Gérer les rôles, les utilisateurs et les autorisations sous VMware ESXi 7.0 et 6.7 - VMware - Tutoriels

En tant qu'administrateur système (ou administrateur virtualisation, dans ce cas-ci), vous serez souvent appelé pour effectuer telle ou telle modification sur un serveur, un routeur, ...
Dans le cas de VMware ESXi, comme avec d'autres technologies (dont l'Active Directory), il est possible de créer des utilisateurs supplémentaires avec des droits limités pour pouvoir déléguer certaines tâches courantes sans pour autant permettre à l'utilisateur de faire n'importe quoi.

Pour déléguer certaines tâches à des personnes de confiance (qu'il s'agisse de responsables ou d'employés), vous devrez toujours utiliser une combinaison de 3 éléments : comptes d'utilisateurs, rôles et autorisations.
Dans ce tutoriel, vous verrez comment ajouter, modifier et supprimer chacun de ces éléments et comment les configurer sur différents types d'objets (serveur hôte, machines virtuelles, stockage ou groupe de ports).

1. Gestion des rôles

Pour pouvoir accorder tel ou tel droit à un utilisateur sur tel ou tel objet, VMware ESXi utilise un système de rôles.
Pour voir la liste des rôles disponibles par défaut, allez dans : Hôte -> Gérer -> Sécurité et utilisateurs -> Rôles.

Comme vous pouvez le voir, par défaut, VMware ESXi propose différents rôles :

Administrateur : permet de donner tous les droits à un utilisateur sur un objet (qu'il s'agisse de l'hyperviseur dans son entièreté, ou une machine virtuelle spécifique, ou tout autre objet).
Anonyme : correspond aux droits que possède un "utilisateur" non connecté. Notez que ce droit ne peut pas être accordé et qu'il ne sera donc pas visible dans le menu "Actions -> Autorisations" des objets souhaités.
Aucun accès : permet de limiter (supprimer) les droits qu'un utilisateur avait sur un objet enfant grâce à des droits que vous lui auriez accordés sur un objet parent.
Aucun administrateur de chiffrement : possède quasiment les mêmes droits que le rôle "Administrateur" à l'exception des opérations de chiffrement qui ne seront pas possibles avec ce rôle.
Lecture seule : permet de voir diverses informations (en fonction de l'objet concerné), mais l'utilisateur ne pourra apporter aucune modification sur les objets concernés.
Afficher : similaire au rôle précédent (Lecture seule), mais à la différence que celui-ci ne peut pas être accordé. Il ne sera donc pas visible depuis la fenêtre de gestion des autorisations sur l'objet souhaité.

Depuis VMware ESXi 7, vous trouverez ces 2 nouveaux rôles dans la liste des rôles disponibles :

Aucun administrateur d'infrastructure approuvée : permet d'accorder tous les droits sur le serveur vCenter Server (excepté les droits nécessaires pour les appels aux APIs de Autorité d'approbation vSphere).
Administrateur d'infrastructure approuvée : permet de configurer et gérer un déploiement d'autorité d'approbation vSphere.

Sources :

1.1. Ajouter un rôle personnalisé

Bien qu'il existe des rôles par défaut avec des permissions prédéfinies pour ceux-ci, vous pouvez aussi créer vos propres rôles pour pouvoir gérer l'attribution de permissions plus en détail.
Pour cela, cliquez sur : Ajouter rôle.

Pour ajouter un rôle, vous devrez :

Nom du rôle (requis) : indiquer un nom pour celui-ci
Privilèges : choisir les privilèges que vous souhaitez accorder à vos futurs utilisateurs grâce à ce rôle

Comme vous pouvez le voir, vous pourrez accorder ou non des privilèges pour :

Datastore : la gestion des banques de données. Pour autoriser ou non des utilisateurs à gérer les fichiers, les déplacer, les supprimer, allouer de l'espace (nécessaire pour créer un disque dur virtuel, par exemple), ...
Network : la gestion des réseaux. Configurer des réseaux, en supprimer, en assigner, ...
Host : la gestion de l'hôte (l'hyperviseur VMware ESXi)
VirtualMachine : la gestion de machines virtuelles.
Authorization : la gestion des rôles et des autorisations.
Certificate : la gestion de certificats numériques.
etc.

Si vous cliquez sur une des catégories de privilèges disponibles, vous pourrez gérer minutieusement les privilèges concernant la catégorie souhaitée.
Pour ce tutoriel, nous avons accordé uniquement la gestion des machines virtuelles.
Néanmoins, cela peut ne pas être suffisant en fonction des actions précises que l'utilisateur tentera d'effectuer.

En effet, bien qu'il pourra accéder à la liste des machines virtuelles, les démarrer et les utiliser (par exemple), il ne pourra pas créer de disques durs virtuels supplémentaires pour celles-ci.
En effet, pour cela, vous devrez aussi accorder des privilèges supplémentaires situés dans la catégorie "Datastore" (banques de données). Et notamment, le privilège "AllocateSpace" qui permet d'allouer de l'espace dans une banque de données.

Pour retourner à la racine de la liste des catégories de privilèges disponibles, cliquez sur l'élément "Root" du fil d'ariane.
Ensuite, une fois que vous aurez coché tous les droits à attribuer aux utilisateurs grâce à ce rôle, cliquez sur : Ajouter.

Votre nouveau rôle a été ajouté.

1.2. Modifier un rôle

Pour commencer, sachez que les rôles prédéfinis ne peuvent pas être modifiés.
D'ailleurs, si vous en sélectionnez un dans la liste des rôles, vous verrez que l'option "Modifier le rôle" sera grisée.

Mais, en sélectionnant un des rôles personnalisés que vous avez ajouté, vous pourrez cliquer sur "Modifier le rôle".

Comme prévu, vous pourrez modifier le nom de ce rôle, ainsi que la liste des privilèges qui lui sont associés.
Notez qu'il est possible que VMware ESXi ait ajouté automatiquement certains droits à votre rôle personnalisé. Comme c'est le cas ici, avec la catégorie de privilèges "System" qui a été cochée automatiquement par l'hyperviseur VMware ESXi.

ATTENTION : si vous avez déjà assigné ce rôle pour plusieurs utilisateurs sur votre hyperviseur, faites attention aux droits que vous allez modifier ici étant donné que cela modifiera les droits pour tous ces utilisateurs sur les objets souhaités.
Vous risquez donc d'attribuer accidentellement des droits à certains utilisateurs sans le vouloir, voire sans vous en rendre compte sur le moment.

1.3. Supprimer un rôle personnalisé

Pour supprimer un rôle, sélectionnez-le dans la liste et cliquez sur : Supprimer rôle.

Cochez la case "Supprimer uniquement si non utilisé", puis cliquez sur Oui pour confirmer la suppression de ce rôle.

Si ce rôle n'est plus utilisé sur votre hyperviseur VMware ESXi, le message "Rôle [nom du rôle] supprimé" apparaitra.

Sinon, l'erreur "Échec de la suppression du rôle" se produira et le rôle souhaité ne sera pas supprimé.

2. Gestion des utilisateurs

Une fois que vous aurez regroupé les différents privilèges à accorder à vos futurs utilisateurs grâce aux rôles, vous devrez créer des comptes d'utilisateurs pour ceux-ci.
En entreprise, la création d'utilisateurs permet d'accorder différents droits en fonction des utilisateurs, mais aussi de contrôler ce que font ceux-ci.
Ainsi, en cas de problème, vous pourrez facilement savoir quelle personne a fait une mauvaise manipulation ou quelque chose qu'elle n'aurait pas du faire.

Pour gérer les utilisateurs de votre hyperviseur VMware ESXi, allez dans : Hôte -> Gérer -> Sécurité et utilisateurs -> Utilisateurs.
Comme vous pouvez le voir, par défaut, seulement le compte "root" est présent dans cette liste d'utilisateurs.

Depuis VMware ESXi 7, une nouvelle colonne "Accès au shell" a apparue (et est censée vous indiquer quel utilisateur a accès au shell).

2.1. Ajouter un utilisateur

Pour ajouter un utilisateur, cliquez simplement sur : Ajouter un utilisateur.

Dans la fenêtre "Ajouter un utilisateur" qui apparait, indiquez :

Nom d'utilisateur (requis) : le nom d'utilisateur qu'il ou elle devra utiliser pour se connecter au serveur VMware ESXi
Description : une description pour savoir de qui il s'agit (facultatif)
Mot de passe : 2 fois un mot de passe pour celui-ci.
Notez que par défaut, VMware ESXi requiert que le mot de passe possède au moins 7 caractères (dont au moins 1 minuscule, 1 majuscule, 1 chiffre et un caractère spécial).
Néanmoins, si vous souhaitez diminuer cette complexité pour permettre à vos utilisateurs d'utiliser des mots de passe moins compliqués, vous pouvez le faire en suivant notre tutoriel : VMware ESXi 6.7 - Changer la complexité requise pour les mots de passe.

Ensuite, cliquez sur : Ajouter.

Depuis VMware ESXi 7, une case "Activer l'accès au shell" vous permet d'autoriser un utilisateur à gérer votre hôte en ligne de commandes (via SSH et via le shell de la console DCUI, si les services correspondants sont activés).
Néanmoins, pour qu'un utilisateur ait accès au shell, il faut également lui asigner le rôle "Administrateur" sur l'objet "Hôte" depuis l'interface web de votre hyperviseur VMware ESXi.
Dans le cas contraire, la connexion échouera.

Sources :

Le message "Utilisateur [nom de l'utilisateur] ajouté" apparait.

2.2. Modifier un utilisateur

Pour modifier un utilisateur, sélectionnez-le dans la liste et cliquez sur : Modifier l'utilisateur.

Comme vous pouvez le voir, vous pourrez modifier sa description et son mot de passe, si besoin.

Notes :

VMware ESXi indique automatiquement "ESXi User" comme description lorsque celle-ci est vide lors de l'ajout de l'utilisateur.
si vous laissez les cases "Mot de passe" vides, celui-ci ne sera pas modifié ni supprimé.

A nouveau, lorsque vous modifiez un utilisateur créé sous VMware ESXi, vous pourrez modifier l'option "Activer l'accès au shell" expliqué précédemment (dans la section "2.1. Ajouter un utilisateur").

2.3. Supprimer un utilisateur

Pour supprimer un utilisateur, sélectionnez le dans la liste et cliquez sur : Supprimer l'utilisateur.

Répondez Oui à la question "Voulez-vous vraiment supprimer l'utilisateur : [nom de l'utilisateur] ?".

Le message "Utilisateur [nom de l'utilisateur] supprimé" apparait.