Gérer les rôles, les utilisateurs et les autorisations sous VMware vSphere 6.7

4. Ajouter un utilisateur et lui accorder une autorisation sur un objet spécifique

Maintenant que vous avez appris à gérer les rôles et les utilisateurs, ainsi qu'à quels endroits vous pouviez définir des autorisations, nous allons vous montrer un exemple concret.
Dans cet exemple, nous allons créer un nouvel utilisateur nommé "AdminVM" à qui nous accorderons le rôle "Utilisateur de machine virtuelle (exemple)" pour l'autoriser à gérer des machines virtuelles.

Pour commencer, allez dans le menu et cliquez sur : Administration.
Ensuite, allez dans la section "Single Sign-On -> Utilisateurs et groupes" et sélectionnez le domaine "vsphere.local".
Cliquez sur le lien "AJOUTER" et créez cet utilisateur "AdminVM".

Comme expliqué précédemment, les autorisations peuvent être définies à plusieurs endroits et notamment sur l'objet correspondant à votre serveur VMware vCenter Server.
Dans notre cas, celui-ci s'appelle : vcsa.informatiweb.lan.

Pour ajouter une autorisation sur votre serveur VMware vCenter Server, faites un clic droit "Ajouter une autorisation" sur celui-ci.

Ou sélectionnez-le à gauche et allez dans l'onglet "Autorisations" de celui-ci.
Puis, cliquez sur l'icône "+" présente au-dessus de la liste des autorisations définies sur ce serveur vCenter Server.

Dans le formulaire qui apparait :

  • sélectionnez le domaine "vsphere.local" (qui correspond au domaine SSO par défaut de votre serveur VMware vCenter Server)
  • indiquez "Admin" et vous verrez que votre serveur vous propose automatiquement plusieurs utilisateurs dont le nom comment par "Admin".
    Cliquez sur l'utilisateur "AdminVM" créé précédemment.

Sélectionnez le rôle que vous souhaitez lui assigner.
Pour cet exemple : le rôle "Utilisateur de machine virtuelle (exemple)" présent nativement dans VMware vCenter Server.

Etant donné que le rôle concerne la gestion de machines virtuelles et que vous ajoutez cette autorisation sur votre serveur VMware vCenter Server, vous devez cocher la case "Propager vers les enfants".
Ainsi, cette autorisation s'appliquera à tous les enfants de votre serveur VMware vCenter, dont vos machines virtuelles font aussi partie.

L'autorisation ajoutée apparait dans la liste des autorisations de votre serveur VMware vCenter Server.

5. Tester les autorisations accordées à un utilisateur

Pour commencer, dans l'onglet "Autorisations" du serveur VMware vCenter Server sélectionné, vous verrez que l'autorisation ajoutée est définie dans : Cet objet et ses enfants.
Ce qui signifie que cette autorisation a été ajoutée sur cet objet, mais qu'elle s'appliquera aussi aux enfants de cet objet.

Si vous regardez les autorisations définies pour une de vos machines virtuelles, vous verrez que la même autorisation est également affichée pour cet objet.
La raison est simple : votre serveur VMware vCenter Server affiche les autorisations définies sur l'objet sélectionné, ainsi que celles qui s'appliquent à cet objet par héritage (propagation de l'autorisation vers les enfants).

Néanmoins, cette fois-ci, votre serveur vous indique que cette autorisation a été définie sur l'objet représentant votre serveur VMware vCenter Server (dans notre cas : vcsa.informatiweb.lan).

Pour tester les autorisations accordées à cet utilisateur, déconnectez-vous du client vSphere en cliquant sur votre nom d'utilisateur en haut à droite, puis sur : Déconnexion.

Connectez-vous en tant que "AdminVM@vsphere.local" (en n'oubliant pas de spécifier le domaine SSO concerné par cet utilisateur).
Comme vous pouvez le voir, bien que le rôle "Utilisateur de machine virtuelle (exemple)" est censé permettre à l'utilisateur d'interagir avec des machines virtuelles, gérer les tâches planifiées et annuler des tâches, vous avez tout de même la possibilité de voir des informations concernant le serveur VMware vCenter Server où vous avez défini l'autorisation précédemment.

Bien entendu, vous avez aussi la possibilité de voir des informations concernant les machines virtuelles, mais aussi de gérer celles-ci.

Vous pouvez par exemple démarrer une machine virtuelle si vous le souhaitez.

Ainsi qu'accéder à la console de celles-ci, étant donné que les droits permettant d'interagir avec celles-ci vous ont été accordés grâce au rôle "Utilisateur de machine virtuelle (exemple)" sélectionné lors de l'ajout de l'autorisation.

Si vous faites un clic droit sur l'objet correspondant à votre serveur VMware vCenter Server, vous verrez rapidement que vous n'avez qu'un accès en lecture seule sur celui-ci, étant donné que l'autorisation a été définie sur cet objet, mais que vous ne possédez pas de privilège dans ce cas-ci pour la gestion de serveurs VMware vCenter Server.

Idem pour les centres de données qui sont des enfants de votre serveur VMware vCenter Server.
Vous n'aurez qu'un accès en lecture seule sur ceux-ci, étant donné que vous n'avez pas de privilèges pour les centres de données dans ce cas-ci.

Pour les options du menu contextuel qui ne sont pas grisées, vous verrez que les options qui s'y trouvent seront grisées.

6. Test en définissant l'autorisation sur un objet spécifique au lieu d'un objet parent

En fonction de vos besoins, vous souhaitez peut-être que votre utilisateur n'en sache pas trop sur votre infrastructure pour des raisons de sécurité (principalement).
Pour cela, définissez l'autorisation directement sur l'objet souhaité (dans ce cas-ci : une machine virtuelle) ou sur un objet parent (par exemple : un dossier) qui se rapproche le plus possible du ou des objets sur lesquels vous voulez appliquer cette autorisation.

Comme vous pouvez le voir, l'autorisation que nous avions définie auparavant sur notre serveur VMware vCenter Server n'est plus présente.

Pour l'exemple, nous avons retiré l'autorisation précédente et nous l'avons ajoutée avec les mêmes valeurs sur notre machine virtuelle "Win 10 v2004 x64".

Connectez-vous avec l'utilisateur "AdminVM" utilisé pour cet exemple et vous verrez que quasiment tout est masqué.
En effet, étant donné que l'autorisation a été ajoutée sur un objet spécifique (en l'occurrence : la machine virtuelle "Win 10 v2004 x64"), votre serveur VMware vCenter Server ne vous affiche que les noms des différents objets parents.
Si vous sélectionnez le serveur VMware vCenter Server (ex : vcsa.informatiweb.lan) à gauche, votre serveur ne vous affichera rien. A part le message "Vous ne disposez pas de privilège pour afficher cet objet ou cet objet n'existe pas.

Pareil pour l'hôte VMware ESXi faisant tourner cette machine virtuelle.

Par contre, vous pourrez accéder à toutes les informations concernant la machine virtuelle sur laquelle vous avez ajouté l'autorisation avec le rôle "Utilisateur de machine virtuelle (exemple)".

Et étant donné que ce rôle vous le permet, vous pourrez aussi interagir avec cette machine virtuelle et la démarrer.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.