Probleme mit der Rechtevergabe - einige Rechte "fallen

[faert]

Hallo zusammen,

wir haben ein seltsames Phänomen bei uns. Anmeldung erfolgt gegen ein Active Directory. Dort gibt es eine Admingruppe und eine Gruppe mit normalen Usern. Die Adminuser sind in beiden Gruppen vorhanden. Der Admingruppe ist die Rolle Administrator zugewiesen. Den anderen Gruppe ist eine spezielle Rolle zugewiesen mit einigen Einschränkungen.

Der bzw. die ESXi ist/sind 4.1U1. AD ist 2003.

Logge ich mich als Mitglied der Administrator Gruppe ein, habe ich anscheinend auch Administrator Rechte, allerdings kann ich manchmal sofort nach einem boot, manchmal auch nach einiger Zeit keine virtuellen Maschinen mehr erstellen - der Punkt ist ausgegraut. Die restlichen Funktionen des Admins sind aber nutzbar. Meist ist das Problem nach einem Boot behoben. Aber auf dem Server laufen eine Menge Maschinen und ich kann den nicht alle paar Tage booten.

Ein weiteres Problem bei der Rechtevergabe ist, das für die spezielle Rolle es möglich ist den VMs ein anderes ISO einzulegen. Ein Vergleich zw 2 Hosts zeigt, das die Rechte auf beiden gleich gesetzt sind für diese Rolle, auf dem einen Server kann der User das ISO einer VM wechseln, auf dem anderen nicht. Dies passiert unabhängig davon ob es ein lokaler oder ein AD-User ist.

Irgend jmd eine Idee?

Gruß

[faert]

Ich wollte mal pushen. Hat keiner eine Idee?

[Tschoergez]

kann es sein, dass das ISO für den anderen ESX nicht erreichbar ist?
habt Ihr ein vCenter?
Schau mal ins Permissions-Tab der VMs, ob nicht doch von irgendwoher irgendwelche Permissions von oben vererbt wurden...

Sind auch die lokalen User<->Gruppenzuordnungen auf dem ESX gleich?

Viele Grüße,
jörg

[faert]

Alle Server können problemlos auf den Datastore mit den ISOs zugreifen - dieser kommt per ISCSI von einem QNap NAS.

Wir haben leider kein vCenter. Wir haben auch nur die free-Variante des ESXi - allerdings aktuell. Wir hatten gehofft, das unsere Probleme mit den Updates weg sind.

Die Rechte werden von den Ressourcengruppen ab richtig vererbt - werde ich morgen aber noch einmal für mehrere Fälle prüfen. Bisher hatte ich nur den einen Fall überprüft, bei dem es uns wieder aufgefallen war.

Die AD-User und der eine lokale User (abgesehen vom root) haben die gleiche Rechte-Rolle zugewiesen. Daher sind Fehler dort eigentlich auszuschließen?

Danke aber für deine Ideen! Noch irgendwelche parat?

Gruß

[faert]

Das Problem ist scheinbar, das die Rechte-Rolle nicht richtig gezogen wird Ich hab einfach mal alles angehackert um zu schauen ob ich eventuell etwas vergessen habe und der ehemals beschränkte User hat trotz dessen keine Mehrrechte?

Kann ich den ESXi dazu zwingen, die neu zu ziehen?

[Tschoergez]

allgemein gilt:
User berechtigungen gehen vor gruppenberechtigungen, und die berechtigungen, die "weiter unten" im Inventory vergeben werden, überschreiben diejenigen, die von oben verrebt wurden
(egal, ob mehr oder weniger restriktiv)

Wenn jetzt ein Benutzer in mehreren Gruppen ist, wirds natürlich sehr schnell unübersichtlich.
Kannst Du mal ein paar screenshots machen und posten (dateianhänge hier im Forum gehen nicht!)

viele grüße,
jörg

[Tschoergez]

Wenn Du meinst, dass grafisch alles passt, prüf mal, ob Du auf der Troubleshooting Console (via putty/SSH) in folgender Datei was rauslesen kannst:
/etc/hostd/authorization.xml
Und google mal nach authorization.xml esxi, da gibts einige Tipps.

Wenn Du den Verdacht hast, dass die Verbindung zum AD nicht passt, dann gehts ans Troubleshooten der Likewise Agenten:
http://kb.vmware.com/selfservice/micros ... Id=1026554

Andere Idee: Passt denn die Zeitsynchronisation zwischen AD und ESX?

viele grüße,
jörg

[faert]

Danke erstmal für deine vielen Ideen!

Ich hab jetzt mal in die authorization.xml geschaut. Lag bei mir allerdings /etc/vmware/hostd - falls jmd noch einmal auf den Artikel stößt.

Der Teil in dem die Gruppe definiert ist, sieht folgendermaßen aus:

Code: Alles auswählen


<PrivSet id="10">
    <Priv id="Datastore.Browse">Datastore.Browse</Priv>
    <Priv id="VirtualMachine.Interact.AnswerQuestion">VirtualMachine.Interact.AnswerQuestion</Priv>
    <Priv id="VirtualMachine.Interact.ConsoleInteract">VirtualMachine.Interact.ConsoleInteract</Priv>
    <Priv id="VirtualMachine.Interact.DeviceConnection">VirtualMachine.Interact.DeviceConnection</Priv>
    <Priv id="VirtualMachine.Interact.PowerOff">VirtualMachine.Interact.PowerOff</Priv>
    <Priv id="VirtualMachine.Interact.PowerOn">VirtualMachine.Interact.PowerOn</Priv>
    <Priv id="VirtualMachine.Interact.Reset">VirtualMachine.Interact.Reset</Priv>
    <Priv id="VirtualMachine.Interact.SetCDMedia">VirtualMachine.Interact.SetCDMedia</Priv>
    <Priv id="VirtualMachine.Interact.Suspend">VirtualMachine.Interact.Suspend</Priv>
    <Priv id="VirtualMachine.Interact.TerminateFaultTolerantVM">VirtualMachine.Interact.TerminateFaultTolerantVM</Priv>
    <Priv id="VirtualMachine.Interact.ToolsInstall">VirtualMachine.Interact.ToolsInstall</Priv>
    <Priv id="VirtualMachine.State.CreateSnapshot">VirtualMachine.State.CreateSnapshot</Priv>
    <Priv id="VirtualMachine.State.RemoveSnapshot">VirtualMachine.State.RemoveSnapshot</Priv>
    <Priv id="VirtualMachine.State.RenameSnapshot">VirtualMachine.State.RenameSnapshot</Priv>
    <Priv id="VirtualMachine.State.RevertToSnapshot">VirtualMachine.State.RevertToSnapshot</Priv>
    <PrivRoleId>10</PrivRoleId>
  </PrivSet>


Bei allen Usern die diese Rolle ziehen sollen steht auch als als RoleID die 10 drin.

Mir geht es insbesondere darum, das die User (sowohl die lokalen, als auch die aus dem AD) die Datenspeicher nicht durchsuchen können. Aber genau das steht doch gleich als 1. Punkt in der Gruppe drin?

Als Zeitserver ist das AD selbst angegeben. Die Uhrzeit sieht auch in Ordnung aus. Zumindest auf die Minuten, was ich im vSphere Client sehe.

Einnige Benutzer stehen in 2 AD Gruppen drin, sind aber unterschiedlichen Rechterolln zugeordnet. Welche Rolle hat da Vorang? Momentan haben die User die höheren Rechte. Ist das richtig so? Oder eher Zufall?

Was möchtest du denn genau für Screenshots haben?

User und Gruppen sehen folgendermaßen aus:

root -> Adminrolle
lokaleruser -> beschränkte Rolle
Gruppe mit allen AD-Usern -> beschränkte Rolle
Gruppe mit AD-Usern die Adminrechte haben sollen (gehören aber natürlich auch zu "allen AD-Usern") -> Adminrolle

Danke für weitere Anregungen!

[Tschoergez]

... Lag bei mir allerdings /etc/vmware/hostd - falls jmd noch einmal auf den Artikel stößt....

Stimmt natürlich, das vmware-Verzeichnis hatte ich vergessen beim aptippen.

Wenn die Berechtigungen für die unterschiedlichen Gruppen auf der gleichen Ebene im Inventory vergeben sind, dann ist das Ergebnis wohl tatsächlich zufällig.

Sieht das Ganze auf den anderen Host gleich aus?

Und was genau funktioniert nicht (Du hast im ersten Post zwei Fehler beschrieben, welchen sollen wir zuerst angehen )?

[faert]

Berechtigungen sind meist einer Ressourcengruppe zugeordnet. Also oben liegen keine VMs, sondern nur die Ressourcengruppen und denen sind dann auch die Berechtigungen zugewiesen.

Auf dem 2. System mit dem Fehler sieht die authorization.xml gleich aus. Allerdings haben wir noch ein Testsystem. Hier sieht die authorization.xml auch gleich aus. Bezogen auf diese Gruppe. Dort funktioniert es allerdings hervoragend und es gibt keine Probleme.

Ich würde am liebsten das Problem angehen, das User keine Datastores sehen können! Weil das nervt tierisch, laufend jemandem ein ISO einzulegen.

Danke für die Mithilfe!

[Tschoergez]

Die Datastores sind im "Datenmodell" ganz oben auf ESX-Ebene eingehängt => Ein Benutzer braucht die enstprechenden Berechtigungen ganz oben auf dem ESX.
viele grüße,
jörg

[faert]

Das ist glaube ich der passende Hinweis! Dankeschön!

Hast du auch einen Vorschlag, wie ich das am besten lösen kann?

Könnte ich eine Rechterolle machen, die nur die Option zum Datastore lesen hat und die von ganz oben der AD-Gruppe und dem einen lokalen User zuweisen? Und ab dem Ressourcenpools dann die eigentliche Rechterolle?

Gruß