lösen. Im Orchestrator habe ich einer AD Gruppe "vCO Users" Zugriffsberechtigungen (View, Execute, Inspect) erteilt. Die Mitglieder dieser Gruppe können sich nun am Orchestrator anmelden und Workflows ausführen.
Auf dem vCenter Server habe ich einen virtuellen Server als Testgerät auserkoren. Bei diesem habe ich im Berechtigungs-Tab ebenfalls die AD-Gruppe "vCO Users" hinzugefügt mit der Rolle "Benutzer virtueller Maschinen".
Nun bin ich eigentlich der Meinung, dass die Mitglieder der Gruppe "vCO Users" meinen Testserver administrieren (herunterfahren, neu starten, etc.) können müssten, jedoch keine anderen Server. Das ist nur leider nicht der Fall, als "vCO User" kann ich weiterhin nach belieben jeden Server ausschalten.
Könnte mir vielleicht jemand erklären wie ich das konfigurieren muss? Vielen Dank.
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Rechtevergabe im vCenter Server/vCenter Orchestrator
Im vCenter kann man auf jeder Maschine die Rechte explizit setzen. Dann sehen die User auch nur die VM´s, die sie sehen sollen. Zugriff über Browser (https://vcenter/ui/#). Man kann dann sogar in der Benutzerverwaltung genau festlegen, was gemacht werden darf und was nicht.
Wenn ich aber im Register "Berechtigungen" einer Maschine eine AD-Gruppe hinzufüge, dann müsste ich auf diese Weise doch die Rechte explizit definiert haben. So definiere ich doch, dass diese Gruppe ausschliesslich Zugriffsberechtigungen auf diesen Server hat.
Das ganze funktioniert so übrigens auch. Wenn ich mich am vSphere Client mit einem Benutzer dieser Gruppe anmelde, sehe ich auch nur den Server für den ich ihn berechtigt habe. Trotzdem kann mit dem genau gleichen User jeden beliebigen Server über den Orchestrator steuern.
Das ganze funktioniert so übrigens auch. Wenn ich mich am vSphere Client mit einem Benutzer dieser Gruppe anmelde, sehe ich auch nur den Server für den ich ihn berechtigt habe. Trotzdem kann mit dem genau gleichen User jeden beliebigen Server über den Orchestrator steuern.
Fehler gefunden. 
Im vCenter Orchestrator lässt sich einstellen, ob für jeden Benutzer eine separate Session verwendet werden soll oder alles über einen Account laufen soll.
Kann mir aber jemand erklären wieso und vor allem wie ich die Berechtigungen, welche ich im vCenter Server gesetzt habe, wieder löschen kann? Wenn ich einen Rechtsklick auf die Gruppen mache ist die Option "Löschen" grau hinterlegt. Auch das hinzufügen von neuen Berechtigungen funktioniert nicht.
Im vCenter Orchestrator lässt sich einstellen, ob für jeden Benutzer eine separate Session verwendet werden soll oder alles über einen Account laufen soll.
Kann mir aber jemand erklären wieso und vor allem wie ich die Berechtigungen, welche ich im vCenter Server gesetzt habe, wieder löschen kann? Wenn ich einen Rechtsklick auf die Gruppen mache ist die Option "Löschen" grau hinterlegt. Auch das hinzufügen von neuen Berechtigungen funktioniert nicht.
Ich hänge leider wieder bei einem Berechtigungsproblem fest. Ich habe einen Workflow erstellt mit dem ein User eine neue VM beantragen kann. D.h. der User gibt beim Starten des Workflows an was für eine VM er will (Performance, OS, etc.). Anschliessend wird eine E-Mail an einen Administrator versandt welcher bestätigen muss, dass die neue VM gebaut werden darf.
Dadurch, dass ich in der Orchestrator Konfiguration definiert habe, dass die Workflows mit der derzeitigen Benutzerkennung ausgeführt werden (aufgrund der Boot-Problematik in diesem Thread), schlägt der WF natürlich fehl. Der angemeldete Benutzer hat nämlich keine Rechte um neue VMs zu erstellen. Ich möchte dem User diese Berechtigungen jedoch nicht erteilen, denn wenn ich das tue kann der Benutzer die Bestätigung des Admins umgehen und sich seine VMs einfach bauen.
Die einzige Möglichkeit die mir einfällt um dieses Problem zu lösen, wäre den Workflow für die Erstellung der neuen VM einfach unter einer anderen Benutzerkennung laufen zu lassen. D.h. User X startet den Workflow, alle Aktionen werden jedoch von User Y durchgeführt.
Leider finde ich jedoch keine derartige Option im Orchestrator. Gibt es diese Möglichkeit? Wenn ja, wo? Wenn nein, gibt es andere Möglichkeiten dies zu realisieren?
Dadurch, dass ich in der Orchestrator Konfiguration definiert habe, dass die Workflows mit der derzeitigen Benutzerkennung ausgeführt werden (aufgrund der Boot-Problematik in diesem Thread), schlägt der WF natürlich fehl. Der angemeldete Benutzer hat nämlich keine Rechte um neue VMs zu erstellen. Ich möchte dem User diese Berechtigungen jedoch nicht erteilen, denn wenn ich das tue kann der Benutzer die Bestätigung des Admins umgehen und sich seine VMs einfach bauen.
Die einzige Möglichkeit die mir einfällt um dieses Problem zu lösen, wäre den Workflow für die Erstellung der neuen VM einfach unter einer anderen Benutzerkennung laufen zu lassen. D.h. User X startet den Workflow, alle Aktionen werden jedoch von User Y durchgeführt.
Leider finde ich jedoch keine derartige Option im Orchestrator. Gibt es diese Möglichkeit? Wenn ja, wo? Wenn nein, gibt es andere Möglichkeiten dies zu realisieren?
-
Tschoergez
- Moderator
- Beiträge: 3476
- Registriert: 23.02.2005, 09:14
- Wohnort: Burgberg im Allgäu
- Kontaktdaten:
Hi!
Es gibt im ORchestrator die Möglichkeit, für einen laufenden Workflow die Userkennung zu ändern.
WorkflowToken.changeCredential()
Damit müsstest Du den akutellen workflow (schlüsselwort "workflow" im script) eigentlich abändern können, z.b. auf einen generischen "VM-Erzeuger"- Benutzer, von dem nur Du dass Passwort weißt und der im vCenter ausrieichend Berechtigungen hat.
Grüße,
jörg
Es gibt im ORchestrator die Möglichkeit, für einen laufenden Workflow die Userkennung zu ändern.
WorkflowToken.changeCredential()
Damit müsstest Du den akutellen workflow (schlüsselwort "workflow" im script) eigentlich abändern können, z.b. auf einen generischen "VM-Erzeuger"- Benutzer, von dem nur Du dass Passwort weißt und der im vCenter ausrieichend Berechtigungen hat.
Grüße,
jörg
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste