vmware 培训教材8_AccessControl

模块编号8-1VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。访问控制模块8模块编号8-2VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。您在此处您在此处操作vSphere环境配置VMwareESX和ESXi安装和使用VMwarevCenterServer存储网络连接虚拟机资源监视访问控制可扩展性配置管理高可用性和数据保护安装VMwareESX和ESXiVMware虚拟化简介模块编号8-3VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。重要性如果有多个用户访问VMware®vSphere™环境，最好只为每个用户分配必要的权限。利用VMwarevCenter™Server可以灵活分配权限。模块编号8-4VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。课程目标定义权限描述应用权限的规则创建自定义角色创建权限描述使用VMwarevSphereWebAccess的优势列出可在vSphereWebAccess中执行的任务模块编号8-5VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。访问控制概述借助访问控制系统，vCenterServer管理员可以指定哪些用户或组可以在哪个对象上执行何种操作。重要概念：特权—用于定义可执行的操作角色—代表一组特权对象—操作的目标Windows用户/组—指明谁可以执行操作将角色、用户/组和对象结合起来即可定义权限。模块编号8-6VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。用户和组vCenterServer用户和组就是在vCenterServer的Windows域中定义的用户和组。模块编号8-7VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。角色和特权角色是特权的集合。它们使用户可以执行各种任务。按类别分组。包括系统角色、示例角色和自定义角色。模块编号8-8VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。对象对象是要对其执行操作的实体。例如，对象包括数据中心、文件夹、资源池、集群、主机、数据中心、网络和虚拟机。所有对象均具有[Permissions（权限）]选项卡。此选项卡显示与选定对象相关联的用户/组和角色。模块编号8-9VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。分配权限要添加权限，请转到对象的[Permissions（权限）]选项卡，右键单击视图区域，然后选择[AddPermission（添加权限）]。选择用户和角色。也可以选择将权限传播到子对象。模块编号8-10VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。查看角色和分配情况[Roles（角色）]窗格显示选定的角色分配给了特定对象上的哪些用户。模块编号8-11VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。应用权限：情景1权限可以传播到对象层次结构下的所有子对象，也可以只应用到直接对象。Greg–AdministratorGreg–无访问权限模块编号8-12VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。组1–VM_Power_On（自定义角色）组2–Take_Snapshots（自定义角色）组1的成员：GregSusan组2的成员：GregCarla应用权限：情景2如果某个用户属于多个用户组，且这些组都具有访问同一对象的权限：此用户将获得为这些用户组分配的该对象的所有特权。模块编号8-13VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。组1的成员：GregSusan组2的成员：GregCarla应用权限：情景3如果某个用户属于多个用户组，而且这些组具有访问不同对象的权限：对于这些用户组有权访问的每个对象，此用户也可以用相同的权限进行访问，就像直接为该用户授予了这些权限一样。组1–Administrator组2–Read-Only模块编号8-14VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。组1–VM_Power_On（自定义角色）组2–Take_Snapshots（自定义角色）Greg–Read-only组1的成员：GregSusan组2的成员：GregCarla应用权限：情景4针对某个对象，为用户明确定义的访问权限优先于用户组的访问权限。模块编号8-15VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。创建角色创建角色：1.为其指定一个描述性名称。2.仅选择必要的特权。模块编号8-16VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。创建角色：示例创建只能执行必要任务的角色。示例：VirtualMachineCreator使用文件夹界定权限的范围。例如，将VirtualMachineCreator角色分配给用户Nancy，并将其应用到Finance文件夹。VirtualMachineCreator角色[Datastore（数据存储）][Allocatespace（分配空间）][Network（网络）][Assignnetwork（分配网络）][Resource（资源）][Assignvirtualmachinetoresourcepool（将虚拟机分配给资源池）][Virtualmachine（虚拟机）][Inventory（清单）][Createnew（新建）][Virtualmachine（虚拟机）][Configuration（配置）][Addnewdisk（添加新磁盘）][Virtualmachine（虚拟机）][Configuration（配置）][Addorremovedevice（添加或移除设备）]模块编号8-17VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。使用vSphereWebAccess执行访问控制vSphereWebAccess是一种基于浏览器的应用程序，主要用于管理虚拟机。管理员可让最终用户通过浏览器访问虚拟机，用户无需在其桌面上安装VMwarevSphereClient。客户端设备允许虚拟机访问用户本地软驱和CD/DVD驱动器中的介质。减少访问VMwareESX™主机上的这些驱动器的需要vSphereWebAccess（ApacheTomcat服务）安装在此处WebAccessWebAccess模块编号8-18VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。使用vSphereWebAccess1.将Web浏览器指向vCenterServer系统或ESX主机的主机名（或IP地址），然后单击[LogintoWebAccess（登录WebAccess）]链接。vSphereWebAccess在ESXi主机上不可用。2.登录vSphereWebAccess。模块编号8-19VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。查看VM及其详细信息。查看VM的控制台。执行选择VM任务。vSphereWebAccess任务模块编号8-20VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。生成虚拟机快捷方式一种通过URL访问虚拟机的方式可以将其包含在电子邮件中模块编号8-21VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。练习14在本练习中，您将创建vCenterServer用户权限。在vCenterServer系统中创建Windows帐户。创建VirtualMachineCreator角色。将角色分配给用户。检验该用户是否能够创建虚拟机。限制仅可在本地数据存储中创建虚拟机。（可选）创建名为TemplateDeployer的角色。模块编号8-22VMwarevSphere4：安装、配置、管理–修订版B版权所有©2009VMware,Inc.保留所有权利。要点权限是对清单中的某个对象应用的用户/组和角色的组合。权限可以传播到对象层次结构下的所有子对象，也可以只应用到直接对象。为了实现更好的安全性并增加控制能力，最好的做法是用最少的特权定义角色。vSphereWebAccess可让最终用户通过浏览器访问虚拟机，用户无需在其桌面上安装vSphereClient。