Управление доступом vSphere позволяет администратору vSphere Server назначать пользователям привилегии на доступ к объектам в inventory.
Права на выполнение задач в vCenter Server регулируется системой контроля доступа. Эта система позволяет администратору vSphere Server детально указывать для пользователей (или групп) доступные задачи над указанными объектами. Система контроля доступа определяется следующими понятиями:
- Привилегия (Privilege) - возможность выполнять конкретные действия или просматривать определенные свойства. Например, включать VM или создавать alarm.
- Роль (Role) - набор привилегий. Роль позволяет объединить все отдельные привилегии, необходимые для выполнения задач более высокого уровня, таких как администрирование VM. Роли не имеют иерархию и независимы друг от друга.
- Объект (Object) - объект в vCenter Server inventory, над которым выполняется действие.
- Пользователь или группа (User or group) - пользователь или группа, которые могут выполнять действие.
Сочетание роли, пользователя (или группы) и объекта составляет разрешение (permission). Разрешение может быть назначено на любой объект в vCenter Server inventory.
Пользователи vCenter Server и пользователи ESX/ESXi хоста разделены, т. е. разрешения назначенные пользователю на vCenter Server распространяются на ESX/ESXi хост только в разрезе vCenter Server и не применяются индивидуально на ESX/ESXi хост, и наоборот.
Для управления пользователями и группами vCenter Server и ESX/ESXi хоста можно использовать Active Directory. vCenter Server необязательно должен являться членом домена AD.
Роли редактируются в разделе Home - Administration - Roles.
Разрешения на объект назначаются на вкладке Permissions.
Разрешения могут распространятся вниз по иерархии объектов (по умолчанию галка Propagate установлена).Если пользователь входит в несколько групп, которым назначены разные разрешения на один и тот же объект, то пользователь имеет сумму исходных разрешений на объект.
Если пользователь входит в несколько групп, которым назначены разные разрешения на разные объекты, то пользователь имеет соответствующие разрешения на соответствующие объекты.
Если пользователь имеет указанные конкретно для него разрешения на объект, и при этом входит в группу, которая также имеет разрешения на объект, то разрешения, выданные пользователю, имеют приоритет.
Если пользователь входит в несколько групп, которым назначены разные разрешения на разные объекты, то пользователь имеет соответствующие разрешения на соответствующие объекты.
Если пользователь имеет указанные конкретно для него разрешения на объект, и при этом входит в группу, которая также имеет разрешения на объект, то разрешения, выданные пользователю, имеют приоритет.
Комментариев нет:
Отправить комментарий