Cómo dar de alta un usuario, asignarlo a un grupo de seguridad y establecer permisos granulares por pool (grupo de recursos) de máquinas virtuales en un entorno VMware vSphere 6.7 (VMware ESXi 6.7). El procedimiento es válido para versiones superiores de vSphere.
- Alta de usuario en VMware vSphere 6.7.
- Crear grupo de seguridad en VMware vSphere 6.7.
- Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere.
- Comprobar el acceso y los permisos que tienen los usuarios del grupo.
Alta de usuario en VMware vSphere 6.7
Para dar de alta un usuario accederemos a VMware vSphere Client (consola web), con un usuario con permisos de administrador. Accederemos a «Menú» [1] y a «Administración» [2]:
Pulsaremos en «Single Sign On» – «Usuarios y grupos» [1], elegiremos el Dominio, si no tenemos conectado VMware con Active directory, elegiremos «vsphere.local» [2]. Pulsaremos en «Agregar» [3]:
Introduciremos los datos del usuario (nombre, contraseña, correo electrónico, etc.) y pulsaremos «Agregar»:
Crear grupo de seguridad en VMware vSphere 6.7
Para crear un grupo de seguridad, accederemos a la misma opción que para crear los usuarios y pulsaremos en la pestaña «Grupos» [1] y en «Agregar» [2]:
Introduciremos los datos del grupo, el nombre y la descripción. Si queremos podemos añadir desde aquí los usuarios que pertenecerán a este grupo (en «Agregar miembros»):
Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere
Tras crear los usuarios y el grupo de seguridad al que pertenecerán, añadiremos ahora las acciones (funciones) que queramos permitir a este grupo (y sus usuarios miembros). Por ejemplo, en nuestro caso, hemos creado un grupo de usuarios llamado gSistemas, al que permitiremos únicamente el apagado, encendido y reinicio de las máquinas virtuales de un pool (grupo de recursos). Para ello, desde el menú de Administración:
Pulsaremos en «Control de acceso» – «Funciones» [1] y en el botón más [2]:
Elegiremos los permisos que queramos conceder al grupo de usuarios. Vienen agrupados por tipo: alarmas, almacenamiento, carpeta, centro de datos, certificados, clúster de almacenes de datos, content library, distributed switch, extensión, global, host, máquina virtual, recurso, red, sesiones, tareas, … En nuestro caso elegiremos «Máquina virtual» y en todos los permisos posibles, en el grupo de «Iteración», marcaremos «Apagar», «Encender», «Suspender» y «Restablecer». Una vez marcados los permisos pulsaremos en «Next»:
Introduciremos el nombre para la función, para identificarla posteriormente y asignársela al grupo, por ejemplo «Apagar_Encender_MV»:
Seleccionaremos el pool (grupo de recursos) al que queramos asignar los permisos [1]. Pulsaremos en la pestaña «Permisos» [2] y en el botón más [3]:
Elegiremos el grupo al que aplicaremos los permisos [1], los permisos a aplicar [2] y, si tenemos pool dentro de este pool, para que se apliquen también a las máquinas virtuales de los pool de dentro, marcaremos «Propagar a objetos secundarios» [3]:
Comprobar el acceso y los permisos que tienen los usuarios del grupo
Una vez creados los usuarios, el grupo de seguridad, las funciones (acciones) y asignadas a un pool, comprobaremos con un usuario nuevo que sólo tiene acceso a las máquinas virtuales del pool establecido y sólo puede apagar, encender y reiniciar:
Vemos que, efectivamente, el usuario sólo ve las máquinas virtuales que contiene el pool (grupo de recursos) «Pruebas». Y en cada máquina virtual únicamente puede Apagar, Encender, Reiniciar, el resto de funciones aparecerán desactivadas: