Cómo dar de alta un usuario, asignarlo a un grupo de seguridad y establecer permisos granulares por pool (grupo de recursos) de máquinas virtuales en un entorno VMware vSphere 6.7 (VMware ESXi 6.7). El procedimiento es válido para versiones superiores de vSphere.

Alta de usuario en VMware vSphere 6.7

Para dar de alta un usuario accederemos a VMware vSphere Client (consola web), con un usuario con permisos de administrador. Accederemos a «Menú» [1] y a «Administración» [2]:

Alta de usuario en VMware vSphere 6.7

Pulsaremos en «Single Sign On» – «Usuarios y grupos» [1], elegiremos el Dominio, si no tenemos conectado VMware con Active directory, elegiremos «vsphere.local» [2]. Pulsaremos en «Agregar» [3]:

Alta de usuario en VMware vSphere 6.7

Introduciremos los datos del usuario (nombre, contraseña, correo electrónico, etc.) y pulsaremos «Agregar»:

Alta de usuario en VMware vSphere 6.7

Crear grupo de seguridad en VMware vSphere 6.7

Para crear un grupo de seguridad, accederemos a la misma opción que para crear los usuarios y pulsaremos en la pestaña «Grupos» [1] y en «Agregar» [2]:

Alta de usuario en VMware vSphere 6.7

Introduciremos los datos del grupo, el nombre y la descripción. Si queremos podemos añadir desde aquí los usuarios que pertenecerán a este grupo (en «Agregar miembros»):

Alta de usuario en VMware vSphere 6.7

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Tras crear los usuarios y el grupo de seguridad al que pertenecerán, añadiremos ahora las acciones (funciones) que queramos permitir a este grupo (y sus usuarios miembros). Por ejemplo, en nuestro caso, hemos creado un grupo de usuarios llamado gSistemas, al que permitiremos únicamente el apagado, encendido y reinicio de las máquinas virtuales de un pool (grupo de recursos). Para ello, desde el menú de Administración:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Pulsaremos en «Control de acceso» – «Funciones» [1] y en el botón más [2]:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Elegiremos los permisos que queramos conceder al grupo de usuarios. Vienen agrupados por tipo: alarmas, almacenamiento, carpeta, centro de datos, certificados, clúster de almacenes de datos, content library, distributed switch, extensión, global, host, máquina virtual, recurso, red, sesiones, tareas, … En nuestro caso elegiremos «Máquina virtual» y en todos los permisos posibles, en el grupo de «Iteración», marcaremos «Apagar», «Encender», «Suspender» y «Restablecer». Una vez marcados los permisos pulsaremos en «Next»:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Introduciremos el nombre para la función, para identificarla posteriormente y asignársela al grupo, por ejemplo «Apagar_Encender_MV»:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Seleccionaremos el pool (grupo de recursos) al que queramos asignar los permisos [1]. Pulsaremos en la pestaña «Permisos» [2] y en el botón más [3]:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Elegiremos el grupo al que aplicaremos los permisos [1], los permisos a aplicar [2] y, si tenemos pool dentro de este pool, para que se apliquen también a las máquinas virtuales de los pool de dentro, marcaremos «Propagar a objetos secundarios» [3]:

Establecer las funciones (acciones) que podrán realizar los usuarios de un grupo en VMware vSphere

Comprobar el acceso y los permisos que tienen los usuarios del grupo

Una vez creados los usuarios, el grupo de seguridad, las funciones (acciones) y asignadas a un pool, comprobaremos con un usuario nuevo que sólo tiene acceso a las máquinas virtuales del pool establecido y sólo puede apagar, encender y reiniciar:

Comprobar el acceso y los permisos que tienen los usuarios del grupo

Vemos que, efectivamente, el usuario sólo ve las máquinas virtuales que contiene el pool (grupo de recursos) «Pruebas». Y en cada máquina virtual únicamente puede Apagar, Encender, Reiniciar, el resto de funciones aparecerán desactivadas:

Comprobar el acceso y los permisos que tienen los usuarios del grupo