• Changer la complexité pour les mots de passe
• Désactiver le délai d'inactivité du client web

3. Gérer les autorisations sur les différents objets

Maintenant que vous avez créé les rôles (groupes de privilèges) et les utilisateurs souhaités, il vous reste à lier ceux-ci aux objets auxquels vous souhaitez permettre à vos utilisateurs d'accéder.

Comme vous allez le voir ci-dessous, vous pourrez gérer les autorisations pour différents types d'objets :

• l'hôte (l'hyperviseur VMware ESXi)
• les machines virtuelles
• le stockage (banques de données)
• la mise en réseau (groupes de ports)

3.1. Gérer les autorisations pour l'hôte

Pour attribuer des autorisations sur l'entièreté de votre hyperviseur (si les privilèges accordés le permettent), allez dans "Hôte" et cliquez sur : Actions -> Autorisations.
Petit raccourci : vous pouvez aussi faire un clic droit sur l'élément "Hôte" du menu de gauche et cliquer sur "Autorisations".

Comme vous pouvez le voir, la fenêtre "Gérer les autorisations" qui s'affiche vous permettra d'attribuer des utilisateurs et des rôles pour l'hôte.

Par défaut, 3 utilisateurs ont déjà tous les droits (grâce au rôle Administrateur) sur l'hôte :

• dcui : correspond à la console du même nom (DCUI) visible sur l'écran connecté sur votre serveur (le cas échéant). Sinon, vous pouvez aussi accéder à celle-ci à distance en lançant le programme "dcui" depuis une session SSH.
• root : compte d'utilisateur créé lors de l'installation de votre hyperviseur et que vous êtes très probablement en train d'utiliser actuellement si vous êtes en train d'apprendre la gestion des droits avec VMware ESXi.
• vpxuser : compte d'utilisateur utilisé par vCenter Server pour gérer cet hôte à distance pour, par exemple, modifier la configuration d'une machine virtuelle, en déplacer, ...
  Pour plus d'informations concernant ce compte "vpxuser", référez-vous à la page "Privilèges vpxuser" de la documentation officielle de VMware.

3.2. Gérer les autorisations pour les machines virtuelles

Si vous souhaitez que certains utilisateurs puissent gérer uniquement une machine virtuelle spécifique, accédez à celle-ci et cliquez sur : Actions -> Autorisations.

Comme vous pouvez le voir, cette fois-ci, la fenêtre "Gérer les autorisations" vous permet d'attribuer des utilisateurs et des rôles pour la machine virtuelle souhaitée.

3.3. Gérer les autorisations pour les banques de données

Pour autoriser certains utilisateurs à accéder et gérer une banque de données spécifique, accédez à celle-ci et cliquez à nouveau sur : Actions -> Autorisations.

Cette fois-ci, la fenêtre "Gérer les autorisations" qui apparait vous permettra de gérer les autorisations pour la banque de données souhaitée.

3.4. Gérer les autorisations pour les groupes de ports

Pour autoriser certains utilisateurs à gérer la mise en réseau de vos machines virtuelles ou de l'hyperviseur VMware ESXi en lui-même, ouvrez la page du groupe de ports souhaité et cliquez sur : Actions -> Autorisations.

Cette fois-ci, vous pourrez gérer les autorisations pour le groupe de ports souhaité.
Dans ce cas-ci, le groupe de ports "VM Network" utilisé par défaut par vos machines virtuelles.

4. Accorder des privilèges à des utilisateurs sur des objets grâce aux rôles

Pour ce tutoriel, nous allons gérer les autorisations directement sur l'hyperviseur, plutôt que sur un objet enfant.
Néanmoins, l'objet sur lequel vous configurerez les autorisations dépendra de ce que vous voulez faire dans votre cas.

Bref, dans notre cas, nous allons dans "Hôte", puis nous cliquons sur : Actions -> Autorisations.

Dans la fenêtre "Gérer les autorisations" qui apparait, cliquez sur : Ajouter un utilisateur.

Ensuite, en haut à gauche, sélectionnez l'utilisateur à qui vous souhaitez accorder des privilèges sur cet objet.
Dans notre cas, notre utilisateur "AdminVM".

Notez que par défaut, les privilèges attribués sur cet objet pour cet utilisateur seront propagés également aux objets enfants grâce à la case "Propager vers tous les enfants" cochée par défaut.
En fonction des privilèges qui seront accordés grâce au rôle que vous sélectionnerez à droite, cet utilisateur pourra donc peut-être effectuer également ou non certaines actions sur les objets enfants.

Pour l'option "Ajouter en tant que groupe", cela ne concerne que l'attribution de privilèges à un groupe Active Directory, dans le cas où votre hyperviseur VMware ESXi serait lié à un domaine Active Directory.

Dans la liste de droite, sélectionnez le rôle à utiliser pour cet utilisateur sur cet objet.
Dans notre cas, notre rôle "VM_Manager".

Une fois le rôle souhaité sélectionné, vous verrez la liste des privilèges qui lui seront accordés sur cet objet.

Attention : pour ajouter cette autorisation, vous devrez cliquer sur le bouton "Ajouter un utilisateur" et non sur le bouton "Fermer" situé juste en dessous.

Notre utilisateur "AdminVM" apparait dans la liste des autorisations avec notre rôle "VM_Manager".

5. Test des autorisations configurées

Pour tester si les autorisations sont correctement configurées pour vos utilisateurs, connectez-vous avec l'un d'entre eux.

Comme vous pouvez le voir en haut à droite, vous êtes connecté avec l'utilisateur souhaité et non en tant que root.

Dans notre cas, cet utilisateur peut voir la liste des machines virtuelles.

Il peut également voir la liste des banques de données présentes sur votre hyperviseur VMware ESXi.

Ainsi que la liste des groupes de ports (VM Network, Management Network, ...) configurés sur celui-ci.

Si vous vous demandez pourquoi l'utilisateur peut voir autant d'informations concernant l'hôte (et d'autres composants de VMware ESXi) malgré que nous avions accordé uniquement les privilèges concernant les machines virtuelles, regardez les privilèges du rôle attribué pour cet utilisateur sur l'objet souhaité.
Comme vous pouvez le voir, VMware ESXi a automatiquement rajouté la section "System" des privilèges dans le rôle que vous aviez créé. Ce qui permet à l'utilisateur d'afficher les informations système, même s'il ne peut pas les modifier.

Si vous souhaitez limiter cette visibilité, il vous suffit de définir les autorisations de cet utilisateur sur un objet en particulier plutôt que sur l'hôte en lui-même comme c'est le cas dans ce tutoriel.

Comme vous pouvez le voir, la catégorie "System" des privilèges permet uniquement d'obtenir un droit d'affichage (View) et de lecture (Read).

Dans notre cas, l'utilisateur peut gérer les machines virtuelles et il peut donc en démarrer une s'il le souhaite.

La machine virtuelle souhaitée a démarré.