Добавление хостов ESXi в домен или права администратора в Support Mode

В vSphere, начиная с версии 4.1, есть возможность использовать учетные записи домена Active Directory для выполнения административных задач.

Я решил проверить это в тестовой лаборатории. Хосты добавились в домен, а дальше началось самое интересное…

Подключаюсь по SSH, и никаких прав у меня нет. Ни ESXTOP, ни ESXCFG/ESXCLI я выполнить не могу. Повышаю привилегии до рута: su — root, пожалуйста, все работает.

Зашел на хост через vClient, глянул вкладку Permissions — есть там группа «Domain\ESX^Admins» (знак ^ маскирует пробел).

Подключаюсь через vClient (и в DCUI) доменной учетной записью — пускает. Все права, о которых слышал, работают.

Вспоминаю про режим блокировки хоста (Lockdown) — так он разрешает работать только учетной записи vpxuser. Остальным путь закрыт, а, значит, задача блокировки root’а не решена 🙂

Мораль сей басни такова: в режиме техподдержки хоста (Local\Remote TechSupport Mode) доменная аутентификация не действует. Если вы периодически выполняете какие-то операции с этими консолями — запаситесь локальными учетными записями.

Либо разрешите только SSH, запретив доступ по нему root’у.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *