vCenter Server 系统的权限模型需要向 vSphere对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。
您需要了解以下概念:
- 权限:vCenter Server对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。
- 用户和组:在 vCenter Server系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。
- 角色:角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。
- 特权:特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。
- vSphere 权限:要向对象分配权限,请执行以下步骤:
----在 vCenter 对象层次结构中选择要对其应用权限的对象。
----选择应对该对象具有特权的组或用户。
----选择组或用户针对该对象应具有的角色(即一组特权)。默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。
图1 vSphere 权限
- vCenter Server 用户验证:
----使用目录服务的 vCenter Server系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server设置中指定的固定时间间隔执行。例如,如果为用户 Smith分配了对多个对象的角色,并在域中将用户名更改为Smith2,则在下次验证发生时主机会认为 Smith 已不存在,并从 vSphere对象中移除与该用户关联的权限。
----同样,如果将用户 Smith从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证发生之前将新用户Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。
下面为视频教学课程链接地址(适用于网络工程师、系统工程师、虚拟化工程师)
4.17 vCenter Server 权限模型详解
原文:https://blog.51cto.com/netschool/2760534
