Как настроить провайдер SSO vCenter Appliance. Настройка vCenter. Часть 5

Описывается как настроить провайдер SSO vCenter Appliance – политики безопасности и заменить имя пользователя администратора. Третья статья цикла “Настройка vCenter”.

Мы сделали много шагов на пути к созданию многосерверной виртуальной среды – установили на сервере гипервизор ESXi (см. “Как установить гипервизор ESXi” и “Как настроить гипервизор ESXi“) и настроили его (см. “Как добавить сетевой адаптер к виртуальному коммутатору vSphere“, “Загрузка и установка vSphere Client” и “Как добавить пользователя ESXi“), установили VMware vCenter Server Appliance на Linux из его шаблона (см. “Как установить vCenter сервер” и “Как настроить сетевой адаптер vCenter Appliance“) и успешно его настраиваем (см. “Как улучшить безопасность vCenter Appliance” и “Что такое vSphere Web Client“).

Осталось завершить настройку сервера vCenter. Набираем в браузере URL vSphere Web Client и входим как администратор провайдера SSO с именем пользователя administrator@vsphere.local. В появившемся окне, выбираем в секции элементов виртуальной среды “Administration” (Администрирование) (Рис. 1.)

провайдер SSO vCenter Appliance. Рис. 1. Выбираем администрирование

Рис. 1. Выбираем администрирование

После чего “Single Sign-On” и “Configuration” (Настройка). В окне браузера откроется вкладка настройки параметров SSO (Рис. 2.).

провайдер SSO vCenter Appliance. Рис. 2. Конфигурация SSO

Рис. 2. Конфигурация SSO

В первую очередь нас интересует вкладка политик (“Policies“) – она открыта на подвкладке политик паролей (“Password Policies“). Из отображаемых параметров видно, что практически никаких ограничений, кроме того, что длина пароля должны быть не менее 5 символов, нет. Это не очень хорошо. Изменим политику так, чтобы можно было использовать только хорошие пароли (что такое хороший пароль я писал в “Что такое ssh/sftp и для чего он нужен?“). Нажмем справа вверху кнопку “Edit” (Изменить) и появится всплывающее окно изменения политики паролей (Рис. 3.)

провайдер SSO vCenter Appliance. Рис. 3. Изменение политики паролей

Рис. 3. Изменение политики паролей

Хорошим паролем считается пароль длиной не менее 8 символов, в который входят цифры, заглавные буквы и вспомогательные символы (+-.,:%! и т. д.). Вносим изменения, например, как это я сделал на рис. 3. и нажимаем кнопку “ОК“. Окно закроется и параметры политики соответственно изменятся.

Переходим на следующую подвкладку “Lockout Policy” (Политика блокировки). Ограничения, накладываемые на пользователя в случае неверного ввода пароля, кажутся драконовскими. Сделаем их несколько более щадящими – нажмем справа вверху кнопку “Edit” (Изменить) и появится всплывающее окно изменения политики блокировки (Рис. 4.)

провайдер SSO vCenter Appliance. Рис. 4. Изменение политики блокировки

Рис. 4. Изменение политики блокировки

Уменьшим время повторного ввода пароля в случае неудачи с 3 до одной минуты и время блокировки пользователя с одного часа до получаса и нажимаем кнопку “ОК“. Окно закроется. Политику маркеров (“Token Policy“) оставляем без изменений.

Теперь переходим “Single Sign-On” и “Users and Groups” (Пользователи и группы) и вкладку “Users” (Пользователи), выбираем сверху слева домен “vshpere.local” (Рис. 5.)

провайдер SSO vCenter Appliance. Рис. 5. Зарегистрированные в SSO пользователи

Рис. 5. Зарегистрированные в SSO пользователи

Здесь есть проблема – все знают, что по умолчанию администратором SSO является пользователь administrator@vsphere.local, который так же является администратором сервера vCenter. Это не очень хорошо, поэтому заменим на другого. Нажимаем на иконку в виде большого зеленого плюса (на рис. 5. подчеркнута красным) и появится всплывающее окно добавления нового пользователя (Рис. 6.).

провайдер SSO vCenter Appliance. Рис. 6. Добавление нового пользователя

Рис. 6. Добавление нового пользователя

Заполняем его. Для пароля уже действуют ограничения, которые мы задали ранее. Нажимаем кнопку “ОК“. Окно закроется и новый пользователь появится в списке (Рис. 7.)

провайдер SSO vCenter Appliance. Рис. 7. Новый пользователь

Рис. 7. Новый пользователь

Переходим на вкладку “Groups” (Группы) и выделяем группу “Users” (пользователи) на верхней половине экрана (Рис. 8.)

провайдер SSO vCenter Appliance. Рис. 8. Группа пользователей Users

Рис. 8. Группа пользователей Users

В нижней половине экрана в таблице перечислены все пользователи, которые входят в выбранную группу. Нажимаем на иконку с человечком слева вверху этой таблицы (Рис. 9. п. 1.)

провайдер SSO vCenter Appliance. Рис. 9. Добавление пользователя в группу

Рис. 9. Добавление пользователя в группу

И появляется всплывающее окно со списком известных системе пользователей и групп в выбранном домене (в данном случае, vsphere.local). Выбираем пользователя, которого хотим добавить (Рис. 9. п. 2.) и нажимаем кнопку “Add” (Рис. 9. п. 3.). Затем кнопку “OK” внизу справа. При большом числе элементов таблицы целесообразно воспользоваться поиском.

После закрытия окна добавленный в группу пользователь должен появиться в списке членов группы. Теперь добавим этого пользователя в группу “Administrators” (Администраторы). Точно так же.

Теперь осталось последнее – запретить пользователя с именем administrator. Для этого сначала надо его удалить из обоих групп – “Users” и “Administrators“. Потом переходим опять на вкладку “Users” (пользователи)выбираем пользователя с именем administrator и нажимаем на иконку запрета пользователя. Подтверждаем действие. Теперь этот пользователь больше не является администратором провайдера SSO, но он все еще администратор сервера.

Последний шаг – возвращаемся к статье “Как улучшить безопасность vCenter Appliance” и делаем две вещи:

  • делаем только что добавленного пользователя администратором сервера. Теперь vasivanov@vsphere.local является не только администратором провайдера SSO, но и администратором сервера vCenter.
  • удаляем пользователя administrator@vsphere.local из списка или присваиваем ему роль “No Access” (Нет Доступа). Теперь этот пользователь больше не является администратором сервера.

Можем попробовать:

  1. Входим в vSphere Web Client под именем пользователя administrator@vsphere.local – как ни странно, но у меня входит, хотя, наверное, не должен. Но никаких действий предпринять невозможно.
  2. Входим в vSphere Web Client под именем пользователя vasivanov@vsphere.local (которого только что добавили) и убеждаемся, что можем видеть и редактировать настройки и пользователей SSO, так же как и все настройки сервера vCenter.

Вот и все. Удачи!

Описано как настроить провайдер SSO vCenter Appliance – политики безопасности и заменить имя пользователя администратора. Теперь основные настройки безопасности сделаны и можно приступать к созданию виртуальной среды vMware vSphere состоящей из нескольких серверов. Начнем  “Как создать центр обработки данных VMware vSphere

, ,

No comments yet.

Leave a Reply