В vSphere, начиная с версии 4.1, есть возможность использовать учетные записи домена Active Directory для выполнения административных задач.
Я решил проверить это в тестовой лаборатории. Хосты добавились в домен, а дальше началось самое интересное…
Подключаюсь по SSH, и никаких прав у меня нет. Ни ESXTOP, ни ESXCFG/ESXCLI я выполнить не могу. Повышаю привилегии до рута: su — root, пожалуйста, все работает.
Зашел на хост через vClient, глянул вкладку Permissions — есть там группа «Domain\ESX^Admins» (знак ^ маскирует пробел).
Подключаюсь через vClient (и в DCUI) доменной учетной записью — пускает. Все права, о которых слышал, работают.
Вспоминаю про режим блокировки хоста (Lockdown) — так он разрешает работать только учетной записи vpxuser. Остальным путь закрыт, а, значит, задача блокировки root’а не решена 🙂
Мораль сей басни такова: в режиме техподдержки хоста (Local\Remote TechSupport Mode) доменная аутентификация не действует. Если вы периодически выполняете какие-то операции с этими консолями — запаситесь локальными учетными записями.
Либо разрешите только SSH, запретив доступ по нему root’у.