n vSphere 5 - VMware Docs Home · Sécurité et couche réseau virtuelle 12 Ressources de sécurité et ... Vérifier que l'envoi des données de performances de ... (Trusted Platform

Sécurité vSphereMise à jour 2

VMware vSphere 5.5VMware ESXi 5.5

vCenter Server 5.5

Ce document prend en charge la version de chacun des produitsrépertoriés, ainsi que toutes les versions publiées par la suitejusqu'au remplacement dudit document par une nouvelleédition. Pour rechercher des éditions plus récentes de cedocument, rendez-vous sur : http://www.vmware.com/fr/support/pubs.

FR-001517-04

http://www.vmware.com/fr/support/pubs

Sécurité vSphere

2 VMware, Inc.

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

http://www.vmware.com/fr/support/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

Copyright © 2009–2014 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr

http://www.vmware.com/fr/support/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

À propos de la sécurité de vSphere 7

Informations mises à jour 9

1 Sécurité dans l'environnement vSphere 11

Sécurité et couche de virtualisation 11Sécurité et couche réseau virtuelle 12Ressources de sécurité et informations 12

2 Authentification vSphere à l'aide de vCenter Single Sign-On 15

Protection de votre environnement par vCenter Single Sign-On 15Composants vCenter Single Sign-On 17Incidence de vCenter Single Sign-On sur l'installation de vCenter Server 17Impact de vCenter Single Sign-On sur les mises à niveau de vCenter Server 19Utilisation de vCenter Single Sign-On avec vSphere 20Configuration de vCenter Single Sign-On 22Gestion des utilisateurs et des groupes vCenter Single Sign-On 35Dépannage de vCenter Single Sign-On 41

3 Chiffrement et certificats de sécurité vSphere 47

Certificats utilisés dans vSphere 47Présentation du remplacement des certificats 49Options de déploiement de l'outil d'automatisation des certificats 50Remplacement des certificats vCenter à l'aide de l'outil d'automatisation des certificats vCenter 51Remplacer les certificats vCenter Server Appliance 59Remplacer les certificats de vCenter Server Heartbeat 59

4 Utilisateurs vSphere et autorisations 61

Héritage hiérarchique des autorisations 61Paramètres d'autorisation multiples 63Validation d'autorisation 65Utilisation des rôles pour assigner des privilèges 66Meilleures pratiques pour les rôles et les autorisations 66Privilèges requis pour les tâches courantes 67Exigences de mots de passe 69Paramètres d'annuaire utilisateur de vCenter Server 70

5 Tâches de gestion des utilisateurs vCenter 71

Gestion des autorisations des composants vCenter 71Rôles dans vCenter Server et dans ESXi 74Ajustement de la liste de recherche pour de grands domaines dans vSphere Web Client 76

VMware, Inc. 3

6 Sécurisation des systèmes vCenter Server 77

Sécurisation renforcée du système d'exploitation hôte de vCenter Server 77Meilleures pratiques pour les privilèges de vCenter Server 78Activer la vérification des certificats et vérifier les empreintes des hôtes dans vSphere Web Client 79Suppression de certificats expirés ou révoqués et de journaux d'installations ayant échoué 80Activer la validation des certificats SSL sur NFC (Network File Copy) 80Limitation de la connectivité réseau vCenter Server 81

7 Sécurisation des hôtes ESXi 85

Recommandations générales de sécurité pour ESXi 85ESXi 91Affectation d'autorisations pour ESXi 95Utilisation d'Active Directory pour gérer des utilisateurs ESXi 100Remplacement de certificats et de clés SSL pour ESXi 102Téléchargement d'une clé SSH sur votre hôte ESXi 105Utilisation du ESXi Shell 107Mode verrouillage 112Utiliser vSphere Authentication Proxy 115Remplacer le certificat du serveur proxy d'authentification de l'hôte ESXi 120Modifier les paramètres proxy Web ESXi 120Considérations relatives à la sécurité dans vSphere Auto Deploy 125Gestion des fichiers journaux ESXi 125

8 Sécurisation des machines virtuelles 129

Protection générale d'une machine virtuelle 129Désactiver les fonctions inutiles à l'intérieur des machines virtuelles 130Utiliser des modèles pour déployer des machines virtuelles 136Empêcher les machines virtuelles de récupérer les ressources 136Limiter les messages d'information entre les machines virtuelles et les fichiers VMX 137Empêcher une réduction de disque virtuel dans vSphere Web Client 137Limiter l'utilisation de la console de machine virtuelle 138Configuration des niveaux de journalisation applicables au système d'exploitation invité 138

9 Sécurisation de la mise en réseau vSphere 141

Introduction à la sécurité du réseau vSphere 141Sécurisation du réseau avec des pare-feu 143Sécuriser le commutateur physique 149Sécurisation des ports du commutateur standard à l'aide de stratégies de sécurité 149Sécurisation des adresses MAC du commutateur standard 150Protection des commutateurs standard et VLAN 151Sécuriser des vSphere Distributed Switches 153Sécurisation des machines virtuelles avec des VLAN 154Créer une DMZ réseau sur un hôte ESXi 156Création de plusieurs réseaux sur un hôte ESXi 157Sécurité du protocole Internet 159Garantir une configuration SNMP appropriée 162Utiliser des commutateurs virtuels sur vSphere Network Appliance, uniquement si nécessaire 163

Sécurité vSphere

4 VMware, Inc.

10 Meilleures pratiques pour la sécurité des machines virtuelles et des hôtes 165

Synchronisation des horloges sur vSphere Network 165Sécurisation du stockage iSCSI 167Masquage et zonage des ressources SAN 168Accès à l'outil de surveillance du matériel basé sur la surveillance CIM 169Vérifier que l'envoi des données de performances de l'hôte aux invités est désactivé 170

11 Privilèges définis 171

Alarmes 172Centre de données 173Banque de données 173Cluster de banques de données 174vSphere Distributed Switch 174Gestionnaire d'agent ESX 175Extension 176Dossier 176Global 176Hôte CIM 177Configuration d'hôte 178Inventaire d'hôte 179Opérations locales d'hôte 180Réplication d'hôte vSphere 180Profil d'hôte 181Réseau 181Performances 181Autorisations 182Stockage basé sur le profil 182Ressource 183Tâche planifiée 183Sessions 184Vues de stockage 184Tâches 185vApp 185Identification vCenter Inventory Service 186Configuration de la machine virtuelle 187Opérations de système invité d'une machine virtuelle 189Interaction de machine virtuelle 189Inventaire de machine virtuelle 191Provisionnement de machine virtuelle 192Privilèges de gestion des snapshots d'une machine virtuelle 193Réplication de machine virtuelle vSphere 194groupes de ports virtuels distibués 194vServices 195Règle de VRM 195

Index 197

Table des matières

VMware, Inc. 5

Sécurité vSphere

6 VMware, Inc.

À propos de la sécurité de vSphere

vSphere Security fournit des informations sur la manière de sécuriser votre environnement vSphere® pourVMware® vCenter® Server et VMware ESXi.

Pour vous aider à protéger votre environnement vSphere, cette documentation décrit les fonctionnalités desécurité disponibles dans l'environnement vSphere, ainsi que les mesures à prendre pour protéger votreenvironnement des attaques.

Public cibleCes informations s'adressent à des administrateurs de systèmes Windows ou Linux qui connaissent latechnologie des machines virtuelles et les fonctionnements des centres de données.

VMware, Inc. 7

Sécurité vSphere

8 VMware, Inc.

Informations mises à jour

Ce document Sécurité vSphere est mis à jour avec chaque nouvelle version du produit ou lorsque cela s'avèrenécessaire.

Ce tableau comporte l'historique des mises à jour du document Sécurité vSphere.

Révision Description

EN-001517-04 n Correction du port pour vSphere Replication dans« Ports TCP et UDP », page 147n Suppression d'informations sur les clés DSA de« Charger une clé SSH à l'aide d'une commande

vifs », page 106n Ajout de clarification à « Configurer les délais d'attente SSL », page 88. Ajout également d'une

remarque indiquant qu'un délai d'expiration supérieur à la valeur par défaut n'est pas recommandé.

EN-001517-03 n Mis à jour « Modifier la stratégie de mot de passe de vCenter Single Sign-On », page 23. Lesstratégies de mot de passe s'appliquent aux utilisateurs administrateurs et aux autres utilisateurs.

EN-001517-02 n Ajout d'informations sur « Paramètres d'autorisation multiples », page 63.n Mis à jour « Ajouter des membres à un groupe vCenter Single Sign-On », page 39. Vous ne pouvez

pas ajouter de groupes aux groupes.n Ajout de « Périphériques PCI et PCIe et ESXi », page 91.n Ajout d'un avertissement selon lequel les administrateurs ne doivent pas supprimer de groupes

prédéfinis dans le domaine vsphere.local de « Gestion des utilisateurs et des groupes vCenter SingleSign-On », page 35.

EN-001517-01 n Mise à jour des rubriques de gestion des utilisateurs de vCenter Single Sign-On pour inclure uneétape supplémentaire.

EN-001517-00 Version initiale.

VMware, Inc. 9

Sécurité vSphere

10 VMware, Inc.

Sécurité dans l'environnementvSphere 1

Pour sécuriser votre environnement vSphere, vous devez vous familiariser avec de nombreux aspects de lasécurité, notamment l'authentification, l'autorisation, les utilisateurs et les autorisations, et divers aspects dela sécurisation des systèmes vCenter Server, des hôtesESXi et des machines virtuelles.

Une présentation à haut niveau de différents aspects de vSphere qui nécessitent une certaine attention vousaide à planifier votre stratégie de sécurité. Vous pouvez également tirer parti d'autres ressources de sécuritéde vSphere sur le site Web VMware.

Ce chapitre aborde les rubriques suivantes :

n « Sécurité et couche de virtualisation », page 11

n « Sécurité et couche réseau virtuelle », page 12

n « Ressources de sécurité et informations », page 12

Sécurité et couche de virtualisationVMware a conçu la couche de virtualisation (appelée VMkernel) pour l'exécution des machines virtuelles.Cette couche contrôle les composants matériels que les hôtes utilisent et planifie l'allocation des ressourcesmatérielles sur les différentes machines virtuelles. Comme VMkernel est totalement dédié à la prise encharge des machines virtuelles uniquement, l'interface avec VMkernel est strictement limitée à l'APInécessaire à la gestion des machines virtuelles.

ESXi offre une protection VMkernel supplémentaire avec les fonctionnalités suivantes :

Durcissement de lamémoire

Le noyau ESXi, les applications utilisateur et les composants exécutables(pilotes et bibliothèques, par exemple) se trouvent à des emplacementsmémoire aléatoires, non prévisibles. Cette fonction, associée aux protectionsmémoire des microprocesseurs, rend plus difficile l'utilisation de la mémoirepar un code malveillant à des fins d'exploitation des vulnérabilités.

Intégrité du modulenoyau

Grâce à la signature numérique, l'intégrité et l'authenticité des modules,pilotes et applications sont les mêmes que si ces éléments étaient chargés parVMkernel. Cette signature permet à ESXi d'identifier les fournisseurs desmodules, pilotes ou applications concernés, et de vérifier s'ils sont dotésd'une certification VMware. Les logiciels VMware et les pilotes tiers sontsignés par VMware.

TPM (Trusted PlatformModule)

vSphere utilise le TPM (Trusted Platform Module) et la TXT (TrustedExecution Technology) Intel pour fournir une attestation à distance del'image de l'hyperviseur sur une base matérielle de confiance. L'image del'hyperviseur est constituée des éléments suivants :

n Le logiciel ESXi (hyperviseur) au format VIB (package)

VMware, Inc. 11

n Des VIB tiers

n Des pilotes tiers

Pour exploiter cette capacité, TPM et TXT doivent être activés sur votresystème ESXi.

Lorsque TPM et TXT sont activés, ESXi mesure l'intégralité de la pile del'hyperviseur lors du démarrage du système et stocke ces mesures dans lesregistres PCR (Platform Configuration Registers) du TPM. Ces mesuresincluent VMkernel, les modules du noyau, les pilotes, les applications degestion natives qui sont exécutées sur ESXi, ainsi que toutes les options deconfiguration du démarrage. Tous les VIB installés sur le système sontmesurés.

Les solutions tierces peuvent utiliser cette fonctionnalité pour développer unvérificateur capable de détecter toute altération de l'image de l'hyperviseur,en comparant celle-ci avec une image des valeurs correctes connues etescomptées. vSphere ne dispose pas d'une interface utilisateur pour afficherces mesures.

Les mesures sont exposées dans une API de vSphere. Un journal desévénements est fourni en tant qu'élément de l'API, conformément à la normeTCG (Trusted Computing Group) pour TXT.

Sécurité et couche réseau virtuelleLa couche de réseau virtuelle inclut des adaptateurs réseau virtuelles et des commutateurs virtuels. ESXiutilise la couche réseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs.Par ailleurs, les hôtes utilisent cette couche pour communiquer avec les SAN iSCSI, les espaces de stockageNAS, entre autres.

Les méthodes utilisées pour sécuriser un réseau de machines virtuelles dépendent du système d'exploitationinvité installé, de la présence ou non d'un environnement sécurisé, ainsi que d'un certain nombre d'autresfacteurs. Les commutateurs virtuels offrent un niveau de protection élevé lorsqu'ils sont utilisés avecd'autres mesures de sécurité (installation de pare-feu, notamment).

ESXi prend également en charge les réseaux VLAN IEEE 802.1q, que vous pouvez utiliser pour renforcer laprotection du réseau de machines virtuelles ou la configuration de stockage. Les VLAN permettent desegmenter un réseau physique : ainsi, deux machines du même réseau physique peuvent s'envoyermutuellement des paquets ou en recevoir (sauf s'ils se trouvent sur le même réseau VLAN).

Ressources de sécurité et informationsPour obtenir des informations complémentaires sur la sécurité, consultez le site Web de VMware.

Le tableau répertorie les rubriques liées à la sécurité et indique l'emplacement des informationscomplémentaires correspondantes.

Sécurité vSphere

12 VMware, Inc.

Tableau 1‑1. Ressources de sécurité VMware disponibles sur le Web

Rubrique Ressource

Politique de sécurité VMware, alertes desécurité actualisées, téléchargements desécurité et discussions sur des thèmes liés à lasécurité

http://www.vmware.com/security/

Politique de l'entreprise en matière de réponsesécuritaire

http://www.vmware.com/support/policies/security_response.htmlVMware s'engage à vous aider à maintenir un environnement sécurisé.Dans ce cadre, les problèmes de sécurité sont corrigés rapidement. Lapolitique VMware en matière de réponse sécuritaire fait état de notreengagement lié à la résolution d'éventuelles vulnérabilités de nosproduits.

Politique de support logiciel tiers http://www.vmware.com/support/policies/VMware prend en charge un grand nombre de systèmes de stockage etd'agents logiciels (tels que les agents de sauvegarde ou les agents degestion système). Vous trouverez la liste des agents, outils et autreslogiciels prenant en charge ESXi en cherchant sur http://www.vmware.com/vmtn/resources/ les guides de compatibilitéESXi.Il existe sur le marché un nombre de produits et de configurations telquel VMware ne peut pas tous les tester. Si un produit ou uneconfiguration spécifique ne figure pas dans l'un des guides decompatibilité, contactez le Support technique, qui pourra vous aider àrésoudre les problèmes rencontrés ; en revanche, il ne pourra pas vousgarantir que ce produit ou cette configuration peut être utilisé. Vousdevez toujours évaluer les risques de sécurité liés aux produits ou auxconfigurations non pris en charge.

Information générale sur la virtualisation et lasécurité

Centre de ressources technique sur la sécurité virtuelle VmWare http://www.vmware.com/go/security

Standards de sécurité et de conformité, ainsique solutions partenaires et contenu détaillésur la virtualisation et la conformité

http://www.vmware.com/go/compliance

Informations sur la mise en réseau et la sécuritéde VMware vCloud.

http://www.vmware.com/go/vmsafe

Guides de sécurisation renforcée pour lesdifférentes versions de vSphere et d'autresproduits VMware.

https://www.vmware.com/support/support-resources/hardening-guides.html

Informations sur les certifications et lesvalidations de sécurité telles que CCEVS etFIPS pour les différentes versions descomposants de vSphere.

https://www.vmware.com/support/support-resources/certifications.html

Chapitre 1 Sécurité dans l'environnement vSphere

VMware, Inc. 13


http://www.vmware.com/support/policies/security_response.html

http://www.vmware.com/support/policies/

http://www.vmware.com/vmtn/resources/

http://www.vmware.com/go/security

http://www.vmware.com/go/compliance

http://www.vmware.com/go/vmsafe





Sécurité vSphere

14 VMware, Inc.

Authentification vSphere à l'aide devCenter Single Sign-On 2

vCenter Single Sign-On est un gestionnaire d'authentification et un échangeur de jetons de sécurité.Lorsqu'un utilisateur est authentifié auprès de vCenter Single Sign-On, il peut accéder à tous les servicesvCenter installés pour lesquels il dispose d'un accès. Dans la mesure où le trafic est chiffré pour toutes lescommunications et que seuls les utilisateurs authentifiés peuvent obtenir un accès, votre environnement estsécurisé.

Installez ou mettez à niveau vCenter Single Sign-On avant d'installer ou de mettre à niveau d'autrescomposants de vSphere. Reportez-vous à Installation et configuration de vSphere ou à la documentation Mise àniveau vSphere.

Pour obtenir des informations sur le remplacement des certificats des services qui utilisent vCenter SingleSign-On, reportez-vous à Chapitre 3, « Chiffrement et certificats de sécurité vSphere », page 47.


n « Protection de votre environnement par vCenter Single Sign-On », page 15

n « Composants vCenter Single Sign-On », page 17

n « Incidence de vCenter Single Sign-On sur l'installation de vCenter Server », page 17

n « Impact de vCenter Single Sign-On sur les mises à niveau de vCenter Server », page 19

n « Utilisation de vCenter Single Sign-On avec vSphere », page 20

n « Configuration de vCenter Single Sign-On », page 22

n « Gestion des utilisateurs et des groupes vCenter Single Sign-On », page 35

n « Dépannage de vCenter Single Sign-On », page 41

Protection de votre environnement par vCenter Single Sign-OnvCenter Single Sign-On permet aux composants vSphere de communiquer entre eux au moyen d'unmécanisme d'échange de jetons sécurisé au lieu d'obliger les utilisateurs à s'authentifier séparément pourchaque composant.

vCenter Single Sign-On utilise une combinaison de STS (Security Token Service), de SSL pour la sécurisationdu trafic et d'authentification par Active Directory ou OpenLDAP, comme indiqué dans l'illustrationsuivante.

VMware, Inc. 15

Figure 2‑1. Établissement d'une liaison vCenter Single Sign-On

vCenter Server

vCenter Single Sign-On

Service d'annuaire VMware

AC

Kerberos

vSphere Web Client

12

3 4

5

6

1 Un utilisateur se connecte à vSphere Web Client avec un nom d'utilisateur et un mot de passe pouraccéder au système vCenter Server ou à un autre service vCenter.

L'utilisateur peut également se connecter sans mot de passe et cocher la case Utiliser l'authentificationde session Windows. Cette case à cocher devient disponible après l'installation du plug-in d'intégrationdu client VMware.

2 vSphere Web Client transmet les informations de connexion au service vCenter Single Sign-On, quivérifie le jeton SAML de vSphere Web Client. Si vSphere Web Client dispose d'un jeton valide, vCenterSingle Sign-On vérifie ensuite que l'utilisateur figure bien dans la source d'identité configurée (parexemple, Active Directory).

n Si seul le nom d'utilisateur est employé, vCenter Single Sign-On vérifie dans le domaine par défaut.

n Si un nom de domaine est inclus avec le nom d'utilisateur (DOMAIN\utilisateur1), vCenter SingleSign-On vérifie ce domaine.

3 Si l'utilisateur figure dans la source d'identité, vCenter Single Sign-On renvoie un jeton qui représentel'utilisateur auprès de vSphere Web Client.

4 vSphere Web Client transmet le jeton au système vCenter Server.

5 vCenter Server vérifie auprès du serveur vCenter Single Sign-On que le jeton est valide et n'a pasexpiré.

6 Le serveur vCenter Single Sign-On renvoie le jeton au système vCenter Server.

L'utilisateur peut maintenant s'authentifier auprès de vCenter Server. Il peut également afficher et modifiertous les objets pour lesquels il dispose d'autorisations.

Remarque L'autorisation Aucun accès est attribuée initialement à chaque utilisateur. Un administrateur devCenter Server doit attribuer au moins des autorisations Lecture seule à l'utilisateur avant que ce dernierpuisse se connecter. Reportez-vous à « Attribuer des autorisations dans vSphere Web Client », page 72 et à Chapitre 5, « Tâches de gestion des utilisateurs vCenter », page 71.

Sécurité vSphere

16 VMware, Inc.

Composants vCenter Single Sign-OnvCenter Single Sign-On inclut Security Token Service (STS), un serveur d'administration, vCenter LookupService et le service d'annuaire VMware (vmdir).

Les composants sont déployés lors de l'installation.

STS (Security TokenService)

Les certificats STS permettent à un utilisateur qui s'est connecté via vCenterSingle Sign-On d'utiliser tous les services vCenter pris en charge par vCenterSingle Sign-On sans avoir à s'authentifier auprès de chacun d'eux. Le servicesSTS envoie des jetons SAML (Security Assertion Markup Language). Cesjetons de sécurité représentent l'identité d'un utilisateur dans l'un des typesde sources d'identité pris en charge par vCenter Single Sign-On.

Serveurd'administration

Le serveur d'administration autorise les utilisateurs disposant des privilègesd'administrateur sur vCenter Single Sign-On à configurer le serveur vCenterSingle Sign-On et à gérer les utilisateurs et les groupes dansvSphere Web Client. Initialement, seul l'[email protected] dispose de ces privilèges.

vCenter Lookup Service vCenter Lookup Service contient des informations de topologie surl'infrastructure vSphere, ce qui permet aux composants vSphere de seconnecter entre eux en toute sécurité. Lorsque vous installez d'autrescomposants de vSphere, vous êtes invité à entrer l'URL de Lookup Service,sauf si vous procédez à une installation simple. Par exemple, les programmesd'installation d'Inventory Service et de vCenter Server demandent l'URL deLookup Service, puis contactent Lookup Service pour rechercher vCenterSingle Sign-On. Après l'installation, Inventory Service et le systèmevCenter Server sont enregistrés dans vCenter Lookup Service de sorte qued'autres composants vSphere, tels que vSphere Web Client, puissent lesretrouver.

VMware DirectoryService

Service d'annuaire associé au domaine vsphere.local. Ce service est unservice d'annuaire mutualisé et masterisé qui met à disposition un annuaireLDAP sur le port 11711. En mode multisite, une mise à jour du contenu duservice d'annuaire VMware dans une instance de VMware Directory Serviceentraîne la mise à jour automatique des instances du service d'annuaireVMware associées à tous les autres nœuds vCenter Single Sign-On.

Incidence de vCenter Single Sign-On sur l'installation devCenter Server

À partir de la version 5.1, vSphere intègre un composant vCenter Single Sign-On dans le cadre del'infrastructure de gestion de vCenter Server. Cette modification a une incidence sur l'installation devCenter Server.

L'authentification par vCenter Single Sign-On renforce la sécurité de la plate-forme d'infrastructure VMwareCloud en permettant aux composants logiciels vSphere de communiquer entre eux par le biais d'unmécanisme d'échange de jetons sécurisé.

Lors de la première installation de vCenter Server, vous devez installer tous les composants. Lors desinstallations suivantes dans un même environnement, ou si vous ajoutez des services, vous n'aurez plusbesoin d'installer vCenter Single Sign-On. Un seul serveur vCenter Single Sign-On peut gérer l'intégralité devotre environnement vSphere. Une fois vCenter Single Sign-On installé, vous pouvez connecter toutes lesnouvelles instances de vCenter Server au même service vCenter Single Sign-On. Vous devez installer uneinstance d'Inventory Service pour chaque instance de vCenter Server.

Chapitre 2 Authentification vSphere à l'aide de vCenter Single Sign-On

VMware, Inc. 17

Installation simple　L'option d'installation simple installe vCenter Single Sign-On, vSphere Web Client, vCenter InventoryService et vCenter Server sur un même hôte ou une même machine virtuelle. Simple Install convient à laplupart des déploiements.

Installation personnaliséeSi vous souhaitez personnaliser l'emplacement et la configuration de chaque composant, installez lescomposants séparément en effectuant une installation personnalisée, puis en sélectionnant les optiond'installation individuelles, dans l'ordre suivant :

1 vCenter Single Sign-On

2 vSphere Web Client

3 vCenter Inventory Service

4 vCenter Server

Vous pouvez installer chaque composant sur un autre hôte ou une autre machine virtuelle.

Si vous décidez d'installer plusieurs systèmes vCenter Server, faites pointer chaque système vCenter Serververs le même service vCenter Single Sign-On.

Installation dans plusieurs emplacementsContrairement à la version 5.1, vCenter Single Sign-On 5.5 synchronise les données d'authentification surtous les emplacements.

Si vous installez des systèmes vCenter Server dans plusieurs emplacements, vous pouvez installer unserveur vCenter Single Sign-On dans chacun d'eux. Lorsque vous installez la deuxième instance et lesinstances suivantes de vCenter Single Sign-On, faites-les pointer vers la première instance de vCenter SingleSign-On lors de l'installation. Les deux instances synchronisent leurs instances du service d'annuaire deVMware. Toute modification apportée à une instance est répercutée sur l'autre instance.

Figure 2‑2. Installation de vCenter Single Sign-On dans plusieurs emplacements

vCenterServer

1

vCenterSingle

Sign-On1

vCenterServer

2

vCenterSingle

Sign-On2

Serviced'annuaireVMware

vSphere.local

Utilisateurs de solutions

Active Directory

Serviced'annuaireVMware

Sécurité vSphere

18 VMware, Inc.

Impact de vCenter Single Sign-On sur les mises à niveau de vCenterServer

Les utilisateurs qui peuvent se connecter à vCenter Server après une mise à niveau varient selon la version àpartir de laquelle vous procédez à la mise à niveau et la configuration du déploiement.

Dans les mises à niveau vers vCenter Server 5.0 et versions antérieures, qui n'incluent pas un servicevCenter Single Sign-On, les utilisateurs du système d'exploitation local et les utilisateurs Active Directoryqui sont enregistrés sur un système vCenter Server continuent d'utiliser le système vCenter Server mis àniveau.

Ce comportement change si vous procédez à une mise à niveau à partir d'une version qui n'inclut pasvCenter Single Sign-On vers une version qui l'inclut : vCenter Server version 5.1 ou vCenter Serverversion 5.5.

Remarque Avec vCenter Single Sign-On, les utilisateurs du système d'exploitation local deviennentbeaucoup moins importants que les utilisateurs d'un service d'annuaire comme Active Directory. Enconséquence, il n'est pas toujours possible, voire même souhaitable, de conserver les utilisateurs du systèmed'exploitation local comme utilisateurs authentifiés.

Après la mise à niveau à partir d'une version antérieure à la version 5.1, vous pouvez être invité à vousidentifier en tant qu'administrateur du dossier racine dans la hiérarchie de l'inventaire vSphere lors del'installation. Cette situation peut se produire en raison de modifications apportées aux banquesd'utilisateurs entre les versions antérieures à la version 5.1 et les versions 5.1 et ultérieures de vSphere.Reportez-vous à la section « Héritage hiérarchique des autorisations », page 61.

Mise à niveau à l'aide de l'option d'installation simpleUne mise à niveau à l'aide de l'option d'installation simple installe ou met à niveau un système vCenterServer et ses composants associés.

Si vous procédez à une mise à niveau vers vCenter Server 5.5 à partir d'une version de vCenter Server quin'inclut pas vCenter Single Sign-On, vCenter Single Sign-On reconnaît les utilisateurs existants du systèmed'exploitation local. En outre, l'utilisateur [email protected] peut se connecter en tant qu'unutilisateur administrateur à vCenter Single Sign-On et à vCenter Server. Si votre installation précédenteprenait en charge les utilisateurs Active Directory, vous pouvez ajouter le domaine Active Directory commesource d'identité.

Si vous procédez à une mise à niveau de vCenter Single Sign-On et de vCenter Server, vCenter Single Sign-On reconnaît les utilisateurs existants du système d'exploitation local. En outre, l'[email protected] peut se connecter à vCenter Single Sign-On et à vCenter Server en tantqu'utilisateur administrateur. Si votre installation précédente incluait un domaine Active Directory commesource d'identité, cette source d'identité est toujours disponible après la mise à niveau. Dans la mesure oùvCenter Server prend uniquement en charge la source d'identité par défaut, il peut être nécessaire que lesutilisateurs spécifient le domaine lorsqu'ils se connectent (DOMAIN\user).

Mise à niveau personnaliséeUne mise à niveau personnalisée peut installer différents composants de vCenter Server sur différentesmachines ou installer un deuxième système vCenter Server sur la même machine. Vous utilisez égalementl'option d'installation personnalisée pour mettre à niveau un environnement qui est installé dans différentsemplacements.


VMware, Inc. 19

Si vous procédez à une mise à niveau vers vCenter Server 5.5 à partir d'une version de vCenter Server quin'inclut pas vCenter Single Sign-On, et que vous installez vCenter Single Sign-On sur une autre machine quecelle de vCenter Server, vCenter Single Sign-On ne reconnaît pas les utilisateurs existants du systèmed'exploitation local. L'utilisateur [email protected] peut se connecter à vCenter Single Sign-On etvCenter Server en tant qu'utilisateur administrateur. Si votre installation précédente prenait en charge lesutilisateurs Active Directory, vous pouvez ajouter le domaine Active Directory comme source d'identité.

Si vous mettez à niveau vCenter Server à partir d'une version qui inclut vCenter Single Sign-On en modemultisite, et si les différents systèmes vCenter Server utilisent la configuration Linked Mode, vous devezd'abord effectuer une resynchronisation. Vous pouvez ensuite mettre à niveau toutes les instances devCenter Single Sign-On et maintenir la fonctionnalité Linked Mode. La configuration Linked Mode estrequise pour disposer d'une vue unique de tous les systèmes vCenter Server. vCenter Single Sign-Onmultisite est pris en charge uniquement si la version de tous les nœuds est identique.

Si vous mettez à niveau vCenter Server à partir d'une version qui inclut vCenter Single Sign-On en modehaute disponibilité, vous devez mettre à niveau toutes les instances haute disponibilité de vCenter SingleSign-On. Effectuez d'abord la mise à niveau, puis configurez la haute disponibilité en protégeantvCenter Server et vCenter Single Sign-On avec VMware HA ou VMware Heartbeat une fois la mise à niveauterminée.

Remarque Lorsque vous installez le composant de vCenter Single Sign-On qui est inclus avecvCenter Server version 5.5 dans plusieurs emplacements, le service d'annuaire VMware est mis à jour pourtoutes les instances de vCenter Single Sign-On si vous effectuez une modification dans un emplacement.

Utilisation de vCenter Single Sign-On avec vSphereLorsqu'un utilisateur se connecte à un composant vSphere, vCenter Single Sign-On est utilisé pourl'authentification. Les utilisateurs doivent être authentifiés avec vCenter Single Sign-On et doivent avoirobtenu des autorisations de vCenter Server pour voir et gérer les objets vSphere.

Lorsque les utilisateurs se connectent à vSphere Web Client, ils sont d'abord authentifiés par vCenter SingleSign-On. Pour les utilisateurs authentifiés, vCenter Server vérifie les autorisations. Ce qu'un utilisateur peutvoir et ce qu'il peut faire est déterminé par les paramètres d'autorisation de vSphere pour vCenter Server etESXi, et par les applications présentes dans l'environnement. Les administrateurs de vCenter Serverattribuent ces autorisations depuis l'interface Gérer > Autorisations de vSphere Web Client, et non viavCenter Single Sign-On. Reportez-vous à la section Chapitre 4, « Utilisateurs vSphere et autorisations »,page 61 et Chapitre 5, « Tâches de gestion des utilisateurs vCenter », page 71.

Utilisateurs de vCenter Single Sign-On et de vCenter ServerÀ l'aide de vSphere Web Client, les utilisateurs s'authentifient dans vCenter Single Sign-On en entrant leursinformations d'identification dans la page de connexion de vSphere Web Client. Après la connexion àvCenter Server, les utilisateurs authentifiés peuvent voir toutes les instances de vCenter Server ou les autresservices vSphere pour lesquels ils possèdent des autorisations. Aucune autre authentification n'est requise.Les actions que les utilisateurs authentifiés peuvent effectuer sur des objets dépendent des autorisationsvCenter Server de l'utilisateur sur ces objets. Reportez-vous à la section Chapitre 4, « Utilisateurs vSphere etautorisations », page 61 et Chapitre 5, « Tâches de gestion des utilisateurs vCenter », page 71.

Après installation, l'utilisateur [email protected] dispose d'un accès administrateur à vCenterSingle Sign-On et vCenter Server. Cet utilisateur peut alors ajouter des sources d'identité, définir la sourced'identité par défaut, et gérer les utilisateurs et les groupes dans le domaine vCenter Single Sign-On(vsphere.local).

Bien que la plupart des tâches de gestion de vCenter Single Sign-On nécessitent des informationsd'identification d'administrateur de vCenter Single Sign-On, tous les utilisateurs pouvant s'authentifier dansvCenter Single Sign-On peuvent réinitialiser leur mot de passe, même si le mot de passe a expiré. Reportez-vous à la section « Réinitialiser un mot de passe vCenter Single Sign-On expiré », page 23.

Sécurité vSphere

20 VMware, Inc.

Utilisateurs administrateurs de vCenter Single Sign-OnL'interface administrative de vCenter Single Sign-On est accessible dans vSphere Web Client.

Pour configurer vCenter Single Sign-On et gérer les utilisateurs et les groupes de vCenter Single Sign-On,l'utilisateur [email protected] ou un utilisateur disposant de privilèges d'administrateur devCenter Single Sign-On doit se connecter à vSphere Web Client. Après authentification, cet utilisateur peutaccéder à l'interface d'administration de vCenter Single Sign-On pour gérer les sources d'identité et lesdomaines par défaut, spécifier des stratégies de mot de passe et effectuer d'autres tâches administratives.Reportez-vous à la section « Configuration de vCenter Single Sign-On », page 22.

Remarque Vous ne pouvez pas renommer l'utilisateur [email protected]. Pour davantage desécurité, envisagez de créer des utilisateurs supplémentaires dans le domaine vsphere.local et de leurattribuer des privilèges administratifs. Vous pouvez ensuite cesser d'utiliser [email protected].

Authentification dans différentes versions de vSphereSi un utilisateur se connecte à un système vCenter Server version 5.0 ou version antérieure, vCenter Serverauthentifie l'utilisateur en le validant par rapport à un domaine Active Directory ou à la liste des utilisateursdu système d'exploitation local. Dans vCenter Server 5.1 et les versions ultérieures, les utilisateurs sontauthentifiés par l'intermédiaire de vCenter Single Sign-On.

Remarque Vous ne pouvez pas utiliser vSphere Web Client pour gérer vCenter Server version 5.0 ouversions antérieures. Mettez à niveau vCenter Server vers la version 5.1 ou une version ultérieure.

Utilisateurs ESXiESXi 5.1 n'est pas intégré à vCenter Single Sign-On. Vous ajoutez explicitement l'hôte ESXi à un domaineActive Directory. Reportez-vous à la section « Ajouter un hôte ESXi à un domaine Active Directory »,page 90.

Vous pouvez toujours créer des utilisateurs ESXi locaux avec vSphere Client, vCLI ou PowerCLI.vCenter Server ne reconnaît pas les utilisateurs qui sont locaux à ESXi et ESXi ne reconnaît pas lesutilisateurs de vCenter Server.

Comportement de la connexionLorsqu'un utilisateur se connecte au système vCenter Server à partir de vSphere Web Client, lecomportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domainepar défaut.

n Les utilisateurs qui se trouvent dans le domaine par défaut peuvent se connecter avec leurs nomd'utilisateur et mot de passe.

n Les utilisateurs qui se trouvent dans un domaine qui a été ajouté à vCenter Single Sign-On en tant quesource d'identité, mais qui n'est pas le domaine par défaut, peuvent se connecter à vCenter Server, maisils doivent spécifier le domaine de l'une des manières suivantes.

n En incluant un préfixe de nom de domaine : par exemple, MONDOMAINE\utilisateur1

n En incluant le domaine : par exemple, [email protected]

n Les utilisateurs qui se trouvent dans un domaine qui n'est pas une source d'identité vCenter SingleSign-On ne peuvent pas se connecter à vCenter Server. Si le domaine que vous ajoutez à vCenter SingleSign-On fait partie d'une hiérarchie de domaines, Active Directory détermine si les utilisateurs desautres domaines de la hiérarchie sont ou non authentifiés.


VMware, Inc. 21

Configuration de vCenter Single Sign-OnvCenter Single Sign-On vous permet d'ajouter des sources d'identité, de gérer des domaines par défaut, deconfigurer une stratégie de mots de passe et de modifier la stratégie de verrouillage.

Configurez vCenter Single Sign-On dans vSphere Web Client. Pour configurer vCenter Single Sign-On, vousdevez disposer des privilèges d'administrateur de vCenter Single Sign-On. Le fait de disposer des privilègesd'administrateur de vCenter Single Sign On ne signifie pas que vous disposez du rôle d'administrateur survCenter Server ou ESXi. Par défaut, seul l'utilisateur [email protected] possède les privilègesd'administrateur sur le serveur vCenter Single Sign-On dans une nouvelle installation.

n Réinitialiser un mot de passe vCenter Single Sign-On expiré page 23Par défaut, les mots de passe des comptes utilisateur de vCenter Single Sign-On expirent après90 jours. vSphere Web Client émet un avertissement quand un mot de passe est sur le point d'expirer.Vous pouvez réinitialiser un mot de passe expiré dans vSphere Web Client.

n Modifier la stratégie de mot de passe de vCenter Single Sign-On page 23La stratégie de mot de passe de vCenter Single Sign-On est un ensemble de règles et de restrictions surle format et l'expiration des mots de passe d'utilisateurs de vCenter Single Sign-On. La stratégie demot de passe s'applique uniquement aux utilisateurs inclus dans le domaine vCenter Single Sign-On(vsphere.local).

n Modifier la stratégie de verrouillage de vCenter Single Sign-On page 24Une stratégie de verrouillage de vCenter Single Sign-On spécifie les conditions dans lesquelles lecompte vCenter Single Sign-On d'un utilisateur est verrouillé lorsque ce dernier tente de se connecteravec des informations d'identification incorrectes. Vous pouvez modifier la règle de verrouillage.

n Modifier la stratégie des jetons de vCenter Single Sign-On page 25La stratégie des jetons de vCenter Single Sign-On spécifie la tolérance d'horloge, le nombre derenouvellements et d'autres propriétés liées aux jetons. Vous pouvez modifier la stratégie des jetons devCenter Single Sign-On pour garantir que la spécification du jeton répond aux normes de sécurité devotre entreprise.

n Sources d'identité pour vCenter Server avec vCenter Single Sign-On page 26Les sources d'identité vous permettent d'associer un ou plusieurs domaines à vCenter Single Sign-On.Un domaine est un référentiel d'utilisateurs et de groupes que le serveur vCenter Single Sign-On peututiliser pour l'authentification des utilisateurs.

n Définir le domaine par défaut de vCenter Single Sign-On page 28Chaque source d'identité de vCenter Single Sign-On est associée à un domaine. vCenter Single Sign-On utilise le domaine par défaut pour authentifier un utilisateur qui se connecte sans nom dedomaine. Les utilisateurs qui appartiennent à un domaine qui n'est pas le domaine par défaut doiventinclure le nom de domaine lorsqu'ils se connectent.

n Ajouter une source d'identité de vCenter Single Sign-On page 28Les utilisateurs peuvent se connecter à vCenter Server uniquement s'ils se trouvent dans un domainequi a été ajouté comme source d'identité vCenter Single Sign-On. Les utilisateurs administrateurs devCenter Single Sign-On peuvent ajouter des sources d'identité dans vSphere Web Client.

n Modifier une source d'identité de vCenter Single Sign-On page 31Les utilisateurs vSphere sont définis dans une source d'identité. Vous pouvez modifier les détailsd'une source d'identité associée à vCenter Single Sign-On.

n Supprimer une source d'identité vCenter Single Sign-On page 32Les utilisateurs vSphere sont définis dans une source d'identité. Vous pouvez supprimer une sourced'identité de la liste des sources d'identité enregistrées.

Sécurité vSphere

22 VMware, Inc.

n Rafraîchir le certificat racine du service d'émission de jeton de sécurité (STS) page 32vCenter Single Sign-On fournit un service de jetons de sécurité (STS). Le service de jetons de sécuritéest un service Web qui émet, valide, et renouvelle les jetons de sécurité. Vous pouvez actualisermanuellement le certificat du service de jetons de sécurité existant lorsqu'il expire ou change.

n Déterminer la date d'expiration d'un certificat SSL page 33Les certificats SSL signés par une autorité de certification expirent après une durée de vie prédéfinie.Connaître la date d'expiration d'un certificat vous permet de remplacer ou de renouveler ce dernieravant cette date.

n Déterminer si un certificat est en cours d'utilisation page 34Avant de commencer à remplacer les certificats, vous pouvez vérifier si les certificats dont vousdisposez sont encore en cours d'utilisation. Pour déterminer si le système utilise un certificat, faitesappel à la fonction Calculer l'utilisation.

n Utiliser vCenter Single Sign-On avec l'authentification de session Windows page 34Vous pouvez utiliser vCenter Single Sign-On avec l'authentification de session Windows (SSPI). Pourque la case à cocher soit disponible sur la page de connexion, vous devez installer le plug-ind'intégration de client.

Réinitialiser un mot de passe vCenter Single Sign-On expiréPar défaut, les mots de passe des comptes utilisateur de vCenter Single Sign-On expirent après 90 jours.vSphere Web Client émet un avertissement quand un mot de passe est sur le point d'expirer. Vous pouvezréinitialiser un mot de passe expiré dans vSphere Web Client.

Dans vSphere 5.5 et versions ultérieures, un utilisateur dont le mot de passe est expiré est invité àréinitialiser le mot de passe lors de la connexion. Pour réinitialiser les mots de passe des versions antérieuresde vCenter Single Sign-On, voir la documentation de cette version du produit.

Prérequis

Vous devez connaître le mot de passe actuel expiré correspondant au nom d'utilisateur.

Procédure

1 Allez à l'URL de vSphere Web Client.

2 Lorsque vous y êtes invité, fournissez le nom d'utilisateur, le mot de passe actuel et le nouveau mot depasse.

Si vous ne pouvez pas vous connecter, contactez un administrateur système de vCenter Single Sign-Onpour obtenir de l'assistance.

Modifier la stratégie de mot de passe de vCenter Single Sign-OnLa stratégie de mot de passe de vCenter Single Sign-On est un ensemble de règles et de restrictions sur leformat et l'expiration des mots de passe d'utilisateurs de vCenter Single Sign-On. La stratégie de mot depasse s'applique uniquement aux utilisateurs inclus dans le domaine vCenter Single Sign-On(vsphere.local).

Procédure

1 Connectez-vous à vSphere Web Client en tant qu'[email protected] ou un autre utilisateurdisposant des privilèges vCenter Single Sign-On.

Les utilisateurs disposant de privilèges d'administrateur de vCenter Single Sign-On font partie dugroupe CAAdmins.

2 Accédez à Administration > Single Sign-On > Configuration.


VMware, Inc. 23

3 Cliquez sur l'onglet Politiques et sélectionnez Stratégies des mots de passe.

4 Cliquez sur Modifier.

5 Modifiez les paramètres de la stratégie de mot de passe.

Option Description

Description Description de la stratégie de mot de passe. Requis.

Durée de vie maximale Nombre maximal de jours d'existence d'un mot de passe au terme duquell'utilisateur doit le changer.

Restreindre la réutilisation Nombre de mots de passe précédents de l'utilisateur qui ne peuvent êtresélectionnés. Par exemple, si un utilisateur ne peut réutiliser aucun descinq derniers mots de passe, saisissez « 5 ».

Longueur maximale Nombre maximal de caractères autorisés dans le mot de passe.

Longueur minimale Le nombre minimum de caractères requis dans le mot de passe. Lalongueur minimale ne doit pas être inférieure au minimum combiné desexigences de caractères alphabétiques, numériques et spéciaux.

Exigences de caractères Nombre minimal de types de caractères différents requis dans le mot depasse.n Spéciaux : & # %n Alphabétiques : A b c Dn Majuscules : A B Cn Minuscules : a b cn Numériques : 1 2 3Le nombre minimal de caractères alphabétiques ne doit pas être inférieuraux exigences combinées de lettres majuscules et minuscules.Les caractères suivants ne sont pas pris en charge dans les mots de passe :caractères non-ASCII, point-virgule (;), guillemet double ("), guillemetsimple ('), accent circonflexe (^) et barre oblique inverse (\).

Caractères identiques adjacents Nombre maximal de caractères adjacents identiques autorisés dans le motde passe. Le nombre doit être supérieur à 0. Par exemple, si vous entrez 1,le mot de passe suivant n'est pas autorisé : p@$$word.

6 Cliquez sur OK.

Modifier la stratégie de verrouillage de vCenter Single Sign-OnUne stratégie de verrouillage de vCenter Single Sign-On spécifie les conditions dans lesquelles le comptevCenter Single Sign-On d'un utilisateur est verrouillé lorsque ce dernier tente de se connecter avec desinformations d'identification incorrectes. Vous pouvez modifier la règle de verrouillage.

Si un utilisateur se connecte à vsphere.local à plusieurs reprises à l'aide d'un mot de passe incorrect, il estverrouillé. La stratégie de verrouillage vous permet de spécifier le nombre maximal de tentatives deconnexion infructueuses et le délai entre deux tentatives. La règle indique également le délai qui doits'écouler avant que le compte soit automatiquement déverrouillé.

Procédure




3 Cliquez sur l'onglet Règles et sélectionnez Règle de verrouillage.

4 Cliquez sur Edit.

Sécurité vSphere

24 VMware, Inc.

5 Modifiez les paramètres.

Option Description

Description Description de la stratégie de verrouillage. Ce champ est actuellementobligatoire.

Nombre maximal de tentatives deconnexion échouées

Nombre maximal de tentatives de connexion infructueuses autoriséesavant que le compte soit verrouillé.

Intervalle de temps entre les échecs(secondes)

Délai pendant lequel les échecs doivent se produire pour déclencher unverrouillage.

Temps de déverrouillage(secondes)

Durée pendant laquelle le compte reste verrouillé. Si vous entrez 0,l'administrateur doit déverrouiller le compte de manière explicite.

6 Cliquez sur OK.

Modifier la stratégie des jetons de vCenter Single Sign-OnLa stratégie des jetons de vCenter Single Sign-On spécifie la tolérance d'horloge, le nombre derenouvellements et d'autres propriétés liées aux jetons. Vous pouvez modifier la stratégie des jetons devCenter Single Sign-On pour garantir que la spécification du jeton répond aux normes de sécurité de votreentreprise.

Procédure

1 Connectez-vous à vSphere Web Client.

2 Sélectionnez Administration > Single Sign-On, puis Configuration.

3 Cliquez sur l'onglet Règles et sélectionnez Règle des jetons.

vSphere Web Client affiche les paramètres de configuration actuels. vCenter Single Sign-On utilise lesparamètres par défaut, si vous ne les avez pas modifiés.

4 Modifiez les paramètres de configuration de la stratégie des jetons.

Option Description

Tolérance de l'horloge Différence de temps, en millisecondes, que vCenter Single Sign-On tolèreentre l'horloge d'un client et l'horloge du contrôleur de domaine. Si ladifférence de temps est supérieure à la valeur spécifiée, vCenter SingleSign-On déclare que le jeton n'est pas valide.

Nombre maximum derenouvellements de jetons

Nombre maximal de fois qu'un jeton peut être renouvelé. Une fois lenombre maximal de tentatives de renouvellement atteint, un nouveau jetonde sécurité est nécessaire

Nombre maximum de délégationsde jetons

Des jetons détenteurs de clé peuvent être délégués à des services del'environnement vSphere. Un service qui utilise un jeton délégué s'exécutede la part du principal qui a fourni le jeton. Une demande de jeton spécifieune identité DelegateTo. La valeur de DelegateTo peut être un jeton desolution ou une référence à un jeton de solution. Cette valeur indique lenombre de fois qu'un jeton détenteur de clé peut être délégué.


VMware, Inc. 25

Option Description

Durée de vie maximale d'un jeton desupport

Avec les jetons au porteur l'authentification repose sur la simple possessiondu jeton. Les jetons au porteur sont destinés à être utilisés pour uneopération unique, à court terme. Un jeton au porteur ne vérifie ni l'identitéde l'utilisateur ni l'entité qui envoie la demande. Cette valeur spécifie ladurée de vie d'un jeton au porteur avant que celui-ci doive être réédité.

Durée de vie maximale d'un jeton dedétenteur de clé

Avec les jetons détenteurs de clé, l'authentification repose sur les artéfactsde sécurité intégrés au jeton. Les jetons détenteurs de clé peuvent êtreutilisés pour la délégation. Un client peut obtenir un jeton détenteur de cléet le déléguer à une autre entité. Le jeton contient les demandes pouridentifier l'expéditeur et le délégué. Dans l'environnement vSphere, unsystème vCenter Server obtient des jetons délégués de la part d'unutilisateur et les utilise pour effectuer des opérations.Cette valeur détermine la durée de vie d'un jeton détenteur de clé avantque celui-ci soit marqué comme non valide.

5 Cliquez sur OK.

Sources d'identité pour vCenter Server avec vCenter Single Sign-OnLes sources d'identité vous permettent d'associer un ou plusieurs domaines à vCenter Single Sign-On. Undomaine est un référentiel d'utilisateurs et de groupes que le serveur vCenter Single Sign-On peut utiliserpour l'authentification des utilisateurs.

Une source d'identité est un ensemble de données d'utilisateurs et de groupes. Les données d'utilisateurs etde groupes sont stockées dans Active Directory, OpenLDAP ou localement dans le système d'exploitation dela machine sur laquelle vCenter Single Sign-On est installé. Lors de l'installation, chaque instance de vCenterSingle Sign-On dispose d'une source d'identité du système d'exploitation local vpshere.local. Cette sourced'identité est interne à vCenter Single Sign-On.

Un administrateur vCenter Single Sign-On peut créer des utilisateurs et des groupes vCenter Single Sign-On.

Types de sources d'identitéLes versions de vCenter Server antérieures à la version 5.1 prenaient en charge les utilisateurs ActiveDirectory et les utilisateurs du système d'exploitation local en tant que référentiels d'utilisateurs. Parconséquent, les utilisateurs du système d'exploitation local peuvent toujours s'authentifier dans le systèmevCenter Server. vCenter Server version 5.1 et version 5.5 utilisent vCenter Single Sign-On pourl'authentification. Pour obtenir la liste des sources d'identité prises en charge par vCenter Single Sign-On 5.1,reportez-vous à la documentation de vSphere 5.1. vCenter Single Sign-On 5.5 prend en charge les types deréférentiels d'utilisateurs suivants en tant que sources d'identité, mais ne prend en charge qu'une sourced'identité par défaut.

n Active Directory versions 2003 et ultérieures. vCenter Single Sign-On vous permet de spécifier undomaine Active Directory unique en tant que source d'identité. Le domaine peut avoir des domainesenfants ou être un domaine racine de la forêt. Cette source d'identité est nommée Active Directory(authentification Windows intégrée) dans vSphere Web Client.

n Active Directory sur LDAP. vCenter Single Sign-On prend en charge plusieurs sources d'identité ActiveDirectory sur LDAP. Ce type de source d'identité, utilisé pour la compatibilité avec le service vCenterSingle Sign-On intégré à vSphere 5.1, est appelé Active Directory comme serveur LDAP dans vSphereWeb Client.

n OpenLDAP 2.4 et versions ultérieures. vCenter Single Sign-On prend en charge plusieurs sourcesd'identité OpenLDAP. Cette source d'identité est nommée OpenLDAP dans vSphere Web Client.

Sécurité vSphere

26 VMware, Inc.

n Utilisateurs du système d'exploitation local. Les utilisateurs du système d'exploitation local sont lesutilisateurs du système d'exploitation sur lequel le serveur vCenter Single Sign-On est en coursd'exécution. La source d'identité locale système d'exploitation existe uniquement dans une installationsimple de vCenter Server et dans les installations personnalisés avec une instance autonome dedéploiement de vCenter Single Sign-On. La source d'identité de système d'exploitation local n'est pasdisponible dans les déploiements avec plusieurs instances vCenter Single Sign-On. Une seule sourced'identité de système d'exploitation local est autorisée. Cette source d'identité est nommée localos dansvSphere Web Client.

n Utilisateurs du système vCenter Single Sign-On. Lorsque vous installez vCenter Single Sign-On, uneseule source d'identité système, nommée vsphere.local, est créée. Cette source d'identité est nomméevsphere.local dans vSphere Web Client.

Remarque À tout moment, il n'existe qu'un seul domaine par défaut. Si un utilisateur d'un domaine autreque le domaine par défaut se connecte, il doit ajouter le nom de domaine (DOMAIN\user) pours'authentifier.

Les sources d'identité de vCenter Single Sign-On sont gérées par les utilisateurs administrateurs de vCenterSingle Sign-On.

Vous pouvez ajouter des sources d'identité à une instance du serveur vCenter Single Sign-On. Les sourcesd'identité distantes sont limitées aux mises en œuvre des serveurs Active Directory et OpenLDAP.

Comportement de la connexionLorsqu'un utilisateur se connecte au système vCenter Server à partir de vSphere Web Client, lecomportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domainepar défaut.






vCenter Single Sign-On ne propage pas les autorisations qui résultent de groupes imbriqués à partir desources d'identité dissemblables. Par exemple, si vous ajoutez le groupe Administrateurs de domaine augroupe Administrateurs locaux, les autorisations ne sont pas propagées, car le système d'exploitation localet Active Directory sont des sources d'identité distinctes.


VMware, Inc. 27

Définir le domaine par défaut de vCenter Single Sign-OnChaque source d'identité de vCenter Single Sign-On est associée à un domaine. vCenter Single Sign-Onutilise le domaine par défaut pour authentifier un utilisateur qui se connecte sans nom de domaine. Lesutilisateurs qui appartiennent à un domaine qui n'est pas le domaine par défaut doivent inclure le nom dedomaine lorsqu'ils se connectent.

Lorsqu'un utilisateur se connecte au système vCenter Server à partir de vSphere Web Client, lecomportement de la connexion n'est pas le même selon que l'utilisateur se trouve ou non dans le domainepar défaut.






Procédure




3 Dans l'onglet Sources d'identité, sélectionnez une source d'identité, puis cliquez sur l'icône Définicomme domaine par défaut.

Dans l'affichage des domaines, le domaine par défaut est marqué de la mention (par défaut) dans lacolonne Domaine.

Ajouter une source d'identité de vCenter Single Sign-OnLes utilisateurs peuvent se connecter à vCenter Server uniquement s'ils se trouvent dans un domaine qui aété ajouté comme source d'identité vCenter Single Sign-On. Les utilisateurs administrateurs de vCenterSingle Sign-On peuvent ajouter des sources d'identité dans vSphere Web Client.

Une source d'identité peut être un domaine Active Directory natif (authentification Windows intégrée) ouun service d'annuaire OpenLDAP. Pour des raisons de compatibilité descendante, Active Directory commeserveur LDAP est également disponible.

Immédiatement après l'installation, les sources d'identité et utilisateurs par défaut suivants sontdisponibles :

localos Tous les utilisateurs du système d'exploitation local. Ces utilisateurs peuventse voir accorder les autorisations de vCenter Server. Si vous effectuez unemise à niveau, les utilisateurs qui disposent déjà d'autorisations lesconservent.

vsphere.local Contient les utilisateurs internes de vCenter Single Sign-On.

Sécurité vSphere

28 VMware, Inc.

Procédure




3 Dans l'onglet Sources d'identité, cliquez sur l'icône Ajouter source d'identité.

4 Sélectionnez le type de source d'identité et entrez les paramètres de source d'identité.

Option Description

Active Directory (authentificationWindows intégrée)

Utilisez cette option pour les mises en œuvre Active Directory natives. Sivous souhaitez utiliser cette option, la machine sur laquelle le servicevCenter Single Sign-On s'exécute doit se trouver dans un domaine ActiveDirectory.Reportez-vous à « Paramètres de source d'identité Active Directory »,page 30.

Active Directory comme serveurLDAP

Cette option est disponible à des fins de compatibilité descendante. Ellenécessite la spécification du contrôleur de domaine et d'autresinformations. Reportez-vous à « Paramètres de source d'identité duserveur LDAP Active Directory et du serveur OpenLDAP », page 30.

OpenLDAP Utilisez cette option pour une source d'identité OpenLDAP. Reportez-vousà « Paramètres de source d'identité du serveur LDAP Active Directory etdu serveur OpenLDAP », page 30.

LocalOS Utilisez cette option pour ajouter le système d'exploitation local commesource d'identité. Le système vous demande uniquement le nom dusystème d'exploitation. Si vous sélectionnez cette option, tous lesutilisateurs sur la machine spécifiée sont visibles par vCenter Single Sign-On, même si ces utilisateurs ne font pas partie d'un autre domaine.

Remarque Si le compte d'utilisateur est verrouillé ou désactivé, les authentifications, et les recherchesd'utilisateurs et de groupes dans le domaine Active Directory échouent. Le compte d'utilisateur doitdisposer d'un accès en lecture seule sur l'UO utilisateur et du groupe, et il doit être en mesure de lire lesattributs de l'utilisateur et du groupe. Il s'agit de la configuration du domaine Active Directory pardéfaut pour ce qui est des autorisations des utilisateurs. VMware recommande l'utilisation d'unutilisateur spécial de service.

5 Si vous avez configuré une source d'identité Active Directory comme serveur LDAP ou OpenLDAP,cliquez sur Tester la connexion pour vous assurer que vous pouvez vous connecter à la sourced'identité.

6 Cliquez sur OK.

Suivant

Lorsqu'une source d'identité est ajoutée, tous les utilisateurs peuvent être authentifiés mais ont l'autorisationAucun accès. Un utilisateur disposant de privilèges vCenter Server Modify.permissions peut attribuer desautorisations à des utilisateurs ou des groupes d'utilisateurs pour leur permettre de se connecter àvCenter Server. Reportez-vous à la section « Attribuer des autorisations dans vSphere Web Client »,page 72.


VMware, Inc. 29

Paramètres de source d'identité Active DirectorySi vous sélectionnez le type de source d'identité Active Directory (authentification Windows intégrée), vouspouvez utiliser le compte de l'ordinateur local en tant que nom de principal du service (SPN, ServicePrincipal Name) ou spécifier un SPN de manière explicite.

Sélectionnez Utiliser un compte d'ordinateur pour accélérer la configuration. Si vous prévoyez derenommer l'ordinateur local sur lequel s'exécute vCenter Single Sign-On, il est préférable de spécifier unSPN de manière explicite.

Tableau 2‑1. Ajouter des paramètres de source d'identité

Champ Description

Nom de domaine Nom de domaine complet (FDQN) du domaine. N'entrezpas une adresse IP dans ce champ.

Utiliser un compte d'ordinateur Sélectionnez cette option pour utiliser le compte del'ordinateur local en tant que SPN. Lorsque voussélectionnez cette option, vous spécifiez uniquement lenom de domaine. Si vous prévoyez de renommerl'ordinateur, ne sélectionnez pas cette option.

Utiliser un SPN Sélectionnez cette option si vous prévoyez de renommerl'ordinateur local. Vous devez spécifier un SPN, unutilisateur pouvant s'authentifier auprès de la sourced'identité et un mot de passe pour cet utilisateur.

Service Principal SPN permettant à Kerberos d'identifier le service ActiveDirectory. Incluez le domaine dans le nom. Par exemple,STS/exemple.com.Il peut s'avérer nécessaire d'exécuter la commande setspn-S pour ajouter l'utilisateur souhaité. Pour obtenir desinformations sur l'outil de ligne de commande setspn,reportez-vous à la documentation de Microsoft.Le SPN doit être unique dans le domaine. L'exécution de lacommande setspn -S permet de vérifier qu'aucundoublon n'est créé.

Nom d'utilisateur principal (UPN) Nom d'un utilisateur pouvant s'authentifier auprès de cettesource d'identité. Utilisez le format d'adresse e-mail. Parexemple, [email protected]. Vous pouvez vérifier lenom d'utilisateur principal (UPN, User Principal Name)dans l'Éditeur ASDI (Active Directory Service InterfacesEditor).

Mot de passe Mot de passe de l'utilisateur qui s'authentifie généralementauprès de cette source d'identité. Cet utilisateur estégalement celui qui est spécifié dans le champ Nomd'utilisateur principal (UPN). Incluez le nom de domaine.Par exemple, [email protected].

Paramètres de source d'identité du serveur LDAP Active Directory et du serveurOpenLDAPActive Directory est disponible en tant que source d'identité du serveur LDAP pour assurer la compatibilitédescendante. Utilisez l'option Active Directory (authentification Windows intégrée) pour une installationnécessitant moins d'entrées. La source d'identité du serveur OpenLDAP est disponible pour lesenvironnements qui utilisent OpenLDAP.

Si vous configurez une source d'identité OpenLDAP, consultez l'article 2064977 de la base de connaissancesVMware pour connnaître les conditions préalables supplémentaires.

Sécurité vSphere

30 VMware, Inc.

http://kb.vmware.com/kb/2064977

Tableau 2‑2. Active Directory en tant que serveur LDAP et paramètres OpenLDAP

Champ Description

Nom Nom de la source d'identité.

Nom de domaine (DN) de base des utilisateurs Nom unique de base pour les utilisateurs.

Nom de domaine Nom de domaine complet du domaine, par exemple,exemple.com. N'entrez pas une adresse IP dans ce champ.

Alias du domaine Pour les sources d'identité Active Directory, le nomNetBIOS du domaine. Ajoutez le nom NetBIOS dudomaine Active Directory en tant qu'alias de la sourced'identité si vous utilisez les authentifications SSPI.Pour les sources d'identité OpenLDAP, le nom du domaineen lettres majuscules est ajouté si vous ne spécifiez pasd'alias.

DN de base des groupes Nom unique de base pour les groupes.

URL du serveur principal Serveur LDAP du contrôleur de domaine principale dudomaine.Utilisez le format suivant : ldap://hostname:port ouldaps://hostname:port. Le port est généralement 389 pourldap: connections et 636 pour ldaps: connections. Pour lesdéploiements de contrôleurs multi-domaines ActiveDirectory, le port est généralement 3268 pour ldap:connections et 3269 pour ldaps: connections.Un certificat qui établit la confiance du point terminalLDAP du serveur Active Directory est requis lorsque vousutilisez ldaps:// dans l'URL LDAP principale ou secondaire.

URL secondaire du serveur Adresse du serveur LDAP d'un contrôleur de domainesecondaire utilisé pour le basculement.

Nom d'utilisateur ID d'un utilisateur du domaine qui dispose au minimumd'un accès en lecture seule au nom de domaine (DN) debase pour les utilisateurs et les groupes.

Mot de passe Mot de passe de l'utilisateur spécifié par Nom d'utilisateur.

Modifier une source d'identité de vCenter Single Sign-OnLes utilisateurs vSphere sont définis dans une source d'identité. Vous pouvez modifier les détails d'unesource d'identité associée à vCenter Single Sign-On.

Procédure




3 Cliquez sur l'onglet Sources d'identité.

4 Cliquez avec le bouton droit sur la source d'identité dans le tableau et sélectionnez Modifier la sourced'identité.


VMware, Inc. 31

5 Modifiez les paramètres de source d'identité. Les options disponibles dépendent du type de sourced'identité sélectionné.

Option Description

Active Directory (authentificationWindows intégrée)

Utilisez cette option pour les mises en œuvre Active Directory natives. Sivous souhaitez utiliser cette option, la machine sur laquelle le servicevCenter Single Sign-On s'exécute doit se trouver dans un domaine ActiveDirectory.Reportez-vous à « Paramètres de source d'identité Active Directory »,page 30.

Active Directory comme serveurLDAP

Cette option est disponible à des fins de compatibilité descendante. Ellenécessite la spécification du contrôleur de domaine et d'autresinformations. Reportez-vous à « Paramètres de source d'identité duserveur LDAP Active Directory et du serveur OpenLDAP », page 30.

OpenLDAP Utilisez cette option pour une source d'identité OpenLDAP. Reportez-vousà « Paramètres de source d'identité du serveur LDAP Active Directory etdu serveur OpenLDAP », page 30.

LocalOS Utilisez cette option pour ajouter le système d'exploitation local commesource d'identité. Le système vous demande uniquement le nom dusystème d'exploitation. Si vous sélectionnez cette option, tous lesutilisateurs sur la machine spécifiée sont visibles par vCenter Single Sign-On, même si ces utilisateurs ne font pas partie d'un autre domaine.

6 Cliquez sur Tester la connexion pour vous assurer que vous pouvez vous connecter à la source

d'identité.

7 Cliquez sur OK.

Supprimer une source d'identité vCenter Single Sign-OnLes utilisateurs vSphere sont définis dans une source d'identité. Vous pouvez supprimer une sourced'identité de la liste des sources d'identité enregistrées.

Procédure




3 Dans l'onglet Sources d'identité, sélectionnez une source d'identité et cliquez sur l'icône Supprimerune source d'identité.

4 Cliquez sur Oui lorsque vous êtes invité à confirmer.

Rafraîchir le certificat racine du service d'émission de jeton de sécurité (STS)vCenter Single Sign-On fournit un service de jetons de sécurité (STS). Le service de jetons de sécurité est unservice Web qui émet, valide, et renouvelle les jetons de sécurité. Vous pouvez actualiser manuellement lecertificat du service de jetons de sécurité existant lorsqu'il expire ou change.

Les certificats STS expirent ou changent périodiquement et doivent être mis à jour ou actualisés. Danscertains environnements, votre administrateur système peut mettre en œuvre des mises à jour automatiquesdu certificat. Sinon, vous pouvez mettre à jour le certificat manuellement.

Remarque L'outil d'automatisation des certificats vCenter peut uniquement remplacer les certificats SSL.Cet outil ne peut pas être utilisé pour remplacer les certificats STS.

Sécurité vSphere

32 VMware, Inc.

Procédure




3 Sélectionnez l'onglet Certificats, puis le sous-onglet Signature STS, et cliquez sur Ajouter un certificatde signature STS.

4 Cliquez sur Parcourir pour accéder au fichier JKS du magasin de clés qui contient le nouveau certificat,puis cliquez sur Ouvrir.

Si le fichier du magasin de clés est valide, la table du certificat STS sera renseignée avec les informationsdu certificat.

5 Cliquez sur OK.

Les informations du nouveau certificat s'affichent dans l'onglet Signature STS.

Suivant

Redémarrez le service vSphere Web Client.

Déterminer la date d'expiration d'un certificat SSLLes certificats SSL signés par une autorité de certification expirent après une durée de vie prédéfinie.Connaître la date d'expiration d'un certificat vous permet de remplacer ou de renouveler ce dernier avantcette date.

Procédure




3 Cliquez sur l'onglet Certificats, puis sur le sous-onglet Magasin d'approbations des sources d'identité.

4 Recherchez le certificat et vérifiez la date d'expiration dans la zone de texte Date de fin de validité.

Vous verrez peut-être un avertissement en haut de l'onglet indiquant qu'un certificat est sur le pointd'expirer.

Suivant

Renouvelez ou remplacez les certificats SSL dont la date d'expiration s'approche.


VMware, Inc. 33

Déterminer si un certificat est en cours d'utilisationAvant de commencer à remplacer les certificats, vous pouvez vérifier si les certificats dont vous disposezsont encore en cours d'utilisation. Pour déterminer si le système utilise un certificat, faites appel à la fonctionCalculer l'utilisation.

Procédure




3 Cliquez sur l'onglet Certificats, puis sur le sous-onglet Magasin d'approbations des sources d'identité.

4 Cliquez sur Calculer l'utilisation.

Pour chaque certificat de la liste, vSphere Web Client communique avec chaque source d'identitéLDAPS enregistrée pour déterminer s'il existe une connexion valide.

5 La colonne Utilisé par le domaine indique si un certificat est en cours d'utilisation et vous permet dedéterminer si vous pouvez supprimer un certificat en toute sécurité.

Utiliser vCenter Single Sign-On avec l'authentification de session WindowsVous pouvez utiliser vCenter Single Sign-On avec l'authentification de session Windows (SSPI). Pour que lacase à cocher soit disponible sur la page de connexion, vous devez installer le plug-in d'intégration de client.

L'utilisation de SSPI accélère l'ouverture de session pour l'utilisateur qui est actuellement connecté à unemachine.

Prérequis

Votre domaine Windows doit être correctement configuré.

Procédure

1 Accédez à la page de connexion de vSphere Web Client.

2 Si la case à cocher Utiliser l'authentification de session Windows n'est pas disponible, cliquez surTélécharger le plug-in d'intégration de client en bas de la page de connexion.

3 Si le navigateur bloque l'installation en émettant des erreurs de certificat ou en exécutant un bloqueurde fenêtres contextuelles, suivez les instructions d'aide du navigateur pour résoudre le problème.

4 Fermez les autres navigateurs si vous y êtes invité.

Après l'installation, le plug-in est disponible pour tous les navigateurs.

5 Quittez et redémarrez le navigateur.

Après le redémarrage, vous pouvez sélectionner la case à cocher Utiliser l'authentification de sessionWindows.

Sécurité vSphere

34 VMware, Inc.

Gestion des utilisateurs et des groupes vCenter Single Sign-OnUn utilisateur administrateur de vCenter Single Sign-On peut gérer des utilisateurs et des groupes dudomaine vsphere.local dans vSphere Web Client.

L'utilisateur administrateur de vCenter Single Sign-On peut effectuer les tâches suivantes.

Remarque Ne supprimez pas les groupes qui sont prédéfinis dans le domaine vsphere.local. Des erreursinattendues d'authentification peuvent se produire.

n Ajouter des utilisateurs vCenter Single Sign-On page 36Les utilisateurs répertoriés dans l'onglet Utilisateurs de vSphere Web Client sont internes à vCenterSingle Sign-On et font partie du domaine vsphere.local.

n Désactiver et activer des utilisateurs de vCenter Single Sign-On page 36Lorsqu'un compte utilisateur vCenter Single Sign-On est désactivé, l'utilisateur ne peut plus ouvrir desession sur le serveur vCenter Single Sign-On tant que le compte n'est pas réactivé par unadministrateur. Vous pouvez désactiver et activer des utilisateurs dans l'interface vSphere Web Client.

n Supprimer un utilisateur vCenter Single Sign-On page 37Vous pouvez supprimer de vSphere Web Client des utilisateurs du domaine vsphere.local. Enrevanche, vous ne pouvez pas supprimer de vSphere Web Client des utilisateurs du systèmed'exploitation local ou d'un autre domaine.

n Modifier un utilisateur de vCenter Single Sign-On page 37Vous pouvez changer le mot de passe ou d'autres informations d'un utilisateur de vCenter Single Sign-On dans vSphere Web Client. Vous ne pouvez pas renommer d'utilisateurs dans le domainevsphere.local. Vous ne pouvez donc pas renommer [email protected].

n Ajouter un groupe vCenter Single Sign-On page 38Dans vSphere Web Client, les groupes répertoriés dans l'onglet Groupes sont internes à vCenter SingleSign-On. Un groupe permet de créer un conteneur pour un ensemble de membres d'un groupe(principaux).

n Modifier un groupe vCenter Single Sign-On page 38Vous pouvez modifier la description d'un groupe vCenter Single Sign-On dans vSphere Web Client.Vous ne pouvez pas modifier le nom du groupe.

n Ajouter des membres à un groupe vCenter Single Sign-On page 39Vous pouvez supprimer des membres d'un groupe vCenter Single Sign-On de vSphere Web Client.

n Supprimer des membres d'un groupe vCenter Single Sign-On page 40Vous pouvez supprimer des membres d'un groupe vCenter Single Sign-On dans vSphere Web Client.Lorsque vous supprimez un membre (utilisateur ou groupe) d'un groupe local, vous ne devez passupprimer le membre du système.

n Supprimer des utilisateurs d'application vCenter Single Sign-On page 40vCenter Single Sign-On reconnaît les services vCenter tels que vCenter Server, vCenter InventoryServer et vSphere Web Client et accorde des privilèges à ces services en tant qu'utilisateursd'application.

n Changer le mot de passe de vCenter Single Sign-On page 41Les utilisateurs du domaine local, vsphere.local par défaut, peuvent modifier leurs mots de passevCenter Single Sign-On à partir d'une interface Web. Les utilisateurs se trouvant dans d'autresdomaines changent leur mot de passe en suivant les règles du domaine concerné.


VMware, Inc. 35

Ajouter des utilisateurs vCenter Single Sign-OnLes utilisateurs répertoriés dans l'onglet Utilisateurs de vSphere Web Client sont internes à vCenter SingleSign-On et font partie du domaine vsphere.local.

Vous pouvez sélectionner d'autres domaines et afficher des informations sur les utilisateurs de cesdomaines, mais vous ne pouvez pas ajouter des utilisateurs aux autres domaines dans l'interface de gestionvCenter Single Sign-On de vSphere Web Client.

Procédure



2 Cliquez sur Accueil, et accédez à Administration > Single Sign-On > Utilisateurs et groupes.

3 Si vsphere.local n'est pas le domaine sélectionné actuellement, sélectionnez-le dans le menu déroulant.

Vous ne pouvez pas ajouter des utilisateurs aux autres domaines.

4 Dans l'onglet Utilisateurs, cliquez sur l'icôneNouvel utilisateur.

5 Tapez un nom d'utilisateur et un mot de passe pour le nouvel utilisateur.

Vous ne pouvez pas modifier le nom d'utilisateur après sa création.

Le mot de passe doit répondre aux exigences des règles de mot de passe du système.

6 (Facultatif) Tapez le prénom et le nom de famille du nouvel utilisateur.

7 (Facultatif) Entrez une adresse e-mail et une description pour l'utilisateur.

8 Cliquez sur OK.

Lorsque vous ajoutez un utilisateur, celui-ci ne dispose initialement d'aucune autorisation pour effectuer desopérations de gestion.

Suivant

Ajoutez l'utilisateur à un groupe du domaine vsphere.local, par exemple, au groupe d'administrateurs.Reportez-vous à « Ajouter des membres à un groupe vCenter Single Sign-On », page 39.

Désactiver et activer des utilisateurs de vCenter Single Sign-OnLorsqu'un compte utilisateur vCenter Single Sign-On est désactivé, l'utilisateur ne peut plus ouvrir desession sur le serveur vCenter Single Sign-On tant que le compte n'est pas réactivé par un administrateur.Vous pouvez désactiver et activer des utilisateurs dans l'interface vSphere Web Client.

Les comptes d'utilisateur désactivés demeurent disponibles dans le système vCenter Single Sign-On, maisl'utilisateur ne peut plus ouvrir de session ni effectuer d'opérations sur le serveur. Les utilisateurs disposantdes privilèges d'administrateur peuvent désactiver et activer des utilisateurs dans la page Utilisateurs etgroupes vCenter.

Prérequis

Vous devez être membre du groupe d'administrateurs vCenter Single Sign-On pour désactiver et activer desutilisateurs vCenter Single Sign-On.

Sécurité vSphere

36 VMware, Inc.

Procédure




3 Sélectionnez un utilisateur, cliquez sur l'icône Désactiver, puis cliquez sur Oui lorsque vous y êtesinvité.

4 Pour réactiver l'utilisateur, cliquez avec le bouton droit sur l'utilisateur, sélectionnez Activer, puiscliquez sur Oui lorsque vous y êtes invité.

Supprimer un utilisateur vCenter Single Sign-OnVous pouvez supprimer de vSphere Web Client des utilisateurs du domaine vsphere.local. En revanche,vous ne pouvez pas supprimer de vSphere Web Client des utilisateurs du système d'exploitation local oud'un autre domaine.

Avertissement Si vous supprimez l'utilisateur administrateur du domaine vsphere.local, vous ne pourrezplus vous connecter à vCenter Single Sign-On. Réinstallez vCenter Server et ses composants.

Procédure




3 Sélectionnez l'onglet Utilisateurs, puis le domaine vsphere.local.

4 Dans la liste des utilisateurs, sélectionnez celui que vous souhaitez supprimer et cliquez sur l'icôneSupprimer.

Soyez prudent lorsque vous effectuez cette opération, car elle est irréversible.

Modifier un utilisateur de vCenter Single Sign-OnVous pouvez changer le mot de passe ou d'autres informations d'un utilisateur de vCenter Single Sign-Ondans vSphere Web Client. Vous ne pouvez pas renommer d'utilisateurs dans le domaine vsphere.local. Vousne pouvez donc pas renommer [email protected].

Vous pouvez créer des utilisateurs supplémentaires ayant les mêmes privilèges [email protected].

Les utilisateurs de vCenter Single Sign-On sont stockés dans le domaine vsphere.local devCenter SingleSign-On.

Vous pouvez vérifier les stratégies de mots de passe de vCenter Single Sign-On dans vSphere Web Client.Connectez-vous en tant que [email protected] et sélectionnez Configuration > Règles > Règles demots de passe.


VMware, Inc. 37

Procédure




3 Cliquez sur l'onglet Users.

4 Cliquez-droit sur l'utilisateur et sélectionnez Modifier l'utilisateur.

5 Effectuez les modifications sur l'utilisateur.

Vous ne pouvez pas modifier le nom d'utilisateur de l'utilisateur.

Le mot de passe doit répondre aux exigences des règles de mot de passe du système.

6 Cliquez sur OK.

Ajouter un groupe vCenter Single Sign-OnDans vSphere Web Client, les groupes répertoriés dans l'onglet Groupes sont internes à vCenter Single Sign-On. Un groupe permet de créer un conteneur pour un ensemble de membres d'un groupe (principaux).

Lorsque vous ajoutez un groupe vCenter Single Sign-On dans l'interface d'administration de vCenter SingleSign-On, le groupe est ajouté au domaine vsphere.local.

Procédure




3 Sélectionnez l'onglet Groupes et cliquez sur l'icône Nouveau groupe.

4 Entrez le nom et la description du groupe.

Vous ne pouvez pas modifier le nom du groupe après l'avoir créé.

5 Cliquez sur OK.

Suivant

n Ajoutez des membres au groupe.

Modifier un groupe vCenter Single Sign-OnVous pouvez modifier la description d'un groupe vCenter Single Sign-On dans vSphere Web Client. Vous nepouvez pas modifier le nom du groupe.

Les groupes vCenter Single Sign-On sont stockés dans la base de données vCenter Single Sign-On, quis'exécute sur le système où vCenter Single Sign-On est installé. Ces groupes font partie du domainevsphere.local.

Sécurité vSphere

38 VMware, Inc.

Procédure




3 Cliquez sur l'onglet Groupes.

4 Cliquez avec le bouton droit sur le groupe à modifier et sélectionnez Modifier le groupe.

5 Modifiez la description du groupe.

Vous ne pouvez pas modifier le nom du groupe après l'avoir créé.

6 Cliquez sur OK.

Ajouter des membres à un groupe vCenter Single Sign-OnVous pouvez supprimer des membres d'un groupe vCenter Single Sign-On de vSphere Web Client.

Vous pouvez ajouter des membres des groupes Microsoft Active Directory ou OpenLDAP à un groupevCenter Single Sign-On. Vous ne pouvez pas ajouter de groupes de sources d'identité externes à un groupevCenter Single Sign-On.

Les groupes répertoriés dans l'onglet Groupes dans vSphere Web Client sont internes à vCenter Single Sign-On et font partie du domaine vsphere.local.

Procédure




3 Cliquez sur l'onglet Groupes et cliquez sur le groupe (par exemple, Administrateurs).

4 Dans la zone Membres du groupe, cliquez sur l'icône Ajouter des membres.

5 Sélectionnez la source d'identité contenant le membre à ajouter au groupe.

6 (Facultatif) Entrez un terme de recherche et cliquez sur Rechercher.

7 Sélectionnez le membre et cliquez sur Ajouter.

Vous pouvez ajouter plusieurs membres simultanément.

8 Cliquez sur OK.


VMware, Inc. 39

Supprimer des membres d'un groupe vCenter Single Sign-OnVous pouvez supprimer des membres d'un groupe vCenter Single Sign-On dans vSphere Web Client.Lorsque vous supprimez un membre (utilisateur ou groupe) d'un groupe local, vous ne devez passupprimer le membre du système.

Procédure




3 Sélectionnez l'onglet Groupes et cliquez sur le groupe.

4 Dans la liste des membres du groupe, sélectionnez l'utilisateur ou le groupe à supprimer et cliquez surl'icône Supprimer un membre.

5 Cliquez sur OK.

L'utilisateur est supprimé du groupe, mais il est toujours disponible dans le système.

Supprimer des utilisateurs d'application vCenter Single Sign-OnvCenter Single Sign-On reconnaît les services vCenter tels que vCenter Server, vCenter Inventory Server etvSphere Web Client et accorde des privilèges à ces services en tant qu'utilisateurs d'application.

Lorsque vous désinstallez un service vCenter, celui-ci est supprimé de la liste des utilisateurs d'applicationvCenter Single Sign-On dans le cadre de la désinstallation par défaut. Si vous forcez la suppression d'uneapplication, ou si le système devient irrécupérable alors que l'utilisateur d'application est encore dans lesystème, vous pouvez supprimer explicitement ce dernier de vSphere Web Client.

Important Si vous supprimez une application, celle-ci n'a plus accès à vCenter Single Sign-On.

Procédure



2 Accédez à Administration > Single Sign-On > Utilisateurs et groupes.

3 Cliquez sur l'onglet Utilisateurs de l'application, puis cliquez sur le nom d'utilisateur de l'application.

4 Cliquez sur l'icône Supprimer l'utilisateur de l'application.

5 Cliquez sur Oui.

L'application (ou la solution) n'a plus accès à vCenter Server et ne peut plus fonctionner en tant que servicevCenter.

Sécurité vSphere

40 VMware, Inc.

Changer le mot de passe de vCenter Single Sign-OnLes utilisateurs du domaine local, vsphere.local par défaut, peuvent modifier leurs mots de passe vCenterSingle Sign-On à partir d'une interface Web. Les utilisateurs se trouvant dans d'autres domaines changentleur mot de passe en suivant les règles du domaine concerné.

La stratégie de mot de passe qui est définie dans l'interface de configuration de vCenter Single Sign-Ondétermine l'expiration de votre mot de passe. Par défaut, les mots de passe de vCenter Single Sign-Onexpirent après 90 jours, mais votre administrateur système peut changer ce paramètre par défaut en fonctionde la stratégie de votre organisation. vSphere Web Client vous envoie un rappel lorsque votre mot de passeest sur le point d'expirer. Vous pouvez réinitialiser un mot de passe expiré si vous connaissez l'ancien motde passe.

Remarque Vous pouvez modifier un mot de passe uniquement s'il n'a pas expiré.

Si le mot de passe est expiré, l'administrateur du domaine local, [email protected] par défaut,peut réinitialiser le mot de passe en utilisant la commande dir-cli password reset. Seuls les membres dugroupe d'administrateurs du domaine vCenter Single Sign-On peuvent réinitialiser les mots de passe.

Procédure

1 Dans un navigateur Web, connectez-vous à vSphere Web Client ou à Platform Services Controller.

Option Description

vSphere Web Client https://vc_hostname_or_IP/vsphere-client

Platform Services Controller https://psc_hostname_or_IP/psc

Dans un déploiement intégré, le nom d'hôte ou l'adresse IP dePlatform Services Controller est identique au nom d'hôte ou à l'adresse IPde vCenter Server.

2 Spécifiez le nom d'utilisateur et le mot de passe pour [email protected] ou un autre membre

du groupe d'administrateurs de vCenter Single Sign-On.

Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tantqu'administrator@mydomain.

3 Dans le volet de navigation supérieur, à gauche du menu Aide, cliquez sur votre nom d'utilisateur pourdérouler le menu.

Vous pouvez également sélectionner Single Sign-On > Utilisateurs et groupes et Modifier unutilisateur dans le menu contextuel.

4 Sélectionnez Modifier le mot de passe et tapez votre mot de passe actuel.

5 Tapez un nouveau mot de passe et confirmez-le.

Le mot de passe doit être conforme à la stratégie de mot de passe.

6 Cliquez sur OK.

Dépannage de vCenter Single Sign-OnLe processus de configuration de vCenter Single Sign-On peut être complexe.

Les rubriques suivantes fournissent un point de départ pour résoudre les problèmes de vCenter Single Sign-On. Recherchez des pointeurs supplémentaires dans ce centre de documentation et dans le système de basede connaissances VMware.


VMware, Inc. 41

L'installation de vCenter Single Sign-On échoueDans un environnement Windows, l'installation de vCenter Single Sign-On peut échouer pour plusieursraisons.

Problème

L'installation de vCenter Single Sign-On échoue dans un environnement Windows.

Cause

L'échec d'une installation est dû à plusieurs raisons.

Solution

1 Vérifiez que toutes les conditions préalables à la configuration de l'installation ont été respectées.

Lors de l'échec de l'installation, le programme d'installation affiche un message similaire à celui-ci :####: L'installation a échoué en raison de....

2 Dans une ligne de commande, exécutez la commande suivante pour rassembler un bundle de supportde vCenter Single Sign-On.

C:\Windows\System32\cscript.exe "SSO Server\scripts\sso-support.wsf" /z

3 Cliquez sur OK

4 Pour obtenir des détails sur l'échec et les solutions possibles, consultez les journaux dans %TEMP%\vminst.log.

Pour obtenir la liste complète des journaux, reportez-vous à l'article de la base de connaissancesVMware 2033430.

Détermination de la cause d'une erreur de Lookup ServiceL'installation de vCenter Single Sign-On affiche un message d'erreur relatif à vCenter Server ouvSphere Web Client.

Problème

Les programmes d'installation de vCenter Server et de Web Client affichent le message d'erreur Could notcontact Lookup Service. Please check VM_ssoreg.log....

Cause

Ce problème a plusieurs causes, notamment des horloges non synchronisées sur les machines hôte, unblocage provenant du pare-feu et des services qui doivent être démarrés.

Solution

1 Vérifiez si les horloges des machines hôte sur lesquels vCenter Single Sign-On, vCenter Server etWeb Client sont actifs sont synchronisées.

2 Consultez le journal spécifique qui figure dans le message d'erreur.

Dans le message, le dossier temporaire système se rapporte à %TEMP%.

Sécurité vSphere

42 VMware, Inc.


3 Dans le fichier journal, recherchez les messages suivants.

Le fichier journal contient un sortie de toutes les tentatives d'installation. Situez le dernier message quiaffiche Initializing registration provider...

Message Cause et solution

java.net.ConnectException: Laconnexion a expiré : connect

L'adresse IP est erronée, un pare-feu bloque l'accès à vCenter Single Sign-On, ou vCenter Single Sign-On est surchargé.Assurez-vous qu'aucun pare-feu ne bloque le port vCenter Single Sign-On(par défaut 7444) et que la machine sur laquelle vCenter Single Sign-On estinstallé dispose de suffisamment de capacité CPU/, E/S et de mémoire.

java.net.ConnectException:Connexion refusée : connect

L'adresse IP ou le FDQN est erroné(e) et vCenter Single Sign-On n'a pasdémarré ou a démarré au cours de la minute écoulée.Vérifiez que vCenter Single Sign-On fonctionne en contrôlant l'état duservice vCenter Single Sign-On (sous Windows) et du daemon vmware-sso(sous Linux).Redémarrez le service. Si cette procédure ne résout pas le problème,consultez la section récupération du Guide de dépannage de vSphere.

Code d'état inattendu : 404. Échecdu serveur SSO lors del'initialisation

Redémarrez vCenter Single Sign-On. Si cette procédure ne résout pas leproblème, consultez la section Récupération du Guide de dépannage devSphere.

Le message d'erreur qui s'affichedans l'interface utilisateurcommence par Could not connectto vCenter Single Sign-on.

Vous pouvez également voir le code de retour SslHandshakeFailed. Ils'agit d'une erreur inhabituelle. Elle indique que l'adresse IP ou le FQDNqui assure la résolution vers l'hôte vCenter Single Sign-On n'est pascelle/celui que voues avez utilisé(e) pendant l'installation devCenter Single Sign-On.Dans %TEMP%\VM_ssoreg.log, recherchez la ligne qui contient le messagesuivant.host name in certificate did not match: <install-configuredFQDN or IP> != <A> or <B> or <C>, A étant le FQDN que vous avezentré pendant l'installation de vCenter Single Sign-On, B et C étant desalternatives autorisées générées par le système.Corrigez la configuration pour utiliser le FQDN à droite du signe != dans lefichier journal. Dans la plupart des cas, utilisez le FQDN que vous avezspécifié pendant l'installation de vCenter Single Sign-On.Si aucune des alternatives n'est possible dans votre configuration réseau,récupérez votre configuration vCenter Single Sign-On SSL.

Impossible de se connecter à l'aide de l'authentification de domaine ActiveDirectory

Vous vous connectez à un composant de vCenter Server à partir de vSphere Web Client. Vous utilisez votrenom d'utilisateur et mot de passe Active Directory. L'authentification échoue.

Problème

Vous ajoutez une source d'identité Active Directory à vCenter Single Sign-On, mais les utilisateurs neparviennent pas à se connecter à vCenter.

Cause

Les utilisateurs se connectent à leur domaine par défaut à l'aide de leur nom d'utilisateur et mot de passe.Pour tous les autres domaines, ils doivent inclure le nom de domaine (utilisateur@domaine ouDOMAINE\utilisateur).

Si vous utilisez vCenter Server Appliance, d'autres problèmes peuvent se produire.


VMware, Inc. 43

Solution

Pour tous les déploiements de vCenter Single Sign-On, vous pouvez modifier la source d'identité par défaut.Une fois la modification effectuée, les utilisateurs peuvent se connecter à la source d'identité par défaut àl'aide de leur nom d'utilisateur et mot de passe uniquement.

Si vous utilisez vCenter Server Appliance et que la modification de la source d'identité par défaut n'a pasrésolu le problème, effectuez les étapes de dépannage supplémentaires suivantes.

1 Synchronisez les horloges entre vCenter Server Appliance et les contrôleurs du domaine ActiveDirectory.

2 Vérifiez que chaque contrôleur de domaine dispose d'un enregistrement de pointeur (PTR) dans leservice DNS du domaine Active Directory et que les informations de l'enregistrement PTRcorrespondent au nom DNS du contrôleur. Lorsque vous utilisez vCenter Server Appliance, vouspouvez exécuter les commandes suivantes pour effectuer cette tâche :

a Pour répertorier les contrôleurs de domaine, exécutez la commande suivante :

# dig SRV _ldap._tcp.my-ad.com

Les adresses appropriées sont situées dans « answer section », comme dans l'exemple suivant :

;; ANSWER SECTION:

_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com

...

b Pour chaque contrôleur de domaine, vérifiez la résolution directe et inverse en exécutant lacommande suivante :

# dig my-controller.my-ad.com


;; ANSWER SECTION:

my-controller.my-ad.com (...) IN A controller IP address

...

# dig -x <controller IP address>


;; ANSWER SECTION:

IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com

...

3 Si cela ne résout pas le problème, supprimez vCenter Server Appliance du domaine Active Directory,puis rejoignez le domaine.

4 Redémarrez vCenter Single Sign-On.

La connexion à vCenter Server échoue, car le compte utilisateur est verrouilléLorsque vous vous connectez à vCenter Server à partir de la page de connexion de vSphere Web Client, uneerreur indique que le compe est verrouillé.

Problème

Après plusieurs tentatives infructueuses, vous ne parvenez pas à vous connecter à vSphere Web Client enutilisant vCenter Single Sign-On. Vous voyez un message indiquant que votre compte est verrouillé.

Cause

Vous avez dépassé le nombre maximal d'échecs de tentative de connexion.

Sécurité vSphere

44 VMware, Inc.

Solution

n Si vous vous connectez en tant qu'un utilisateur du domaine système (vsphere.local), demandez à votreadministrateur de vCenter Single Sign-On de déverrouiller votre compte. Vous pouvez égalementattendre le déverrouillage de votre compte si l'expiration du verrouillage est prévue dans la stratégie demot de passe.

n Si vous vous connectez en tant qu'un utilisateur d'un domaine Active Directory ou LDAP, demandez àvotre administrateur Active Directory ou LDAP de déverrouiller votre compte.


VMware, Inc. 45

Sécurité vSphere

46 VMware, Inc.

Chiffrement et certificats de sécuritévSphere 3

Les composants d'ESXi et de vCenter Server communiquent de façon sécurisée sur SSL pour garantir laconfidentialité, l'intégrité des données et l'authentification. Les données sont privées, protégées et nepeuvent pas être modifiées en cours de transit sans détection.

Par défaut, les services vSphere utilisent les certificats qui sont créés dans le cadre du processusd'installation et stockés sur chaque système. Ces certificats par défaut sont uniques et permettent decommencer à utiliser le logiciel, mais ils ne sont pas signés par une autorité de certification (CA) deconfiance.

Pour bénéficier de tous les avantages du contrôle des certificats, notamment si vous prévoyez d'utiliser desconnexions SSL sur Internet, installez de nouveaux certificats qui sont signés par une autorité de certificationinterne valide ou achetez un certificat auprès d'une autorité de sécurité de confiance.


n « Certificats utilisés dans vSphere », page 47

n « Présentation du remplacement des certificats », page 49

n « Options de déploiement de l'outil d'automatisation des certificats », page 50

n « Remplacement des certificats vCenter à l'aide de l'outil d'automatisation des certificats vCenter »,page 51

n « Remplacer les certificats vCenter Server Appliance », page 59

n « Remplacer les certificats de vCenter Server Heartbeat », page 59

Certificats utilisés dans vSphereDifférents types de certificats sont utilisés à diverses fins dans l'environnement vSphere.

Jetons SAML émis par le service STS de vCenter Single Sign-OnLes certificats STS permettent à un utilisateur qui s'est connecté via vCenter Single Sign-On d'utiliser tous lesservices vCenter pris en charge par vCenter Single Sign-On sans avoir à s'authentifier auprès de chacund'eux. Le services STS envoie des jetons SAML (Security Assertion Markup Language). Ces jetons desécurité représentent l'identité d'un utilisateur dans l'un des types de sources d'identité pris en charge parvCenter Single Sign-On. Reportez-vous à « Protection de votre environnement par vCenter Single Sign-On »,page 15.

VMware, Inc. 47

Le service vCenter Single Sign-On déploie un fournisseur d'identité qui émet des jetons SAML utilisés dansvSphere à des fins d'authentification. Un jeton SAML est un fragment de code XML qui représente l'identitéd'un utilisateur (nom d'utilisateur, prénom, nom de famille). En outre, le jeton SAML contient desinformations d'appartenance à un groupe ce qui permet de l'utiliser à des fins d'autorisation. LorsquevCenter Single Sign-On émet des jetons SAML, il signe chacun d'eux avec la chaîne de certificats pourpermettre aux clients de vCenter Single Sign-On de vérifier que le jeton SAML provient d'une source deconfiance.

certificats SSLLes certificats SSL sécurisent les communications dans l'environnement vSphere. Le client vérifiel'authenticité du certificat présenté durant la phase d'établissement de la liaison SSL préalable auchiffrement. Cette vérification offre une protection contre les « attaques de l'intercepteur ».

Les produits VMware utilisent des certificats X.509 version 3 (X.509v3) standard pour chiffrer lesinformations de session envoyées sur les connexions SSL entre les composants.

Les composants de vSphere incluent des certificats par défaut. Vous pouvez remplacer les certificats pardéfaut par des certificats auto-signés ou signés par une autorité de certification. Pour les composantsprincipaux de vCenter, vous pouvez utiliser l'outil d'automatisation des certificats.

Clés SSHLes clés SSH servent à contrôler l'accès aux hôtes ESXi qui utilisent le protocole SSH (Secure Shell).Reportez-vous à la section « Téléchargement d'une clé SSH sur votre hôte ESXi », page 105.

Niveau de sécurité du chiffrementPour chiffrer les données, le composant expéditeur (passerelle ou composant de redirection, par exemple)applique des algorithmes de chiffrement ou des chiffrements, afin de modifier les données avant leurtransmission. Le composant destinataire utilise une clé pour déchiffrer les données, qui reprennent leurforme d'origine. Plusieurs méthodes de chiffrement sont utilisées, qui offrent différents niveaux de sécurité.Pour mesurer la capacité d'un chiffrement à protéger les données, on peut utiliser le niveau de cryptage, quireprésente le nombre d'octets présents dans la clé de chiffrement. Plus ce nombre est élevé, plus lechiffrement est sécurisé.

Les administrateurs spécifient le niveau de chiffrement souhaité lorsqu'ils préparent une demande decertificat. La stratégie de l'entreprise peut déterminer le niveau de chiffrement choisi par l'administrateur.

Le chiffrement AES 256 bits et la méthode RSA 1024 bits sont utilisés par défaut pour les échanges de clésdans les connexions suivantes.

n Connexions de vSphere Web Client à vCenter Server et à ESXi via l'interface de gestion.

n Connexions SDK vers vCenter Server et vers ESXi.

n Connexions à la console de machine virtuelle.

n Connexions SSH directes à ESXi.

Sécurité vSphere

48 VMware, Inc.

Présentation du remplacement des certificatsPour les composants principaux de vCenter, vous pouvez générer des demandes de certificats et remplacerles certificats par défaut par des certificats auto-signés ou des certificats signés par une autorité decertification à l'aide de l'outil d'automatisation des certificats. Vous pouvez également générer desdemandes, créer des certificats et en remplacer à partir de la ligne de commande sans avoir recours à l'outil.

Où trouver des informations ?La manière dont vous souhaitez remplacer les certificats détermine l'emplacement dans lequel vous pouveztrouver des informations. Vous pouvez effectuer le remplacement des certificats de plusieurs manières.

n Utilisez l'outil de remplacement des certificats dans votre environnement Windows, comme indiquédans le présent document.

n Remplacez explicitement les certificats sous Windows, comme expliqué dans l'article 2058519 de la basede connaissances VMware.

n Remplacez les certificats sur vCenter Server Appliance, comme expliqué dans l'article 2057223 de labase de connaissances VMware.

Si vous souhaitez utiliser des certificats signés par une autorité de certification, vous devez générer unedemande de certificat (CSR) pour chaque composant. Vous pouvez utiliser l'outil pour générer les demandesde certificats. Pour obtenir la liste des exigences en matière de certificats, reportez-vous à « Préparation devotre environnement », page 52.

Présentation de l'outil de remplacement de certificatsL'outil d'automatisation des certificats est un outil de ligne de commande qui vous permet de remplacer lescertificats des principaux composants vCenter répertoriés ci-dessous. Dans la plupart des cas, vousremplacez les certificats par défaut par des certificats personnalisés. Vous utilisez l'outil après avoir installétous les composants de vCenter. Si vous ajoutez un nouveau composant à votre environnement vSphere,vous pouvez réexécuter l'outil afin d'effectuer un remplacement de certificats pour le nouveau composant.Lorsque vous exécutez l'outil sur un composant de vCenter tel que le système vCenter Server ou le serveurvCenter Single Sign-On, il exécute les tâches suivantes.

n Il vous invite à fournir l'entrée requise.

n Il valide l'entrée (certificat x.509 et formats d'URL).

n Il met à jour le certificat SSL d'un composant et les entrées LookupService correspondantes des servicesqui sont exposés par les composants, si nécessaire.

n Il redémarre le service correspondant, si nécessaire.

n Il met à jour l'approbation du composant dans tous les autres composants auxquels il se connecte. Ilredémarre le composant, si nécessaire.

n Il indique à l'utilisateur les opérations suivantes à effectuer, le cas échéant.

Remarque Le remplacement des certificats avec l'outil a été testé avec vCenter Single Sign-On, vCenterInventory Service, vCenter Server, vSphere Web Client, vSphere Update Manager, vCenter Log Browser etvCenter Orchestrator. Si vous devez effectuer un remplacement de certificats avec un autre composantvSphere, reportez-vous aux instructions correspondantes dans la documentation VMware ou la base deconnaissances VMware. Dans le cadre de cette procédure, il peut s'avérer nécessaire de mettre à jour descertificats sur l'un des composants pris en charge.

L'outil prend en charge les composants de vCenter suivants :

n vCenter Single Sign On

Chapitre 3 Chiffrement et certificats de sécurité vSphere

VMware, Inc. 49



n vCenter Inventory Service

n vCenter Server

n Client Web vSphere

n vSphere Update Manager

n vCenter Log Browser

n vCenter Orchestrator

Chaque composant doit disposer d'un certificat SSL et d'un certificat d'utilisateur de solution. La plupart descomposants utilisent le même certificat dans les deux cas. Sous Windows, comme les certificats d'utilisateurde solution doivent être uniques, un certificat SSL unique est requis pour chaque composant.

Mises à niveauSi vous remplacez les certificats par défaut dans vSphere version 5.0 ou version 5.1, et que vous procédez àune mise à niveau vers vSphere version 5.5, les certificats sont migrés. Si vous effectuez une mise à niveau etque vous souhaitez remplacer les certificats par défaut, vous pouvez exécuter l'outil d'automatisation descertificats après la mise à niveau.

Options de déploiement de l'outil d'automatisation des certificatsL'outil d'automatisation des certificats vCenter automatise le renouvellement des certificats pour lesprincipaux composants de vCenter sous les systèmes d'exploitation Windows.

L'outil prend en charge plusieurs options de déploiement. Le mode d'interaction de l'outil avec l'utilisateurdépend de l'option de déploiement utilisée. Reportez-vous à la section « Présentation du remplacement descertificats », page 49

Tous les services sur une seule machineVous pouvez modifier le fichier ssl-environment.bat et entrer des informations spécifiques àl'environnement, puis exécuter l'outil sur la machine sans être invité à entrer des informations. Vous pouvezégalement exécuter l'outil et fournir des informations lorsque vous y êtes invité.

Chaque service sur une machine distincteSi chaque service s'exécute sur une machine ou une machine virtuelle distincte dans votre environnement,procédez comme suit pour mettre à jour les certificats. Si certains de ces services s'exécutent sur la mêmemachine, suivez les informations figurant dans la liste du planificateur de mise à jour qui est générée parl'outil d'automatisation des certificats. Si certains des services ne sont pas intégrés à votre environnement,vous pouvez ignorer les étapes correspondantes.

1 Installez et exécutez l'outil sur une machine. L'outil génère la liste du planificateur de mise à jour.

2 Installez et exécutez l'outil sur la machine sur laquelle vCenter Single Sign-on s'exécute pour mettre àjour le certificat SSL de vCenter Single Sign-On.

3 Installez et exécutez l'outil sur la machine Inventory Service. L'outil exécute les tâches suivantes :

a Il met à jour l'approbation de vCenter Inventory Service dans vCenter Single Sign-On.

b Il met à jour le certificat SSL de vCenter Inventory Service.

4 Installez et exécutez l'outil sur la machine sur laquelle vCenter Server est en cours d'exécution. L'outilexécute les tâches suivantes :

a Il met à jour l'approbation du service vCenter Server dans le service vCenter Single Sign-On.

b Il met à jour le certificat SSL de vCenter Server.

Sécurité vSphere

50 VMware, Inc.

c Il met à jour l'approbation de vCenter Server dans vCenter Inventory Service.

d Il met à jour l'approbation de vCenter Server dans vSphere Update Manager.

5 Installez et exécutez l'outil sur la machine vCenter Orchestrator. L'outil exécute les tâches suivantes :

a Il met à jour l'approbation du service vCenter Orchestrator dans le service vCenter Single Sign-On.

b Il met à jour l'approbation du service vCenter Orchestrator dans le service vCenter Server.

c Il met à jour le certificat SSL de vCenter Orchestrator.

6 Installez et exécutez l'outil sur la machine vSphere Web Client. L'outil exécute les tâches suivantes :

a Il met à jour l'approbation de vSphere Web Client dans le service vCenter Single Sign-On.

b Il met à jour l'approbation de vSphere Web Client dans le service vCenter Inventory Service, puisredémarre le service.

c Il met à jour l'approbation de vSphere Web Client dans le service vCenter Server, puis redémarre leservice.

d Il met à jour l'approbation de vSphere Web Client dans le service vCenter Orchestrator, puisredémarre le service.

e Il met à jour le certificat SSL de vSphere Web Client.

Vous devez redémarrer vSphere Web Client pour terminer les mises à jour des relations de confiance.

7 Installez et exécutez l'outil sur la machine Log Browser. vSphere Web Client et vCenter Log Browsers'exécutent toujours sur la même machine. L'outil exécute les tâches suivantes.

a Il met à jour l'approbation du service Log Browser dans le service vCenter Single Sign-On.

b Il met à jour le certificat SSL de Log Browser.

8 Installez et exécutez l'outil sur la machine vSphere Update Manager.

L'outil met à jour le certificat SSL de vSphere Update Manager. Dans le cadre de la mise à jour descertificats, l'approbation de vCenter Server dans vSphere Update est mise à jour.

Déploiement en mode mixteDans un déploiement en mode mixte, par exemple, lorsque deux services résident sur une machine et quetrois services se trouvent sur une deuxième machine, vous pouvez exécuter l'outil comme si chaque servicese trouvait sur une machine différente.

Remplacement des certificats vCenter à l'aide de l'outild'automatisation des certificats vCenter

Vous pouvez remplacer les certificats SSL de vCenter par défaut par des certificats signés par une autorité decertification ou des certificats auto-signés si la stratégie de l'entreprise l'exige. L'outil d'automatisation descertificats vCenter est un outil de ligne de commande qui vous aide à remplacer les certificats dans l'ordreapproprié pour les principaux services vCenter dans votre environnement. Vous pouvez utiliser cet outilpour générer des demandes de certificats, générer un plan de mise à jour et effectuer la mise à jour.

Chaque service vSphere a une identité qui est utilisée pour créer un certificat x509. Vous pouvez remplacerles certificats des principaux composants de vCenter avec l'outil d'automatisation des certificat vCenter.Vous pouvez remplacer manuellement les certificats d'autres composants de vCenter.

n Utilisez l'outil d'automatisation des certificats vCenter pour remplacer les certificats SSL descomposants de vCenter installés sous les systèmes d'exploitation Windows pris en charge. L'outil vousaide à générer des demandes de certificats et à planifier la procédure de remplacement des certificats.L'outil prend en charge vCenter Single Sign-On, vCenter Inventory Service, vCenter Server, vSphereWeb Client, vSphere Update Manager, vCenter Log Browser et vCenter Orchestrator.


VMware, Inc. 51

n Si vous utilisez d'autres composants de vSphere, reportez-vous à la documentation de VMware ou à labase de connaissances VMware pour obtenir des informations sur le remplacement des certificats.

n Si vous utilisez un composant tiers, vous devez remplacer manuellement les certificats. Reportez-vous àl'article 2058519 de la base de connaissances VMware.

n Si vous utilisez vCenter Server Appliance, remplacez les certificats SSL manuellement. Certains servicespartagent des certificats. Reportez-vous à l'article 2057223 de la base de connaissances VMware.

Le remplacement des certificats implique plusieurs tâches.

1 Préparation de votre environnement page 52Avant d'exécuter l'outil d'automatisation des certificats vCenter, vérifiez que vous exécutez l'un dessystèmes d'exploitation pris en charge, que vous disposez de la plate-forme appropriée, que lescertificats répondent aux conditions requises et que votre système dispose de la configuration requise.

2 Installer l'outil d'automatisation des certificats vCenter page 54Vous installez l'outil d'automatisation des certificats vCenter sur chaque machine sur laquelle résideun composant principal de vCenter. Pour effectuer la planification initiale, installez l'outil sur unemachine spécifique.

3 Valeurs prédéfinies par défaut de l'outil d'automatisation des certificats vCenter page 55Le fait de prédéfinir des valeurs par défaut dans un fichier de configuration pour l'outil permetd'éviter les erreurs de frappe et de gagner du temps. Si des valeurs par défaut sont prédéfinies, l'outilne vous invite plus à entrer ces valeurs. Vous ne pouvez pas spécifier de mots de passe par défaut.

4 Générer des demandes de certificat et configurer des certificats CA signés page 55Si vous souhaitez utiliser des certificats approuvés générés par une autorité de certification, vousdevez créer des demandes de certificat et les soumettre à une autorité de certification.

5 Exécuter le planificateur de mise à jour page 56Le planificateur de mise à jour, partie intégrante de l'outil d'automatisation des certificats vCenter,vous permet de déterminer l'ordre approprié de remplacement des certificats. Effectuez la procéduredans l'ordre recommandé par l'outil pour obtenir de meilleurs résultats.

6 Exécuter l'outil pour mettre à jour les certificats et approbations SSL page 58Après avoir obtenu les certificats SSL et généré la liste des étapes de mise à jour, vous pouvez exécuterl'outil pour remplacer les certificats existants, rétablir l'approbation et facultativement redémarrercertains services.

7 Restaurer vos mises à jour page 59Chaque opération de mise à jour effectue correctement la mise à jour d'un certificat et d'une clé ouéchoue en conservant l'état d'origine. En cas d'échec d'une mise à jour, il peut s'avérer nécessaire derestaurer les étapes ayant échoué.

Préparation de votre environnementAvant d'exécuter l'outil d'automatisation des certificats vCenter, vérifiez que vous exécutez l'un dessystèmes d'exploitation pris en charge, que vous disposez de la plate-forme appropriée, que les certificatsrépondent aux conditions requises et que votre système dispose de la configuration requise.

Vérifiez les problèmes connus répertoriés dans l'article 2057340 de la base de connaissances VMware.

Plateformes prises en chargeL'outil a été testé sous les systèmes d'exploitation Windows suivants.

n Windows 2008 R2 SP1

n Windows 2012 Standard

Sécurité vSphere

52 VMware, Inc.




n Windows 2012 R2

Outil et versions de produitDifférentes versions de l'outil sont prises en charge par différentes versions de vSphere.

n La version 1.0 de l'outil est prise en charge par vSphere 5.1

n La version 1.0.1 de l'outil est prise en charge par vSphere 5.1 Update 1.


Exigences en matière de certificatsVous pouvez obtenir les certificats signés par une autorité de certification avant d'exécuter l'outil ou utilisercelui-ci pour générer automatiquement les demandes de certificat. Avant d'exécuter l'outil pour remplacerles certificats, assurez-vous que ces derniers répondent aux conditions requises suivantes :

n Le certificat SSL pour chaque composant de vSphere dispose d'un ND de base unique.

n Les certificats et clés privées répondent aux conditions requises suivantes :

n Algorithme de clé privée : RSA

n Longueur de clé privée >= 1024

n Norme de clé privée : PKCS#1 ou PKCS#8

n Stockage de clé privée : PEM

n Algorithme de signature de certificat recommandé :

n sha256WithRSAEncryption 1.2.840.113549.1.1.11



Remarque Les algorithmes md2WithRSAEncryption 1.2.840.113549.1.1.2, md5WithRSAEncryption1.2.840.113549.1.1.4 et sha1WithRSAEncryption 1.2.840.113549.1.1.5 ne sont pas recommandés.L'algorithme RSASSA-PSS avec OID 1.2.840.113549.1.1.10 n'est pas pris en charge.

n Le format de la chaîne de certificats répond aux conditions suivantes :

n Un fichier PEM sans commentaire.

n Le fichier commence par l'en-tête du premier certificat, c'est-à-dire, -----BEGIN CERTIFICATE------.

n Les certificats auto-signés sont classés de la feuille à la racine.

n Le fichier ne comporte aucun certificat supplémentaire.

n La chaîne de certificats est complète.

n Le chemin d'accès ou le nom de fichier des certificats et des clés ne contient aucun des caractèresspéciaux suivants :

n ^ (caret)

n % (pour cent)

n & (esperluette)

n ; (point-virgule)

n ) (parenthèse fermante)

S'il rencontre ces caractères, l'outil se ferme, génère une exception ou signale que les fichiers decertificats ou de clés sont introuvables.


VMware, Inc. 53

Spécifications systèmeInstallez tous les composants de vCenter, obtenez les autorisations d'administrateur et fermez les solutionsdépendantes, de la manière suivante :

n Vérifiez que tous les composants de vCenter qui nécessitent des mises à jour de certificats sont installéset en cours d'exécution, et que vous avez accès au serveur pour chacun d'eux.

n Vérifiez que vous disposez des privilèges d'administration sur le ou les serveurs sur lesquels vousexécutez l'outil. Bien que les utilisateurs non-administrateurs puissent télécharger et lancer l'outil,toutes les opérations échouent s'ils ne disposent pas des autorisations appropriées.

n Arrêtez les solutions dépendantes suivantes en cours d'exécution dans l'environnement :

n VMware Site Recovery Manager

n vSphere Data Recovery

n vCloud Director

n Toute solution tierce pouvant se connecter à vCenter Server

Installer l'outil d'automatisation des certificats vCenterVous installez l'outil d'automatisation des certificats vCenter sur chaque machine sur laquelle réside uncomposant principal de vCenter. Pour effectuer la planification initiale, installez l'outil sur une machinespécifique.

Installez l'outil sur chaque machine physique ou virtuelle sur laquelle s'exécute un service dont une mise àjour de certificat est planifiée. Vous pouvez installer l'outil dans plusieurs configurations. Reportez-vous à lasection « Options de déploiement de l'outil d'automatisation des certificats », page 50.

Remarque Différentes versions de l'outil sont prises en charge par différentes versions de vSphere.


n La version 1.0.1 de l'outil est prise en charge par vSphere 5.1 Update 1.


Prérequis

n Assurez-vous que toutes les conditions requises sont réunies. Reportez-vous à la section « Préparationde votre environnement », page 52.

n Obtenez des certificats pour chaque machine sur laquelle réside un composant de vSphere avantd'installer l'outil, ou utilisez l'outil pour générer des demandes de signature de certificat (CSR) etobtenir des certificats de votre autorité de certification. Reportez-vous à la section « Générer desdemandes de certificat et configurer des certificats CA signés », page 55.

Procédure

1 Téléchargez l'outil d'automatisation des certificats vCenter.

Le téléchargement se trouve dans la section Pilotes et outils de la page de téléchargement de VMwarevSphere.

2 Pour la planification initiale, copiez le fichier ZIP téléchargé sur une machine et générez la liste duplanificateur de mise à jour.

3 Selon votre déploiement, vous pouvez copier le fichier ZIP téléchargé sur chaque machine sur laquelleréside un composant principal de vCenter.

Sécurité vSphere

54 VMware, Inc.

4 Décompressez le fichier dans n'importe quel répertoire, en conservant la structure de répertoires.

Suivant

Vous pouvez prédéfinir vos valeurs par défaut préférées (voir « Valeurs prédéfinies par défaut de l'outild'automatisation des certificats vCenter », page 55) ou répondre aux invites lors de l'exécution de l'outil.

Si une version plus récente de l'outil devient disponible, vous pouvez télécharger et décompresser cetteversion dans un autre répertoire et supprimer l'ancienne version de l'outil.

Valeurs prédéfinies par défaut de l'outil d'automatisation des certificats vCenterLe fait de prédéfinir des valeurs par défaut dans un fichier de configuration pour l'outil permet d'éviter leserreurs de frappe et de gagner du temps. Si des valeurs par défaut sont prédéfinies, l'outil ne vous inviteplus à entrer ces valeurs. Vous ne pouvez pas spécifier de mots de passe par défaut.

La prédéfinition de valeurs par défaut n'est pas obligatoire, mais elle peut ultérieurement accélérer leprocessus. Si l'outil ne rencontre pas de valeurs par défaut, il vous invite à entrer des valeurs.

Prérequis

Vérifiez que l'outil d'automatisation des certificats vCenter n'est pas en cours d'exécution. L'outil lit lesvaleurs dans ssl-environment.bat lorsque vous le lancez.

Procédure

1 Ouvrez ssl-environment.bat dans un éditeur de texte.

2 Spécifiez les paramètres que vous souhaitez modifier pour chaque composant de vSphere qui nécessitedes certificats mis à jour.

Par exemple, pour vCenter Server, vous pouvez modifier les paramètres vc_cert_chain, vc_private_keyet vc_username.

3 Enregistrez et fermez ssl-environment.bat.

4 Démarrez l'outil.

L'outil choisit vos valeurs par défaut à chaque démarrage.

L'outil d'automatisation des certificats vCenter enregistre les informations et les utilise pour prérenseignerautomatiquement les données requises.

Suivant

Générez des demandes de certificats si nécessaire, ou exécutez le planificateur de mise à jour si vous avezdéployé sur plusieurs machines pour planifier vos tâches de mise à jour des certificats. Reportez-vous à lasection « Exécuter le planificateur de mise à jour », page 56.

Générer des demandes de certificat et configurer des certificats CA signésSi vous souhaitez utiliser des certificats approuvés générés par une autorité de certification, vous devezcréer des demandes de certificat et les soumettre à une autorité de certification.

Vous pouvez créer les demandes de certificat manuellement ou utiliser l'outil d'automatisation des certificatsvCenter pour générer des demandes de certificat pour chaque composant. Pour obtenir des instructionsdétaillées sur la génération et le remplacement manuels, reportez-vous à l'article 2061934 de la base deconnaissances VMware.

Pour une sécurité accrue, générez chaque certificat et clé privée sur la machine où ils seront utilisés.

Remarque Cette procédure explique comment préparer vos certificats signés par une autorité decertification. L'outil fonctionne également avec les certificats auto-signés.


VMware, Inc. 55


Procédure

1 Vous pouvez utiliser l'outil pour générer les demandes de certificat pour chacun des services suivants sivous les utilisez dans votre environnement.

n Service vCenter Single Sign-On

n vCenter Inventory Service

n vCenter Server

n vCenter Orchestrator

n vSphere Web Client

n vCenter Log Browser

n vCenter Update Manager

2 Soumettez les demandes de certificat à l'autorité de certification que vous utilisez.

L'autorité de certification renvoie les certificats et les clés générés.

3 Lorsque que vous fournissez ultérieurement les certificats et les clés à l'outil, ce dernier génère lesfichiers PFX et JKS qui sont requis par l'infrastructure vCenter Single Sign-On et les place àl'emplacement approprié.

Suivant

n Exécutez l'outil pour générer les informations du planificateur de mise à jour.

Exécuter le planificateur de mise à jourLe planificateur de mise à jour, partie intégrante de l'outil d'automatisation des certificats vCenter, vouspermet de déterminer l'ordre approprié de remplacement des certificats. Effectuez la procédure dans l'ordrerecommandé par l'outil pour obtenir de meilleurs résultats.

Procédure

1 Connectez-vous à une machine sur laquelle l'outil d'automatisation des certificats est installé.

2 À partir d'une ligne de commande, accédez à l'emplacement où vous avez décompressé l'outil etexécutez la commande suivante.

ssl-updater.bat

3 Lorsque vous y êtes invité, sélectionnez 1. Planifiez vos opérations de mise à jour descertificats SSL.

4 Entrez les numéros qui correspondent aux services à mettre à jour.

u Pour mettre à jour plusieurs certificats SSL, séparez les numéros par une virgule. Par exemple, pourmettre à jour les certificats SSL sur vCenter Single Sign-On, vCenter Server et vSphere Web Client,tapez :1,3,4

u Pour mettre à jour le certificat sur tous les services qui sont pris en charge par l'outil, tapez 8.vSphere Web Client et vCenter Log Browser s'exécutent toujours sur la même machine.

Remarque Entrez tous les services que vous souhaitez mettre à jour. Si vous omettez initialementcertains services et exécutez le planificateur de mise à jour ultérieurement, les étapes peuvent êtreincorrectes et la mise à jour risque d'échouer.

Le planificateur de mise à jour affiche les tâches à effectuer et l'ordre d'exécution à suivre.

Sécurité vSphere

56 VMware, Inc.

5 Enregistrez la sortie du planificateur de mise à jour dans un fichier texte.

Un exemple de sortie pour un environnement dans lequel tous les certificats seront remplacés estprésenté ci-dessous.

1. Go to the machine with Single Sign-On installed and

- Update the Single Sign-On SSL certificate.

2. Go to the machine with Inventory Service installed and

- Update Inventory Service trust to Single Sign-On.


- Update the Inventory Service SSL certificate.

4. Go to the machine with vCenter Server installed and

- Update vCenter Server trust to Single Sign-On.


- Update the vCenter Server SSL certificate.


- Update vCenter Server trust to Inventory Service.


- Update the Inventory Service trust to vCenter Server.

8. Go to the machine with vCenter Orchestrator installed and

- Update vCenter Orchestrator trust to Single Sign-On.


- Update vCenter Orchestrator trust to vCenter Server.


- Update the vCenter Orchestrator SSL certificate.

11. Go to the machine with vSphere Web Client installed and

- Update vSphere Web Client trust to Single Sign-On.


- Update vSphere Web Client trust to Inventory Service.


- Update vSphere Web Client trust to vCenter Server.


- Update the vSphere Web Client SSL certificate.

15. Go to the machine with Log Browser installed and

- Update the Log Browser trust to Single Sign-On.

16. Go to the machine with Log Browser installed and

- Update the Log Browser SSL certificate.

17. Go to the machine with vSphere Update Manager installed and


VMware, Inc. 57

- Update the vSphere Update Manager SSL certificate.

18. Go to the machine with vSphere Update Manager installed and

- Update vSphere Update Manager trust to vCenter Server.

6 Tapez 9 pour revenir au menu principal.

Suivant

Mettez à jour les certificats et les approbations. Reportez-vous à la section « Exécuter l'outil pour mettre àjour les certificats et approbations SSL », page 58.

Exécuter l'outil pour mettre à jour les certificats et approbations SSLAprès avoir obtenu les certificats SSL et généré la liste des étapes de mise à jour, vous pouvez exécuter l'outilpour remplacer les certificats existants, rétablir l'approbation et facultativement redémarrer certains services.

Pour une présentation du fonctionnement de l'outil dans différents déploiements, reportez-vous à « Optionsde déploiement de l'outil d'automatisation des certificats », page 50.

L'outil vous fournit la liste des tâches de mise à jour et spécifie la machine sur laquelle il convient d'effectuerchaque tâche. Si vous sélectionnez une tâche, l'outil vous invite à entrer des données pour exécuter cettetâche. Par exemple, pour mettre à jour Inventory Service, vous sélectionnez Inventory Service dans le menu.L'outil vous invite à entrer les informations dont il a besoin pour mettre à jour l'approbation d'InventoryService dans Single Sign-On, et pour mettre à jour les options des certificats SSL d'Inventory Service.

Effectuez les tâches dans l'ordre. Si le planificateur de mise à jour vous demande d'effectuer des tâches surplusieurs machines, maintenez l'outil en cours d'exécution sur chaque machine pour éviter de devoir entrerde nouveau les informations.

Procédure

1 Passez à la première machine indiquée sur la liste des tâches et démarrez l'outil en exécutant ssl-updater.bat.

L'outil ne répertorie pas les machines par nom, mais vous désigne la machine sur laquelle s'exécute unservice.

2 Sélectionnez Mettre à jour un certificat SSL.

3 Lorsque vous y êtes invité, spécifiez le service dont vous souhaitez mettre à jour le certificat.

Si vous avez déjà spécifié la valeur par défaut, l'outil n'affiche pas d'invite.

Pour mettre à jour plusieurs certificats SSL, mettez à jour le certificat d'un service, puis passez au servicesuivant sur la machine sur laquelle il est déployé. Le certificat SSL de chaque composant de vSpheredoit être unique.

4 Lorsque vous y êtes invité, tapez les informations demandées, par exemple les emplacements de lanouvelle chaîne SSL et la clé privée, les mots de passe, etc.

5 Continuez jusqu'à ce que vous ayez fourni toutes les informations.

6 Déterminez l'étape suivante dans le planificateur.

Il peut éventuellement s'avérer nécessaire de déployer et de démarrer l'outil sur une autre machinepour mettre à jour certains services.

7 Une fois le plan de mise à jour terminé, fermez la fenêtre d'invite de commande pour mettre fin à lasession.

Sécurité vSphere

58 VMware, Inc.

Restaurer vos mises à jourChaque opération de mise à jour effectue correctement la mise à jour d'un certificat et d'une clé ou échoue enconservant l'état d'origine. En cas d'échec d'une mise à jour, il peut s'avérer nécessaire de restaurer les étapesayant échoué.

Avant de commencer le processus de mise à jour, l'outil d'automatisation des certificats vCenter enregistreune copie des informations de certificat existantes dans un dossier de sauvegarde pour vous permettre derestaurer le certificat précédemment utilisé afin de conserver le système intégralement opérationnel.

Vous pouvez utiliser l'élément de menu de l'outil qui vous permet de restaurer l'original.

Remarque Après avoir restauré le certificat de vCenter Server, vous devez à nouveau mettre à jourl'approbation de vCenter Server dans VMware Update Manager.

Remplacer les certificats vCenter Server ApplianceVous pouvez remplacer les certificats vCenter Server Appliance. Comme l'outil d'automatisation descertificats n'est pris en charge que sur Windows, vous devez remplacer les certificats manuellement.

Le remplacement du certificat SSL et de la clé par défaut par un certificat auto-signé ou signé par uneautorité de certification sur vCenter Server Appliance est un processus manuel. Vous ne pouvez pas utiliserl'outil d'automatisation des certificats pour mettre à niveau le certificat et la clé sous Linux.

Prérequis

Obtenez les fichiers de certificat (incluant le certificat et la clé privée).

Procédure

u Suivez les instructions de l'article 2057223 de la base de connaissances VMware.

Remplacer les certificats de vCenter Server HeartbeatSi vous avez un problème avec le certificat actuel ou si la stratégie de sécurité de votre entreprise exige de lefaire, vous pouvez remplacer les certificats par défaut de vCenter ServerHeartbeat.

Prérequis

n Installez OpenSSL sur le système sur lequel vous souhaitez remplacer le certificat.

n Recherchez les fichiers de certificats rui.crt, rui.key et rui.pfx.

Procédure

1 Téléchargez l'utilitaire SSLImport.jar dans l'article de la base de connaissances VMware consacré au remplacement des certificats SSL pour vCenter Server Heartbeat 6.x (KB 2013041).

2 Suivez la procédure décrite dans l'article de la base de connaissances pour remplacer un certificat.


VMware, Inc. 59



Sécurité vSphere

60 VMware, Inc.

Utilisateurs vSphere et autorisations 4vCenter Single Sign-On prend en charge l'authentification, ce qui signifie qu'il détermine si un utilisateurpeut accéder à l'intégralité des composants vSphere ou pas. En outre, chaque utilisateur doit être autorisé àconsulter ou à manipuler les objets vSphere.

vCenter Server permet un contrôle plus complet des permissions en général grâce aux autorisations et auxrôles. Passez d'abord en revue les informations existantes concernant l'héritage des autorisations, lavalidation des autorisations et les rubriques en rapport. Passez ensuite aux tâches de gestion des utilisateursde vCenter Server (Chapitre 5, « Tâches de gestion des utilisateurs vCenter », page 71).


n « Héritage hiérarchique des autorisations », page 61

n « Paramètres d'autorisation multiples », page 63

n « Validation d'autorisation », page 65

n « Utilisation des rôles pour assigner des privilèges », page 66

n « Meilleures pratiques pour les rôles et les autorisations », page 66

n « Privilèges requis pour les tâches courantes », page 67

n « Exigences de mots de passe », page 69

n « Paramètres d'annuaire utilisateur de vCenter Server », page 70

Héritage hiérarchique des autorisationsQuand vous assignez une autorisation à un objet, vous pouvez choisir si l'autorisation propage la hiérarchied'objet. Vous définissez la propagation pour chaque autorisation. La propagation n'est pas universellementappliquée. Les autorisations définies pour un objet enfant ignorent toujours les autorisations qui sontpropagées à partir des objets parent.

La figure illustre la hiérarchie d'inventaire et les chemins par lesquels les autorisations peuvent êtrepropagées.

VMware, Inc. 61

Figure 4‑1. Hiérarchie d'inventaire de vSphere

modèle hôte commutateurstandard VDS banque de

données

machine virtuelle

machine virtuelle

machine virtuelle

machine virtuelle

cluster

pool de ressources

vAppvApp

vApp

pool de ressources

Dossier de VM dossier d'hôte dossier de réseau dossier de banque de données

dossier de centre de données

centre de données

dossier racine

groupe deports distribués

cluster debanques de données

pool de ressources

La plupart des objets d'inventaire héritent des autorisations d'un objet parent unique dans la hiérarchie. Parexemple, un centre de données hérite des autorisations de son dossier parent du centre de données ou ducentre de données de parent. Les machines virtuelles héritent des autorisations du dossier parent demachine virtuelle et simultanément l'hôte, le cluster ou le pool de ressources parent. Pour limiter lesprivilèges d'un utilisateur sur une machine virtuelle, vous devez définir des autorisations sur le dossierparent et l'hôte parent, le cluster, ou le pool de ressources parent de cette machine virtuelle.

Sécurité vSphere

62 VMware, Inc.

Pour définir des autorisations pour un commutateur distribué et ses groupes de ports distribués associés,définissez les autorisations sur un objet parent, tel qu'un dossier ou le centre de données. Vous devezégalement sélectionner l'option pour propager ces autorisations aux objets enfant.

Les autorisations prennent plusieurs formes dans la hiérarchie :

Entités gérées Vous pouvez définir des autorisations sur des entités gérées.

n Clusters

n Centres de données

n Banques de données

n Clusters de banques de données

n Dossiers

n Hôtes

n Réseaux (excepté vSphere Distributed Switches)

n Groupes de ports distribués

n Pools de ressources

n Modèles

n Machines virtuelles

n vSphere vApps

Entités globales Les entités globales dérivent des autorisations du système de vCenter Serverracine.

n Champs personnalisés

n Licences

n Rôles

n Intervalles de statistiques

n Sessions

Paramètres d'autorisation multiplesLes objets peuvent avoir des autorisations multiples, mais seulement une autorisation pour chaqueutilisateur ou groupes. Par exemple, une autorisation peut spécifier que le groupe A dispose des privilègesd'administrateur sur un objet. Une autre autorisation peut spécifier que le groupe B peut avoir des privilègesd'administrateur de machines virtuelles sur le même objet.

Si un objet hérite des autorisations de deux objets parents, les autorisations d'un objet sont ajoutées à cellesde l'autre objet. Par exemple, si une machine virtuelle se trouve dans un dossier de machine virtuelle etappartient également à un pool de ressources, cette machine virtuelle hérite de tous les paramètresd'autorisation du dossier de la machine virtuelle et de ceux du pool de ressources.

Les autorisations appliquées sur un objet enfant ignorent toujours les autorisations qui sont appliquées surun objet parent. Reportez-vous à « Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent »,page 64.

Si des autorisations multiples de groupes sont définies sur le même objet et qu'un utilisateur appartient à aumoins deux de ces groupes, deux situations sont possibles :

n Si aucune autorisation n'est définie pour l'utilisateur sur cet objet, l'ensemble de privilèges assignés auxgroupes pour cet objet est assigné à l'utilisateur.

Chapitre 4 Utilisateurs vSphere et autorisations

VMware, Inc. 63

n Si une autorisation est définie pour l'utilisateur sur cet objet, l'autorisation de l'utilisateur a la prioritésur toutes les autorisations de groupes.

Exemple 1 : Héritage d'autorisations multiplesCet exemple illustre comment un objet peut hériter d'autorisations multiples de groupes auxquels ont étéaccordés l'autorisation sur un objet parent.

Dans cet exemple, deux autorisations sont assignées sur le même objet pour deux groupes différents.

n Le rôle 1 peut mettre des machines virtuelles sous tension.

n Le rôle 2 peut prendre des snapshots de machines virtuelles.

n On accorde au groupes A le rôle 1 sur le dossier de VM, avec l'autorisation définie pour propager auxobjets enfant.

n On accorde au groupes B le rôle 2 sur le dossier de VM, avec l'autorisation définie pour propager auxobjets enfant.

n Aucun privilège spécifique n'est attribué à l'utilisateur 1.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. L'utilisateur 1 peut mettre sous tension etprendre des snapshots de VM A et de VM B.

Figure 4‑2. Exemple 1 : Héritage d'autorisations multiples

VM A

VM B

Dossier de VM

groupes B + le rôle 2

l'utilisateur 1 a des autorisations du rôle 1 et du rôle 2

groupes A + le rôle 1

Exemple 2 : Autorisations d'enfant ignorant des autorisations de parentCet exemple illustre comment les autorisations qui sont assignées sur un objet enfant peuvent ignorer lesautorisations qui sont assignées sur un objet parent. Vous pouvez utiliser ce comportement de non prise encompte pour limiter l'accès client à des zones spécifiques de l'inventaire.

Dans cet exemple, des autorisations sont définies sur deux objets différents pour deux groupes différents.




n On accorde le groupes B le rôle 2 sur VM B.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. Puisque le rôle 2 est assigné à un pointinférieur dans la hiérarchie que le rôle 1, il ignore le rôle 1 sur VM B. L'utilisateur 1 peut mettre sous tensionVM A, mais ne peut pas prendre des snapshots. L'utilisateur 1 peut prendre des snapshots de VM B, mais nepeut pas les mettre sous tension.

Sécurité vSphere

64 VMware, Inc.

Figure 4‑3. Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent

VM A

VM B

Dossier de VM


l'utilisateur 1 a des autorisations du rôle 1 seulement



Exemple 3 : Rôle d'utilisateur supprimant un rôle de groupeCet exemple illustre comment le rôle attribué directement à un utilisateur individuel remplace les privilègesassociés à un rôle attribué à un groupe.

Dans cet exemple, les autorisations sont définies sur le même objet. Une autorisation associe un groupe à unrôle et l'autre l'autorisation associe un utilisateur individuel à un rôle. L'utilisateur est un membre dugroupe.


n On accorde au groupes A le rôle 1 sur le dossier de VM.

n On accorde à l'utilisateur 1 un rôle Aucun accès sur le dossier de VM.

L'utilisateur 1, qui appartient au groupes A, se connecte. Le rôle Aucun accès accordé à l'utilisateur 1 sur ledossier de VM remplace le rôle attribué au groupe. L'utilisateur 1 n'a aucun accès au dossier ou aux VM A etB. de VM.

Figure 4‑4. Exemple 3 : Autorisations d'utilisateurs ignorant des autorisations de groupes

VM A

VM B

Dossier de VM

utilisateur 1 + aucun accès

l'utilisateur 1 n'a aucun accès au dossier ou les machines virtuelles


Validation d'autorisationvCenter Server et les hôtes ESXi qui utilisent Active Directory valident régulièrement des utilisateurs et desgroupes contre le domaine Windows Active Directory. La validation se produit à chaque fois que le systèmehôte démarre et à intervalles réguliers spécifiés dans les paramètres de vCenter Server.

Par exemple, si des autorisations étaient assignées à l'utilisateur Smith et que dans le domaine le nomd'utilisateur était changé en Smith2, l'hôte conclut que Smith n'existe plus et supprime les autorisations pourcet utilisateur lors de la validation suivante.

De même, si l'utilisateur Smith est supprimé du domaine, toutes les autorisations sont enlevées quand laprochaine validation se produit. Si un nouvel utilisateur Smith est ajouté au domaine avant que la prochainevalidation se produise, le nouvel utilisateur Smith reçoit toutes les autorisations affectées à l'ancienutilisateur Smith.


VMware, Inc. 65

Utilisation des rôles pour assigner des privilègesUn rôle est un ensemble prédéfini de privilèges. Les privilèges définissent les droits individuels dont unutilisateur a besoin pour exécuter des actions et pour lire des propriétés.

Lorsque vous attribuez des autorisations à un utilisateur ou à un groupe, vous associez l'utilisateur ou legroupe à un rôle et affectez un objet d'inventaire à cette association. Un simple utilisateur pourrait avoirdifférents rôles pour différents objets dans l'inventaire. Par exemple, si vous avez deux pools de ressourcesdans votre inventaire, pool A et pool B, vous pouvez attribuer à un utilisateur particulier le rôle d'utilisateurde machine virtuelle sur le pool A et le rôle en lecture seule sur le pool B. Ces attributions lui permettent demettre sous tension les machines virtuelles du pool A et uniquement d'afficher les machines virtuelles dupool B.

Les rôles créés sur un hôte sont séparés des rôles créés sur un système vCenter Server. Lorsque vous gérezun hôte à l'aide de vCenter Server, les rôles créés par vCenter Server sont disponibles. Si vous vousconnectez directement à l'hôte, les rôles créés directement sur l'hôte sont disponibles.

vCenter Server et les hôtes ESXi fournissent des rôles système et modèles par défaut :

Rôles système Les rôles système sont permanents. Vous ne pouvez pas éditer les privilègesliés à ces rôles.

Rôles modèles VMware fournit des rôles modèles à titre de directives et de suggestions.Vous pouvez modifier ou supprimer ces rôles.

Consultez la section « Rôles dans vCenter Server et dans ESXi », page 74 pour plus d'informations sur lacréation, le clonage et la modification des rôles.

Tous les rôles autorisent l'utilisateur à programmer des tâches par défaut. Les utilisateurs peuventprogrammer seulement les tâches pour lesquelles ils ont reçu une autorisation d'exécution au moment deleur création.

Remarque Les modifications apportées aux autorisations et aux rôles prennent effet immédiatement,même si les utilisateurs impliqués sont connectés. L'exception concerne les recherches, pour lesquelles lesmodifications d'autorisation entrent en vigueur après que l'utilisateur s'est déconnecté, puis reconnecté.

Meilleures pratiques pour les rôles et les autorisationsUtilisez les meilleures pratiques pour les rôles et les autorisations afin de maximiser la sécurité et lagérabilité de votre environnement vCenter Server.

VMware recommande les meilleures pratiques suivantes lorsque vous configurez les rôles et lesautorisations dans votre environnement vCenter Server :

n Dans la mesure du possible, accorder les autorisations aux groupes plutôt qu'aux utilisateursindividuels.

n Octroyez des autorisations uniquement lorsque cela est nécessaire.. Utiliser un nombre minimald'autorisations facilite la compréhension et la gestion de votre structure d'autorisations.

n Si vous assignez un rôle restrictif à un groupe, vérifiez que le groupes ne contient pas l'utilisateurd'administrateur ou d'autres utilisateurs avec des privilèges administratifs. Sinon, vous pourriezinvolontairement limiter les privilèges des administrateurs dans les parties de la hiérarchie d'inventaireoù vous avez assigné à ce groupes le rôle restrictif.

n Utilisez des dossiers pour grouper des objets. Par exemple, si vous souhaitez accorder une autorisationde modification à un ensemble d'hôtes et afficher une autorisation sur un autre ensemble d'hôtes d'ungroupe d'utilisateurs, placez chaque ensemble d'hôtes dans un dossier.

Sécurité vSphere

66 VMware, Inc.

n Soyez prudent lorsque vous accordez une autorisation au niveau racine de vCenter Server. Lesutilisateurs ayant des autorisations au niveau racine ont accès à des données globales survCenter Server, telles que les rôles, les attributs personnalisés, les paramètres de vCenter Server et leslicences. Les modifications apportées aux licences et aux rôles sont appliquées à tous les systèmesvCenter Server dans un groupe Linked Mode, même si l'utilisateur n'a pas l'autorisation d'accéder àtous les systèmes vCenter Server du groupe.

n Dans la plupart des cas, activez la propagation au niveau des autorisations. Ceci garantit que quand denouveaux objets sont insérés dans la hiérarchie d'inventaire, ils héritent des autorisations et sontaccessibles aux utilisateurs.

n Utilisez le rôle Aucun Accès pour masquer des zones spécifiques de la hiérarchie si vous souhaitezempêcher l'accès à certains utilisateurs ou groupes.

Privilèges requis pour les tâches courantesBeaucoup de tâches exigent des autorisations sur plus d'un objet dans l'inventaire. Vous pouvez passer enrevue les privilèges requis pour exécuter les tâches et, le cas échéant, les rôles appropriés d'échantillon.

Le tableau suivant répertorie les tâches courantes qui exigent plusieurs privilèges. Vous pouvez utiliser lesrôles applicables sur les objets d'inventaire pour accorder des autorisations pour effectuer ces tâches ou vouspouvez créer vos propres rôles avec les privilèges requis équivalents.

Tableau 4‑1. Privilèges requis pour les tâches courantes

Tâche Privilèges requis Rôle applicable

Créer une machine virtuelle Sur le dossier ou le centre de données de destination :n Machine virtuelle.Inventaire .Créer nouveaun Machine virtuelle.Configuration.Ajouter un nouveau disque

(en cas de création d'un nouveau disque virtuel)n Machine virtuelle.Configuration.Ajouter un disque existant (en

cas d'utilisation d'un disque virtuel existant)n Machine virtuelle.Configuration.Périphérique brut (en cas

d'utilisation d'un périphérique de relais RDM ou SCSI)

Administrateur

Sur l'hôte, cluster ou pool de ressources de destination :Ressource.Attribuer une machine virtuelle au pool de ressources

Administrateurde pool deressources ouAdministrateur

Sur la banque de données ou le dossier de destination contenant unebanque de données :Banque de données.Allouer de l'espace

Utilisateur debanque dedonnées ouAdministrateur

Sur le réseau auquel la machine virtuelle sera assignée :Réseau.Assigner un réseau

Utilisateurréseau ouAdministrateur

Déployer une machinevirtuelle à partir d'unmodèle

Sur le dossier ou le centre de données de destination :n Machine virtuelle .Inventaire .Créer à partir d'un modèle/d'une

machine virtuelle existanten Machine virtuelle.Configuration.Ajouter un nouveau disque

Administrateur

Sur un modèle ou un dossier des modèles :Machine virtuelle.Provisionnement.Déployer un modèle

Administrateur

Sur l'hôte, le cluster ou le pool de ressources de destination :Ressource.Attribuer une machine virtuelle au pool de ressources

Administrateur

Sur la banque de données de destination ou le dossier des banques dedonnées :Banque de données.Allouer de l'espace



VMware, Inc. 67

Tableau 4‑1. Privilèges requis pour les tâches courantes (suite)


Sur le réseau auquel la machine virtuelle sera assignée :Réseau.Assigner un réseau

Utilisateurréseau ouAdministrateur

Faire un snapshot demachine virtuelle

Sur la machine virtuelle ou un dossier des machines virtuelles :Machine virtuelle.Gestion des snapshots.Créer un snapshot

Utilisateuravancé demachinesvirtuelles ouAdministrateur

Sur la banque de données de destination ou le dossier des banques dedonnées :Banque de données.Allouer de l'espace


Déplacer une machinevirtuelle dans un pool deressources

Sur la machine virtuelle ou le dossier des machines virtuelles :n Ressource.Attribuer une machine virtuelle au pool de

ressourcesn Machine virtuelle.Inventaire .Déplacer

Administrateur

Sur le pool de ressources de destination :Ressource.Attribuer une machine virtuelle au pool de ressources

Administrateur

Installer un systèmed'exploitation hôte sur unemachine virtuelle

Sur la machine virtuelle ou le dossier des machines virtuelles :n Machine virtuelle.Interaction.Répondre à une questionn Machine virtuelle.Interaction.Interaction avec une consolen Machine virtuelle.Interaction.Connexion de périphériquen Machine virtuelle.Interaction.Mettre hors tensionn Machine virtuelle.Interaction.Mettre sous tensionn Machine virtuelle.Interaction.Réinitialisern Machine virtuelle.Interaction.Configurer un support CD (en cas

d'installation à partir d'un CD)n Machine virtuelle.Interaction.Configurer un support de

disquette (en cas d'installation à partir d'une disquette)n Machine virtuelle.Interaction.Installer VMware Tools


Sur une banque de données contenant l'image ISO de supportd'installation :Banque de données.Parcourir une banque de données (en casd'installation à partir d'une image ISO sur une banque de données)Sur la banque de données sur laquelle vous chargez l'image ISO desupport d'installation :n Banque de données.Parcourir une banque de donnéesn Banque de données.Opérations de fichier de niveau inférieur


Migrer une machinevirtuelle avec vMotion

Sur la machine virtuelle ou le dossier des machines virtuelles :n Ressource.Migrer une machine virtuelle sous tensionn Ressource.Attribuer une machine virtuelle au pool de

ressources (si la destination est un pool de ressources différent dela source)


Sur l'hôte, le cluster ou le pool de ressources de destination (sidifférent de la source) :Ressource.Attribuer une machine virtuelle au pool de ressources


Migrer à froid (relocaliser)une machine virtuelle

Sur la machine virtuelle ou le dossier des machines virtuelles :n Ressource.Migrer une machine virtuelle hors tensionn Ressource.Attribuer une machine virtuelle au pool de

ressources (si la destination est un pool de ressources différent dela source)


Sécurité vSphere

68 VMware, Inc.

Tableau 4‑1. Privilèges requis pour les tâches courantes (suite)


Sur l'hôte, le cluster ou le pool de ressources de destination (sidifférent de la source) :Ressource.Attribuer une machine virtuelle au pool de ressources


Sur la banque de données de destination (si différent de la source) :Banque de données.Allouer de l'espace


Migration d'une machinevirtuelle avec StoragevMotion

Sur la machine virtuelle ou le dossier des machines virtuelles :Ressource.Migrer une machine virtuelle sous tension


Sur la banque de données de destination :Banque de données.Allouer de l'espace


Déplacer un hôte dans uncluster

Sur l'hôte :Hôte.Inventaire.Ajouter un hôte au cluster

Administrateur

Sur le cluster de destination :Hôte.Inventaire.Ajouter un hôte au cluster

Administrateur

Exigences de mots de passeLes exigences de mots de passe diffèrent pour vCenter Server et pour les hôtes ESXi.

Mots de passe de vCenter ServerDans vCenter Server, les exigences de mots de passe sont dictées par vCenter Single Sign-On ou par lasource d'identité configurée, qui peut être Active Directory, OpenLDAP ou le système d'exploitation localpour le serveur vCenter Single Sign-On. Consultez « Modifier la stratégie de mot de passe de vCenter SingleSign-On », page 23, ou reportez-vous à la documentation Active Directory ou OpenLDAP pertinente.

Mots de passe d' ESXiPar défaut, ESXi applique des conditions pour les mots de passe utilisateur.

Votre mot de passe doit être conforme aux conditions de longueur suivantes.

n Le mot de passe comportant des caractères d'une ou deux classes doit contenir au moins huit caractères.

n Le mot de passe comportant des caractères de trois classes doit contenir au moins sept caractères.

n Le mot de passe comportant des caractères des quatre classes doit contenir au moins six caractères.

Lorsque vous créez un mot de passe, composez-le d'un mélange de caractères de quatre classes différentes :des lettres minuscules, des lettres majuscules, des chiffres et des caractères spéciaux tels qu'un caractère desoulignement ou un tiret.

Le mot de passe ne peut pas contenir les mots root, admin ou administrator sous toute forme.

Remarque Un caractère en majuscule au début d'un mot de passe ne compte pas dans le nombre de classesde caractères utilisées. Un chiffre à la fin d'un mot de passe ne compte pas dans le nombre de classes decaractères utilisées.

Vous pouvez aussi vous servir d'une phrase de passe, qui est une phrase composée d'au moins trois mots,ayant une longueur de 8 à 40 caractères chacun.


VMware, Inc. 69

Exemple : Création de mots de passe ESXi acceptablesLes candidats de mot de passe suivants répondent aux exigences d'ESXi.

n xQaTEhbU : Contient huit caractères provenant de deux classes de caractères.

n xQaT3pb : Contient sept caractères provenant de trois classes de caractères.

n xQaT3# : Contient six caractères provenant de quatre classes de caractères.

Les candidats de mot de passe suivants ne répondent pas aux exigences ESXi

n Xqat3hb : Commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes decaractères à deux. Huit caractères sont nécessaires lorsque vous n'utilisez que deux classes decaractères.

n xQaTEh2 : Se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux.Huit caractères sont nécessaires lorsque vous n'utilisez que deux classes de caractères.

Paramètres d'annuaire utilisateur de vCenter ServerVous pouvez limiter le nombre de résultats retournés lorsque vous effectuez une recherche d'utilisateurs etde groupes, et définir un délai d'attente de l'annuaire d'utilisateurs pour vCenter Server.

Les systèmes vCenter Server qui utilisent régulièrement un service d'annuaire valident les utilisateurs et lesgroupes selon le domaine de l'annuaire utilisateur. La validation est effectuée à intervalles réguliers, commespécifié dans les paramètres de vCenter Server. Par exemple, si des autorisations étaient assignées àl'utilisateur Smith et que dans le domaine le nom d'utilisateur était changé en Smith2, l'hôte conclut queSmith n'existe plus et supprime les autorisations pour cet utilisateur lors de la validation suivante.

De même, si l'utilisateur Smith est supprimé du domaine, toutes les autorisations sont enlevées quand laprochaine validation se produit. Si un nouvel utilisateur Smith est ajouté au domaine avant que la prochainevalidation se produise, le nouvel utilisateur Smith reçoit toutes les autorisations affectées à l'ancienutilisateur Smith.

Sécurité vSphere

70 VMware, Inc.

Tâches de gestion des utilisateursvCenter 5

Les utilisateurs dans l'environnement vCenter doivent être authentifiés, et doivent être autorisés à afficher etmodifier des objets vSphere. Les administrateurs effectuent des tâches de gestion d'utilisateurs dansvSphere Web Client.


n « Gestion des autorisations des composants vCenter », page 71

n « Rôles dans vCenter Server et dans ESXi », page 74

n « Ajustement de la liste de recherche pour de grands domaines dans vSphere Web Client », page 76

Gestion des autorisations des composants vCenterLes autorisations sont des rôles d'accès qui consistent en un utilisateur et en un rôle affecté à l'utilisateurpour un objet tel qu'une machine virtuelle ou un hôte ESXi. Les autorisations accordent aux utilisateurs ledroit d'exercer les activités spécifiées par le rôle sur l'objet auquel le rôle est assigné.

Par exemple, pour configurer la mémoire de l'hôte, vous devez accorder à l'utilisateur un rôle qui inclut leprivilège Hôte.Configuration.Configuration de mémoire. En affectant différents rôles aux utilisateurs pourdifférents objets, vous contrôlez les tâches que les utilisateurs peuvent effectuer dans votre environnementvSphere.

Au départ, tous les utilisateurs, exceptés racine et vpxuser, n'ont aucune autorisation sur aucun objet, ce quisignifie qu'ils ne peuvent pas consulter ces objets ou effectuer des opérations sur eux. Un utilisateur avec desprivilèges d'administrateur doit assigner des autorisations à ces utilisateurs afin de leur permettred'effectuer des tâches.

La liste des privilèges est la même pour ESXi et vCenter Server. Consultez le Chapitre 11, « Privilègesdéfinis », page 171 pour obtenir une liste complète des privilèges.

Autorisations multiplesBeaucoup de tâches exigent des autorisations sur plus d'un objet.

Les autorisations appliquées sur un objet enfant ignorent toujours les autorisations qui sont appliquées surun objet parent. Les dossiers et les pools de ressources de machine virtuelle ont des niveaux équivalentsdans la hiérarchie. Si vous assignez une propagation des autorisations à un utilisateur ou à un groupe sur ledossier d'une machine virtuelle et son pool de ressources, l'utilisateur a les privilèges propagés du pool deressources et du dossier.

Si des autorisations multiples de groupes sont définies sur le même objet et que l'utilisateur appartient àdeux ou à plusieurs de ces groupes, deux situations sont possibles :


VMware, Inc. 71


Exemples d'autorisationCes règles peuvent vous aider à déterminer où vous devez assigner des autorisations pour autoriser desopérations spécifiques :

n N'importe quelle opération qui consomme l'espace de stockage, telle que la création d'un disque virtuelou la prise d'un snapshot, exige le privilège Banque de données.Allouer l'espace sur la banque dedonnées cible, ainsi que le privilège d'exécuter l'opération elle-même.

n Le déplacement d'un objet dans la hiérarchie d'inventaire exige les privilèges appropriés sur l'objet lui-même, l'objet parent source (tel qu'un dossier ou un cluster) et l'objet parent de destination.

n Chaque hôte et chaque cluster ont leur propre pool de ressources implicite qui contient toutes lesressources de cet hôte ou de ce cluster. Le déploiement d'une machine virtuelle directement sur un hôteou un cluster exige le privilège Ressource.Attribuer une machine virtuelle au pool de ressources.

Attribuer des autorisations dans vSphere Web ClientAprès avoir créé des utilisateurs et des groupes et avoir défini des rôles, vous devez affecter les utilisateurset les groupes et leurs rôles aux objets appropriés d'inventaire. Vous pouvez assigner les mêmesautorisations en même temps sur des objets multiples en déplaçant les objets vers un dossier et endéfinissant les autorisations sur le dossier.

Les autorisations octroyées dans vSphere Web Client doivent correspondre précisément aux autorisations,notamment la casse, d'ActiveDirectory. Si vous avez effectué une mise à niveau à partir de versionsantérieures de vSphere, vérifiez le respect de la casse si vous rencontrez des problèmes avec les groupes.

Prérequis

Autorisations.Modifier autorisation sur l'objet dont vous souhaitez modifier les autorisations.

Procédure

1 Accédez à l'objet dans le navigateur d'objets de vSphere Web Client.

2 Cliquez sur l'onglet Gérer et sélectionnez Autorisations.

3 Cliquez sur Ajouter autorisation.

4 Cliquez sur Add.

5 Identifiez l'utilisateur ou le groupe à qui sera octroyée l'autorisation.

a Sélectionner le domaine où l'utilisateur ou le groupes sont situés depuis le menu déroulantDomaine.

b Entrez un nom dans la fenêtre de recherche ou sélectionnez un nom dans la liste.

Le système recherche des noms d'utilisateur, des noms de groupe et des descriptions.

c Sélectionnez l'utilisateur ou le groupe, puis cliquez sur Ajouter.

Le nom est ajouté soit à la liste Utilisateurs soit à la liste groupes.

d (Facultatif) Cliquez sur Vérifier noms pour vérifier que l'utilisateur ou le groupe existe dans la basede données.

e Cliquez sur OK.

Sécurité vSphere

72 VMware, Inc.

6 Sélectionner un rôle du menu déroulant Rôle assigné.

Les rôles qui sont attribués à l'objet apparaissent dans le menu. Les privilèges contenus dans le rôle sontmentionnés dans la section au-dessous de l'intitulé du rôle.

7 (Facultatif) Désélectionner la case à cocher Propagation aux objets enfant.

Le rôle est appliqué seulement à l'objet sélectionné et ne se propage pas aux objets enfant.

8 Vérifier que les utilisateurs et les groupes sont affectés aux autorisations appropriées et cliquer sur OK.

Le serveur ajoute l'autorisation à la liste d'autorisations pour l'objet.

La liste d'autorisations référence tous les utilisateurs et les groupes qui ont des rôles assignés à l'objet etindique où le rôle est assigné dans la hiérarchie de vCenter Server.

Modification des autorisations dans vSphere Web ClientAprès avoir défini un utilisateur ou un groupe et une paire de rôle pour un objet d'inventaire, vous pouvezchanger le rôle apparié avec l'utilisateur ou le groupes ou changer le paramètre de la case à cocher Propager.Vous pouvez également supprimer le paramètre d'autorisation.

Procédure



3 Cliquer sur l'élément de ligne pour sélectionner l'utilisateur ou le groupes et la paire de rôle.

4 Cliquez sur Modifier rôle de l'autorisation.

5 Sélectionnez un rôle pour l'utilisateur ou le groupe dans le menu déroulant Rôle assigné.

6 Pour propager les privilèges aux enfants de l'objet d'inventaire assigné, cliquer sur la case à cocherPropager et cliquer sur OK.

Supprimer des autorisations dans vSphere Web ClientLa suppression d'une autorisation pour un utilisateur ou un groupe ne supprime pas l'utilisateur ou legroupes de la liste de ceux disponibles. Ceci ne supprime pas non plus le rôle de la liste d'élémentsdisponibles. Ceci supprime l'utilisateur ou le groupe et la paire de rôle de l'objet d'inventaire sélectionné.

Procédure



3 Cliquer sur l'élément de ligne approprié pour sélectionner l'utilisateur ou le groupes et la paire de rôle.

4 Cliquez sur Supprimer autorisations.

vCenter Server supprime le paramètre d'autorisation.

Chapitre 5 Tâches de gestion des utilisateurs vCenter

VMware, Inc. 73

Modification des paramètres de validation d'autorisation dansvSphere Web Client

vCenter Server valide périodiquement ses listes d'utilisateurs et de groupes par rapport aux utilisateurs etaux groupes figurant dans l'annuaire d'utilisateurs. Il supprime alors les utilisateurs ou les groupes quin'existent plus dans le domaine. Vous pouvez désactiver la validation ou modifier l'intervalle entre lesvalidations.

Procédure

1 Accédez au vCenter Server dans le navigateur d'objets de vSphere Web Client.

2 Sélectionnez l'onglet Gérer et cliquez sur Paramètres.

3 Cliquez sur Général puis sur Modifier.

4 Sélectionnez Annuaire utilisateur.

5 (Facultatif) Décochez la case Validation pour désactiver la validation.

La validation est activée par défaut. Les utilisateurs et les groupes sont validés quand le système devCenter Server démarre, même si la validation est désactivée.

6 (Facultatif) Si la validation est activée, entrez une période de validation pour définir le temps, enminutes, entre les validations.

7 Cliquez sur OK.

Rôles dans vCenter Server et dans ESXivCenter Server octroie l'accès à un objet uniquement aux utilisateurs qui disposent des autorisationsappropriées. Lorsque vous affectez des autorisations d'utilisateur pour l'objet, vous associez l'utilisateur àun rôle. Un rôle est un ensemble prédéfini de privilèges.

vCenter Server fournit trois rôles par défaut. Vous ne pouvez pas changer les privilèges associés aux rôlespar défaut. Les rôles par défaut sont organisés de façon hiérarchique ; chaque rôle hérite des privilèges durôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule. Les rôles quevous créez vous-même n'héritent pas des privilèges des rôles par défaut.

Vous pouvez créer des rôles personnalisés pour vCenter Server et tous les objets qu'il gère, ou pour deshôtes individuels.

Rôles personnalisés devCenter Server(recommandé)

Vous pouvez créer des rôles personnalisés en utilisant les fonctionnalités demodification de rôles dans vSphere Web Client afin de créer des ensemblesde privilèges correspondant à vos besoins utilisateurs.

Rôles personnalisésd'ESXi

Vous pouvez créer des rôles personnalisés pour des hôtes individuels enutilisant une ligne de commande ou vSphere Client. Les rôles d'hôtespersonnalisés ne sont pas accessibles à partir de vCenter Server.

Si vous gérez des hôtes ESXi au moyen de vCenter Server, la conservationdes rôles personnalisés dans l'hôte et dans vCenter Server peut engendrer dela confusion et des utilisations abusives. Dans la plupart des cas, la définitionde rôles de vCenter Server est recommandée.

Remarque Si vous ajoutez un rôle personnalisé sans lui attribuer de privilège, il est créé comme rôleLecture seule avec trois privilèges définis par le système : System.Anonymous, System.View etSystem.Read.

Sécurité vSphere

74 VMware, Inc.

Créer un rôle dans vSphere Web ClientVMware recommande de créer des rôles correspondant aux besoins de contrôle d'accès de votreenvironnement.

Si vous créez ou modifiez un rôle sur un système vCenter Server qui fait partie d'un groupe connecté enmode lié, les modifications effectuées sont propagées à tous les autres systèmes vCenter Server du groupe.Cependant, les affectations des rôles à des utilisateurs et objets spécifiques ne sont pas partagées parmi lessystèmes vCenter Server liés.

Prérequis

Vérifiez que vous êtes connecté en tant qu'utilisateur avec des privilèges d'administrateur.

Procédure

1 Accédez à Administration > Gestionnaire de rôles dans vSphere Web Client.

2 Choisissez un système vCenter Server dans le menu déroulant.

3 Cliquez sur Créer l'action du rôle.

4 Introduire un nom pour le nouveau rôle.

5 Sélectionner les privilèges pour le rôle et cliquer sur OK.

Modifier un rôle dans vSphere Web ClientQuand vous éditez un rôle, vous pouvez changer les privilèges sélectionnés pour ce rôle. Une fois terminés,ces privilèges sont appliqués à n'importe quel utilisateur ou groupe auquel le rôle modifié a été attribué.

Si vous créez ou modifiez un rôle sur un système vCenter Server qui fait partie d'un groupe connecté dansvCenter Linked Mode, les modifications effectuées sont propagées à tous les autres systèmes vCenter Serverdu groupes. Cependant, les affectations des rôles à des utilisateurs et objets spécifiques ne sont paspartagées parmi les systèmes vCenter Server liés.

Prérequis


Procédure



3 Sélectionnez un rôle et cliquez sur Modifier action du rôle.


Cloner un rôle dans vSphere Web ClientVous pouvez effectuer une copie d'un rôle existant, le renommer et le modifier. Quand vous faites une copie,le nouveau rôle n'est pas appliqué à n'importe quel utilisateur ou groupe et objet. Vous devez attribuer lerôle aux utilisateurs ou groupes et objets.

Si vous créez ou modifiez un rôle sur un système vCenter Server qui fait partie d'un groupe connecté dansvCenter Linked Mode, les modifications effectuées sont propagées à tous les autres systèmes vCenter Serverdu groupes. Cependant, les affectations des rôles à des utilisateurs et objets spécifiques ne sont paspartagées parmi les systèmes vCenter Server liés.

Chapitre 5 Tâches de gestion des utilisateurs vCenter

VMware, Inc. 75

Prérequis


Procédure



3 Cliquez sur Cloner l'action du rôle.

4 Saisissez un nom pour le rôle cloné.


Ajustement de la liste de recherche pour de grands domaines dansvSphere Web Client

Si vos domaines comportent des milliers de groupes ou d'utilisateurs, ou si les recherches prennent trop detemps, ajustez les paramètres de recherche.

Remarque Cette procédure s'applique seulement aux listes d'utilisateurs de vCenter Server. Les listesd'utilisateurs d'hôte ESXi ne peuvent pas être recherchées de la même manière.

Procédure

1 Accédez au vCenter Server dans le navigateur d'objets de vSphere Web Client.

2 Sélectionnez l'onglet Gérer et cliquez sur Paramètres.

3 Cliquez sur Général puis sur Modifier.

4 Sélectionnez Annuaire utilisateur.

5 Modifiez les valeurs si nécessaire.

Option Description

Délai d'expiration de l'annuaired'utilisateurs

Délai d'expiration en secondes pour la connexion au serveur ActiveDirectory. Cette valeur spécifie le laps de temps maximal pendant lequelvCenter Server autorise l'exécution de la recherche sur le domainesélectionné. La recherche dans de grands domaines peut prendre dutemps.

Limite de requête Sélectionnez la case pour définir le nombre maximum d'utilisateurs et degroupes affiché par vCenter Server.

Taille limite de requête Spécifie le nombre maximum d'utilisateurs et de groupes que vCenterServer affiche depuis le domaine sélectionné dans la boîte de dialogueSélectionner utilisateurs ou groupes. Si vous entrez 0 (zéro), tous lesutilisateurs et groupes apparaissent.

6 Cliquez sur OK.

Sécurité vSphere

76 VMware, Inc.

Sécurisation des systèmes vCenterServer 6

La sécurisation de vCenter Server comporte notamment le fait de veiller à la sécurité de l'hôte sur lequelvCenter Server fonctionne, en respectant les meilleures pratiques en matière d'attribution des privilèges etdes rôles, et en vérifiant l'intégrité des clients qui se connectent au vCenter Server.


n « Sécurisation renforcée du système d'exploitation hôte de vCenter Server », page 77

n « Meilleures pratiques pour les privilèges de vCenter Server », page 78

n « Activer la vérification des certificats et vérifier les empreintes des hôtes dans vSphere Web Client »,page 79

n « Suppression de certificats expirés ou révoqués et de journaux d'installations ayant échoué », page 80

n « Activer la validation des certificats SSL sur NFC (Network File Copy) », page 80

n « Limitation de la connectivité réseau vCenter Server », page 81

Sécurisation renforcée du système d'exploitation hôte de vCenterServer

Protéger l'hôte contre les failles et les attaques lorsque vCenter Server s'exécute, en s'assurant que le systèmed'exploitation de l'hôte (Windows ou Linux) est aussi sécurisé que possible.

n Gérer un système d'exploitation, une base de données ou un matériel pris en charge pour vCenterServer. Si vCenter Server ne s'exécute pas sur un système d'exploitation pris en charge, il est possiblequ'il ne fonctionne pas correctement, ce qui le rend vulnérable aux attaques.

n Veillez à ce que les correctifs soient correctement installés sur le système vCenter Server. Le serveur estmoins vulnérable aux attaques si les correctifs du système d'exploitation sont mis à jour régulièrement.

n Protégez le système d'exploitation sur l'hôte vCenter Server. La protection comprend un logicielantivirus et un logiciel anti-programme malveillant.

n Sur chaque ordinateur Windows de l'infrastructure, vérifiez que les paramètres de configuration d'hôtedes services Bureau à distance (RDP) sont définis afin de garantir le niveau de chiffrement le plus élevéconformément aux directives standard du marché ou aux instructions internes.

Pour obtenir des informations sur la compatibilité des systèmes d'exploitation et des bases de données,reportez-vous à Matrices de compatibilité vSphere.

VMware, Inc. 77

Meilleures pratiques pour les privilèges de vCenter ServerAfin de renforcer la sécurité du système, veillez à contrôler strictement les privilèges d'administration devCenter Server.

n Les droits d'administration complets de vCenter Server doivent être supprimés du compteadministrateur Windows local et accordés à un compte administrateur vCenter Server local dédié.N'accordez des droits d'administration vSphere complets qu'aux administrateurs en ayant besoin.N'accordez pas ce privilège à un groupe dont la composition ne fait pas l'objet d'un contrôle strict.

n Évitez d'autoriser les utilisateurs à se connecter directement au système vCenter Server. N'autorisez queles utilisateurs ayant des tâches légitimes à effectuer à se connecter au système et veillez à ce que cesévénements soient contrôlés.

n Installez vCenter Server en utilisant un compte de service plutôt qu'un compte Windows. Vous pouvezutiliser un compte de service ou un compte Windows pour gérer vCenter Server. Utiliser un compte deservice vous permet d'activer l'authentification Windows pour SQL Server, augmentant ainsi le niveaude sécurité. Le compte de service doit être un administrateur sur la machine locale.

n Vérifiez la réattribution des privilèges lorsque vous redémarrez vCenter Server. Si l'utilisateur ou legroupe d'utilisateurs à qui est attribué le rôle d'administrateur dans le dossier racine du serveur ne peutêtre vérifié comme utilisateur ou groupe valide, les privilèges d'administrateur sont supprimés etattribués au groupe d'administrateurs Windows local.

n Accordez le minimum de privilèges à l'utilisateur de la base de données vCenter Server. L'utilisateur dela base de données n'a besoin que de quelques privilèges spécifiques à l'accès à la base de données. Enoutre, certains privilèges ne sont nécessaires que pour l'installation et la mise à niveau. Ceux-ci peuventêtre supprimés après l'installation ou la mise à niveau du produit.

Restriction de l'utilisation du privilège d'administrateurPar défaut, vCenter Server accorde tous les privilèges d'administrateur à l'administrateur du système local,auquel les administrateurs de domaine peuvent accéder. Afin de minimiser les risques d'abus liés à ceprivilège, supprimez les droits d'administration du compte Administrateur du système d'exploitation local,puis attribuez ces droits à un compte Administrateur vSphere spécial local. Créez des comptes utilisateursindividuels à l'aide du compte vSphere local.

Accordez le privilège administrateur uniquement aux administrateurs qui doivent en bénéficier. N'accordezce privilège à aucun groupe dont l'appartenance n'est pas strictement contrôlée.

Procédure

1 Créez un compte utilisateur que vous utiliserez pour la gestion de vCenter Server (par exemple, vi-admin).

Assurez-vous que l'utilisateur n'est membre d'aucun groupe local, notamment le groupeAdministrateurs.

2 Connectez-vous au système vCenter Server en tant qu'administrateur du système d'exploitation local,puis accordez le rôle d'administrateur global de vCenter Server au compte utilisateur que vous avezcréé (par exemple, vi-admin).

3 Déconnectez-vous de vCenter Server, puis connectez-vous à l'aide du compte utilisateur que vous avezcréé (vi-admin).

4 Vérifiez que l'utilisateur peut effectuer toutes les tâches à la disposition d'un administrateur de vCenterServer.

5 Supprimez les privilèges administrateur qui sont attribués à l'utilisateur administrateur ou au groupeAdministrateurs du système d'exploitation local.

Sécurité vSphere

78 VMware, Inc.

Restriction de l'utilisation du rôle AdministrateurSécurisez le rôle Administrateur de vCenter Server et attribuez-le uniquement à certains utilisateurs.

Protégez l'utilisateur Administrateur de vCenter Server contre une utilisation régulière à l'aide de comptesd'utilisateur associés à des personnes données.

Prérequis

n Créez un compte d'utilisateur afin de gérer vCenter Server et attribuez tous les privilègesadministrateur de vCenter Server à cet utilisateur. Reportez-vous à « Gestion des autorisations descomposants vCenter », page 71.

n Supprimez les privilèges administrateur de vCenter Server de l'administrateur du systèmed'exploitation local.

Procédure

1 Connectez-vous au système vCenter Server en tant qu'administrateur du vCenter Server que vous avezcréé (par exemple, vi-admin).

2 Accordez tous les privilèges administrateur au minimum de personnes requises.

3 Déconnectez-vous en tant qu'administrateur du vCenter Server.

Suivant

Protégez le mot de passe du compte administrateur du vCenter Server. Par exemple, créez un mot de passecomposé de deux parties, dont chacune est connue d'une seule personne, ou enfermez une impression dumot de passe dans un coffre.

Activer la vérification des certificats et vérifier les empreintes deshôtes dans vSphere Web Client

Pour empêcher les attaques de l'intercepteur et bénéficier entièrement de la sécurité fournie par lescertificats, le contrôle de certificats est activé par défaut. Vous pouvez vérifier que le contrôle des certificatsest activé dans vSphere Web Client.

Remarque Les certificats vCenter Server sont conservés à travers les mises à niveau.

Procédure

1 Accédez au système vCenter Server dans le navigateur d'objets de vSphere Web Client.

2 Sélectionnez l'onglet Gérer, cliquez sur Paramètres, puis cliquez sur Général.

3 Cliquez sur Edit.

4 Cliquez sur Paramètres SSL et vérifiez si vCenter exige des certificats SSL d'hôtes vérifiés estsélectionné.

5 Si les hôtes requièrent une validation manuelle, comparez les empreintes listées pour les hôtes auxempreintes dans la console de l'hôte.

Pour obtenir l'empreinte de l'hôte, utilisez l'interface utilisateur de console directe (DCUI).

a Connectez-vous à la console directe et appuyez sur F2 pour accéder au menu de Personnalisationdu système.

b Sélectionnez Voir les informations de support.

L'empreinte hôte figure dans la colonne de droite.

Chapitre 6 Sécurisation des systèmes vCenter Server

VMware, Inc. 79

6 Si l'empreinte correspond, cochez la case Vérifier à côté de l'hôte.

Les hôtes non sélectionnés sont déconnectés après avoir cliqué sur OK.

7 Cliquez sur OK.

Suppression de certificats expirés ou révoqués et de journauxd'installations ayant échoué

La conservation de certificats expirés ou révoqués ou des journaux d'installation de vCenter Server généréslors de l'échec d'une installation sur votre système vCenter Server peut compromettre la sécurité de votreenvironnement.

La suppression des certificats expirés ou révoqués est nécessaire pour les raisons suivantes.

n Si les certificats expirés ou révoqués ne sont pas supprimés du système vCenter Server, l'environnementpeut être exposé à une attaque MiTM.

n Dans certains cas, un fichier journal contenant le mot de passe d'une base de données en texte clair estcréé sur le système lors d'un échec d'installation de vCenter Server. Un attaquant qui s'introduit dans lesystème vCenter Server peut réussir à accéder à ce mot de passe et, en même temps, à la base dedonnées vCenter Server.

Activer la validation des certificats SSL sur NFC (Network File Copy)La NFC (Network File Copy, copie de fichiers réseau) fournit un service FTP capable de reconnaître les typesde fichiers pour les composants vSphere. ESXi utilise par défaut la technologie NFC pour des opérationscomme la copie ou le transfert de données entre banques de données. Vous pouvez désactiver et réactiver lavalidation du certificat SSL pour des opérations de NFC.

Lorsque SSL sur NFC est activé, les connexions entre les composants de vSphere via le protocole NFC sontsécurisées. Cette connexion peut aider à empêcher des « attaques de l'intercepteur » au sein d'un centre dedonnées.

Dans la mesure où l'utilisation de NFC via SSL entraîne une dégradation des performances, vous pouvezenvisager de désactiver ce paramètre avancé dans certains environnements de développement.

Procédure

1 Connectez-vous à vCenter Server avec vSphere Web Client.

2 Sélectionnez l'onglet Paramètres, puis cliquez sur Paramètres avancés.

3 Cliquez sur Edit.

4 Dans le bas de la boîte de dialogue, entrez la clé et la valeur suivantes.

Champ Valeur

Clé nfc.useSSL

Valeur vrai

5 Cliquez sur OK.

Sécurité vSphere

80 VMware, Inc.

Limitation de la connectivité réseau vCenter ServerPour plus de sécurité, évitez de mettre le système vCenter Server sur un réseau autre que le réseau degestion, et assurez-vous que le trafic de gestion vSphere est sur un réseau restreint. En limitant laconnectivité du réseau, vous limitez l'éventualité de certains types d'attaque.

vCenter Server requiert uniquement l'accès au réseau de gestion. Évitez de placer le système vCenter Serversur d'autres réseaux tels que vos réseaux de production ou de stockage, ou sur tout réseau ayant accès àInternet. vCenter Server n'a pas besoin d'un accès au réseau sur lequel vMotion fonctionne.

vCenter Server requiert une connectivité réseau vers les systèmes suivants.

n Tous les hôtes ESXi.

n La base de données vCenter Server.

n D'autres systèmes vCenter Server (Linked Mode uniquement)

n Des systèmes autorisés à exécuter des clients de gestion. Par exemple, vSphere Web Client, un systèmeWindows sous lequel vous utilisez PowerCLI ou tout autre client SDK.

n Des systèmes qui exécutent des composants complémentaires, tels que VMware vSphere UpdateManager.

n Des services d'infrastructure, tels que DNS, Active Directory et NTP.

n D'autres systèmes qui exécutent des composants essentiels à la fonctionnalité du systèmevCenter Server.

Utilisez un pare-feu local sur le système Windows sous lequel vCenter Server fonctionne, ou utilisez unpare-feu de réseau. Incluez des restrictions d'accès basées sur l'IP, afin que seuls les composants nécessairespuissent communiquer avec le système vCenter Server.

Restriction de l'utilisation des clients LinuxLes communications entre composants clients et le système vCenter Server ou les hôtes ESXi sont protégéespar chiffrement SSL par défaut. Les versions de Linux de ces composants n'effectuent pas de validation ducertificat ; vous devez par conséquent limiter l'utilisation de ces clients.

Même si vous avez remplacé les certificats auto-signés sur le système vCenter Server et les hôtes ESXi pardes certificats légitimes signés par votre autorité de certification racine ou une autorité de certification tierce,les communications avec les clients Linux sont encore vulnérables aux attaques de l'intercepteur. Lescomposants suivants sont vulnérables lorsqu'ils fonctionnent sur le système d'exploitation Linux.

n Commandes vCLI

n Scripts vSphere SDK pour Perl

n Programmes écrits avec vSphere SDK

Vous pouvez assouplir la restriction de l'utilisation des clients Linux à condition d'assurer un contrôleadéquat.

n Limitez l'accès au réseau de gestion exclusivement aux systèmes autorisés.

n Utilisez des pare-feux pour vous assurer que seuls les hôtes autorisés peuvent accéder à vCenter Server.

n Utilisez les systèmes JumpBox afin de vous assurer que les clients Linux se trouvent derrière le saut.


VMware, Inc. 81

Vérification de l'intégrité de vSphere Web ClientLes extensions vSphere Web Client sont exécutées avec le même niveau de privilège que l'utilisateur qui estconnecté. Une extension malveillante peut se faire passer pour un plug-in utile et effectuer des opérationsnuisibles, notamment le vol d'informations d'identification ou la modification de la configuration système.Pour augmenter la sécurité, utilisez une installation vSphere Web Client qui comporte uniquement desextensions autorisées provenant de sources fiables.

Une installation vCenter comprend l'infrastructure d'extensibilité vSphere Web Client qui offre la possibilitéd'étendre vSphere Web Client à l'aide de sélections de menu ou d'icônes de la barre d'outils qui donnentaccès aux composants complémentaires de vCenter ou à des fonctionnalités Web externes. Cette flexibilités'accompagne du risque d'introduire des fonctionnalités non souhaitées. Par exemple, si un administrateurinstalle un plug-in dans une instance de vSphere Web Client, le plug-in peut alors exécuter des commandesarbitraires grâce au niveau de privilège de cet administrateur.

Pour vous protéger de tout risque éventuel, n'installez aucun plug-in vSphere Web Client qui neproviendrait pas d'une source fiable.

Vérifier les plug-in installésLes extensions vSphere Web Client sont exécutées avec le même niveau de privilège que l'utilisateur qui estconnecté. Une extension malveillante peut se faire passer pour un plug-in utile et effectuer des opérationsnuisibles, notamment le vol d'informations d'identification ou la modification de la configuration système.Pour augmenter la sécurité, utilisez une installation vSphere Web Client qui comporte uniquement desextensions autorisées provenant de sources fiables.

Une installation vCenter comprend l'infrastructure d'extensibilité vSphere Web Client qui offre la possibilitéd'étendre vSphere Web Client à l'aide de sélections de menu ou d'icônes de la barre d'outils qui donnentaccès aux composants complémentaires de vCenter ou à des fonctionnalités Web externes. Cette flexibilités'accompagne du risque d'introduire des fonctionnalités non souhaitées. Par exemple, si un administrateurinstalle un plug-in dans une instance de vSphere Web Client, le plug-in peut alors exécuter des commandesarbitraires grâce au niveau de privilège de cet administrateur.

Pour protéger votre vSphere Web Client de tout risque éventuel, vous pouvez examiner périodiquementtous les plug-ins installés et vous assurer qu'ils proviennent d'une source fiable.

Prérequis

Vous devez disposer de privilèges pour accéder au serveur vCenter Single Sign-On. Ces privilèges diffèrentdes privilèges vCenter Server.

Procédure

1 Connectez-vous à vSphere Web Client en tant qu'[email protected] ou utilisateur avec desprivilèges vCenter Single Sign-On.

2 Sur la page d'accueil, sélectionnez Administration, puis Plug-ins des clients dans Solutions

3 Examinez la liste de plug-ins des clients.

Supprimer le module tcdump de vCenter Server Virtual AppliancePar défaut, le dispositif virtuel de vCenter Server inclut le module tcdump. Vous pouvez supprimer cemodule si des impératifs de sécurité l'imposent.

Le module tcpdump permet aux administrateurs d'analyser les paquets TCP à des fins de dépannage et detest. Cependant, dans certaines situations, des impératifs de sécurité imposent la suppression du module.Par exemple, si vous devez supprimer le module pour assurer la conformité avec la spécification GEN003865du DIS STIG, exécutez la commande suivante en tant qu'utilisateur racine pour supprimer le moduletcpdump du système :

Sécurité vSphere

82 VMware, Inc.

Procédure

1 Connectez-vous à vCenter Server Virtual Appliance en tant qu'utilisateur racine.

2 Exécutez la commande suivante.

rpm -e tcpdump


VMware, Inc. 83

Sécurité vSphere

84 VMware, Inc.

Sécurisation des hôtes ESXi 7La restriction de l'accès aux services et aux ports d'un hôte ESXi est essentielle à la protection contre lesintrusions frauduleuses dans votre environnement vSphere.

Si un hôte est compromis, les machines virtuelles s'exécutant sur cet hôte sont elles aussi menacées.Restreignez l'accès aux services et aux ports ; un hôte ESXi est protégé par un pare-feu. L'utilisation dumode verrouillage ESXi et la limitation de l'accès à ESXi Shell peuvent également contribuer à sécuriserdavantage l'environnement.


n « Recommandations générales de sécurité pour ESXi », page 85

n « ESXi », page 91

n « Affectation d'autorisations pour ESXi », page 95

n « Utilisation d'Active Directory pour gérer des utilisateurs ESXi », page 100

n « Remplacement de certificats et de clés SSL pour ESXi », page 102

n « Téléchargement d'une clé SSH sur votre hôte ESXi », page 105

n « Utilisation du ESXi Shell », page 107

n « Mode verrouillage », page 112

n « Utiliser vSphere Authentication Proxy », page 115

n « Remplacer le certificat du serveur proxy d'authentification de l'hôte ESXi », page 120

n « Modifier les paramètres proxy Web ESXi », page 120

n « Considérations relatives à la sécurité dans vSphere Auto Deploy », page 125

n « Gestion des fichiers journaux ESXi », page 125

Recommandations générales de sécurité pour ESXiPour protéger l'hôte contre les intrusions et autorisations illégales, VMware impose des contraintes auniveau de plusieurs paramètres et activités. Vous pouvez atténuer les contraintes pour répondre à vosbesoins de configuration. Si vous le faites, assurez-vous de travailler dans un environnement sécurisé et deprendre suffisamment d'autres mesures de sécurité pour protéger le réseau globalement ainsi que lespériphériques connectés à l'hôte.

Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.

n Limitez l'accès utilisateur.

VMware, Inc. 85

Pour améliorer la sécurité, limitez l'accès des utilisateurs à l'interface DCUI (Direct Console UserInterface) et à ESXi Shell, et mettez en œuvre des règles de sécurité d'accès, comme des restrictions demots de passe.

L'ESXi Shell possède un accès privilégié à certaines parties de l'hôte. Octroyez un accès de connexion àESXi Shell uniquement aux utilisateurs approuvés.

n Utilisez vSphere Client pour gérer les hôtes ESXi autonomes.

Utilisez dès que vous le pouvez vSphere Client, ou encore un outil de gestion de réseau tiers pourl'administration de vos hôtes ESXi et non l'interface de ligne de commande en tant qu'utilisateur racine.L'utilisation de vSphere Client permet de limiter le nombre de comptes ayant accès à ESXi Shell, dedéléguer des responsabilités en toute sécurité et de configurer des rôles empêchant les administrateurset les utilisateurs d'utiliser les fonctions dont ils n'ont pas besoin.

n Utilisez vSphere Web Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. Évitezd'accéder aux hôtes gérés directement avec vSphere Client, et n'apportez pas de modifications aux hôtesgérés à partir de l'interface utilisateur DCUI (Direct Console User Interface).

n N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.

L'hôte utilise un grand nombre de produits tiers pour soutenir les interfaces de gestion ou les tâches degestion à exécuter. VMware ne prend pas en charge la mise à niveau de ces produits s'ils ne proviennentpas d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autresource, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Visitezrégulièrement les sites Web de fournisseurs tiers, ainsi que la base de connaissances VMware pourconnaître les alertes de sécurité correspondantes.

Outre la mise en place du pare-feu, d'autres méthodes sont utilisées pour limiter les risques pour les hôtes :

n ESXi exécute uniquement les services nécessaires à la gestion de son fonctionnement, et la distributionest limitée aux fonctions requises pour l'exécution d'ESXi.

n Par défaut, tous les ports non requis pour la gestion des accès à l'hôte sont fermés. Vous devez ouvrirspécialement les ports associés aux services supplémentaires dont vous avez besoin.

n Par défaut, les chiffrements faibles sont désactivés, et toutes les communications provenant des clientssont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant del'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avecle chiffrement RSA en tant qu'algorithme de signature.

n Le service Web Tomcat, utilisé en interne par ESXi pour soutenir les accès des clients Web, a étémodifié : il exécute uniquement les fonctions requises pour les tâches d'administration et desurveillance effectuées par un client Web. Par conséquent, ESXi n'est pas vulnérable aux problèmes desécurité Tomcat signalés lors d'utilisations massives.

n VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXiet envoie un correctif de sécurité en cas de besoin.

n Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à cesservices sont fermés par défaut. Vous trouverez facilement des services plus sécurisés tels que SSH etSFTP ; par conséquent, il est conseillé de les privilégier et d'éviter d'utiliser les services non sécurisés.Par exemple, utilisez Telnet avec SSL au lieu de Telnet pour accéder à des ports série virtuels. Si vousdevez utiliser des services non sécurisés et que l'hôte bénéficie d'un niveau suffisant de sécurité, vousdevez dans ce cas ouvrir les ports correspondants.

Remarque Suivez les instructions de sécurité fournies par VMware, proposées dans la page http://www.vmware.com/security/.

Sécurité vSphere

86 VMware, Inc.


Recommandations de sécurité pour la mise en réseau d'ESXiL'isolation du trafic réseau est essentielle pour un environnement ESXi sécurisé. Des réseaux différentsrequièrent un accès et un niveau d'isolation distincts.

Votre hôte ESXi utilise plusieurs réseaux. Utilisez des mesures de sécurité appropriées à chaque réseau etisolez le trafic pour des applications et fonctions spécifiques. Par exemple, assurez-vous que le trafic vSpherevMotion n'est pas acheminé via des réseaux sur lesquels se trouvent les machines virtuelles. L'isolationempêche l'écoute. Il est également recommandé d'utiliser des réseaux séparés pour des raisons deperformance.

n Les réseaux de l'infrastructure vSphere sont utilisés pour certaines fonctions comme VMware vSpherevMotion®, VMware vSphere Fault Tolerance et le stockage. Ces réseaux sont considérés comme étantisolés pour leurs fonctions spécifiques et ne sont généralement pas acheminés à l'extérieur d'unensemble physique unique de racks de serveurs.

n Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou letrafic des logiciels tiers du trafic normal. Ce réseau doit être accessible uniquement aux administrateurssystème, réseau et sécurité. Utilisez les systèmes JumpBox ou le réseau privé virtuel (VPN) poursécuriser l'accès au réseau de gestion. Veillez à contrôler strictement l'accès à ce réseau des sourcespotentielles de programmes malveillants.

n Le trafic des machines virtuelles peut traverser un ou plusieurs réseaux. Vous pouvez renforcerl'isolation des machines virtuelles en utilisant des solutions de pare-feu qui définissent des règles depare-feu au niveau du contrôleur du réseau virtuel. Ces paramètres sont acheminés avec une machinevirtuelle dès lors qu'elle migre d'un hôte à un autre dans votre environnement vSphere.

Désactiver le Managed Object Browser (MOB)Le MOB fournit une possibilité d'explorer le modèle d'objet VMkernel. Cependant, les agresseurs peuventutiliser cette interface pour effectuer des actions ou des modifications de configuration malveillantes. LeMOB vous permet de modifier la configuration de l'hôte. Cette interface sert principalement à déboguervSphere Web Services SDK.

Procédure

1 Connectez-vous directement à l'hôte en utilisant ESXi Shell.

2 (Facultatif) Déterminez si le MOB est activé en exécutant la commande suivante.

vim-cmd proxysvc/service_list

Si le service est en cours d'exécution, le texte suivant s'affiche dans la liste de services :

...

serverNamespace = '/mob',

accessMode = "httpsWithRedirect",

pipeName = "/var/run/vmware/proxy-mob",

...

3 Désactivez le service en exécutant la commande suivante.

vim-cmd proxysvc/remove_service "/mob" "httpsWithRedirect"

Les modifications sont immédiatement prises en compte et conservées lors des futurs démarrages.

Le MOB n'est plus disponible pour des diagnostics. Un certain nombre d'outils tiers utilisent cette interfacepour recueillir des informations.

Chapitre 7 Sécurisation des hôtes ESXi

VMware, Inc. 87

Suivant

Après avoir désactivé le MOB, effectuez des tests pour vérifier que les applications tierces fonctionnenttoujours comme prévu.

Pour réactiver le service, exécutez la commande suivante.

vim-cmd proxysvc/add_np_service "/mob" httpsWithRedirect /var/run/vmware/proxy-mob

Désactiver les clés autorisées (SSH)Les clés autorisées vous permettent d'activer l'accès à un hôte ESXi via SSH sans demanderd'authentification d'utilisateur. Pour renforcer la sécurité de l'hôte, ne permettez pas aux utilisateursd'accéder à un hôte en utilisant des clés autorisées.

Un utilisateur est considéré comme approuvé si sa clé publique est dans le fichier /etc/ssh/keys-root/authorized_keys d'un hôte. Les utilisateurs distants approuvés sont autorisés à accéder à l'hôte sansfournir de mot de passe.

Procédure

n Pour les opérations quotidiennes, désactivez SSH sur les hôtes ESXi.

n Si SSH est désactivé, même temporairement, contrôlez le contenu du fichier /etc/ssh/keys-root/authorized_keys, afin de vous assurer qu'aucun utilisateur n'est autorisé à accéder à l'hôte sansauthentification adéquate.

n Contrôlez le fichier /etc/ssh/keys-root/authorized_keys, afin de vérifier qu'il est vide et qu'aucune cléSSH n'a été ajoutée au fichier.

n Si vous découvrez que le fichier /etc/ssh/keys-root/authorized_keys n'est pas vide, supprimez toutesles clés.

La désactivation de l'accès à distance à l'aide de clés autorisées peut limiter votre capacité à exécuter descommandes à distance sur un hôte sans fournir d'identifiant de connexion valide. Cela pourrait par exemplevous empêcher d'exécuter un script sans assistance à distance.

Configurer les délais d'attente SSLVous pouvez configurer des délais d'attente SSL pour ESXi en modifiant un fichier de configuration surl'hôte ESXi.

Des périodes d'attente peuvent être définies pour deux types de connexions inactives :

n Le paramètre Délai d'attente de lecture s'applique aux connexions qui ont complété le processus denégociation SSL avec le port 443 d'ESXi.

n Le paramètre Délai d'expiration de négociation s'applique aux connexions qui n'ont pas complété leprocessus de négociation SSL avec le port 443 d'ESXi.

Les délais d'attente des deux connexions sont en millisecondes.

Les connexions inactives sont déconnectées après la période d'attente. Par défaut, les connexions SSLtotalement établies ont un délai d'attente d'infini.

Remarque L'utilisation d'un délai d'expiration plus long que la valeur par défaut n'est pas recommandée.

Procédure

1 Ouvrez une session ESXi Shell en tant qu'utilisateur ayant des privilèges d'administrateur.

2 Passez au répertoire /etc/vmware/rhttpproxy/.

3 Utilisez un éditeur de texte pour ouvrir le fichier config.xml.

Sécurité vSphere

88 VMware, Inc.

4 Dans la section <http>...</http>, entrez la valeur du <readTimeoutMs> en millisecondes.

Si la balise <readTimeoutMs> n'existe pas, vous pouvez la créer.

5 Dans la section <ssl>...</ssl>, entrez la valeur du <handshakeTimeoutMs> en millisecondes.

Si la balise <handshakeTimeoutMs> n'existe pas, vous pouvez la créer.

6 Enregistrez les modifications et fermez le fichier.

7 Redémarrez le processus rhttpproxy :

/etc/init.d/rhttpproxy restart

Exemple : Fichier de configurationLa section suivante du fichier /etc/vmware/rhttpproxy/config.xml indique où ajouter les paramètres dedélai d'attente SSL.

<vmacore>

...

<http>

...

<readTimeoutMs>20000</readTimeoutMs>

...

</http>

...

<ssl>

...

<handshakeTimeoutMs>20000</handshakeTimeoutMs>

...

</ssl>

</vmacore>

Vérifier les niveaux d'acceptation des hôtes et des fichiers VIBPour protéger l'intégrité de l'hôte ESXi, n'autorisez pas les utilisateurs à installer des VIB non signés(communautaires). Un VIB non signé contient un code qui n'est ni certifié ni approuvé ni pris en charge parVMware ou ses partenaires. Les VIB communautaires n'ont pas de signature numérique.

Vous pouvez utiliser des commandes ESXCLI pour définir le niveau de l'acceptation d'un hôte. Le niveaud'acceptation de l'hôte doit être le même ou moins restrictif que celui d'un VIB que vous souhaitez ajouter àl'hôte. Pour protéger la sécurité et l'intégrité de vos hôtes ESXi, ne permettez pas l'installation de VIB nonsignés (CommunitySupported) sur des hôtes dans des systèmes de production.

Les niveaux d'acceptation suivants sont pris en charge.

VMwareCertified Le niveau d'acceptation VMwareCertified a les exigences les pluscontraignantes. Les VIB avec ce niveau sont soumis à des tests minutieuxéquivalents aux tests d'assurance qualité réalisés en interne de VMware pourla même technologie. Actuellement, seuls les pilotes IOVP sont publiés à ceniveau. VMware prend en charge les appels d'assistance pour les VIB avec ceniveau d'acceptation.

VMwareAccepted Les VIB avec ce niveau d'acceptation sont soumis à des tests de vérificationminutieux, mais ces tests ne testent pas entièrement chaque fonction dulogiciel. Le partenaire exécute les tests et VMware vérifie le résultat.Actuellement, les fournisseurs CIM et les plug-ins PSA font partie des VIBpubliés à ce niveau. VMware dirige les appels d'assistance pour les VIB avecce niveau d'acceptation vers l'organisation d'assistance du partenaire.


VMware, Inc. 89

PartnerSupported Les VIB avec le niveau d'acceptation PartnerSupported sont publiés par unpartenaire en qui VMware a confiance. Le partenaire effectue tous les tests.VMware ne vérifie pas les résultats. Ce niveau est utilisé pour unetechnologie nouvelle ou non courante que des partenaires souhaitent activerpour les systèmes VMware. Actuellement, les technologies VIB de pilotestelles que Infiniband, ATAoE et SSD sont à ce niveau avec des pilotes dematériel non standard. VMware dirige les appels d'assistance pour les VIBavec ce niveau d'acceptation vers l'organisation d'assistance du partenaire.

CommunitySupported Le niveau d'acceptation Community Supported est destiné aux VIB créés pardes individus ou des entreprises en dehors des programmes de partenariatde VMware. Les VIB à ce niveau d'acceptation ne sont soumis à aucunprogramme de test approuvé par VMware et ne sont pas pris en charge parl'assistance technique de VMware ou un partenaire de VMware.

Procédure

1 Connectez-vous à chaque hôte ESXi et vérifiez que le niveau d'acceptation est défini surVMwareCertified ou VMwareAccepted en exécutant la commande suivante.

esxcli software acceptance get

2 Si le niveau d'acceptation de l'hôte n'est pas VMwareCertified ou VMwareAccepted, déterminez si l'undes VIBs ne se trouve pas au niveau VMwareCertified ou VMwareAccepted en exécutant lescommandes suivantes.

esxcli software vib list

esxcli software vib get -n vibname

3 Supprimez les VIB qui sont au niveau PartnerSupported ou CommunitySupported en exécutant lacommande suivante.

esxcli software vib remove --vibname vib

4 Changez le niveau d'acceptation de l'hôte en exécutant la commande suivante.

esxcli software acceptance set --level acceptance_level

Ajouter un hôte ESXi à un domaine Active DirectoryDans la mesure où ESXi ne prend pas en charge vCenter Single Sign-On, il ne prend pas non plus en chargeles sources d'identité que vous définissez avec vCenter Single Sign-On. Vous pouvez ajouter un hôte ESXi àun domaine Active Directory dans vSphere Web Client.

Procédure

1 Dans vSphere Web Client, sélectionnez l'hôte ESXi.

2 Dans l'onglet Paramètres, sélectionnez Services d'authentification, dans la zone Système.

3 Cliquez sur Joindre le domaine, fournissez les paramètres du domaine, et cliquez sur OK.

Sécurité vSphere

90 VMware, Inc.

Périphériques PCI et PCIe et ESXiL'utilisation de la fonctionnalité de VMware DirectPath I/O pour relayer un périphérique PCI ou PCIe versune machine virtuelle crée une vulnérabilité de sécurité potentielle. La vulnérabilité peut être déclenchéepar un code bogué ou malveillant tel qu'un pilote de périphérique qui s'exécuterait en mode privilégié dansle système d'exploitation invité. Le matériel et les microprogrammes standard actuels n'assurent pas unniveau suffisant de confinement des erreurs suffisant pour permettre à ESXi d'entièrement neutraliser lavulnérabilité.

VMware recommande d'utiliser un relais PCI ou PCIe vers une machine virtuelle uniquement si la machinevirtuelle est détenue et administrée par une entité approuvée. Vous devez vous assurer que cette entité netente pas de bloquer ou d'exploiter l'hôte depuis la machine virtuelle.

Votre hôte peut être compromis de l'une des manières suivantes.

n Le système d'exploitation invité peut générer une erreur PCI ou PCIe irrécupérable. Une telle erreurn'altère pas les données, mais peut bloquer l'hôte ESXi. De telles erreurs peuvent se produire en raisonde bogues et d'incompatibilités dans les périphériques matériels qui sont relayés, ou en raison deproblèmes de pilotes du système d'exploitation invité.

n Le système d'exploitation invité peut générer une opération DMA (Direct Memory Access) quiprovoque une erreur de page IOMMU sur l'hôte ESXi, par exemple, si l'opération DMA cible uneadresse située hors de la mémoire de la machine virtuelle. Sur certaines machines, le microprogrammede l'hôte configure les fautes IOMMU pour signaler une erreur irrémédiable via une interruption non-masquable (NMI), ce qui entraîne le blocage de l'hôte ESXi. Ce problème peut être dû à desdysfonctionnements de pilotes du système d'exploitation invité.

n Si le système d'exploitation sur l'hôte ESXi n'utilise pas le remappage d'interruption, le systèmed'exploitation invité peut injecter une interruption fallacieuse dans l'hôte ESXi sur n'importe quelvecteur. ESXi utilise actuellement le remappage d'interruptions sur les plates-formes Intel offrant cettepossibilité ; le remappage d'interruption fait partie de l'ensemble de fonctionnalités Intel VT-d. ESXin'utilise pas le mappage d'interruptions sur les plates-formes AMD. Une interruption fallacieuse estsusceptible de provoquer le blocage de l'hôte ESXi ; cependant, il peut théoriquement exister d'autresmanières d'exploiter ces interruptions.

ESXiESXi contient un pare-feu situé entre l'interface de gestion et le réseau. Le pare-feu est activé par défaut.

Lors de l'installation, le pare-feu d'ESXi est configuré pour bloquer le trafic entrant et sortant, excepté letrafic des services par défaut répertoriés dans « Ports TCP et UDP », page 147.

Remarque Le pare-feu permet également d'utiliser les commandes ping ICMP (Internet Control MessageProtocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Vous pouvez gérer les ports du pare-feu d'ESXi de la manière suivante :

n Depuis le profil de sécurité de chacun des hôtes.

n En utilisant les commandes ESXCLI pour modifier les règles du pare-feu, dans la ligne de commandeou dans les scripts. Reportez-vous à « ESXi », page 91.


VMware, Inc. 91

n En utilisant un VIB personnalisé si le port que vous cherchez à ouvrir n'est pas inclut dans le profil desécurité. Vous créez des VIB personnalisés avec l'outil vibauthor disponible dans VMware Labs. Pourinstaller le VIB personnalisé, vous devez modifier le niveau d'acceptation de l'hôte ESXi surCommunitySupported. Reportez-vous à l'article 2007381 de la base de connaissances VMware.

Remarque Si vous contactez le support technique VMware pour examiner un problème relatif à unhôte ESXi avec un VIB CommunitySupported installé, il se peut que le support VMware demande dedésinstaller le VIB CommunitySupported dans le cadre de la résolution du problème afin de déterminersi ce VIB est associé au problème étudié.

Vous pouvez visualiser les services pris en charge et les agents de gestion nécessaires pour éxécuter l'hôtedans la section Profil de sécurité de l'hôte de vSphere Web Client.

Remarque Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autresensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sontouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées. Consultez « Comportement de l'ensemble de règles du client NFS », page 93 pour plus d'informations.

Gérer les paramètres du pare-feu ESXiVous pouvez configurer des connexions de pare-feu entrantes et sortantes pour un service ou un agent degestion depuis vSphere Web Client ou sur la ligne de commande.

Remarque Si les différents services ont des règles de port qui se chevauchent, l'activation d'un servicepourra implicitement autoriser les services se chevauchant. Vous pouvez spécifier les adresses IP qui sontautorisées à accéder à chacun des services sur l'hôte afin d'éviter ce problème.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur l'onglet Gérer puis sur Paramètres.

3 Cliquez sur Profil de sécurité.

vSphere Web Client affiche la liste des connexions entrantes et sortantes actives avec les ports de pare-feu correspondants.

4 Dans la section Pare-feu, cliquez sur Modifier.

L'écran affiche des ensembles de règles de pare-feu avec le nom de la règle et les informations associées.

5 Sélectionnez les ensembles de règles à activer, ou désélectionnez ceux à désactiver.

Colonne Description

Ports entrants et port sortants Les ports que vSphere Web Client ouvre pour le service

Protocole Protocole utilisé par un service.

Processus Statut des démons associés au service

6 Pour certains services, vous pouvez gérer les détails du service.

n Utilisez les boutons Démarrer, Arrêter ou Redémarrer pour modifier temporairement l'état d'unservice.

n Modifier la stratégie de démarrage pour que le service démarre avec l'hôte ou avec l'utilisation duport.

Sécurité vSphere

92 VMware, Inc.


7 Pour certains services, vous pouvez spécifier explicitement les adresses IP à partir desquelles lesconnexions sont autorisées.

Reportez-vous à « Ajouter des adresses IP autorisées dans vSphere Web Client », page 93.

8 Cliquez sur OK.

Ajouter des adresses IP autorisées dans vSphere Web ClientPar défaut, le pare-feu de chaque service autorise l'accès à toutes les adresses IP. Pour restreindre le trafic,modifiez chaque service pour autoriser uniquement le trafic provenant de votre sous-réseau de gestion.Vous pouvez également annuler la sélection de certains services si votre environnement ne les utilise pas.

Vous pouvez utiliser vSphere Web Client, vCLI ou PowerCLI pour mettre à jour la liste des adresses IPautorisées d'un service. Par défaut, toutes les adresses IP sont autorisées.

Procédure



3 Dans Système, cliquez sur Profil de sécurité.

4 Dans la section Pare-feu, cliquez sur Modifier, puis sélectionnez un service dans la liste.

5 Dans la section Adresses IP autorisées, désélectionnez Autoriser les connexions de toutes les adressesIP, puis saisissez les adresses IP des réseaux autorisés à se connecter à l'hôte.

Séparez les adresses IP avec des virgules. Vous pouvez utiliser les formats d'adresse suivants :

n 192.168.0.0/24

n 192.168.1.2, 2001::1/64

n fd3e:29a6:0a81:e478::/64

6 Cliquez sur OK.

Comportement de l'ensemble de règles du client NFSLe comportement de l'ensemble de règles du client NFS diffère de celui des autres ensembles de règles dupare-feu d'ESXi. ESXi configure les paramètres du client NFS lorsque vous montez ou démontez une banquede données NFS.

Lorsque vous ajoutez ou montez une banque de données NFS, ESXi vérifie l'état de l'ensemble de règles depare-feu du client NFS (nfsClient).

n Si l'ensemble de règles du client NFS est désactivé, ESXi l'active et désactive Autorisez la règle Toutesles adresses IP en paramétrant l'indicateur allowedAll sur FAUX. L'adresse IP du serveur NFS est ajoutéeà la liste des adresses IP sortantes autorisées.

n Si l'ensemble de règles du client NFS est activé, l'état de l'ensemble de règles et la règle des adresses IPne sont pas modifiés. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantesautorisées.

Lorsque vous supprimez ou démontez une banque de données NFS, ESXi réalise l'une des actions suivantes.

n Si ESXi est monté sur une banque de données NFS, l'adresse IP du serveur NFS démonté est suppriméede la liste des adresses IP sortantes autorisées et l'ensemble de règles du client NFS reste activé.


VMware, Inc. 93

n Si ESXi n'est pas monté sur une banque de données NFS, l'adresse IP du serveur NFS démonté estsupprimée de la liste des adresses IP sortantes autorisées et l'ensemble de règles du client NFS estdésactivé.

Remarque Si vous activez manuellement l'ensemble de règles du client NFS ou configurez manuellementla règle Toutes les adresses IP, que ce soit avant ou après l'ajout d'une banque de données NFS sur lesystème, vos paramètres sont remplacés lorsque la dernière banque de données NFS est démontée.L'ensemble de règle du client NFS est désactivé lorsque toutes les banques de données NFS sont démontées.

Automatisation du comportement du service en fonction des paramètres dupare-feu

ESXi peut automatiser le démarrage des services en fonction de l'état des ports du pare-feu.

L'automatisation permet de garantir que les services démarrent si l'environnement est configuré pouractiver leur fonction. Par exemple, le démarrage d'un service réseau uniquement lorsque certains ports sontouverts permet d'éviter des situations dans lesquelles les services sont démarrés, mais incapables determiner les communications requises pour remplir l'objectif prévu.

Par ailleurs, disposer d'informations précises sur l'heure actuelle est une contrainte pour certains protocoles,tels que Kerberos. Le service NTP permet d'obtenir des informations d'heure précise, mais ce servicefonctionne uniquement lorsque les ports requis sont ouverts sur le pare-feu. Ce service ne peut pas remplircet objectif si tous les ports sont fermés. Les services NTP permettent de configurer les conditions dedémarrage et d'arrêt du service. Cette configuration comprend des options qui vérifient que les ports dupare-feu sont ouverts, puis démarrent ou arrêtent le service NTP en fonction de ces conditions. Plusieursoptions de configuration possible existent, celles-ci étant toutes applicables au serveur SSH.

Remarque Les paramètres décrits dans cette section s'appliquent uniquement aux paramètres de serviceconfigurés via vSphere Web Client ou des applications créées avec vSphere Web Services SDK. Lesconfigurations effectuées avec d'autres méthodes, telles que l'ESXi Shell ou les fichiers de configuration setrouvant dans /etc/init.d/, ne se trouvent pas affectées par ces paramètres.

n Commencez automatiquement si des ports sont ouverts, et arrêtez lorsque tous les ports sont fermés :Les paramètres par défaut de ces services que VMware recommande. Si un port est ouvert, le clienttente de contacter les ressources réseau correspondant au service en question. Si certains ports sontouverts, mais que le port d'un service particulier est fermé, la tentative échoue, mais un tel cas pose peud'inconvénient. Si et lorsque le port de sortie applicable est ouvert, le service commence à effectuer satâche.

n Commencez et arrêtez avec l'hôte : Le service démarre peu après le démarrage de l'hôte et se ferme peuaprès l'arrêt de l'hôte. Plutôt semblable à l'option Démarrer automatiquement si ports ouverts, etarrêter quand tous ports fermés, cette option signifie que le service tente régulièrement d'effectuer satâche, telle que contacter le serveur NTP spécifié. Si le port a été fermé, mais est rouvert par la suite, leclient commence à effectuer sa tâche peu après.

n Démarrer et arrêter manuellement : L'hôte préserve les paramètres de service déterminés parl'utilisateur, quels que soient les ports ouverts ou non. Lorsqu'un utilisateur démarre le service NTP, ceservice reste en exécution tant que l'hôte est alimenté. Si le service est démarré et que l'hôte est mis horstension, le service est arrêté dans le cadre du processus d'arrêt, mais dès que l'hôte est mis sous tension,le service redémarre et conserve l'état déterminé par l'utilisateur.

Remarque Le pare-feu d'ESXi automatise l'activation et la désactivation des ensembles de règles selon larègle de démarrage des services. Lorsqu'un service démarre, l'ensemble de règle lui correspondant estactivé. Lorsque le service s'arrête, l'ensemble de règles est désactivé.

Sécurité vSphere

94 VMware, Inc.

ESXiVous pouvez configurer le pare-feu d'ESXi dans l'invite de commande.

Configuration du pare-feu à l'aide d' ESXi ShellL'interface utilisateur graphique de vSphere Web Client indique les modes d'exécution privilégiés denombreuses tâches de configuration. Cependant, vous pouvez utiliser les commandes d'ESXi Shell ou devSphere CLI pour configurer ESXi dans l'invite de commande si nécessaire. Reportez-vous à la sectionInitiation aux interfaces de ligne de commande vSphere

Tableau 7‑1. Commandes du pare-feu

Commande Description

esxcli network firewall get Renvoie le statut activé ou désactivé du pare-feu eténumère les actions par défaut.

esxcli network firewall set --default-action Définir sur True pour transmettre les paquets par défaut.Définir sur False pour rejeter les paquets par défaut.

esxcli network firewall set --enabled Activer ou désactiver le pare-feu d'ESXi.

esxcli network firewall load Charger le module du pare-feu et les fichiers deconfiguration d'ensemble de règles.

esxcli network firewall refresh Actualiser la configuration du pare-feu en lisant les fichiersd'ensemble de règles si le module du pare-feu est chargé.

esxcli network firewall unload Détruire les filtres et décharger le module du pare-feu.

esxcli network firewall ruleset list Répertorier les informations des ensembles de règles.

esxcli network firewall ruleset set --allowed-all

Définir sur True pour permettre l'accès à toutes les adressesIP. Définir sur False pour utiliser une liste d'adresses IPautorisées.

esxcli network firewall ruleset set --enabled--ruleset-id=<string>

Définir sur True pour activer l'ensemble de règles spécifié.Définir sur False pour le désactiver.

esxcli network firewall ruleset allowedip list Répertorier les adresses IP autorisées de l'ensemble derègles spécifié.

esxcli network firewall ruleset allowedip add Autoriser l'accès à l'ensemble de règles à partir de l'adresseIP ou de la plage d'adresses IP spécifiée.

esxcli network firewall ruleset allowedipremove

Supprimer l'accès à l'ensemble de règles à partir del'adresse IP ou de la plage d'adresses IP spécifiée.

esxcli network firewall ruleset rule list Lister les règles de chaque ensemble de règles du pare-feu.

Affectation d'autorisations pour ESXiPour ESXi, les autorisations sont définies en tant que rôles d'accès qui consistent en un utilisateur et en unrôle affecté à l'utilisateur pour un objet tel qu'une machine virtuelle ou un hôte ESXi. Les autorisationsaccordent aux utilisateurs le droit d'exercer les activités spécifiées par le rôle sur l'objet auquel le rôle estassigné.

Le document Gestion d'un hôte vSphere unique explique comment procéder à la validation des autorisations,et comment attribuer et révoquer des autorisations avec vSphere Client. Ce document décrit les différentstypes d'autorisations.


VMware, Inc. 95

Spécifier les utilisateurs disposant d'un accès à l'interface DCUI en mode deverrouillage

Vous pouvez spécifier quels utilisateurs peuvent se connecter à un hôte en mode verrouillage. Lesutilisateurs de la DCUI n'ont pas besoin de disposer de tous les privilèges d'administration sur l'hôte. Vouspouvez attribuer le privilège d'accès à l'interface DCUI dans les Paramètres avancés de vSphere Web Client.

Dans les versions de vSphere antérieures à vSphere 5.1, l'utilisateur racine peut se connecter à la DCUI surun hôte en mode verrouillage. Dans vSphere 5.1, vous pouvez spécifier quels utilisateurs ESXi locaux sontautorisés à se connecter à l'interface DCUI lorsque l'hôte est en mode verrouillage. Ces utilisateurs spéciauxn'ont pas besoin de disposer de tous les privilèges d'administration sur l'hôte. Spécifier des utilisateursautres que l'utilisateur racine anonyme vous permet d'obtenir un journal des utilisateurs ayant effectué desopérations sur l'hôte pendant que celui-ci était en mode verrouillage.

Important Lorsque vous désactivez le mode verrouillage à l'aide de l'interface DCUI, vous accordez lerôle d'administrateur sur l'hôte à tous les utilisateurs disposant du privilège d'accès à l'interface DCUI.

Procédure

1 Accédez à l'hôte dans le navigateur d'objets de vSphere Web Client.

2 Cliquez sur l'onglet Gérer puis sélectionnezParamètres.

3 Cliquez sur Paramètres système avancés puis sélectionnez le paramètre Accès DCUI.

4 Cliquez sur Modifier et saisissez les noms d'utilisateur, séparés par des virgules.

L'utilisateur racine est spécifié par défaut. Vous pouvez supprimer la racine de la liste des utilisateursayant accès à la DCUI, à la condition que vous spécifiiez au moins un autre utilisateur.

5 Cliquez sur OK.

Paramètres d'autorisation multiplesLes objets peuvent avoir des autorisations multiples, mais seulement une autorisation pour chaqueutilisateur ou groupes. Par exemple, une autorisation peut spécifier que le groupe A dispose des privilègesd'administrateur sur un objet. Une autre autorisation peut spécifier que le groupe B peut avoir des privilègesd'administrateur de machines virtuelles sur le même objet.

Si un objet hérite des autorisations de deux objets parents, les autorisations d'un objet sont ajoutées à cellesde l'autre objet. Par exemple, si une machine virtuelle se trouve dans un dossier de machine virtuelle etappartient également à un pool de ressources, cette machine virtuelle hérite de tous les paramètresd'autorisation du dossier de la machine virtuelle et de ceux du pool de ressources.

Les autorisations appliquées sur un objet enfant ignorent toujours les autorisations qui sont appliquées surun objet parent. Reportez-vous à « Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent »,page 64.

Si des autorisations multiples de groupes sont définies sur le même objet et qu'un utilisateur appartient à aumoins deux de ces groupes, deux situations sont possibles :



Sécurité vSphere

96 VMware, Inc.

Exemple 1 : Héritage d'autorisations multiplesCet exemple illustre comment un objet peut hériter d'autorisations multiples de groupes auxquels ont étéaccordés l'autorisation sur un objet parent.

Dans cet exemple, deux autorisations sont assignées sur le même objet pour deux groupes différents.




n On accorde au groupes B le rôle 2 sur le dossier de VM, avec l'autorisation définie pour propager auxobjets enfant.

n Aucun privilège spécifique n'est attribué à l'utilisateur 1.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. L'utilisateur 1 peut mettre sous tension etprendre des snapshots de VM A et de VM B.

Figure 7‑1. Exemple 1 : Héritage d'autorisations multiples

VM A

VM B

Dossier de VM


l'utilisateur 1 a des autorisations du rôle 1 et du rôle 2


Exemple 2 : Autorisations d'enfant ignorant des autorisations de parentCet exemple illustre comment les autorisations qui sont assignées sur un objet enfant peuvent ignorer lesautorisations qui sont assignées sur un objet parent. Vous pouvez utiliser ce comportement de non prise encompte pour limiter l'accès client à des zones spécifiques de l'inventaire.

Dans cet exemple, des autorisations sont définies sur deux objets différents pour deux groupes différents.




n On accorde le groupes B le rôle 2 sur VM B.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. Puisque le rôle 2 est assigné à un pointinférieur dans la hiérarchie que le rôle 1, il ignore le rôle 1 sur VM B. L'utilisateur 1 peut mettre sous tensionVM A, mais ne peut pas prendre des snapshots. L'utilisateur 1 peut prendre des snapshots de VM B, mais nepeut pas les mettre sous tension.

Figure 7‑2. Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent

VM A

VM B

Dossier de VM






VMware, Inc. 97

Exemple 3 : Rôle d'utilisateur supprimant un rôle de groupeCet exemple illustre comment le rôle attribué directement à un utilisateur individuel remplace les privilègesassociés à un rôle attribué à un groupe.

Dans cet exemple, les autorisations sont définies sur le même objet. Une autorisation associe un groupe à unrôle et l'autre l'autorisation associe un utilisateur individuel à un rôle. L'utilisateur est un membre dugroupe.


n On accorde au groupes A le rôle 1 sur le dossier de VM.

n On accorde à l'utilisateur 1 un rôle Aucun accès sur le dossier de VM.

L'utilisateur 1, qui appartient au groupes A, se connecte. Le rôle Aucun accès accordé à l'utilisateur 1 sur ledossier de VM remplace le rôle attribué au groupe. L'utilisateur 1 n'a aucun accès au dossier ou aux VM A etB. de VM.

Figure 7‑3. Exemple 3 : Autorisations d'utilisateurs ignorant des autorisations de groupes

VM A

VM B

Dossier de VM

utilisateur 1 + aucun accès

l'utilisateur 1 n'a aucun accès au dossier ou les machines virtuelles


Autorisations de l'utilisateur racineCréez un compte d'utilisateur non-racine pour un accès d'administration locale.

Par défaut, chaque hôte ESXi possède un compte d'utilisateur racine disposant des privilègesd'administrateur complets qui peut être utilisé à des fins d'administration locale et pour connecter l'hôte àvCenter Server. Le partage d'un compte racine commun permet de simplifier l'insertion dans un hôte ESXi.

Créez au moins un compte d'utilisateur nommé, attribuez-lui des privilèges administratifs complets, puisutilisez-le à la place du compte racine. Définissez un mot de passe avec un niveau de complexité élevé pourle compte racine et limitez l'utilisation de ce compte. (Ne retirez pas l'utilisateur racine.)

Important Si vous supprimez les autorisations d'accès pour l'utilisateur racine, vous devez d'abord créerune autre autorisation au niveau de la racine ayant un autre utilisateur assigné au rôle de l'administrateur.

Remarque Dans vSphere 5.1 et versions ultérieures, seul l'utilisateur racine est autorisé à ajouter un hôte àvCenter Server. Aucun autre utilisateur disposant des privilèges d'administrateur n'y est autorisé.

L'assignation du rôle Administrateur à un utilisateur différent vous permet de maintenir la sécurité à traversla traçabilité. vSphere Client enregistre toutes les actions que l'utilisateur du rôle Administrateur initialisecomme événements, et vous fournit une piste d'audit. Si tous les administrateurs ouvrent une session entant qu'utilisateur racine, vous ne pouvez pas savoir quel administrateur a effectué une action. Si vous créezplusieurs autorisations au niveau de la racine (chacune étant associée à un utilisateur différent) vous pouvezsuivre les actions de chaque administrateur.

Sécurité vSphere

98 VMware, Inc.

autorisations de vpxuserL'autorisation de vpxuser est utilisée par vCenter Server pour gérer les activités de l'hôte.

vCenter Server possède des privilèges d'administrateur sur l'hôte qu'il gère. Par exemple, vCenter Serverpeut transférer des machines virtuelles vers/depuis des hôtes et effectuer les changements de configurationrequis pour prendre en charge des machines virtuelles.

L'administrateur vCenter Server peut exécuter sur l'hôte la majorité des tâches de l'utilisateur racine, maisaussi programmer des tâches, utiliser des modèles, etc. Cependant, l'administrateur vCenter Server ne peutpas directement créer, supprimer ou modifier des utilisateurs et groupes locaux pour des hôtes. Ces tâchespeuvent uniquement être exécutées par un utilisateur disposant des autorisations administrateurdirectement sur chaque hôte.

Remarque Vous ne pouvez pas gérer vpxuser via Active Directory.

Avertissement Ne modifiez vpxuser en aucune façon. Ne modifiez pas son mot de passe. Ne modifiez passes autorisations. Dans le cas contraire, vous risquez d'avoir des difficultés à utiliser des hôtes viavCenter Server.

S'assurer que le mot de passe vpxuser respecte la stratégieLorsque vous ajoutez un hôte à l'inventaire de vCenter Server, vCenter Server crée un compte utilisateurspécial, appelé vpxuser, sur l'hôte. vpxuser est un compte privilégié agissant comme serveur proxy pourtoutes les actions initiées via vCenter Server. Assurez-vous que les paramètres par défaut concernant le motde passe vpxuser répondent aux exigences de la stratégie de mot de passe de votre organisation.

Par défaut, vCenter Server génère un nouveau mot de passe vpxuser tous les 30 jours en utilisant desbibliothèques de chiffrement OpenSSL, afin d'en assurer le caractère aléatoire. Ce mot de passe doit contenir32 caractères dont au moins un symbole des quatre catégroies de caractères suivantes : symboles(-./:=@[\\]^_{}~), chiffres (1-9), lettres majuscules et lettres minuscules. S'assurer que le mot de passe expirede manière périodique limite le temps pendant lequel un agresseur peut utiliser le mot de passe vpxuser sicelui-ci est compromis.

Vous pouvez modifier les valeurs par défaut d'expiration et de longueur du mot de passe pour qu'ellesrépondent à votre stratégie de mot de passe. L'utilisation de mots de passe plus courts et modifiés à unefréquence moindre rend votre environnement moins sécurisé.

Important Pour éviter que vCenter Server soit privé d'accès à l'hôte ESXi, la stratégie en matièred'expiration de mots de passe ne doit pas être plus courte que l'intervalle défini pour modifierautomatiquement le mot de passe vpxuser.

Procédure

1 Pour modifier la stratégie de longueur de mot de passe, modifiez le paramètrevpxd.hostPasswordLength dans le fichier de configuration de vCenter Server du système sur lequelvCenter Server fonctionne.

Système d'exploitation Emplacement par défaut

Windows C:\Documents and Settings\All Users\Application Data\VMwareVirtualCenter\vpxd.cfg

Linux /etc/vmware-vpx/vpxd.cfg


VMware, Inc. 99

2 Pour modifier les exigences liées à l'expiration du mot de passe, utilisez la boite de dialogue Paramètresavancés dans vSphere Web Client.

a Accédez au système vCenter Server dans l'inventaire vSphere Web Client.

b Cliquez sur l'onglet Gérer puis sur Paramètres.

c Sélectionnez Paramètres avancés

d Cliquez sur Modifier et localisez le paramètre VirtualCenter.VimPasswordExpirationInDays.

e Tapez la nouvelle valeur et cliquez sur OK.

3 Redémarrez vCenter Server.

autorisations de l'utilisateur dcuiL'utilisateur dcui s'exécute sur des hôtes et dispose des droits d'Administrateur. L'objectif principal de cetutilisateur est de configurer des hôtes pour le mode verrouillage à partir de l'interface utilisateur de consoledirecte (DCUI).

Cet utilisateur agit en tant qu'agent pour la console directe et ne peut pas être modifié ou utilisé par desutilisateurs interactifs.

Utilisation d'Active Directory pour gérer des utilisateurs ESXiVous pouvez configurer l'hôte ESXi afin qu'il utilise un service d'annuaire tel qu'Active Directory pour gérerles utilisateurs.

La création de comptes utilisateurs locaux sur chaque hôte pose des difficultés de synchronisation du nom etdu mot de passe des comptes parmi plusieurs hôtes. Intégrez les hôtes ESXi à un domaine Active Directorypour éliminer la nécessité de créer et de maintenir des comptes utilisateurs locaux. L'utilisation d'ActiveDirectory pour l'authentification des utilisateurs simplifie la configuration de l'hôte ESXi et réduit le risquede problèmes de configuration qui pourraient entraîner des accès non autorisés.

Lorsque vous utilisez Active Directory, les utilisateurs entrent les informations d'identification ActiveDirectory et le nom de domaine du serveur Active Directory lorsqu'ils ajoutent un hôte à un domaine.

Configurer un hôte pour utiliser Active Directory dans vSphere Web ClientVous pouvez configurer un hôte pour utiliser un service d'annuaire comme Active Directory afin de gérerles groupes de travail et les utilisateurs.

Lorsque vous ajoutez un hôte ESXi dans Active Directory, tous les comptes utilisateurs et groupes reçoiventun accès d'administration complet à l'hôte, si le groupe ESX Admins existe. Si vous ne voulez pas rendredisponible l'accès d'administration complet, consultez l'article 1025569 de la base de connaissances VMwarepour une solution.

Remarque Lorsque vous définissez les paramètres des comptes utilisateurs dans Active Directory, vouspouvez limiter les ordinateurs auxquels un utilisateur peut se connecter en fonction du nom de cesordinateurs. Par défaut, aucune restriction équivalente n'est définie pour un compte utilisateur. Si vousdéfinissez cette limitation, les requêtes Bind LDAP pour le compte utilisateur échouent avec le message LDAPbinding not successful, même si la requête provient d'un ordinateur référencé. Vous pouvez éviter ceproblème en ajoutant le nom netBIOS du serveur Active Directory à la liste des ordinateurs auxquels lecompte utilisateur peut se connecter.

Prérequis

n Vérifiez que vous disposez d'un domaine Active Directory. Reportez-vous à la documentation de votreserveur d'annuaire.

Sécurité vSphere

100 VMware, Inc.

n Assurez-vous que le nom d'hôte d'ESXi est pleinement qualifié par le nom de domaine de la forêtActive Directory.

fully qualified domain name = host_name.domain_name

Procédure

1 Synchronisez le temps entre ESXi et le système de service d'annuaire en utilisant NTP.

Consultez la base des connaissances VMware pour plus d'informations sur la synchronisation del'heure ESXi avec un contrôleur de domaine Microsoft.

2 Assurez-vous que les serveurs DNS que vous avez configurés pour l'hôte peuvent retrouver les nomsd'hôte des contrôleurs Active Directory.

a Accédez à l'hôte dans le navigateur d'objets de vSphere Web Client.

b Cliquez sur l’onglet Gérer, puis cliquez sur Mise en réseau.

c Cliquez sur DNS et vérifiez que le nom de l'hôte et les informations sur le serveur DNS de l'hôtesont corrects.

Suivant

Utilisez vSphere Web Client pour rejoindre un domaine de service d'annuaire.

Ajouter un hôte à un domaine de service d'annuaire dans vSphere Web ClientPour utiliser un service d'annuaire, vous devez joindre l'hôte au domaine de service d'annuaire.

Vous pouvez entrer le nom de domaine de l'une des deux façons suivantes :

n name.tld (par exemple, domain.com): Le compte est créé sous le récipient par défaut.

n name.tld/container/path (par exemple, domain.com/OU1/OU2) : Le compte est créé sous une unitéd'organisation (OU) précise.

Pour utiliser le service vSphere Authentication Proxy, consultez« Utiliser vSphere Authentication Proxypour ajouter un hôte à un domaine dans vSphere Web Client », page 119.

Procédure



3 Sous Système, sélectionnez Services d'authentification.

4 Cliquez sur Joindre le domaine.

5 Entrez un domaine.

Utilisez le format name.tld ou name.tld/container/path.

6 Entrez le nom d'utilisateur et le mot de passe d'un utilisateur service d'annuaire autorisé à lier l'hôte audomaine, puis cliquez sur OK.

7 Cliquez sur OK pour fermer la boîte de dialogue Configuration des services d'annuaire.


VMware, Inc. 101

Afficher les paramètres du service d'annuaire dans vSphere Web ClientVous pouvez afficher le type de serveur d'annuaire, le cas échéant, que l'hôte utilise pour authentifier lesutilisateurs et les paramètres du serveur d'annuaire.

Procédure



3 Sous Système, sélectionnez Services d'authentification.

La page Services d'authentification affiche le service d'annuaire et les paramètres du domaine.

Remplacement de certificats et de clés SSL pour ESXiLa stratégie de sécurité de votre entreprise peut imposer le remplacement du certificat SSL par défaut d'ESXipar un certificat approuvé sur chaque hôte. Vous pouvez également régénérer un certificat auto-signé et uneclé si le certificat et la clé par défaut ont été accidentellement supprimés.

Les certificats SSL servent à répondre de l'identité des composants impliqués dans la communication et àsécuriser la communication entre les composants de vSphere.

Par défaut, les composants de vSphere utilisent le certificat auto-signé et la clé créés lors de l'installation. Lescertificats auto-signés sont aussi sécurisés que les certificats émis par une autorité de certification externe àcondition que l'utilisateur valide le certificat et son empreinte lors de l'affichage de la boîte de dialogued'avertissement.

Remplacez les certificats auto-signés par des certificats provenant d'une autorité de certification approuvée,soit une autorité de certification commerciale, soit l'autorité de certification d'une organisation, si la stratégiede l'entreprise l'impose. Envisagez également de remplacer les certificats pour éviter que les utilisateurs neprennent l'habitude de cliquer sur les avertissements de navigateur pour les ignorer. L'avertissement peutconstituer une indication d'une attaque d'intercepteur, et seul le contrôle du certificat et de l'empreinte peutvous protéger de ce type d'attaques.

Vous pouvez remplacer de plusieurs manières les certificats par défaut par des certificats approuvés.

n « Remplacer un certificat et une clé ESXi par défaut dans ESXi Shell », page 103

n « Remplacer un certificat et une clé ESXi par défaut à l'aide de la commande vifs », page 104

n « Remplacer un certificat et une clé ESXi par défaut à l'aide de HTTPS PUT », page 105

Si vous avez accidentellement supprimé le certificat auto-signé et la clé par défaut, ou si vous avez changé lenom d'hôte, vous pouvez générer un nouveau certificat auto-signé et une nouvelle clé à partir d'ESXi Shell.Reportez-vous à « Générer de nouveaux certificats auto-signés pour ESXi », page 103.

Préparation de votre environnement pour le remplacement des certificats ESXiSi vous envisagez de remplacer le certificat et la clé par défaut par un certificat et une clé d'une autorité decertification, assurez-vous que le logiciel requis est installé dans votre environnement.

Votre environnement n'a pas à répondre à ces exigences si vous utilisez des certificats auto-signés.

n Autorité de certification Microsoft (2000 ou version ultérieure), avec un modèle de serveur Web

n Microsoft Visual C++ 2008 Redistributable Package (x86) installé sur le système où vous allez générer lademande de signature de certificat

n OpenSSL 0.98r ou une version ultérieure installé sur le système où vous allez générer la demande designature de certificat

Sécurité vSphere

102 VMware, Inc.

n Putty ou un autre client SSH (recommandé)

n WinSCP ou un autre client SFTP/SCP

n vCenter Server

n ESXi 5.1 ou une version ultérieure

Générer de nouveaux certificats auto-signés pour ESXiEn règle générale, vous générez de nouveaux certificats uniquement si vous changez le nom de l'hôte ousupprimez accidentellement le certificat. Dans certaines circonstances, vous devrez forcer l'hôte à générer denouveaux certificats.

Remarque Pour bénéficier de tous les avantages du contrôle des certificats, notamment si vous prévoyezd'utiliser des connexions distantes chiffrées en externe, n'utilisez pas de certificats auto-signés. Installezplutôt de nouveaux certificats signés par une autorité de certification interne valide ou achetez un certificatauprès d'une autorité de sécurité de confiance.

Procédure

1 Connectez-vous à ESXi Shell en tant qu'utilisateur ayant des privilèges d'administrateur.

2 Dans l'inventaire /etc/vmware/ssl, sauvegardez tous les certificats existants en les renommant à l'aidedes commandes suivantes :

mv rui.crt orig.rui.crt

mv rui.key orig.rui.key

Remarque Si vous régénérez des certificats parce que vous les avez supprimés, cette étape est inutile.

3 Exécutez la commande /sbin/generate-certificates pour générer de nouveaux certificats.

4 Redémarrez l'hôte.

La génération des certificats les place à l'emplacement approprié. Vous pouvez également mettre l'hôteen mode de maintenance, installer le nouveau certificat, puis utiliser l'interface utilisateur de consoledirecte (DCUI) pour redémarrer les agents de gestion.

5 Vérifiez que l'hôte a réussi à générer les nouveaux certificats en utilisant la commande suivante et encomparant les horodatages des nouveaux fichiers de certificat à orig.rui.crt et orig.rui.key.

ls -la

Suivant

Envisagez de remplacer le certificat auto-signé et la clé par un certificat et une clé approuvés.

Remplacer un certificat et une clé ESXi par défaut dans ESXi ShellESXi utilise des certificats générés automatiquement, créés lors du processus d'installation. Ces certificatssont uniques et permettent de commencer à utiliser le serveur, mais ils ne sont pas vérifiables et ne sont passignés par une autorité de certification (CA) de confiance. Cette rubrique explique comment remplacer lescertificats par défaut par des certificats auto-signés ou signés par une autorité de certification.

L'utilisation de certificats par défaut n'est peut-être pas conforme aux règles de sécurité de votreorganisation. Si vous avez besoin d'un certificat d'une autorité de certification approuvée, vous pouvezremplacer le certificat par défaut.

Remarque Si l'option Vérifier les certificats est activée dans l'hôte, le remplacement du certificat par défautpeut provoquer l'arrêt de la gestion de l'hôte par vCenter Server. Déconnectez et reconnectez l'hôte sivCenter Server ne peut pas vérifier le nouveau certificat.


VMware, Inc. 103

ESXi prend en charge uniquement les certificats X.509 pour chiffrer les informations de session envoyées surles connexions SSL entre les composants du serveur et du client.

Prérequis

n Si vous souhaitez utiliser des certificats signés par une autorité de certification, générez la demande decertificat, envoyez-la à l'autorité de certification et stockez les certificats que vous recevez dans unemplacement accessible par l'hôte.

n Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client. Reportez-vous à lasection « Utiliser vSphere Web Client pour activer l'accès à ESXi Shell », page 108.

n Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPSsécurisée. L'utilisateur servant à authentifier la session doit disposer du privilègeHôte.Config.AdvancedConfig sur l'hôte. Pour plus d'informations sur les privilèges ESXi, reportez-vous à la publication Gestion d'un hôte vSphere unique.

Procédure

1 Connectez-vous à ESXi Shell, directement à partir de l'interface utilisateur de la console directe (DCUI)ou à partir d'un client SSH, en tant qu'utilisateur disposant de privilèges d'administrateur.

2 Dans l'inventaire /etc/vmware/ssl, renommer les certificats existants à l'aide des commandessuivantes :

mv rui.crt orig.rui.crt

mv rui.key orig.rui.key

3 Copiez les certificats à utiliser dans /etc/vmware/ssl.

4 Renommer le nouveau certificat et la clé dans rui.crt et rui.key.

5 Redémarrez l'hôte après avoir installé le nouveau certificat.

Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliserl'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurerl'hôte pour quitter le mode de maintenance.

Remplacer un certificat et une clé ESXi par défaut à l'aide de la commande vifsESXi utilise des certificats générés automatiquement, créés lors du processus d'installation. Ces certificatssont uniques et permettent de commencer à utiliser le serveur, mais ils ne sont pas vérifiables et ne sont passignés par une autorité de certification (CA) de confiance.

L'utilisation de certificats par défaut n'est peut-être pas conforme aux règles de sécurité de votreorganisation. Si vous avez besoin d'un certificat d'une autorité de certification approuvée, vous pouvezremplacer le certificat par défaut.

Remarque Si l'option Vérifier les certificats est activée dans l'hôte, le remplacement du certificat par défautpeut provoquer l'arrêt de la gestion de l'hôte par vCenter Server. Déconnectez et reconnectez l'hôte sivCenter Server ne peut pas vérifier le nouveau certificat.

ESXi prend en charge uniquement les certificats X.509 pour chiffrer les informations de session envoyées surles connexions SSL entre les composants du serveur et du client.

Prérequis

Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée.L'utilisateur servant à authentifier la session doit disposer du privilège Hôte.Config.AdvancedConfig surl'hôte. Pour plus d'informations sur les privilèges ESXi, reportez-vous à la publication Gestion d'un hôtevSphere unique.

Sécurité vSphere

104 VMware, Inc.

Procédure

1 Sauvegardez les certificats existants.

2 Générez une demande de certificat en suivant les instructions de l'autorité de certification.

3 Dans l'invite de commande, utilisez la commande vifs pour charger le certificat à l'emplacementapproprié sur l'hôte.

vifs --server hostname --username username --put rui.crt /host/ssl_cert

vifs --server hostname --username username --put rui.key /host/ssl_key

4 Redémarrez l'hôte.

Vous pouvez également mettre l'hôte en mode maintenance, installer le nouveau certificat, puis utiliserl'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion.

Remplacer un certificat et une clé ESXi par défaut à l'aide de HTTPS PUTVous pouvez utiliser des applications tierces pour télécharger des certificats et une clé. Les applicationsprenant en charge les opérations HTTPS PUT utilisent l'interface HTTPS incluse avec ESXi.

Procédure

1 Dans votre application de chargement, ouvrez le fichier.

2 Publiez le fichier à l'un de ces emplacements.

Option Description

Certificats https://hostname/host/ssl_cert

Clés https://hostname/host/ssl_key Les emplacements /host/ssl_cert et host/ssl_key sont reliés aux fichiers de certificatsdans /etc/vmware/ssl.

3 Dans l'interface utilisateur de console directe (DCUI), utilisez l'opération Redémarrer les agents degestion pour initialiser les paramètres.

Téléchargement d'une clé SSH sur votre hôte ESXiVous pouvez utiliser des clés SSH pour restreindre, contrôler et sécuriser l'accès à un hôte ESXi. En utilisantune clé SSH, vous pouvez permettre à des utilisateurs ou des scripts approuvés de se connecter à un hôtesans spécifier le mot de passe.

Vous pouvez copier la clé SSH sur l'hôte en utilisant la commande vifs de l'interface de ligne de commandevSphere. Pour obtenir des informations sur l'installation et l'utilisation de l'ensemble de commandes del'interface de ligne de commande vSphere, reportez-vous à Démarrage avec les interfaces de ligne de commandevSphere. Il est également possible d'utiliser HTTPS PUT pour copier la clé SSK sur l'hôte.

Au lieu de générer les clés en externe et de les télécharger, vous pouvez les créer sur l'hôte ESXi et lestélécharger. Reportez-vous à l'article 1002866 de la base de connaissances VMware.

L'activation de SSH et l'ajout de clés SSH à l'hôte comportent des risques inhérents et ne sont pasrecommandés dans un environnement sécurisé. Reportez-vous à la section « Désactiver les clés autorisées(SSH) », page 88.

Remarque Dans ESXi 5.0 et versions ultérieures, un utilisateur disposant d'une clé SSH peut accéder àl'hôte même lorsque ce dernier est en mode verrouillage. Ce problème est résolu dans ESXi 5.1.


VMware, Inc. 105

http://kb.vmware.com/1002866

Charger une clé SSH à l'aide d'une commande vifsSi vous décidez d'utiliser des clés autorisées pour vous connecter à un hôte avec SSH, vous pouveztélécharger des clés autorisées avec une commande vifs.

Remarque Du fait que les clés autorisées permettent l'accès SSH sans nécessiter l'authentification del'utilisateur, demandez-vous vraiment si vous voulez utiliser des clés SSH dans votre environnement.

Les clés autorisées vous permettent d'authentifier un accès distant à un hôte. Lorsque des utilisateurs ou desscripts essaient d'accéder à un hôte avec SSH, la clé fournit l'authentification sans mot de passe. Les clésautorisées vous permettent d'automatiser l'authentification, ce qui est utile lorsque vous écrivez des scriptspour réaliser des tâches routinières.

Vous pouvez télécharger les types de clés SSH suivants sur un hôte.

n Fichier de clés autorisées pour un utilisateur racine

n Clé RSA

n Clé RSA publique

À partir de vSphere 6.0 Update 2, les clés DSS/DSA ne sont plus prises en charge.

Important Ne modifiez pas le fichier /etc/ssh/sshd_config.

Procédure

u Sur la ligne de commande ou un serveur d'administration, utilisez la commande vifs pour téléchargerla clé SSH dans l'emplacement approprié sur l'hôte ESXi.

vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub

Type de clés : Emplacement

Fichiers de clés autorisées pour unutilisateur racine

/host/ssh_root_authorized keys

Vous devez bénéficier de tous les privilèges Administrateur pourtélécharger ce fichier.

Clés RSA /host/ssh_host_rsa_key

Clés RSA publiques /host/ssh_host_rsa_key_pub

Charger une clé SSH à l'aide de HTTPS PUTVous pouvez utiliser des clés autorisées pour ouvrir une session sur un hôte avec SSH. Vous pouvez chargerles clés autorisées à l'aide de HTTPS PUT.

Les clés autorisées vous permettent d'authentifier un accès distant à un hôte. Lorsque des utilisateurs ou desscripts essaient d'accéder à un hôte avec SSH, la clé fournit l'authentification sans mot de passe. Les clésautorisées vous permettent d'automatiser l'authentification, ce qui est utile lorsque vous écrivez des scriptspour réaliser des tâches routinières.

Vous pouvez télécharger les types de clés SSH suivants sur un hôte à l'aide de HTTPS PUT :

n Fichier de clés autorisées pour un utilisateur racine

n Clé DSA

n Clé DSA publique

n Clé RSA

Sécurité vSphere

106 VMware, Inc.

n Clé RSA publique

Important Ne modifiez pas le fichier /etc/ssh/sshd_config.

Procédure

1 Dans votre application de chargement, ouvrez le fichier de clé.

2 Publiez le fichier aux emplacements suivants.

Type de clés : Emplacement

Fichiers de clés autorisées pour unutilisateur racine

https://hostname_or_IP_address/host/ssh_root_authorized_keys

Vous devez disposer de tous les privilèges Administrateur sur l'hôte pourtélécharger ce fichier.

Clés DSA https://hostname_or_IP_address/host/ssh_host_dsa_key

Clés DSA publiques https://hostname_or_IP_address/host/ssh_host_dsa_key_pub

Clés RSA https://hostname_or_IP_address/host/ssh_host_rsa_key

Clés RSA publiques https://hostname_or_IP_address/host/ssh_host_rsa_key_pub

Utilisation du ESXi ShellLe ESXi Shell (anciennement mode support technique ou TSM) est désactivé par défaut sur ESXi. Vouspouvez activer l'accès local et distant au shell si nécessaire.

Activez le ESXi Shell uniquement à des fins de dépannage. Le ESXi Shell peut être activé et désactivé, quel'hôte fonctionne en mode verrouillage ou non.

ESXi Shell Activez ce service pour accéder localement au ESXi Shell.

SSH Activez ce service pour accéder à distance au ESXi Shell en utilisant SSH.

Interface utilisateur dela console directe(DCUI)

Lorsque vous activez ce service en mode verrouillage, vous pouvez vousconnecter localement à l'interface utilisateur de la console directe en tantqu'utilisateur racine, puis désactiver le mode verrouillage. Vous pouvezensuite accéder à l'hôte via une connexion directe à vSphere Client ou enactivant le ESXi Shell.

L'utilisateur racine et les utilisateurs disposant du rôle d'administrateur peuvent accéder au ESXi Shell. Lesutilisateurs du groupe Active Directory ESX Admins reçoivent automatiquement le rôle d'Administrateur.Par défaut, seul l'utilisateur racine peut exécuter des commandes système (telles que vmware -v) en utilisantESXi Shell.

Remarque N'activez pas le ESXi Shell tant que cela n'est pas nécessaire.

n Utiliser vSphere Web Client pour activer l'accès à ESXi Shell page 108Vous pouvez utiliser vSphere Web Client pour activer un accès local et distant (SSH) au serviceESXi Shell et pour définir le délai d'attente d'inactivité et le délai d'attente de disponibilité.

n Utiliser l'interface utilisateur de la console directe (DCUI) pour activer l'accès au service ESXi Shellpage 110L'interface utilisateur de la console directe (DCUI) vous permet d'interagir avec l'hôte localement enutilisant des menus textuels. Évaluez avec soin si les exigences de votre environnement en matière desécurité permettent l'activation de l'interface utilisateur de la console directe (DCUI).


VMware, Inc. 107

n Connexion au ESXi Shell pour une opération de dépannage page 111Effectuez des tâches de configuration d'ESXi avec vSphere Web Client, vSphere CLI ou vSpherePowerCLI. Connectez-vous au ESXi Shell (anciennement mode support technique ou TSM)uniquement à des fins de dépannage.

n Sécurité SSH page 112Vous pouvez utiliser SSH pour vous connecter à distance au ESXi Shell et accomplir des tâches dedépannage pour l'hôte.

Utiliser vSphere Web Client pour activer l'accès à ESXi ShellVous pouvez utiliser vSphere Web Client pour activer un accès local et distant (SSH) au service ESXi Shell etpour définir le délai d'attente d'inactivité et le délai d'attente de disponibilité.

Remarque Accédez à l'hôte à l'aide de vSphere Web Client, d'outils de ligne de commande à distance(vCLI et PowerCLI) et d'API publiées. N'activez pas l'accès à distance à l'hôte à l'aide de SSH, sauf si descirconstances spéciales imposent l'activation de l'accès SSH.

Prérequis

Si vous souhaitez utiliser une clé SSH autorisée, vous pouvez la télécharger. Reportez-vous à la section « Téléchargement d'une clé SSH sur votre hôte ESXi », page 105.

Procédure



3 Dans Système, sélectionnez Profil de sécurité.

4 Dans le panneau Services, cliquez sur Modifier.

5 Sélectionnez un service dans la liste.

n ESXi Shell

n SSH

n IU de Direct Console

6 Cliquez sur Détails du service et sélectionnez la règle de démarrage Démarrer et arrêtermanuellement.

Lorsque vous sélectionnez Démarrer et arrêter manuellement, le service ne démarre pas lorsque vousredémarrez l'hôte. Si vous voulez démarrer le service lors du redémarrage de l'hôte, sélectionnezDémarrer et arrêter avec hôte.

7 Sélectionnez Démarrer pour activer le service.

8 Cliquez sur OK.

Suivant

Définissez le délai d'attente de disponibilité et le délai d'inactivité pour ESXi Shell. Reportez-vous à « Créerun délai d'attente de disponibilité pour ESXi Shell dans vSphere Web Client », page 109 et « Créer un délaid'expiration pour les sessions ESXi Shell inactives dans vSphere Web Client », page 109

Sécurité vSphere

108 VMware, Inc.

Créer un délai d'attente de disponibilité pour ESXi Shell dans vSphere Web ClientESXi Shell est désactivé par défaut. Vous pouvez paramétrer un délai d'attente de disponibilité pourESXi Shell pour renforcer la sécurité quand vous activez le shell.

La valeur du délai d'attente de disponibilité correspond au temps qui peut s'écouler avant de vous connectersuite à l'activation de ESXi Shell. Lorsque le délai est écoulé, le service est désactivé et les utilisateurs ne sontplus autorisés à se connecter.

Procédure



3 Dans Système, sélectionnez Paramètres système avancés.

4 Sélectionnez UserVars.ESXiShellTimeOut, puis cliquez sur l'icône Modifier.

5 Saisissez le paramètre de délai d'inactivité.

Vous devez redémarrer le service SSH et le service ESXi Shell pour que le délai soit pris en compte.

6 Cliquez sur OK.

Si vous avez ouvert une session au moment de l'expiration de ce délai, elle restera ouverte. Cependant, unefois que vous vous êtes déconnecté ou que votre session est terminée, les utilisateurs ne sont plus autorisés àse connecter.

Créer un délai d'expiration pour les sessions ESXi Shell inactives dansvSphere Web ClientSi un utilisateur active ESXi Shell sur un hôte mais oublie de se déconnecter de la session, la session inactivedemeure connectée indéfiniment. La connexion ouverte peut augmenter les possibilités qu'une personneobtienne un accès privilégié à l'hôte. Vous pouvez éviter cela en paramétrant un délai d'expiration dessessions inactives.

Le délai d'expiration d'inactivité correspond à la période au terme de laquelle un utilisateur est déconnectéd'une session interactive inactive. Vous pouvez définir ce délai pour les sessions locales et distantes (SSH)dans l'interface de la console directe (DCUI) ou dans vSphere Web Client.

Procédure



3 Dans Système, sélectionnez Paramètres système avancés.

4 Sélectionnez UserVars.ESXiShellInteractiveTimeOut, cliquez sur l'icône Modifier et saisissez leparamètre du délai d'expiration.

5 Redémarrez le service ESXi Shell et le service SSH pour que le délai d'expiration prenne effet.

Si la session est inactive, les utilisateurs sont déconnectés à l'expiration du délai d'attente.


VMware, Inc. 109

Utiliser l'interface utilisateur de la console directe (DCUI) pour activer l'accès auservice ESXi Shell

L'interface utilisateur de la console directe (DCUI) vous permet d'interagir avec l'hôte localement en utilisantdes menus textuels. Évaluez avec soin si les exigences de votre environnement en matière de sécuritépermettent l'activation de l'interface utilisateur de la console directe (DCUI).

Vous pouvez utiliser l'interface utilisateur de la console directe pour activer l'accès local et distant au serviceESXi Shell.

Remarque Les modifications apportées à l'hôte en utilisant l'interface utilisateur de la console directe,vSphere Web Client, ESXCLI ou d'autres outils d'administration sont enregistrées dans un stockagepermanent toutes les heures ou lors d'un arrêt dans les règles. Les modifications peuvent se perdre si l'hôteéchoue avant qu'elles ne soient enregistrées.

Procédure

1 Dans l'interface utilisateur de la console directe, appuyez sur F2 pour accéder au menu Personnalisationdu système.

2 Sélectionnez Options de dépannage et appuyez sur Entrée.

3 Dans le menu des options de mode de dépannage, sélectionnez un service à activer.

n Activer ESXi Shell

n Activer SSH

4 Appuyez sur Entrée pour activer le service souhaité.

5 Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de laconsole directe.

Suivant

Définissez le délai d'attente de disponibilité et le délai d'inactivité du service ESXi Shell. Voir « Créer undélai d'attente de disponibilité pour ESXi Shell dans l'interface utilisateur de console directe », page 110 et « Créer un délai d'expiration pour des sessions ESXi Shell inactives », page 111.

Créer un délai d'attente de disponibilité pour ESXi Shell dans l'interface utilisateurde console directeESXi Shell est désactivé par défaut. Vous pouvez paramétrer un délai d'attente de disponibilité pourESXi Shell pour renforcer la sécurité quand vous activez le shell.

La valeur du délai d'attente de disponibilité correspond au temps qui peut s'écouler avant de vous connectersuite à l'activation de ESXi Shell. Lorsque le délai est écoulé, le service est désactivé et les utilisateurs nepeuvent plus se connecter.

Procédure

1 Dans le menu des options de mode de dépannage, sélectionnez Modifier les délais d'ESXi Shell et deSSH et cliquez sur Entrée.

2 Entrez le délai d'attente de disponibilité.


3 Appuyez sur Entrée et Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateurde console directe.

4 Cliquez sur OK.

Sécurité vSphere

110 VMware, Inc.

Si vous avez ouvert une session au moment de l'expiration de ce délai, elle restera ouverte. Cependant, unefois que vous vous êtes déconnecté ou que votre session est terminée, les utilisateurs ne sont plus autorisés àse connecter.

Créer un délai d'expiration pour des sessions ESXi Shell inactivesSi un utilisateur active ESXi Shell sur un hôte mais oublie de se déconnecter de la session, la session inactivedemeure connectée indéfiniment. La connexion ouverte peut augmenter les possibilités qu'une personneobtienne un accès privilégié à l'hôte. Vous pouvez éviter cela en paramétrant un délai d'expiration dessessions inactives.

Le délai d'inactivité correspond au temps qui peut s'écouler avant que l'utilisateur ne soit déconnecté d'unesession interactive inactive. Les modifications du délai d'inactivité s'appliquent lors de la prochaineconnexion de l'utilisateur à ESXi Shell et n'affectent pas les sessions existantes.

Vous pouvez spécifier le délai d'expiration en secondes dans l'interface DCUI (Direct Console UserInterface) ou en minutes dans vSphere Web Client.

Procédure

1 Dans le menu des options de mode de dépannage, sélectionnez Modifier les délais d'ESXi Shell et deSSH et cliquez sur Entrée.

2 Entrez le délai d'expiration en secondes.


3 Appuyez sur Entrée et Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateurde console directe.

Si la session est inactive, les utilisateurs sont déconnectés à l'expiration du délai d'attente.

Connexion au ESXi Shell pour une opération de dépannageEffectuez des tâches de configuration d'ESXi avec vSphere Web Client, vSphere CLI ou vSphere PowerCLI.Connectez-vous au ESXi Shell (anciennement mode support technique ou TSM) uniquement à des fins dedépannage.

Procédure

1 Connectez-vous au ESXi Shell en utilisant l'une des méthodes suivantes.

n Si vous avez un accès direct à l'hôte, appuyez sur la combinaison de touches Alt+F1 pour ouvrir lapage de connexion de la console physique de la machine.

n Si vous vous connectez à l'hôte à distance, utilisez SSH ou une autre connexion à distance pourouvrir une session sur l'hôte.

2 Entrez un nom d'utilisateur et un mot de passe reconnus par l'hôte.


VMware, Inc. 111

Sécurité SSHVous pouvez utiliser SSH pour vous connecter à distance au ESXi Shell et accomplir des tâches dedépannage pour l'hôte.

La configuration SSH d'ESXi est améliorée et offre un haut niveau de sécurité.

Désactivation de laversion 1 du protocoleSSH

VMware ne prend pas en charge la version 1 du protocole SSH . Il utilisedésormais exclusivement la version 2. La version 2 permet d'éliminer certainsproblèmes de sécurité qui se produisaient dans la version 1 et offre unecommunication plus sûre grâce à l'interface de gestion.

Chiffrement renforcé Pour les connexions, SSH ne prend en charge que les chiffrements AES256 bits et 128 bits.

Ces paramètres sont destinés à assurer une protection renforcée des données transmises à l'interface degestion via SSH. Vous ne pouvez pas modifier ces paramètres.

Mode verrouillagePour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. Enmode verrouillage, toutes les opérations doivent être exécutées via vCenter Server. Seul l'utilisateur vpxuserdispose d'autorisations d'authentification ; aucun autre utilisateur ne peut exécuter des opérationsdirectement auprès de l'hôte.

Lorsqu'un hôte est en mode de verrouillage, vous ne pouvez pas exécuter de commandes vSphere CLI àpartir d'un serveur d'administration, d'un script ou d'un vMA par rapport à l'hôte. Les outils logiciels et degestion externes peuvent ne pas pouvoir récupérer ou modifier les informations de l'hôte ESXi.

Remarque Des privilèges d'accès à l'interface DCUI peuvent être clairement attribués aux utilisateurs avecl'option de configuration avancée Accès DCUI. La clé de cette option est DCUI.Access et sa valeur est uneliste séparée par des virgules contenant les utilisateurs ESXi. Les utilisateurs dans la liste peuvent accéder àl'interface DCUI à tout moment, même s'ils ne sont pas administrateurs et même si l'hôte est en mode deverrouillage.

L'activation ou non du mode de verrouillage affecte les types d'utilisateurs autorisés à accéder aux servicesd'hôte, mais n'affecte pas la disponibilité de ces services. En d'autres termes, si les services ESXi Shell, SSHou DCUI (Direct Console User Interface) sont activés, ils continueront de s'exécuter, que l'hôte soit ou non enmode de verrouillage.

Vous pouvez activer le mode de verrouillage à l'aide de l'assistant Ajouter hôte pour ajouter un hôte àvCenter Server, à l'aide de vSphere Web Client pour gérer un hôte ou bien via l'interface utilisateur de laconsole directe (DCUI).

Remarque Si vous activez ou désactivez le mode de verrouillage en utilisant l'interface DCUI, lesautorisations des utilisateurs et des groupes sur l'hôte sont supprimées. Pour conserver ces autorisations,vous devez activer et désactiver le mode de verrouillage en utilisant vSphere Web Client connecté àvCenter Server.

Le mode de verrouillage est disponible uniquement sur les hôtes ESXi qui ont été ajoutés à vCenter Server.

Sécurité vSphere

112 VMware, Inc.

Comportement du mode de verrouillageActiver le mode verrouillage détermine quels utilisateurs sont autorisés à accéder aux services hôtes.

Utilisateurs connectés lors de l'activation du mode de verrouillageLes utilisateurs qui étaient connectés à ESXi Shell avant l'activation du mode de verrouillage restentconnectés et peuvent exécuter des commandes. Toutefois, ces utilisateurs ne peuvent pas désactiver le modede verrouillage. Aucun autre utilisateur, notamment l'utilisateur racine et les utilisateurs ayant le rôleAdministrateur sur l'hôte, ne peut utiliser ESXi Shell pour se connecter à un hôte verrouillé.

Accès avec vCenter ServerLes utilisateurs ayant les privilèges d'administrateur sur le système vCenter Server peuvent utiliservSphere Web Client pour désactiver le mode de verrouillage pour les hôtes gérés par le systèmevCenter Server.

Accès avec l'interface utilisateur de la console directe (DCUI)Les utilisateurs qui disposent du privilège d'accès à l'interface DCUI peuvent à tout moment se connecterdirectement à l'hôte via l'interface utilisateur de la console directe (DCUI) pour désactiver le modeverrouillage, même s'ils n'ont pas le rôle d'administrateur sur l'hôte. Vous devez utiliser les paramètresavancés pour accorder le privilège d'accès à l'interface DCUI.

Remarque Lorsque vous désactivez le mode verrouillage à l'aide de l'interface DCUI, vous accordez le rôled'administrateur sur l'hôte à tous les utilisateurs disposant du privilège d'accès à l'interface DCUI.

Les utilisateurs racine ou ceux qui disposent du rôle d'administrateur sur l'hôte ne peuvent pas se connecterdirectement à l'hôte via l'interface DCUI s'ils n'ont pas le privilège d'accès à l'interface DCUI. Si l'hôte n'estpas géré par vCenter Server ou s'il est inaccessible, seuls les utilisateurs ayant accès à DCUI peuvent seconnecter à DCUI et désactiver le mode verrouillage. Si le service DCUI est interrompu, vous devezréinstaller ESXi.

Services du mode de verrouillage pour différents utilisateursLe tableau suivant montre les services auxquels ont accès différents types d'utilisateurs lorsque l'hôtefonctionne en mode de verrouillage et en mode normal. En règle générale, les modifications peuventuniquement être apportées par le biais de vCenter Server. L'utilisateur racine peut apporter desmodifications dans l'interface de console directe, mais pas dans ESXi Shell ni par le biais d'une session SSH.

Tableau 7‑2. Comportement du mode de verrouillage

Service Mode normal Mode verrouillage

vSphere WebServices API Tous les utilisateurs, basés sur lesautorisations ESXi

vCenter seulement (vpxuser)

Fournisseurs CIM Utilisateurs racine et utilisateursdisposant du rôle administrateur surl'hôte

vCenter seulement (ticket)

Interface utilisateur de la consoledirecte (DCUI)

Utilisateurs racine et utilisateursdisposant du rôle administrateur surl'hôte

Utilisateurs Root


VMware, Inc. 113

Tableau 7‑2. Comportement du mode de verrouillage (suite)

Service Mode normal Mode verrouillage

ESXi Shell Utilisateurs racine et utilisateursdisposant du rôle administrateur surl'hôte

Aucun utilisateur

SSH Utilisateurs racine et utilisateursdisposant du rôle administrateur surl'hôte

Aucun utilisateur

Activation du mode verrouillage à l'aide de vSphere Web ClientVous pouvez activer le mode verrouillage afin d'imposer l'apport des modifications de configuration viavCenter Server. Vous pouvez également activer ou désactiver ce mode via l'interface utilisateur de consoledirecte (DCUI).

Procédure



3 Dans Système, sélectionnez Profil de sécurité.

4 Dans le panneau mode verrouillage, cliquez sur Modifier.

5 Sélectionnez Activer le mode verrouillage.

6 Cliquez sur OK.

Activation du mode verrouillage à partir de l'interface utilisateur de la consoledirecte

Vous pouvez activer le mode verrouillage depuis l'interface utilisateur de la console directe (DCUI).

Remarque Si vous activez ou désactivez le mode de verrouillage dans l'interface utilisateur de DirectConsole, les autorisations des utilisateurs sur l'hôte sont ignorées. Pour conserver ces autorisations, vousdevez activer et désactiver le mode de verrouillage dans vSphere Web Client connecté à vCenter Server.

Procédure

1 Dans l'interface utilisateur de la console directe de l'hôte, appuyez sur F2 et ouvrez une session.

2 Accédez au paramètre Configurer le mode verrouillage et appuyez sur Entrée.

3 Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de consoledirecte.

Sécurité vSphere

114 VMware, Inc.

Spécifier les utilisateurs disposant d'un accès à l'interface DCUI en mode deverrouillage

Vous pouvez spécifier quels utilisateurs peuvent se connecter à un hôte en mode verrouillage. Lesutilisateurs de la DCUI n'ont pas besoin de disposer de tous les privilèges d'administration sur l'hôte. Vouspouvez attribuer le privilège d'accès à l'interface DCUI dans les Paramètres avancés de vSphere Web Client.

Dans les versions de vSphere antérieures à vSphere 5.1, l'utilisateur racine peut se connecter à la DCUI surun hôte en mode verrouillage. Dans vSphere 5.1, vous pouvez spécifier quels utilisateurs ESXi locaux sontautorisés à se connecter à l'interface DCUI lorsque l'hôte est en mode verrouillage. Ces utilisateurs spéciauxn'ont pas besoin de disposer de tous les privilèges d'administration sur l'hôte. Spécifier des utilisateursautres que l'utilisateur racine anonyme vous permet d'obtenir un journal des utilisateurs ayant effectué desopérations sur l'hôte pendant que celui-ci était en mode verrouillage.

Important Lorsque vous désactivez le mode verrouillage à l'aide de l'interface DCUI, vous accordez lerôle d'administrateur sur l'hôte à tous les utilisateurs disposant du privilège d'accès à l'interface DCUI.

Procédure

1 Accédez à l'hôte dans le navigateur d'objets de vSphere Web Client.

2 Cliquez sur l'onglet Gérer puis sélectionnezParamètres.

3 Cliquez sur Paramètres système avancés puis sélectionnez le paramètre Accès DCUI.

4 Cliquez sur Modifier et saisissez les noms d'utilisateur, séparés par des virgules.

L'utilisateur racine est spécifié par défaut. Vous pouvez supprimer la racine de la liste des utilisateursayant accès à la DCUI, à la condition que vous spécifiiez au moins un autre utilisateur.

5 Cliquez sur OK.

Utiliser vSphere Authentication ProxyLorsque vous utilisez vSphere Authentication Proxy, il est inutile de transmettre les données d'identificationActive Directory à l'hôte. Les utilisateurs entrent le nom de domaine du serveur Active Directory et l'adresseIP du serveur proxy d'authentification lorsqu'ils ajoutent un hôte à un domaine.

Installer le service vSphere Authentication ProxyPour utiliser le service d'authentification vSphere Authentication Proxy, vous devez installer le service surune machine hôte.

Vous pouvez installer vSphere Authentication Proxy sur la même machine que le système vCenter Serverassocié ou sur une machine différente disposant d'une connexion réseau au vCenter Server. vSphereAuthentication Proxy n'est pas compatible avec les versions vCenter Server antérieures à la version 5.0.

Le service vSphere Authentication Proxy se lie à une adresse IPv4 pour communiquer avec vCenter Server,et ne prend pas en charge IPv6. vCenter Server peut être installé sur une machine hôte exclusivement enmode IPv4, en mode mixte IPv4/IPv6 ou exclusivement en mode IPv6, mais la machine qui se connecte àvCenter Server via vSphere Client doit disposer d'une adresse IPv4 pour que le service vSphereAuthentication Proxy fonctionne.

Prérequis

n Vérifiez que vous disposez des privilèges d'administrateur sur la machine hôte sur laquelle vousinstallez le service vSphere Authentication Proxy.

n Vérifiez que la machine hôte utilise Windows Installer 3.0 ou une version ultérieure.


VMware, Inc. 115

n Vérifiez que la machine hôte est dotée d'un processeur et d'un système d'exploitation compatibles.vSphere Authentication Proxy prend en charge les mêmes processeurs et systèmes d'exploitation quevCenter Server.

n Vérifiez que la machine hôte possède une adresse IPv4 valide. Vous pouvez installer vSphereAuthentication Proxy sur une machine hôte exclusivement en mode IPv4 ou en mode mixte IPv4/IPv6,mais vous ne pouvez pas installer vSphere Authentication Proxy sur une machine hôte en mode IPv6.

n Si vous installez vSphere Authentication Proxy sur une machine hôte Windows Server 2008 R2,téléchargez et installez le correctif logiciel Windows décrit dans Windows KB Article 981506 sur le siteWeb support.microsoft.com. Si vous n'installez pas ce correctif, l'initialisation d'Authentication ProxyAdapter échoue. Ce problème est accompagné de messages d'erreur consignés dans camadapter.logsimilaires à Échec de la liaison du site Web CAM avec CTL et Échec de l'initialisation deCAMAdapter.

Collectez les informations suivantes pour terminer l'installation :

n L'emplacement d'installation de vSphere Authentication Proxy si vous n'utilisez pas l'emplacement pardéfaut.

n L'adresse IP ou le nom d'hôte, le port HTTP et les informations d'identification du système vCenterServer auquel vSphere Authentication Proxy doit se connecter.

n Le nom d'hôte ou l'adresse IP pour identifier la machine hôte vSphere Authentication Proxy sur leréseau.

Procédure

1 Sur la machine hôte sur laquelle vous avez installez le service vSphere Authentication Proxy,installez .NET Framework 3.5.

2 Installez vSphere Auto Deploy.

Il n'est pas nécessaire d'installer Auto Deploy sur la même machine hôte que le service vSphereAuthentication Proxy.

3 Ajoutez au domaine la machine hôte sur laquelle vous aller installer le service proxy d'authentification.

4 Utilisez le compte Administrateur de domaine pour vous connecter à la machine hôte.

5 Dans l'inventaire du logiciel d'installation, faites un double clic sur le fichier autorun.exe pour lancerl'installation.

6 Sélectionnez VMware vSphere Authentication Proxy et cliquez sur Installer.

7 Suivez les invites de l'assistant pour terminer l'installation.

Au cours de l'installation, le service d'authentification s'enregistre dans l'instance vCenter Server oùAuto Deploy est enregistré.

Le service de proxy d'authentification est installé sur la machine hôte.

Remarque Lorsque vous installez le service vSphere Authentication Proxy, le programme d'installationcrée un compte de domaine avec les privilèges appropriés pour exécuter le service proxy d'authentification.Le nom de compte commence par le préfixe CAM- et possède un mot de passe de 32 caractères généré demanière aléatoire associé. Le mot de passe n'expire jamais. Ne changez pas les paramètres du généraux.

Suivant

Configurez l'hôte pour utiliser le service de proxy d'authentification pour rejoindre le domaine.

Sécurité vSphere

116 VMware, Inc.

Configurer un hôte pour utiliser vSphere Authentication Proxy pourl'authentification

Après avoir installé le service vSphere Authentication Proxy (service CAM), vous devez configurer l'hôtepour utiliser le serveur proxy d'authentification pour authentifier les utilisateurs.

Prérequis

Installez le service vSphere Authentication Proxy (service CAM) sur un hôte, comme décrit dans « Installerle service vSphere Authentication Proxy », page 115.

Procédure

1 Utilisez IIS manager sur l'hôte pour définir la plage DHCP.

Définir la plage permet aux hôtes utilisant le DHCP dans le réseau de gestion d'utiliser le service deproxy d'authentification.

Option Action

Pour IIS 6 a Naviguez jusqu'au Site Web de gestion des comptes d'ordinateur.b Cliquez avec le bouton droit sur le répertoire virtuel CAM ISAPI.c Sélectionnez Propriétés > Sécurité du répertoire > Modifier l'adresse

IP et les restrictions de nom de domaine > Ajouter un grouped'ordinateurs.

Pour IIS 7 a Naviguez jusqu'au Site Web de gestion des comptes d'ordinateur.b Cliquez sur le répertoire virtuel CAM ISAPI du volet gauche et ouvrez

Adresse IPv4 et restrictions de domaine.c Sélectionnez Ajouter entrée autorisée > Plage d'adresse IPv4.

2 Si un hôte n'est pas provisionné par Auto Deploy, remplacez le certificat SSL par défaut par un certificat

auto-signé ou par un certificat signé par une autorité de certification (CA) privée.

Option Description

Certificat auto-signé Si vous remplacez le certificat par défaut par un certificat auto-signé,ajoutez l'hôte à vCenter Server pour que le serveur proxyd'authentification l'approuve.

Certificat signé par la CA Ajoutez le certificat signé par la CA (codé DER) au magasin d'approbationsde certificats local sur le système sur lequel le service proxyd'authentification est installé et redémarrez le service vSphereAuthentication Proxy Adapter.n Pour Windows 2003, copiez le fichier du certificat sur C:\Documents

and Settings\All Users\Application Data\VMware\vSphereAuthentication Proxy\trust.

n Pour Windows 2008, copiez le fichier du certificat sur C:\ProgramData\VMware\vSphere Authentication Proxy\trust.


VMware, Inc. 117

Authentification de vSphere Authentication Proxy sur ESXiAvant d'utiliser vSphere Authentication Proxy pour connecter l'ESXi à un domaine, vous devez authentifierle serveur vSphere Authentication Proxy sur ESXi. Si vous utilisez des profils d'hôte pour vous connecter àun domaine avec le serveur vSphere Authentication Proxy, vous n'avez pas à authentifier le serveur. Leprofil d'hôte authentifie le serveur proxy sur ESXi.

Pour authentifier l'ESXi afin d'utiliser vSphere Authentication Proxy, exportez le certificat du serveur dusystème vSphere Authentication Proxy et importez-le dans ESXi. Vous ne devez authentifier le serveurqu'une seule fois.

Remarque Par défaut, l'ESXidoit authentifier le serveur vSphere Authentication Proxy lorsqu'il l'utilisepour rejoindre un domaine. Assurez-vous que cette fonction d'authentification est toujours activée. Si vousdésactivez l'authentification, vous pouvez utiliser la boîte de dialogue Paramètres avancés pour définirl'attribut UserVars.ActiveDirectoryVerifyCAMCertifcate sur 0.

Exporter le certificat de vSphere Authentication ProxyPour authentifier vSphere Authentication Proxy dans ESXi, vous devez fournir à ESXi le certificat du serveurproxy.

Prérequis

Installez le service vSphere Authentication Proxy sur un hôte comme décrit dans « Installer le servicevSphere Authentication Proxy », page 115.

Procédure

1 Sur le système du serveur proxy d'authentification, utilisez IIS Manager pour exporter le certificat.

Option Action

Pour IIS 6 a Cliquez avec le bouton droit de la souris sur Site Web de gestion descomptes d'ordinateur.

b Sélectionnez Propriétés > Sécurité d'annuaire > Afficher le certificat.

Pour IIS 7 a Cliquez sur Site Web de gestion des comptes d'ordinateur dans levolet de gauche.

b Sélectionnez Liaisons pour ouvrir la boîte de dialogue Liaisons desites.

c Sélectionnez la liaison https.d Select Éditer > Afficher le certificat SSL.

2 Sélectionnez Détails > Copier vers un fichier.

3 Sélectionnez les options Ne pas exporter la clé privée et X.509 codé en base 64 (CER).

Suivant

Importez le certificat vers ESXi.

Importer un certificat de serveur proxy vers ESXi dans vSphere Web ClientPour authentifier le serveur vSphere Authentication Proxy Server dans ESXi, téléchargez le certificat duserveur proxy à ESXi.

Vous pouvez utiliser l'interface utilisateur de vSphere Web Client pour charger le certificat du serveurvSphere Authentication Proxy vers ESXi.

Sécurité vSphere

118 VMware, Inc.

Prérequis

Installez le service vSphere Authentication Proxy sur un hôte comme décrit dans « Installer le servicevSphere Authentication Proxy », page 115.

Exportez le certificat du serveur vSphere Authentication Proxy comme décrit dans « Exporter le certificat devSphere Authentication Proxy », page 118.

Procédure

1 Téléchargez le certificat du serveur proxy d'authentification vers un emplacement temporaire accessibleà l'hôte.

a Dans vSphere Web Client, accédez à une banque de données accessible à l'hôte puis cliquez surl'onglet Gérer.

b Cliquez sur Fichiers, puis cliquez sur Télécharger le fichier.

2 Accédez au certificat et sélectionnez Ouvrir.

Pour télécharger vers ou depuis une banque de données, vous devez avoir installé le plug-ind'intégration du client sur le système dans lequel vous utilisezvSphere Web Client.

3 Accédez à l'hôte, puis cliquez sur l'onglet Gérer.

4 Sélectionnez l'onglet Configuration et cliquez sur Services d'authentification.

5 Cliquez sur Importer un certificat.

6 Entrez le chemin complet du certificat du serveur proxy d'authentification sur l'hôte et l'adresse IP duserveur proxy d'authentifciation.

Utilisez le format [datastore name] file path pour entrer le chemin d'accès au serveur proxy.

7 Cliquez sur Importer.

Suivant

Configurez l'hôte pour utiliser le serveur vSphere Authentication Proxy afin d'authentifier les utilisateurs.

Utiliser vSphere Authentication Proxy pour ajouter un hôte à un domaine dansvSphere Web Client

Lorsque vous joignez un hôte à un domaine de service d'annuaire, vous pouvez utiliser le serveur vSphereAuthentication Proxy pour l'authentification au lieu de transmettre les informations d'identification ActiveDirectory fournies par l'utilisateur.

Vous pouvez entrer le nom de domaine de l'une des deux façons suivantes :

n name.tld (par exemple, domain.com): Le compte est créé sous le récipient par défaut.

n name.tld/container/path (par exemple, domain.com/OU1/OU2) : Le compte est créé sous une unitéd'organisation (OU) précise.

Prérequis

n Connectez-vous à un système vCenter Server avec vSphere Web Client.

n Si ESXi est configuré avec une adresse DHCP, configurez une plage DHCP.

n Si ESXi est configuré avec une adresse IP statique, vérifiez que son profil associé est configuré pourutiliser le service vSphere Authentication Proxy pour rejoindre un domaine afin que le serveur proxyd'authentification puisse faire confiance à l'adresse IP ESXi.

n Si ESXi utilise un certificat auto-signé, vérifiez que l'hôte a été ajouté à vCenter Server. Ainsi, le serveurproxy d'authentification peut faire confiance à ESXi.


VMware, Inc. 119

n Si ESXi utilise un certificat signé par une autorité de certification et qu'il n'est pas provisionné par AutoDeploy, vérifiez que le certificat de l'autorité de certification a été ajouté au magasin local des certificatsde confiance du serveur proxy d'authentification, comme décrit dans « Configurer un hôte pour utiliservSphere Authentication Proxy pour l'authentification », page 117.

n Authentifiez le serveur vSphere Authentication Proxy sur l'hôte.

Procédure

1 Accédez à l'hôte dans vSphere Web Client et cliquez sur l'onglet Gérer.

2 Cliquez sur Paramètres et sélectionnez Services d'authentification.

3 Cliquez sur Joindre le domaine.

4 Entrez un domaine.

Utilisez le format name.tld ou name.tld/container/path.

5 Sélectionnez Utilisation du serveur proxy.

6 Entrez l'adresse IP du serveur proxy d'authentification.

7 Cliquez sur OK.

Remplacer le certificat du serveur proxy d'authentification de l'hôteESXi

Vous pouvez importer le certificat d'une autorité de certification approuvée à partir de vSphere Web Client

Prérequis

n Téléchargez le fichier de certificat du serveur proxy d'authentification sur l'hôte ESXi.

Procédure

1 Dans vSphere Web Client, sélectionnez l'hôte ESXi.

2 Dans l'onglet Paramètres, sélectionnez Services d'authentification dans la zone Système.

3 Cliquez sur Importer un certificat.

4 Entrez le chemin du certificat SSL et le serveur vSphere Authentication Proxy.

Modifier les paramètres proxy Web ESXiLorsque vous modifiez les paramètres proxy Web, vous devez prendre en compte plusieursrecommandations de sécurité utilisateur et de chiffrement.

Remarque Redémarrez le processus hôte après avoir modifié les répertoires hôtes ou les mécanismesd'authentification.

n Ne configurez pas de certificats à l'aide d'un mot de passe ou de phrases secrètes. ESXi ne prend encharge ni les mots de passe ni les phrases secrètes, également nommées clés chiffrées. Si vousconfigurez un mot de passe ou une phrase secrète, les processus ESXi ne pourront pas démarrercorrectement.

Sécurité vSphere

120 VMware, Inc.

n Vous pouvez configurer le proxy Web afin qu'il recherche des certificats dans un emplacement autreque celui par défaut. Cette fonctionnalité s'avère utile pour les entreprises qui préfèrent centraliser leurscertificats sur une seule machine afin que plusieurs hôtes puissent les utiliser.

Avertissement Si des certificats ne sont pas stockés localement sur l'hôte (s'ils sont, par exemple,stockés sur un partage NFS), l'hôte ne peut pas accéder à ces certificats si ESXi perd la connectivitéréseau. Par conséquent, un client se connectant à l'hôte ne peut pas participer à un protocole de transfertSSL sécurisé avec l'hôte.

n Pour prendre en charge le chiffrement de noms d'utilisateur, de mot de passe et de paquets, SSL estactivé par défaut pour les connexions de vSphere Web services SDK. Si vous souhaitez configurer cesconnexions afin qu'elles ne chiffrent pas les transmissions, désactivez SSL pour votre connexionvSphere Web Services SDK en remplaçant le paramètre de connexion HTTPS par HTTP.

Envisagez de mettre hors tension SSL uniquement si vous avez créé un environnement parfaitementfiable pour ces clients, avec des pare-feu et des transmissions depuis/vers l'hôte totalement isolées. Ladésactivation de SSL peut améliorer les performances car vous évitez le traitement requis pourl'exécution du chiffrement.

n Pour vous protéger contre les utilisations abusives des services ESXi, la plupart des services ESXiinternes sont uniquement accessibles via le port 443, qui est utilisé pour la transmission HTTPS. Leport 443 agit comme proxy inversé pour ESXi. Vous pouvez consulter la liste de services sur ESXi viaune page d'accueil HTTP, mais vous ne pouvez pas directement accéder aux services d'Adaptateurs destockage sans autorisation.

Vous pouvez modifier cette configuration afin que des services individuels soient directementaccessibles via des connexions HTTP. N'effectuez pas ce changement à moins d'utiliser ESXi dans unenvironnement parfaitement fiable.

n Lorsque vous mettez vCenter Server à niveau, le certificat est conservé.

Modifier les paramètres de sécurité pour un service Proxy WebVous pouvez modifier la configuration de sécurité afin que des services individuels soient directementaccessibles via des connexions HTTP.

Pour configurer les paramètres de sécurité de vSphere 5.0 et les versions antérieures, consultez « Modifierles paramètres de sécurité d'un service Proxy Web version 5.0 ou antérieure », page 122.

Procédure


2 Passez au répertoire /etc/vmware/rhttpproxy.

3 Utilisez un éditeur de texte pour ouvrir le fichier endpoints.conf.


VMware, Inc. 121

4 Modifiez les paramètres de sécurité, si nécessaire.

Par exemple, vous voulez peut-être modifier les entrées pour les services utilisant HTTPS afin d'ajouterl'option d'accès HTTP.

Option Description

connection-type Les valeurs acceptées sont notamment :n localn distantn namedpipen localtunneln remotetunneln namedpipetunnel

endpoint-address n Pour local et localtunnel, indiquez le numéro de port.n Pour remote et remotetunnel, renseignez HostName/IP_address:Port.n Pour namedpipe et namedpipetunnel, indiquez l'emplacement du nom du

canal dans le système de fichiers.

HTTP Access mode Formes de communications autorisées par le service. Les valeurs acceptéessont notamment :n autoriser - Autoriser l'accès HTTP.n rediriger – Si l'adresse du point de terminaison est un port local, le

client est redirigé vers 443. Si l'adresse du point de terminaison est unhôte distant, le client est redirigé vers cet hôte.

n rejeter - Pas d'accès HTTP.

HTTPS Access mode Les valeurs acceptées sont notamment :n autoriser - Autoriser l'accès HTTPS.n rejeter - Ne pas autoriser l'accès HTTPS.


L'exemple suivant présente un fichier endpoints.conf complet.

# Endpoint Connection-type Endpoint-address HTTP-access-Mode HTTPS-access-mode

/ local 8309 redirect allow

/sdk local 8307 redirect allow

/client/clients.xml local 8309 allow allow

/ui local 8308 redirect allow

/vpxa local 8089 reject allow

/mob namedpipe /var/run/vmware/proxy-mob redirect allow

/wsman local 8889 redirect allow

/sdkTunnel namedpipetunnel /var/run/vmware/proxy-sdk-tunnel allow reject

/ha-nfc local 12001 allow allow

/nfc local 12000 allow allow

Suivant

Après avoir apporté les modifications au fichier endpoints.conf, faites recharger les nouveaux points determinaison par le proxy inverse en utilisant la commande kill -HUP <pid_of_rhttpproxy>

Modifier les paramètres de sécurité d'un service Proxy Web version 5.0 ouantérieure

Vous pouvez modifier la configuration de sécurité afin que des services individuels soient directementaccessibles via des connexions HTTP.

Les étapes décrites concernent la version 5.0 et les versions antérieures. À compter de la version 5.1, le fichierà modifier est complètement différent. Pour les instructions relatives à la modification du nouveau fichier,consultez« Modifier les paramètres de sécurité pour un service Proxy Web », page 121.

Sécurité vSphere

122 VMware, Inc.

Procédure


2 Passez au répertoire /etc/vmware/hostd/directory.

3 Utilisez un éditeur de texte pour ouvrir le fichier proxy.xml.

Le fichier comporte généralement les éléments suivants :

<ConfigRoot>

<EndpointList>

<_length>10</_length>

<_type>vim.ProxyService.EndpointSpec[]</_type>

<e id="0">

<_type>vim.ProxyService.LocalServiceSpec</_type>

<accessMode>httpsWithRedirect</accessMode>

<port>8309</port>

<serverNamespace>/</serverNamespace>

</e>

<e id="1">


<accessMode>httpAndHttps</accessMode>

<port>8309</port>

<serverNamespace>/client/clients.xml</serverNamespace>

</e>

<e id="2">



<port>12001</port>

<serverNamespace>/ha-nfc</serverNamespace>

</e>

<e id="3">

<_type>vim.ProxyService.NamedPipeServiceSpec</_type>


<pipeName>/var/run/vmware/proxy-mob</pipeName>

<serverNamespace>/mob</serverNamespace>

</e>

<e id="4">



<port>12000</port>

<serverNamespace>/nfc</serverNamespace>

</e>

<e id="5">



<port>8307</port>

<serverNamespace>/sdk</serverNamespace>

</e>

<e id="6">

<_type>vim.ProxyService.NamedPipeTunnelSpec</_type>

<accessMode>httpOnly</accessMode>

<pipeName>/var/run/vmware/proxy-sdk-tunnel</pipeName>

<serverNamespace>/sdkTunnel</serverNamespace>

</e>

<e id="7">



VMware, Inc. 123


<port>8308</port>

<serverNamespace>/ui</serverNamespace>

</e>

<e id="8">


<accessMode>httpsOnly</accessMode>

<port>8089</port>

<serverNamespace>/vpxa</serverNamespace>

</e>

<e id="9">



<port>8889</port>

<serverNamespace>/wsman</serverNamespace>

</e>

</EndpointList>

</ConfigRoot>

4 Modifiez les paramètres de sécurité, si nécessaire.

Par exemple, vous voulez peut-être modifier les entrées pour les services utilisant HTTPS afin d'ajouterl'option d'accès HTTP.

Option Description

e id Numéro d'ID pour la balise de serveur ID XML. Les numéros d'ID doiventêtre uniques dans la zone HTTP.

_type Nom du service que vous transférez.

accessmode Formes de communications autorisées par le service. Les valeurs acceptéessont notamment :n httpOnly : le service est uniquement accessible sur des connexions

HTTP de texte brut.n httpsOnly : le service est uniquement accessible sur des connexions

HTTPS.n httpsWithRedirect : le service est uniquement accessible sur des

connexions HTTPS. Les requêtes sur HTTP sont redirigées sur l'URLHTTPS appropriée.

n httpAndHttps : le service est uniquement accessible sur desconnexions HTTPS et HTTP.

port Numéro de port assigné au service. Vous pouvez assigner un numéro deport différent au service.

serverNamespace Espace de nom du serveur qui fournit ce service, par exemple /sdkou /mob.


6 Redémarrez le processus hostd :

/etc/init.d/hostd restart

Sécurité vSphere

124 VMware, Inc.

Considérations relatives à la sécurité dans vSphere Auto DeployPour protéger au mieux votre environnement, vous devez connaître les risques de sécurité potentielslorsque vous utilisez Auto Deploy avec des profils d'hôte.

Sécurité de la mise en réseauProtégez le réseau comme vous le feriez pour toute autre méthode de déploiement PXE. vSphere AutoDeploy transfère les données sur SSL pour éviter les interférences et les risques d'écoute. Toutefois,l'authenticité du client ou du serveur Auto Deploy n'est pas vérifiée au cours d'un démarrage PXE.

Vous pouvez considérablement réduire le risque de sécurité d'Auto Deploy en isolant complètement leréseau lorsqu'Auto Deploy est utilisé.

Sécurité concernant l'image de démarrage et le profil d'hôteL'image de démarrage que le serveur vSphere Auto Deploy télécharge sur une machine peut contenir lescomposants suivants.

n Les modules VIB qui constituent le profil d'image sont toujours inclus dans l'image de démarrage.

n Le profil d'hôte et la personnalisation de l'hôte sont inclus dans l'image de démarrage si les règles AutoDeploy sont configurées pour provisionner l'hôte avec un profil d'hôte ou un paramétrage depersonnalisation d'hôte.

n Le mot de passe administrateur (racine) et les mots de passe utilisateur qui sont inclus dans leprofil d'hôte et la personnalisation d'hôte sont cryptés en MD5.

n Tous les autres mots de passe associés aux profils sont en clair. Si vous paramétrez Active Directoryen utilisant des profils d'hôte, les mots de passe ne sont pas protégés.

Utilisez vSphere Authentication Service pour paramétrer Active Directory afin d'éviter d'exposerles mots de passe. Si vous paramétrez Active Directory en utilisant des profils d'hôte, les mots depasse sont protégés.

n La clé SSL publique et privée et le certificat de l'hôte sont inclus dans l'image de démarrage.

Gestion des fichiers journaux ESXiLes fichiers journaux constituent un élément important dans le dépannage des attaques et l'obtentiond'informations relatives aux failles de sécurité de l'hôte. Une journalisation effectuée sur un serveur dédiécentralisé et sécurisé peut contribuer à éviter la falsification des journaux. La journalisation à distancefournit également un enregistrement des contrôles à long terme.

Prenez les mesures suivantes pour renforcer la sécurité de l'hôte.

n Configurez la journalisation permanente d'une banque de données. Les journaux des hôtes ESXi sontstockés par défaut dans le système de fichiers in-memory. Par conséquent, ils sont perdus lorsque vousredémarrez l'hôte et seules 24 heures de données de journalisation sont stockées. Lorsque vous activezla journalisation permanente, vous obtenez un enregistrement dédié de l'activité du serveur, disponiblepour l'hôte.

n La journalisation à distance vers un hôte central vous permet de collecter des fichiers journaux sur unhôte central, où vous pouvez surveiller tous les hôtes à l'aide d'un outil unique. Vous pouvez égalementeffectuer une analyse cumulée et une recherche de données de journalisation, pouvant révéler desinformations concernant des choses comme des attaques coordonnées sur plusieurs hôtes.

n Configurez un syslog à distance sécurisé sur les hôtes ESXi utilisant une ligne de commande distante(comme vCLI ou PowerCLI) ou une API client.


VMware, Inc. 125

n Interrogez la configuration syslog pour vous assurer qu'un serveur syslog valide a été configuré, ycompris le port correct.

Configurer Syslog sur des hôtes ESXiTous les hôtes ESXi exécutent un service syslog (vmsyslogd) qui enregistre les messages venant de VMkernelet d'autres composants système dans des fichiers journaux.

Vous pouvez utiliser vSphere Web Client ou la commande vCLI esxcli system syslog pour configurer leservice syslog.

Pour plus d'informations sur l'utilisation des commandes vCLI, voir Initiation aux interfaces de ligne decommande vSphere.

Procédure

1 Dans l'inventaire de vSphere Web Client, sélectionnez l'hôte.

2 Cliquez sur l’onglet Gérer.

3 Dans le panneau système, cliquez sur Paramètres système avancés.

4 Recherchez la section Syslog dans la liste des Paramètres système avancés.

5 Pour configurer la journalisation de façon globale, sélectionnez le paramètre à modifier et cliquez surl'icône Modifier.

Option Description

Syslog.global.defaultRotate Définit le nombre maximum d'archives à conserver. Vous pouvez définir cenombre de façon globale et pour les sous-unités d'enregistrementautomatique.

Syslog.global.defaultSize Définit la taille par défaut du journal, en Ko, avant que le systèmen'effectue la rotation des journaux. Vous pouvez définir ce nombre defaçon globale et pour les sous-unités d'enregistrement automatique.

Syslog.global.LogDir Répertoire dans lequel sont stockés les journaux. Le répertoire peut setrouver sur des volumes NFS ou VMFS montés. Seul lerépertoire /scratch situé sur le système de fichiers local subsiste aprèsdes redémarrages. Le répertoire doit être défini sous la forme[nom_banque_de_données]chemin_du_fichier, le chemin se rapportant à laracine du volume qui assure la sauvegarde de la banque de données. Parexemple, le chemin [storage1] /systemlogs crée un mappage vers lechemin / vmfs/volumes/storage1/systemlogs.

Syslog.global.logDirUnique Lorsque vous sélectionnez cette option, un sous-répertoire est créé portantle nom de l'hôte ESXi dans le répertoire spécifié par Syslog.global.LogDir.Il est utile d'avoir un répertoire unique si le même répertoire NFS estutilisé par plusieurs hôtes ESXi.

Syslog.global.LogHost Hôte distant vers lequel les messages syslog sont transférés et port surlequel l'hôte distant reçoit les messages syslog. Vous pouvez inclure leprotocole et le port, par exemple, ssl://hostName1:514. Les protocolesUDP (par défaut), TCP et SSL sont pris en charge. L'hôte distant doit avoirun syslog installé et correctement configuré pour recevoir les messagessyslog transférés. Consultez la documentation du service syslog installésur l'hôte distant pour plus d'informations sur la configuration.

6 (Facultatif) Pour remplacer la taille par défaut et la rotation des journaux d'un journal quelconque.

a Cliquez sur le nom du journal que vous souhaitez personnaliser.

b Cliquez sur l'icône Modifier et entrez le nombre de rotations et la taille de journal souhaités.

7 Cliquez sur OK.

Sécurité vSphere

126 VMware, Inc.

Les modifications apportées aux options syslog prennent effet immédiatement.

Emplacements des fichiers journaux ESXiESXi enregistre l'activité de l'hôte dans des fichiers journaux en utilisant un outil syslog.

Composant Emplacement Objectif

VMkernel /var/log/vmkernel.log Enregistre les activités relatives auxmachines virtuelles et à ESXi.

Avertissements VMkernel /var/log/vmkwarning.log Enregistre les activités relatives auxmachines virtuelles.

Résumé VMkernel /var/log/vmksummary.log Utilisé pour déterminer les statistiquesde temps de fonctionnement et dedisponibilité pourESXi (virguleséparée).

Journal de l'agent hôte ESXi /var/log/hostd.log Contient des informations sur l'agentgérant et configurant les hôtes ESXi etleurs machines virtuelles.

Journal de l'agent vCenter /var/log/vpxa.log Contient des informations sur l'agentcommuniquant avec vCenter Server (sil'hôte est géré par vCenter Server).

Journal du shell /var/log/shell.log Contient un enregistrement de toutesles commandes tapées dans ESXi Shell,ainsi que les événements de shell (parexemple, le moment où le shell a étéactivé).

Authentification /var/log/auth.log Contient tous les événements relatifs àl'authentification pour le système local.

Messages système /var/log/syslog.log Contient tous les messages générauxdu journal et peut être utilisé en cas dedépannage. Ces informations étaientprécédemment situées dans le fichierjournal des messages.

Machines virtuelles Le même répertoire que les fichiersde configuration de la machinevirtuelle, appelés vmware.log etvmware*.log. Parexemple, /vmfs/volumes/datastore/virtual machine/vwmare.log

Contient les événementsd'alimentation de la machine virtuelle,les informations relatives auxdéfaillances système, lasynchronisation horaire, lesmodifications virtuelles du matériel,les migrations vMotion, les clones demachines, etc.

Trafic de la journalisation de la tolérance aux pannesLorsque vous activez Fault Tolerance (FT), VMware vLockstep capture les entrées et les événements qui seproduisent sur une machine virtuelle principale et les transmet à la machine virtuelle secondaire qui estexécutée sur un autre hôte.

Le trafic de la journalisation entre les machines virtuelles primaires et secondaires est chiffré et contient unréseau client et des données E/S de stockage, ainsi que le contenu de la mémoire du système d'exploitationinvité. Ce trafic peut inclure des données sensibles telles que des mots de passe en texte brut. Pour éviter queces données ne soient divulguées, assurez-vous que ce réseau est sécurisé, notamment pour éviter les« attaques de l'intercepteur ». Par exemple, vous pouvez utiliser un réseau privé pour le trafic de lajournalisation de la tolérance aux pannes.


VMware, Inc. 127

Sécurité vSphere

128 VMware, Inc.

Sécurisation des machines virtuelles 8Le système d'exploitation client qui est exécuté dans la machine virtuelle est exposé aux mêmes risques desécutité qu'une machine physique. Sécurisez les machines virtuelles comme vous le feriez pour desmachines physiques.


n « Protection générale d'une machine virtuelle », page 129

n « Désactiver les fonctions inutiles à l'intérieur des machines virtuelles », page 130

n « Utiliser des modèles pour déployer des machines virtuelles », page 136

n « Empêcher les machines virtuelles de récupérer les ressources », page 136

n « Limiter les messages d'information entre les machines virtuelles et les fichiers VMX », page 137

n « Empêcher une réduction de disque virtuel dans vSphere Web Client », page 137

n « Limiter l'utilisation de la console de machine virtuelle », page 138

n « Configuration des niveaux de journalisation applicables au système d'exploitation invité », page 138

Protection générale d'une machine virtuelleUne machine virtuelle est, pour l'essentiel, l'équivalent d'un serveur physique. Il convient de prendre lesmêmes mesures de sécurité pour les machines virtuelles et les systèmes physiques.

Maintenez toutes vos mesures de sécurité à jour, y compris en appliquant les correctifs appropriés. Il est toutparticulièrement important de ne pas négliger les machines virtuelles dormantes désactivées et de suivre lesmises à jour les concernant. Veillez par exemple à ce que les antivirus, les anti-spyware, la détection desintrusions et les autres protections soient activés pour chaque machine virtuelle de votre infrastructurevirtuelle. Vous devez également vous assurer de disposer de suffisamment d'espace pour les journaux desmachines virtuelles.

Installation d'un logiciel antivirusChaque machine virtuelle héberge un système d'exploitation standard ; par conséquent, vous devez laprotéger contre les virus en installant un logiciel antivirus. En fonction de votre utilisation habituelle de lamachine virtuelle, vous pouvez installer également un pare-feu.

Planifiez l'exécution de scan de virus, tout particulièrement en cas de déploiement incluant un grandnombre de machines virtuelles. Si vous scannez toutes les machines virtuelles simultanément, lesperformances des systèmes de votre environnement enregistrent une baisse importante.

VMware, Inc. 129

Les pare-feu et les logiciels anti-virus peuvent exiger une grande quantité de virtualisation ; par conséquent,vous pouvez équilibrer ces deux mesures en fonction des performances souhaitées au niveau des machinesvirtuelles (et tout particulièrement si vous pensez que vos machines virtuelles se trouvent dans unenvironnement totalement sécurisé).

Configuration des niveaux de journalisation applicables au systèmed'exploitation invité

Les machines virtuelles peuvent consigner des informations de dépannage dans un fichier journal stocké surle volume VMFS. Les utilisateurs et les processus de la machine virtuelle peuvent effectuer un nombre tropélevé de consignations (intentionnellement ou accidentellement) ; de grandes quantités de données sontdonc incluses dans ce fichier journal. A terme, cela risque d'entraîner une forte consommation sur le systèmede fichiers, jusqu'à provoquer un déni de service.

Pour éviter ce problème, vous pouvez modifier les paramètres de journalisation applicables aux systèmesd'exploitation invités des machines virtuelles. Ces paramètres peuvent limiter la taille totale des fichiersjournaux, ainsi que leur nombre. Normalement, un nouveau fichier journal est créé lors de chaqueredémarrage d'hôte ; par conséquent, le fichier peut devenir très volumineux. Vous pouvez paramétrer unecréation de fichier journal plus fréquente en limitant sa taille maximale. VMware recommande desauvegarder 10 fichiers journaux, avec une taille maximale de 100 Ko par fichier. En effet, ces valeurs sontsuffisantes pour la collecte des informations requises en cas de débogage.

Lors de chaque entrée dans le journal, la taille de ce dernier est vérifiée. Si cette taille dépasse la limite fixée,l'entrée suivante sera enregistrée dans un nouveau fichier journal. Dès que le nombre maximal de fichiersjournaux est atteint, le fichier le plus ancien est supprimé. Il serait possible de tenter une attaque de déni deservice (DoS) qui n'atteint pas cette limite en enregistrant une énorme entrée de journal ; mais puisque lataille des entrées est limitée à 4 Ko, la taille d'un fichier journal ne peut jamais dépasser de plus de 4 Ko lalimite configurée.

Désactiver les fonctions inutiles à l'intérieur des machines virtuellesTout service fonctionnant sur une machine virtuelle fournit une possibilité d'attaque. En désactivant descomposants système inutiles à la prise en charge de l'application ou du service fonctionnant sur le système,vous réduisez le nombre de composants susceptibles d'être attaqués.

En règle générale, les machines virtuelles n'exigent pas autant de services et de fonctions que les serveursphysiques. Lorsque vous virtualisez un système, évaluez si une fonction ou un service est nécessaire.

Procédure

n Désactivez les services inutilisés dans le système d'exploitation.

Par exemple, si le système exécute un serveur de fichiers, désactivez tous les services Web.

n Déconnectez les périphériques physiques inutilisés, tels que les lecteurs CD/DVD, les lecteurs dedisquette et les adaptateurs USB.

Consultez « Retrait des périphériques matériels inutiles », page 131.

n Désactivez les écrans de veille.

n N'exécutez pas le système X Window sous des systèmes d'exploitation client Linux, BSD ou Solaris, àmoins que ce ne soit nécessaire.

Sécurité vSphere

130 VMware, Inc.

Retrait des périphériques matériels inutilesTout périphérique activé ou connecté représente un canal d'attaque potentiel. Les utilisateurs et lesprocessus ne disposant pas de privilèges d'accès sur une machine virtuelle peuvent connecter oudéconnecter des périphériques matériels (adaptateurs réseau et lecteurs de CD-ROM, par exemple). Lesagresseurs peuvent utiliser ce moyen pour déjouer la sécurité des machines virtuelles. La suppression depériphériques matériels inutiles peut aider à la prévention des attaques.

Suivez les directives suivantes pour renforcer la sécurité des machines virtuelles.

n Assurez-vous que des périphériques non autorisés ne sont pas connectés et supprimez lespériphériques inutiles ou inutilisés.

n Désactivez les périphériques virtuels inutiles au sein d'une machine virtuelle. Un agresseur ayant accèsà une machine virtuelle peut se connecter à un lecteur CD-ROM et ainsi accéder à des informationssensibles figurant sur le support laissé dans le lecteur. Il peut également déconnecter un adaptateurréseau pour isoler la machine virtuelle de son réseau, provoquant de la sorte un déni de service.

n Assurez-vous qu'aucun périphérique n'est connecté sans nécessité à une machine virtuelle. Les portssérie et parallèles sont rarement utilisés pour les machines virtuelles dans un environnement de centrede données. Quant aux lecteurs CD/DVD, ils ne sont généralement connectés que lors de l'installationdu logiciel.

n Pour ce qui concerne des périphériques généralement moins utilisés et non nécessaires, le paramètre nedoit pas exister ou sa valeur être définie sur Faux. Veillez à ce que les paramètres suivants n'existent pasou soient définis sur Faux, à moins que le périphérique ne soit nécessaire.

Paramètre Valeur Périphérique

floppyX.present false lecteurs de disquettes

serialX.present false ports série

parallelX.present false ports parallèles

usb.present false contrôleur USB

ideX:Y.present false CD-ROM

Désactiver les fonctions non exposéesLes machines virtuelles VMware sont conçues pour fonctionner sur les deux systèmes vSphere et sur desplateformes de virtualisation hébergées comme Workstation et Fusion. Certains paramètres VMX nenécessitent pas d'être activés lorsque vous exécutez une machine virtuelle sur un système vSphere.Désactivez ces paramètres afin de réduire les possibilités de faille.

Prérequis

Désactivez la machine virtuelle.

Procédure

1 Trouvez la machine virtuelle dans l'inventaire vSphere Web Client.

a Pour trouvez une machine virtuelle, sélectionnez un centre de données, dossier, cluster, pool deressources ou hôte.

b Cliquez sur l'onglet Objets associés, puis cliquez sur Machines virtuelles.

2 Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les paramètres.

3 Sélectionnez Options VM.

4 Cliquez sur Avancées, puis cliquez sur Modifier la configuration.

Chapitre 8 Sécurisation des machines virtuelles

VMware, Inc. 131

5 Ajoutez ou modifiez les paramètres suivants.

Nom Valeur

isolation.tools.unity.push.update.disable

TRUE

isolation.tools.ghi.launchmenu.change

TRUE

isolation.tools.memSchedFakeSampleStats.disable

TRUE

isolation.tools.getCreds.disable TRUE

isolation.tools.ghi.autologon.disable

TRUE

isolation.bios.bbs.disable TRUE

isolation.tools.hgfsServerSet.disable

TRUE

6 Cliquez sur OK.

Définir isolation.tools.hgfsServerSet.disable sur vrai désactive l'enregistrement du serveur HGFS duclient sur l'hôte. Les API utilisant HGFS pour transférer des fichiers depuis et vers le système d'exploitationclient (comme certaines commandes VIX ou l'utilitaire de mise à niveau automatique VMware Tools), nefonctionneront pas.

Désactiver les opérations Copier et Coller entre le système d'exploitation clientet la console distante

Les opérations Copier et Coller entre le système d'exploitation client et la console distante sont désactivéespar défaut. Pour un environnement sécurisé, conservez ce paramétrage par défaut. Si vous avez besoind'effectuer des opérations Copier et Coller, vous devez les activer en utilisant vSphere Client.

Prérequis


Procédure

1 Connectez-vous au système vCenter Server en utilisant vSphere Web Client.


3 Cliquez sur Options VM, puis cliquez sur Modifier la configuration.

4 Assurez-vous que les valeurs suivantes sont dans les colonnes de nom et de valeur, ou cliquez surAjouter ligne pour les ajouter.

Nom Valeur

isolation.tools.copy.disable true

isolation.tools.paste.disable true Ces options écrasent les valeurs entrées dans Panneau de configuration de VMware Tools, sur lesystème d'exploitation invité.

5 Cliquez sur OK.

6 (Facultatif) Si vous avez modifié les paramètres de configuration, redémarrez la machine virtuelle.

Sécurité vSphere

132 VMware, Inc.

Limitation de l'exposition des données sensibles copiées dans le presse-papiers

Par défaut, les opérations Copier et Coller sont désactivées pour les hôtes, afin d'éviter d'exposer lesdonnées sensibles copiées dans le presse-papiers.

Lorsque les opérations Copier et Coller sont activées sur une machine virtuelle utilisant VMware Tools, vouspouvez copier et coller des données entre le système d'exploitation invité et la console distante. Dès que lafenêtre de la console s'affiche, les utilisateurs et les processus ne disposant pas de privilèges d'accès etutilisant la machine virtuelle peuvent accéder au presse-papiers de sa console. Si un utilisateur copie desinformations sensibles dans le presse-papiers avant d'utiliser la console, il expose (involontairement) desdonnées sensibles au niveau de la machine virtuelle. Pour éviter ce problème, les opérations Copier et Collersont par défaut désactivées sur le système d'exploitation invité.

En cas de besoin, vous pouvez activer ces opérations pour les machines virtuelles.

Empêcher des utilisateurs d'exécuter des commandes dans une machinevirtuelle

Par défaut, c'est à travers le rôle Administrateur de vCenter Server que les utilisateurs peuvent interagiravec les fichiers et les programmes au sein du système d'exploitation invité d'une machine virtuelle. Afin deréduire les risques d'atteinte à la confidentialité, la disponibilité et l'intégrité de l'invité, créez un rôle d'accèsnon-invité, dépourvu du privilège Opérations client.

Pour plus de sécurité, appliquez les mêmes restrictions pour l'accès au centre de données virtuel que pourl'accès au centre de données physique. Pour éviter de concéder un accès administrateur complet auxutilisateurs, concédez l'accès non-invité à ceux qui demandent des privilèges d'administrateur, mais qui nesont pas autorisés à interagir avec les fichiers et les programmes au sein du système d'exploitation invité.

Prenons, par exemple, une configuration composée d'une machine virtuelle placée dans une infrastructurecontenant des informations sensibles. Pour des tâches telles que la migration avec vMotion et StoragevMotion, le responsable informatique doit avoir accès à la machine virtuelle . Dans ce cas, vous voudrezdésactiver des opérations distantes au sein du système d'exploitation invité afin de vous assurer que leresponsable informatique n'a pas accès aux informations sensibles.

Prérequis

Vérifiez que vous avez les privilèges Administrateur sur le système vCenter Server sur lequel vous créez lerôle.

Procédure

1 Connectez-vous à vSphere Web Client en tant qu'utilisateur possédant des privilèges Administrateursur le système vCenter Server sur lequel vous créez le rôle.

2 Cliquez sur Administration et sélectionnez Accès > Rôles.

3 Cliquez sur l'icône Créer un rôle et entrez un nom pour le rôle.

Par exemple, entrez Accès non-invité administrateur.

4 Sélectionnez Tous les privilèges.

5 Désélectionnez Tous les privilèges.Machine virtuelle.Opérations client pour supprimer l'ensemble desprivilèges Opérations client.

6 Cliquez sur OK.


VMware, Inc. 133

Suivant

Affectez des utilisateurs demandant des privilèges Administrateur sans privilèges d'accès invité au rôlenouvellement créé, vous assurant par là que ces utilisateurs ne sont pas affectés au rôle Administrateur pardéfaut.

Empêcher les utilisateurs ou les processus de machines virtuelles dedéconnecter des périphériques dans vSphere Web Client

Les utilisateurs sans privilèges racine ou administrateur au sein d'une machine virtuelle ont la possibilité deconnecter ou déconnecter des périphériques, comme les adaptateurs réseau et les lecteurs CD-ROM, ainsique la capacité de modifier les paramètres des périphériques. Afin de renforcer la sécurité des machinesvirtuelles, supprimez ces périphériques. Si vous ne souhaitez pas supprimer en permanence unpériphérique, vous pouvez empêcher un utilisateur ou un processus de machine virtuelle de déconnecter cepériphérique du système d'exploitation invité.

Prérequis


Procédure





3 Sélectionnez Options VM > Mise en réseau et cliquez sur Modifier la configuration.

4 Vérifiez que les valeurs suivantes sont dans les colonnes de nom et de valeur, ou cliquez sur Ajouterligne pour les ajouter.

Nom Valeur

isolation.device.connectable.disable

true

isolation.device.edit.disable true Ces options écrasent les valeurs entrées dans Panneau de configuration de VMware Tools, sur lesystème d'exploitation invité.

5 Cliquez sur OK pour fermer la boîte de dialogue de paramètres de configuration, puis sur OK pourfermer la boîte de dialogue de propriétés de machine virtuelle.

Limitation des opérations d'écriture du système d'exploitation invité dans lamémoire de l'hôte

Les processus du système d'exploitation invité envoient des messages d'information à l'hôte via VMwareTools. Si la quantité de données stockées sur l'hôte pour ces messages était illimitée, ce flux de donnéesrisquerait de favoriser les attaques de déni de service (DoS).

Les messages d'information envoyés par les processus du système d'exploitation invité sont appelés setinfoet contiennent généralement des paires de données nom/valeur qui définissent les caractéristiques desmachines virtuelles ou des identifiants stockés sur l'hôte (par exemple ipaddress=10.17.87.224). La taille dufichier de configuration contenant ces paires nom/valeur est limitée à 1 Mo : cela empêche les pirates delancer des attaques de déni de service (DoS) via l'écriture de logiciels imitant VMware Tools et leremplissage de la mémoire de l'hôte à l'aide de données de configuration arbitraires, ce qui a pour effet deconsommer l'espace requis par les machines virtuelles.

Sécurité vSphere

134 VMware, Inc.

Si vous avez besoin de plus de 1 Mo de stockage pour les paires nom/valeur, vous pouvez modifier la valeurde ce paramètre. Vous pouvez également empêcher les processus du système d'exploitation invité d'écriredes paires nom/valeur dans le fichier de configuration.

Modifier la limite de mémoire variable du système d'exploitation client dansvSphere Web ClientVous pouvez augmenter la limite de mémoire variable du système d'exploitation invité si de grandesquantités d'informations personnalisées sont stockées dans le fichier de configuration.

Prérequis


Procédure





3 Sélectionnez Options VM > Mise en réseau et cliquez sur Modifier la configuration .

4 Ajoutez ou modifiez le paramètre tools.setInfo.sizeLimit et définissez la valeur en nombre d'octets.

5 Cliquez sur OK.

Interdiction d'envoi de messages de configuration à l'hôte par les processus dusystème d'exploitation invitéVous pouvez empêcher les invités d'écrire des paires nom/valeur dans le fichier de configuration. Cettemesure est appropriée lorsque les systèmes d'exploitation invités ne doivent pas être autorisés à modifier lesparamètres de configuration.

Prérequis


Procédure

1 Ouvrez une session sur un système vCenter Server au moyen de vSphere Client.

2 Sélectionnez la machine virtuelle dans l'inventaire.

3 Cliquez sur l'onglet Résumé et cliquez sur Modifier les paramètres.

4 Sélectionnez Options > Avancé > Généralités et cliquez sur Paramètres de configuration.

5 Cliquez sur Ajouter ligne et tapez les valeurs suivantes dans les colonnes de nom et de valeur.

n Dans la colonne de nom : isolation.tools.setinfo.disable

n Dans la colonne de valeur : true

6 Cliquez sur OK pour fermer la boîte de dialogue de paramètres de configuration, puis sur OK pourfermer la boîte de dialogue de propriétés de machine virtuelle.


VMware, Inc. 135

Utiliser des modèles pour déployer des machines virtuellesLorsque vous installez manuellement des systèmes d'exploitation clients et des applications sur unemachine virtuelle, le risque existe que votre configuration soit incorrecte. Grâce à l'utilisation d'un modèlepour capturer une image sécurisée du système d'exploitation de base sans applications installées, vouspouvez vous assurer que toutes les machines virtuelles sont créées avec une ligne de base connue du niveaude sécurité.

Vous pouvez utiliser des modèles qui contiennent un système d'exploitation sécurisé doté de correctifs etcorrectement configuré pour créer d'autres modèles propres à des applications ou utiliser le modèled'application pour déployer des machines virtuelles.

Procédure

u Fournissez des modèles pour la création de machines virtuelles qui comportent des déploiements desystèmes d'exploitation sécurisés, corrigés et correctement configurés.

Si possible, déployez également les applications dans les modèles. Assurez-vous que les applications nedépendent pas d'informations spécifiques à la machine virtuelle à déployer.

Suivant

Vous pouvez convertir un modèle en machine virtuelle et inversement dans vSphere Web Client, ce quifacilite la mise à jour des modèles. Pour plus d'informations sur les modèles, consultez la documentationAdministration d'une machine virtuelle vSphere.

Vous pouvez utiliser vSphere Update Manager pour appliquer automatiquement des correctifs au systèmed'exploitation et à certaines applications du modèle. Consultez la documentation vSphere Update Manager.

Empêcher les machines virtuelles de récupérer les ressourcesLorsqu'une machine virtuelle consomme une telle proportion des ressources de l'hôte que les autresmachines virtuelles de l'hôte ne peuvent accomplir les fonctions pour lesquelles elles sont prévues, un dénide service (DoS) peut survenir. Pour empêcher une machine virtuelle de provoquer un DoS, utilisez lesfonctions de gestion des ressources de l'hôte, telles que le paramétrage de partages et de limites destinés àcontrôler les ressources du serveur consommées par une machine virtuelle.

Par défaut, toutes les machines virtuelles d'un hôte partagent équitablement les ressources.

Procédure

u Utilisez des partages ou des réservations pour assurer des ressources suffisantes aux machinesvirtuelles essentielles.

Les limites restreignent la consommation de ressources par les machines virtuelles encourant un plusgrand risque d'être exploitées ou attaquées, ou qui exécutent des applications potentiellement grandesconsommatrices de ressources.

Suivant

Consultez la documentation Gestion des ressources vSphere pour de plus amples informations sur les partageset les limites.

Sécurité vSphere

136 VMware, Inc.

Limiter les messages d'information entre les machines virtuelles etles fichiers VMX

Limitez les messages d'information de la machine virtuelle vers le fichier VMX, afin d'éviter de remplir labanque de données et de causer un déni de service (DoS). Un déni de service peut survenir quand vous necontrôlez pas la taille du fichier VMX d'une machine virtuelle et que la somme d'informations excède lacapacité de la banque de données.

Le fichier de configuration contenant les paires d'informations nom-valeur est limité par défaut à 1 Mo.Cette capacité est suffisante dans la plupart des cas, mais vous pouvez modifier cette valeur si nécessaire.Vous pouvez par exemple augmenter la limite si de grandes quantités d'informations personnalisées sontstockées dans le fichier de configuration.

Remarque Étudiez soigneusement le volume d'informations dont vous avez besoin. Si le volumed'informations excède la capacité de la banque de données, un déni de service peut se produire.

La limite par défaut de 1 Mo est appliquée même lorsque le paramètre de limite de taille n'est pas répertoriédans le fichier VMX.

Procédure

1 Sur le système ESXi hébergeant la machine virtuelle, accédez au fichier VMX.

Les fichiers de configuration des machines virtuelles se situent dans l'inventaire /vmfs/volumes/banquede données, où banque de données correspond au nom du périphérique de stockage sur lequel résident lesfichiers de la machine virtuelle. Par exemple, /vmfs/volumes/vol1/vm-finance/.

2 Utilisez un éditeur de texte pour ajouter ou modifier la ligne suivante dans le fichier VMX :

tools.setInfo.sizeLimit=104857

3 Enregistrez et fermez le fichier.

Empêcher une réduction de disque virtuel dans vSphere Web ClientLes utilisateurs non administratifs du système d'exploitation client peuvent réduire les disques virtuels. Laréduction d'un disque virtuel exige de l'espace inutilisé sur le disque. Cependant, si vous réduisez un disquevirtuel de façon répétée, le disque peut devenir indisponible et provoquer un déni de service. Pour évitercela, désactivez la possibilité de réduction des disques virtuels.

Prérequis


Procédure








VMware, Inc. 137

5 Ajoutez ou modifiez les paramètres suivants.

Nom Valeur

isolation.tools.diskWiper.disable TRUE

isolation.tools.diskShrink.disable TRUE

6 Cliquez sur OK.

Lorsque vous désactivez cette fonction, vous ne pouvez plus réduire des disques de machines virtuelleslorsqu'une banque de données vient à manquer d'espace.

Limiter l'utilisation de la console de machine virtuelleLa console de machine virtuelle joue pour la machine virtuelle le même rôle qu'un moniteur sur un serveurphysique. Les utilisateurs qui accèdent à une console de machine virtuelle disposent d'un accès auxcommandes de gestion de l'alimentation et de connectivité des périphériques amovibles des machinesvirtuelles, ce qui peut permettre une attaque malveillante sur ces dernières.

Procédure

u Utilisez des services natifs de gestion à distance, tels que des services de terminaux et SSH, pourinteragir avec les machines virtuelles.

Autorisez l'accès à la console de machine virtuelle uniquement lorsque cela est nécessaire.

Configuration des niveaux de journalisation applicables au systèmed'exploitation invité

Les machines virtuelles peuvent consigner des informations de dépannage dans un fichier journal stocké surle volume VMFS. Les utilisateurs et les processus de la machine virtuelle peuvent effectuer un nombre tropélevé de consignations (intentionnellement ou accidentellement) ; de grandes quantités de données sontdonc incluses dans ce fichier journal. A terme, cela risque d'entraîner une forte consommation sur le systèmede fichiers, jusqu'à provoquer un déni de service.

Pour éviter ce problème, vous pouvez modifier les paramètres de journalisation applicables aux systèmesd'exploitation invités des machines virtuelles. Ces paramètres peuvent limiter la taille totale des fichiersjournaux, ainsi que leur nombre. Normalement, un nouveau fichier journal est créé lors de chaqueredémarrage d'hôte ; par conséquent, le fichier peut devenir très volumineux. Vous pouvez paramétrer unecréation de fichier journal plus fréquente en limitant sa taille maximale. VMware recommande desauvegarder 10 fichiers journaux, avec une taille maximale de 100 Ko par fichier. En effet, ces valeurs sontsuffisantes pour la collecte des informations requises en cas de débogage.

Lors de chaque entrée dans le journal, la taille de ce dernier est vérifiée. Si cette taille dépasse la limite fixée,l'entrée suivante sera enregistrée dans un nouveau fichier journal. Dès que le nombre maximal de fichiersjournaux est atteint, le fichier le plus ancien est supprimé. Une attaque de déni de service (DoS) ignorant ceslimites pourrait être tentée via l'enregistrement d'une énorme entrée de journal ; mais puisque la taille desentrées est limitée à 4 Ko, la taille d'un fichier journal ne peut jamais dépasser la limite configurée de plus de4 Ko.

Sécurité vSphere

138 VMware, Inc.

Limitation du nombre de fichiers journaux dans vSphere Web ClientPour éviter que les utilisateurs et les processus de machine virtuelle ne créent un grand nombre de fichiersjournaux, ce qui risquerait de provoquer un déni de service, vous pouvez limiter le nombre de fichiersjournaux pour une machine virtuelle. Vous ne pouvez pas limiter la taille des fichiers journaux pour desmachines virtuelles individuelles.

Vous pouvez limiter le nombre de fichiers journaux pour toutes les machines virtuelles sur un hôte enmodifiant le fichier /etc/vmware/config. Si la propriété vmx.log.KeepOld n'est pas définie dans le fichier,vous pouvez l'ajouter. Par exemple, pour garder dix fichiers journaux pour chaque machine virtuelle,ajoutez la propriété suivante à /etc/vmware/config :

vmx.log.keepOld = "10"

Vous pouvez également utiliser un script PowerCLI pour modifier cette propriété sur toutes les machinesvirtuelles d'un hôte.

Prérequis


Procédure







5 Ajoutez ou modifiez le paramètre vmx.log.keepOld afin d'indiquer le nombre de fichiers à conserver.Par exemple, pour conserver 8 fichiers journaux et commencer à supprimer les fichiers les plus anciensau fur et à mesure que de nouveaux fichiers sont créés, saisissez 8.

6 Cliquez sur OK.

Désactiver la journalisation pour le système d'exploitation client dansvSphere Web Client

Si vous choisissez de ne pas consigner les informations de dépannage dans un fichier journal de machinevirtuelle stocké sur le volume VMFS, vous pouvez désactiver complètement la journalisation.

Si vous désactivez la journalisation pour le système d'exploitation invité, vous devez savoir que vous nepourrez peut-être pas disposer des informations de fichier journal requises pour le dépannage. Par ailleurs,si la journalisation a été désactivée, VMware n'assure pas de support technique pour les problèmessurvenant sur les machines virtuelles.

Procédure






VMware, Inc. 139

3 Sélectionnez Options VM > Avancées.

4 Dans paramètres, désélectionnez Activer journalisation.

5 Cliquez sur OK.

Sécurité vSphere

140 VMware, Inc.

Sécurisation de la mise en réseauvSphere 9

La sécurisation de la mise en réseau vSphere constitue une part essentielle de la protection de votreenvironnement. Vous sécurisez différents composants vSphere de différentes manières. Pour plusd'informations sur la mise en réseau dans l'environnement vSphere, reportez-vous à la documentation Miseen réseau vSphere.


n « Introduction à la sécurité du réseau vSphere », page 141

n « Sécurisation du réseau avec des pare-feu », page 143

n « Sécuriser le commutateur physique », page 149

n « Sécurisation des ports du commutateur standard à l'aide de stratégies de sécurité », page 149

n « Sécurisation des adresses MAC du commutateur standard », page 150

n « Protection des commutateurs standard et VLAN », page 151

n « Sécuriser des vSphere Distributed Switches », page 153

n « Sécurisation des machines virtuelles avec des VLAN », page 154

n « Créer une DMZ réseau sur un hôte ESXi », page 156

n « Création de plusieurs réseaux sur un hôte ESXi », page 157

n « Sécurité du protocole Internet », page 159

n « Garantir une configuration SNMP appropriée », page 162

n « Utiliser des commutateurs virtuels sur vSphere Network Appliance, uniquement si nécessaire »,page 163

Introduction à la sécurité du réseau vSphereLa sécurité du réseau dans l'environnement vSphere partage de nombreuses caractéristiques de sécurisationd'un environnement de réseau physique, mais inclut également certaines caractéristiques qui s'appliquentuniquement aux machines virtuelles.

Pare-feuAjoutez une protection par pare-feu à votre réseau virtuel en installant et en configurant des pare-feuhébergés sur hôte sur certaines ou la totalité de ses machines virtuelles.

VMware, Inc. 141

Pour une plus grand efficacité, vous pouvez configurer des réseaux Ethernet privés de machines virtuellesou des réseaux virtuels. Avec les réseaux virtuels, vous installez un pare-feu hébergé sur hôte sur unemachine virtuelle à la tête du réseau virtuel. Ce pare-feu sert de tampon de protection entre l'adaptateurréseau physique et les machines virtuelles restantes du réseau virtuel.

Étant donné que les pare-feu hébergés sur hôte peuvent ralentir les performances, équilibrez vos besoins ensécurité par rapport aux objectifs de performances avant d'installer des pare-feu hébergés sur hôte sur desmachines virtuelles ailleurs dans le réseau virtuel.

Reportez-vous à la section « Sécurisation du réseau avec des pare-feu », page 143.

SegmentationConservez différentes zones de machines virtuelles au sein d'un hôte sur différents segments du réseau. Sivous isolez chaque zone de machines virtuelles sur leur propre segment de réseau, vous réduisez le risquede fuite de données d'une zone de machines virtuelles à la suivante. La segmentation empêche diversesmenaces, y compris l'usurpation d'adresse ARP (Address Resolution Protocol), dans laquelle un attaquantmanipule la table ARP pour remapper les adresses MAC et IP, obtenant ainsi accès au trafic réseau de et versun hôte. Les pirates utilisent la falsification de la réponse ARP (ARP spoofing) pour générer des attaques« Man in the Middle » (MITM), effectuer des attaques par déni de service (DoS), pirater le système cible ouperturber le réseau virtuel.

La planification soignée de la segmentation réduit les chances de transmissions de paquets entre les zonesde machines virtuelles, ce qui empêche les attaques de reniflement qui nécessitent l'envoi de trafic réseau àla victime. Par conséquent, un attaquant ne peut pas utiliser un service non sécurisé sur une zone demachines virtuelles pour accéder aux autres zones de machines virtuelles de l'hôte. Vous pouvezimplémenter la segmentation à l'aide de l'une des deux approches suivantes, chacune d'entre elles ayant desavantages différents.

n Utilisez des adaptateurs réseau physiques séparés pour des zones de machines virtuelles afin degarantir que les zones sont isolées. Conserver des adaptateurs réseau physiques séparés pour des zonesde machines virtuelles est probablement la méthode la plus sécurisée et moins susceptible de subir uneconfiguration incorrecte après la création des segments initiaux.

n Configurez des réseaux locaux virtuels (VLAN) pour protéger votre réseau. Comme les VLANdisposent de presque tous les avantages de sécurité inhérents à l'implémentation de réseaux séparésphysiquement sans surcharge matérielle, ils offrent une solution viable pouvant vous économiser lescoûts de déploiement et d'entretien de périphériques, câblages, etc. supplémentaires. Reportez-vous à lasection « Sécurisation des machines virtuelles avec des VLAN », page 154.

Prévention de l'accès non autoriséSi votre réseau de machines virtuelles est connecté à un réseau physique, il peut être soumis à desdéfaillances tout comme un réseau constitué de machines physiques. Même si le réseau de machinesvirtuelles est isolé de tout réseau physique, les machines virtuelles du réseau peuvent être soumises à desattaques d'autres machines virtuelles du réseau. Les contraintes de sécurisation des machines virtuelles sontsouvent identiques à celles des machines physiques.

Les machines virtuelles sont isolées les unes des autres. Une machine virtuelle ne peut pas lire ou écrire surla mémoire d'une autre machine virtuelle, accéder à ses données, utiliser ses applications, etc. Cependant,dans le réseau, toute machine virtuelle ou groupes de machines virtuelles peut toujours être la cible d'unaccès non autorisé à partir d'autres machines virtuelles et peut nécessiter une protection supplémentaire pardes moyens externes.

Sécurité vSphere

142 VMware, Inc.

Sécurisation du réseau avec des pare-feuLes administrateurs de sécurité utilisent des pare-feu pour protéger le réseau ou les composants sélectionnésdans le réseau des intrusions.

Les pare-feu contrôlent l'accès aux périphériques dans leur périmètre en fermant toutes les voies decommunication, excepté pour celles que l'administrateur désigne explicitement ou implicitement commeautorisées. Les voies, ou ports, que les administrateurs ouvrent dans le pare-feu autorisent le trafic entre lespériphériques sur les différents côtés du pare-feu.

Important Le pare-feu ESXi d'ESXi 5.5 n'autorise pas le filtrage par réseau du trafic vMotion. Parconséquent, vous devez établir des règles sur votre pare-feu externe pour vous assurer qu'aucune connexionentrante ne peut être réalisée vers le socket vMotion.

Dans un environnement de machines virtuelles, vous pouvez planifier la disposition des pare-feu entre lescomposants.

n Pare-feu entre machines physiques telles que des systèmes vCenter Server et des hôtes ESXi.

n Pare-feu entre une machine virtuelle et une autre, par exemple entre une machine virtuelle agissantcomme serveur Web externe et une machine virtuelle connectée au réseau interne de votre entreprise.

n Pare-feu entre une machine physique et une machine virtuelle, par exemple lorsque vous placez unpare-feu entre une carte réseau physique et une machine virtuelle.

La manière dont vous utilisez des pare-feu dans une configuration ESXi dépend de la manière dont vousplanifiez l'utilisation du réseau et du niveau de sécurité dont certains composants ont besoin. Par exemple, sivous créez un réseau virtuel où chaque machine virtuelle est dédiée à l'exécution d'une suite de tests deréférence différents pour le même service, le risque d'accès non autorisé d'une machine virtuelle à une autreest minime. Par conséquent, une configuration où des pare-feu sont présents entre les machines virtuellesn'est pas nécessaire. Cependant, pour empêcher l'interruption d'un test exécuté sur un hôte externe, vousdevez définir la configuration afin qu'un pare-feu soit présent au point d'entrée du réseau virtuel pourprotéger tout l'ensemble de machines virtuelles.

Pare-feux pour configurations avec vCenter ServerSi vous accédez aux hôtes ESXi par l'intermédiaire de vCenter Server, vous protégez généralementvCenter Server à l'aide d'un pare-feu. Ce pare-feu fournit une protection de base à votre réseau.

Il peut y avoir un pare-feu entre les clients et vCenter Server. En fonction de votre déploiement, il se peutaussi que vCenter Server et les clients se trouvent tous les deux derrière le pare-feu. L'important est des'assurer qu'un pare-feu est présent sur ce que vous considérez être un point d'entrée pour le système.

Pour obtenir la liste complète des ports TCP et UDP, y compris ceux de vSphere vMotion™ et vSphere FaultTolerance, consultez « Ports TCP et UDP », page 147.

Les réseaux configurés avec vCenter Server peuvent recevoir des communications par l'intermédiaire devSphere Web Client ou de clients de gestion de réseau tiers qui utilisent SDK pour communiquer avec l'hôte.Pendant le fonctionnement normal, vCenter Server écoute les données de ses hôtes et clients gérés sur lesports désignés. vCenter Server suppose aussi que ces hôtes gérés écoutent les donnés de vCenter Server surles ports désignés. Si un pare-feu est présent entre l'un de ces éléments, vous devez vous assurer que le pare-feu a des ports ouverts pour prendre en charge le transfert des données.

Chapitre 9 Sécurisation de la mise en réseau vSphere

VMware, Inc. 143

Vous pouvez également inclure des pare-feu à un grand nombre d'autres points d'accès du réseau, enfonction de la manière dont vous envisagez d'utiliser le réseau et du niveau de sécurité nécessaire auxdifférents périphériques. Sélectionnez les emplacements de vos pare-feu en fonction des risques de sécuritéque vous avez identifiés pour votre configuration réseau. Vous trouverez ci-après une liste desemplacements de pare-feu commune aux implémentations ESXi.

n Entre vSphere Web Client ou un client de gestion de réseau tiers et vCenter Server.

n Si vos utilisateurs accèdent aux machines virtuelles via un navigateur Web, entre le navigateur Web etl'hôte ESXi.

n Si vos utilisateurs accèdent à des machines virtuelles par l'intermédiaire de vSphere Web Client, entrevSphere Web Client et l'hôte ESXi. Cette connexion s'ajoute à la connexion entre vSphere Web Client etvCenter Server et elle nécessite un port différent.

n Entre vCenter Server et les hôtes ESXi.

n Entre les hôtes ESXi de votre réseau. Bien que le trafic entre les hôtes soit généralement considérécomme sécurisé, vous pouvez ajouter des pare-feu entre eux si vous vous inquiétez des défaillances desécurité de machine à machine.

Si vous ajoutez des pare-feu entre les hôtes ESXi et envisagez de migrer les machines virtuelles entre lesserveurs, faites un clonage ou utilisez vMotion. Vous devez également ouvrir des ports dans les pare-feu qui divisent l'hôte source des hôtes cibles afin que la source et les cibles puissent communiquer.

n Entre les hôtes ESXi et le stockage réseau tel que le stockage NFS ou iSCSI. Ces ports ne sont passpécifiques à VMware et vous pouvez les configurer en fonction des spécifications de votre réseau.

Connexion à vCenter Server via un pare-feuLe port que vCenter Server utilise pour écouter le transfert de données de son client est le port 443. Si unpare-feu se trouve entre vCenter Server et ses clients, vous devez configurer une connexion au travers delaquelle vCenter Server peut recevoir des données provenant des clients.

Pour permettre à vCenter Server de recevoir des données de vSphere Web Client, ouvrez le port 443 dans lepare-feu pour permettre le transfert de données entre vSphere Web Client et vCenter Server. Contactezl'administrateur système du pare-feu pour plus d'informations sur la configuration des ports dans un pare-feu.

Si vous utilisez vSphere Web Client et que vous ne voulez pas utiliser le port 443 pour communiquer entrevSphere Web Client et vCenter Server, vous pouvez utiliser un autre port en changeant les paramètres devCenter Server dans vSphere Web Client. Pour en savoir plus sur la manière de modifier ces paramètres,consultez la documentation Gestion de vCenter Server et des hôtes.

Pare-feu pour configurations sans vCenter ServerVous pouvez connecter des clients directement à votre réseau ESXi au lieu d'utiliser vCenter Server.

Les réseaux configurés sans vCenter Server reçoivent des communications via vSphere Client, l'une desinterfaces de ligne de commande de vSphere, les services Web SDK de vSphere ou des clients tiers. Lesbesoins de pare-feu sont en majeure partie les mêmes qu'en présence de vCenter Server, mais il y a plusieursdifférences clés.

n Tout comme pour les configurations comprenant vCenter Server, assurez-vous qu'un pare-feu estprésent pour protéger votre couche ESXiou, en fonction de votre configuration, vos clients et votrecouche ESXi. Ce pare-feu fournit une protection de base à votre réseau. Les ports du pare-feu que vousutilisez sont les mêmes que ceux à utiliser en présence de vCenter Server.

n La licence pour ce type de configuration fait partie du module ESXi que vous installez sur chacun deshôtes. Comme la licence réside sur le serveur, un serveur de licences distinct n'est pas nécessaire. Unpare-feu entre le serveur de licences et le réseau ESXi n'est donc pas nécessaire.

Sécurité vSphere

144 VMware, Inc.

Connexion des hôtes ESXi via des pare-feuSi un pare-feu se trouve entre deux hôtes ESXi et que vous souhaitez autoriser des transactions entre leshôtes ou utiliser vCenter Server pour effectuer des activités sources ou cibles, telles que du trafic vSphereHigh Availability (vSphere HA), une migration, un clonage ou vMotion, vous devez configurer uneconnexion par laquelle les hôtes gérés peuvent recevoir des données.

Pour configurer une connexion pour recevoir des données, ouvrez les ports au trafic des services tels quevSphere High Availability, vMotion, et vSphere Fault Tolerance. Reportez-vous à « ESXi », page 91 pourconsulter une description des fichiers de configuration, de l'accès à vSphere Web Client et des commandesde pare-feu. Reportez-vous à « Ports TCP et UDP », page 147 pour obtenir une liste de ports. Consultezl'administrateur système du pare-feu pour plus d'informations sur la configuration des ports.

Connexion à la console de la machine virtuelle via un pare-feuLorsque vous connectez votre client à des hôtes ESXi via vCenter Server, certains ports sont requis pour quel'utilisateur et l'administrateur puissent communiquer avec les consoles des machines virtuelles. Ces portsprennent en charge différentes fonctions client, communiquent avec différentes couches sur ESXi et utilisentdifférents protocoles d'authentification.

La manière dont vous vous connectez à la console de la machine virtuelle est différente selon que vousutilisez vSphere Web Client ou un autre client, tel que vSphere SDK.

Connexion à l'aide de vSphere Web ClientLorsque vous vous connectez à l'aide de vSphere Web Client, vous vous connectez toujours au systèmevCenter Server qui gère l'hôte, et vous accédez à la console de la machine virtuelle à partir de ce système.

Les ports suivants sont impliqués.

Le port 9443 et leport 9090

vSphere Web Client utilise le port 9443 pour la communication HTTPS avecvCenter Server et le port 9090 pour la communication HTTP avecvCenter Server. Dès lors que les utilisateurs accèdent à vCenter Server, ilspeuvent également accéder à des hôtes et des machines virtuelles ESXiindividuelles.

Vous pouvez modifier ces ports au cours de l'installation devSphere Web Client.

Le port 443 et leport 902

Ouvrez les ports 443 et 902 dans le pare-feu pour autoriser le transfert dedonnées vers les hôtes ESXi à partir de vCenter Server si un pare-feu estinstallé entre votre système vCenter Server et l'hôte ESXi géré parvCenter Server.


VMware, Inc. 145

Figure 9‑1. Utilisation des ports pour les communications de vSphere Web Client avec un hôte ESXi gérépar vCenter Server

ESXi

vSphere Web Client

Port 443/9443

vmware-hostd vmware-authd

fonctions de gestion de machine virtuelle

console de machine virtuelle

Port 902/9090pare-feu

Pour plus d'informations sur la configuration des ports, consultez l'administrateur système du pare-feu.

Connexion via vCenter Server à l'aide de vSphere ClientLorsque vous vous connectez à l'aide de vSphere Client, les ports requis ne sont pas les mêmes selon quevous vous connectez directement à l'hôte ESXi ou à un système vCenter Server.

Port 443 Le port 443 connecte les clients tels que vSphere Web Services SDK à ESXi viale service Web Tomcat ou le SDK. Le processus hôte multiplexe les donnéesdu port 443 au destinataire approprié pour le traitement.

Lorsque le client vSphere SDK est connecté directement à ESXi, il peututiliser ce port pour prendre en charge toutes les fonctions de gestion liées àl'hôte et à ses machines virtuelles. Le port 443 est le port que les clients telsque vSphere SDK considèrent comme disponible lors de l'envoi de données àESXi. VMware ne prend pas en charge la configuration d'un port différentpour ces connexions.

Port 902 Il s'agit du port que vCenter Server considère comme disponible pour laréception des données provenant d'ESXi.

Le port 902 connecte vCenter Server à l'hôte via VMware AuthorizationDaemon (vmware-authd). Ce démon multiplexe les données du port 902 audestinataire approprié pour le traitement. VMware ne prend pas en charge laconfiguration d'un port différent pour cette connexion.

Connexion directe à vSphere ClientAvec vSphere Client, vous pouvez vous connecter directement à un hôte ESXi.

Port 902 vSphere Client utilise ce port pour fournir une connexion pour les activitésMKS du système d'exploitation client sur les machines virtuelles. C'est par ceport que les utilisateurs interagissent avec les systèmes d'exploitation et lesapplications invités de la machine virtuelle. VMware ne prend pas en chargela configuration d'un port différent pour cette fonction.

Sécurité vSphere

146 VMware, Inc.

Ports TCP et UDPvCenter Server, les hôtes ESXi et d'autres composants réseau sont accessibles en utilisant des ports TCP etUDP prédéterminés. Si vous gérez des composants réseau à partir de l'extérieur d'un pare-feu, vous pouvezêtre invité à reconfigurer le pare-feu pour autoriser l'accès sur les ports appropriés.

Le tableau répertorie les ports TCP et UDP et l'objectif et le type de chaque port. Les ports qui sont ouvertspar défaut lors de l'installation sont suivis de la mention « (par défaut) ». Pour obtenir une liste actualiséedes ports de tous les composants vSphere pour les différentes versions de vSphere, reportez-vous à http://kb.vmware.com/kb/1012382.

Tableau 9‑1. Ports TCP et UDP

Port Objectif Type de trafic

22 SSH Server (vSphere Client) TCP entrant

53 (par défaut) Client DNS UDP entrant etsortant

68 (par défaut) Client DHCP UDP entrant etsortant

80 (par défaut) Accès HTTPvCenter Server nécessite le port 80 pour les connexions HTTP directes. Leport 80 redirige les demandes vers le port HTTPS 443. Cette redirection est utilesi vous utilisez accidentellement http://server au lieu de https://serverWS-Management (nécessite également l'ouverture du port 443)

TCP entrantTCP sortant, UDP

88, 2013 Interface de contrôle RPC pour Kerberos, utilisé par vCenter Single Sign-On

111 (pardéfaut)

Service RPC utilisé pour l'enregistrement NIS par vCenter Server Appliance TCP entrant etsortant

123 Client NTP UDP sortant

135 (pardéfaut)

Pour vCenter Server Appliance, ce port est désigné pour l'authentificationActive Directory.Pour une installation de vCenter Server sur Windows, ce port est utilisé pourLinked mode et le port 88 est utilisé pour l'authentification Active Directory.

TCP entrant etsortant

161 (pardéfaut)

Serveur SNMP UDP entrant

443 (pardéfaut)

Le port par défaut que le système vCenter Server utilise pour écouter lesconnexions provenant de vSphere Client. Pour autoriser le systèmevCenter Server à recevoir des données de vSphere Client, ouvrez le port 443dans le pare-feu.Le système vCenter Server utilise également le port 443 pour surveiller lestransferts de données depuis les clients SDK.Ce port est également utilisé pour les services suivants :n WS-Management (nécessite également l'ouverture du port 80)n Accès vSphere Client à vSphere Update Managern Connexions clients de gestion de réseau tiers à vCenter Servern Accès clients de gestion de réseau tiers à des hôtes

TCP entrant

427 (pardéfaut)

Le client CIM utilise le Service Location Protocol, version 2 (SLPv2) pourrechercher des serveurs CIM.

UDP entrant etsortant

513 (pardéfaut)

vCenter Server Appliance utilisé pour consigner l'activité dans un journal UDP entrant


VMware, Inc. 147


Tableau 9‑1. Ports TCP et UDP (suite)

Port Objectif Type de trafic

902 (pardéfaut)

Le port par défaut utilisé par vCenter Server pour envoyer des données à deshôtes gérés. Les hôtes gérés envoient également régulièrement un signal depulsation par le port UDP 902 au système vCenter Server. Ce port ne doit pasêtre bloqué par les pare-feu entre le serveur et les hôtes, ou entre les hôtes.Le port 902 ne doit pas être bloqué entre vSphere Client et les hôtes. vSphereClient utilise ce port pour afficher les consoles de machines virtuelles.

TCP entrant etsortant, UDP sortant

903 Accéder à une console de machine virtuelle à partir de vSphere Client lorsquevSphere Client est connecté directement à l'hôte ESXi (aucun systèmevCenter Server).Transactions MKS (xinetd/vmware-authd-mks)

TCP entrant

2012 Interface de contrôle RPC pour vCenter Single Sign-On vmdir.

2014 Port RPC pour toutes les API VMCA (VMware Certificate Authority)

2049 Transactions provenant des périphériques de stockage NFSCe port est utilisé sur l'interface VMkernel.


31031 44046.(par défaut)

vSphere Replication TCP sortant

3260 Transactions vers les périphériques de stockage iSCSI TCP sortant

5900-5964 Protocole RFB qui est utilisé par les outils de gestion tels que VNC TCP entrant etsortant

5988 (pardéfaut)

Transactions CIM sur HTTP TCP entrant

5989 (pardéfaut)

Transactions XML CIM sur HTTPS TCP entrant etsortant

7444 HTTPS vCenter Single Sign-On

8000 (pardéfaut)

Requêtes de vMotion TCP entrant etsortant

8009 Port connecteur AJP pour la communication entre vCenter Server Appliance etTomcat

TCP sortant

8100, 8200 (pardéfaut)

Trafic entre les hôtes pour vSphere Fault Tolerance (FT) TCP entrant etsortant, UDP

8182 Trafic entre les hôtes pour vSphere High Availability (HA) TCP entrant etsortant, UDP entrantet sortant

9009 Utilisé pour permettre à vCenter Server Appliance de communiquer avecvSphere Web Client


9090 Trafic de la console distante généré par l'accès utilisateur aux machinesvirtuelles sur un hôte spécifique.Accès HTTPS vSphere Web Client aux consoles des machines virtuelles

TCP entrant

9443 Accès HTTP vSphere Web Client aux hôtes ESXi TCP entrant

11711 vCenter Single Sign-On LDAP

11712 vCenter Single Sign-On LDAPS

12721 Service VMware Identity Management

En plus des ports TCP et UDP, vous pouvez configurer d'autres ports en fonction de vos besoins.

Sécurité vSphere

148 VMware, Inc.

Sécuriser le commutateur physiqueSécurisez le commutateur physique sur chaque hôte ESXi pour empêcher les pirates d'obtenir accès à l'hôteet à ses machines virtuelles.

Pour garantir la meilleure protection de vos hôtes, assurez-vous que la configuration des ports ducommutateur physique désactive le protocole STP (Spanning Tree Protocol) et que l'option de non-négociation est configurée pour les liaisons de jonction entre les commutateurs physiques externes et lescommutateurs virtuels en mode VST (Virtual Switch Tagging).

Procédure

1 Connectez-vous au commutateur physique et assurez-vous que le protocole Spanning Tree est désactivéou que PortFast est configuré pour tous les ports de commutateur physique qui sont connectés auxhôtes ESXi.

2 Pour des machines virtuelles qui effectuent un pontage ou un routage, vérifiez périodiquement que laconfiguration du premier port de commutateur physique en amont désactive BPDU Guard et PortFastet active le protocole Spanning Tree.

Dans vSphere 5.1 et versions ultérieures, pour protéger le commutateur physique des attaques de dénide service (DoS), vous pouvez activer le filtrage BPDU invité sur les hôtes ESXi.

3 Connectez-vous au commutateur physique et assurez-vous que le protocole DTP (Dynamic TrunkingProtocol) n'est pas activé sur les ports du commutateur physique qui sont connectés aux hôtes ESXi.

4 Vérifiez régulièrement les ports du commutateur physique pour vous assurer qu'ils sont correctementconfigurés comme ports de jonction s'ils sont connectés à des ports de jonction VLAN d'uncommutateur virtuel.

Sécurisation des ports du commutateur standard à l'aide destratégies de sécurité

Tout comme pour les adaptateurs réseau physiques, un adaptateur réseau de machine virtuelle peutenvoyer des trames qui semblent provenir d'une autre machine ou emprunter l'identité d'une autre machineafin de pouvoir recevoir des trames réseau destinées à cette machine. Par conséquent, tout comme lesadaptateurs réseau physiques, un adaptateur réseau de machine virtuelle peut être configuré afin derecevoir des trames destinées à d'autres machines. Ces deux scénarios représentent un risque pour lasécurité.

Lorsque vous créez un commutateur standard pour votre réseau, vous ajoutez des groupes de ports dansvSphere Web Client pour imposer aux machines virtuelles et aux adaptateurs VMkernel une stratégieconcernant le trafic système lié au commutateur.

Dans le cadre de l'ajout d'un groupe de ports VMkernel ou d'un groupe de ports de machine virtuelle à uncommutateur standard, ESXi configure une stratégie de sécurité pour les ports du groupe. Vous pouvezutiliser ce profil de sécurité pour garantir que l'hôte empêche les systèmes d'exploitation invités de sesmachines virtuelles d'emprunter l'identité d'autres machines sur le réseau. Cette fonction de sécurité estimplémentée afin que le système d'exploitation invité responsable de l'emprunt d'identité ne détecte pas quel'emprunt d'identité a été empêché.

La stratégie de sécurité détermine le niveau d'intensité avec lequel vous appliquez la protection contrel'emprunt d'identité et les attaques d'interception sur les machines virtuelles. Pour utiliser correctement lesparamètres du profil de sécurité, vous devez comprendre comment les adaptateurs réseau de machinesvirtuelles contrôlent les transmissions et la manière dont les attaques sont contrées à ce niveau. Consultez lasection Stratégies de sécurité dans Mise en réseau vSphere.

.


VMware, Inc. 149

Sécurisation des adresses MAC du commutateur standardVous pouvez sécuriser le trafic de commutation standard contre les attaques de couche 2 en limitant certainsmodes d'adresses MAC.

Chaque adaptateur réseau de la machine virtuelle dispose d'une adresse MAC initiale et d'une adresse MACeffective.

Adresse MAC initiale L'adresse MAC initiale est attribuée lors de la création de l'adaptateur. Bienque l'adresse MAC initiale puisse être reconfigurée à partir de l'extérieur dusystème d'exploitation invité, elle ne peut pas être modifiée par le systèmed'exploitation invité.

Adresse MAC effective Chaque adaptateur dispose d'une adresse MAC effective qui filtre le traficréseau entrant avec une adresse MAC de destination différente de l'adresseMAC effective. Le système d'exploitation invité est responsable de ladéfinition de l'adresse MAC effective et fait généralement correspondrel'adresse MAC effective à l'adresse MAC initiale.

Lors de la création de l'adaptateur réseau d'une machine virtuelle, l'adresse MAC effective et l'adresse MACinitiale sont identiques. Le système d'exploitation invité peut à tout moment remplacer l'adresse MACeffective par une autre valeur. Si un système d'exploitation modifie l'adresse MAC effective, son adaptateurréseau reçoit le trafic réseau destiné à la nouvelle adresse MAC.

Lors de l'envoi de paquets via un adaptateur réseau, le système d'exploitation invité place généralement sapropre adresse MAC effective de l'adaptateur dans la zone de l'adresse MAC source des trames Ethernet. Ilplace l'adresse MAC de l'adaptateur réseau récepteur dans la zone d'adresse MAC de destination.L'adaptateur récepteur accepte les paquets uniquement si l'adresse MAC de destination du paquetcorrespond à sa propre adresse MAC effective.

Un système d'exploitation peut envoyer des trames avec une adresse MAC source usurpée. Cela signifiequ'un système d'exploitation peut bloquer les attaques nuisibles sur les périphériques dans un réseau enempruntant l'identité d'un adaptateur réseau que le réseau récepteur autorise.

Vous pouvez sécuriser le trafic via les commutateurs standard contre ce type d'attaques de couche 2 enlimitant les modes suivants :

n Mode promiscuité

n Modifications d'adresse MAC

n Transmission forgée

Pour modifier les paramètres par défaut d'un port, modifiez la stratégie de sécurité du commutateurstandard ou du groupe de ports dans vSphere Web Client.

Modifications d'adresse MACLa règle de sécurité d'un commutateur virtuel inclut une option Modifications d'adresse MAC. Cette optionaffecte le trafic qu'une machine virtuelle reçoit.

Lorsque l'option Modifications d'adresse Mac est définie sur Accepter, ESXi accepte les demandes demodification de l'adresse MAC effective en une adresse différente de l'adresse MAC initiale.

Sécurité vSphere

150 VMware, Inc.

Lorsque l'option Modifications d'adresse Mac est définie sur Rejeter, ESXi n'honore pas les demandes demodification de l'adresse MAC effective en une adresse différente de l'adresse MAC initiale. Ce paramètreprotège l'hôte contre l'emprunt d'identité MAC. Le port que l'adaptateur de machine virtuelle a utilisé pourenvoyer la demande est désactivé et l'adaptateur de machine virtuelle ne reçoit plus de trames jusqu'à ceque l'adresse MAC effective corresponde à l'adresse MAC initiale. Le système d'exploitation invité nedétecte pas que la demande de modification d'adresse MAC n'a pas été honorée.

Remarque L'initiateur iSCSI repose sur la capacité à obtenir les modifications d'adresse MAC de certainstypes de stockage. Si vous utilisez iSCSI ESXi avec un stockage iSCSI, définissez l'option Modificationsd'adresse MAC sur Accepter.

Dans certaines situations, vous pouvez avoir un besoin légitime d'attribuer la même adresse MAC àplusieurs adaptateurs, par exemple, si vous utilisez l'équilibrage de la charge réseau Microsoft en modemonodiffusion. Lorsque l'équilibrage de la charge réseau Microsoft est utilisé en mode multidiffusionstandard, les adaptateurs ne partagent pas les adresses MAC.

Transmissions forgéesL'option Transmissions forgées affecte le trafic transmis à partir d'une machine virtuelle.

Lorsque cette option est définie sur Accepter, ESXi ne compare pas l'adresse MAC source et l'adresse MACeffective.

Pour se protéger d'un emprunt d'identité MAC, vous pouvez définir l'option Transmissions forgées surRejeter. Dans ce cas, l'hôte compare l'adresse MAC source que transmet le système d'exploitation invitéavec l'adresse MAC effective de son adaptateur de machine virtuelle pour déterminer si elles correspondent.Si elles ne correspondent pas, l'hôte ESXi abandonne le paquet.

Le système d'exploitation invité ne détecte pas que son adaptateur de machine virtuelle ne peut pas envoyerde paquets à l'aide de l'adresse MAC usurpée. L'hôte ESXi intercepte les paquets avec des adresses usurpéesavant leur livraison, et le système d'exploitation invité peut supposer que les paquets sont rejetés.

Fonctionnement en mode promiscuitéLe mode promiscuité élimine tout filtrage de réception que l'adaptateur de machine virtuelle peut effectuerafin que le système d'exploitation invité reçoive tout le trafic observé sur le réseau. Par défaut, l'adaptateurde machine virtuelle ne peut pas fonctionner en mode promiscuité.

Bien que le mode promiscuité puisse être utile pour le suivi de l'activité réseau, c'est un mode defonctionnement non sécurisé, car les adaptateurs en mode promiscuité ont accès aux paquets, même sicertains de ces paquets sont reçus uniquement par un adaptateur réseau spécifique. Cela signifie qu'unadministrateur ou un utilisateur racine dans une machine virtuelle peut potentiellement voir le trafic destinéà d'autres systèmes d'exploitation hôtes ou invités.

Remarque Dans certaines situations, vous pouvez avoir une raison légitime de configurer un commutateurvirtuel standard ou distribué pour fonctionner en mode promiscuité ; par exemple, si vous exécutez unlogiciel de détection des intrusions réseau ou un renifleur de paquets.

Protection des commutateurs standard et VLANLes commutateurs standard VMware assurent une protection contre certaines menaces pour la sécurité duVLAN. En raison de la manière dont certains commutateurs standard sont conçus, ils protègent les VLANcontre un grand nombre d'attaques, dont un grand nombre implique le VLAN hopping.

Disposer de cette protection ne garantit pas que la configuration de vos machines virtuelles n'est pasvulnérable à d'autres types d'attaques. Par exemple, les commutateurs standard ne protègent pas le réseauphysique contre ces attaques : ils protègent uniquement le réseau virtuel.


VMware, Inc. 151

Les commutateurs standard et les VLAN peuvent protéger des types d'attaques suivants.

Saturation MAC Saturation d'un commutateur avec des paquets contenant des adresses MACbalisées comme provenant de sources différentes. De nombreuxcommutateurs utilisent une table de mémoire adressable par contenu pourdétecter et stocker l'adresse source de chaque paquet. Lorsque la table estpleine, le commutateur peut passer dans un état totalement ouvert danslequel chaque paquet entrant est diffusé sur tous les ports, permettant àl'attaquant de voir tout le trafic du commutateur. Cet état peut provoquerune fuite des paquets sur les VLAN.

Bien que les commutateurs standard de VMware stockent la table d'adressesMAC, ils n'obtiennent pas les adresses MAC du trafic observable et ne sontpas vulnérables à ce type d'attaque.

Attaques 802.1q et debalisage ISL

Force un commutateur à rediriger des cadres d'un VLAN à un autre enamenant le commutateur à agir comme un tronçon et à diffuser le trafic auxautres VLAN.

Les commutateurs standard de VMware n'effectuent pas la jonctiondynamique requise pour ce type d'attaque et ne sont pas par conséquentvulnérables.

Attaques à doubleencapsulation

Survient lorsqu'un attaquant crée un paquet à double encapsulation danslequel l'identifiant de VLAN dans la balise interne est différent del'identifiant de VLAN dans la balise externe. Pour des raisons decompatibilité descendante, les VLAN natifs ôtent la balise externe despaquets transmis sauf s'ils sont configurés pour ne pas le faire. Lorsque lecommutateur d'un VLAN natif ôte la balise externe, seule la balise internereste et cette balise interne achemine le paquet à un VLAN différent de celuiidentifié par la balise externe maintenant manquante.

Les commutateurs standard de VMware rejettent les cadres à doubleencapsulation qu'une machine virtuelle tente d'envoyer sur un port configurépour un VLAN spécifique. Par conséquent, ils ne sont pas vulnérables à cetype d'attaque.

Attaques de force brutemultidiffusion

Implique l'envoi d'un grand nombre de cadres multidiffusion à un VLANconnu presque simultanément pour surcharger le commutateur afin qu'ilautorise par erreur la diffusion de certains cadres sur d'autres VLAN.

Les commutateurs standard de VMware ne permettent pas aux cadres dequitter leur domaine de diffusion correspondant (VLAN) et ne sont pasvulnérables à ce type d'attaque.

Sécurité vSphere

152 VMware, Inc.

Attaques l'arbrerecouvrant

Spanning-Tree Protocol (STP) cible, qui est utilisé pour contrôler le pontageentre des parties du LAN. L'attaquant envoie des paquets Bridge ProtocolData Unit (BPDU) qui tentent de modifier la topologie du réseau, en sedéfinissant comme le pont racine. En tant que pont racine, l'attaquant peutrenifler le contenu des cadres transmis.

Les commutateurs standard de VMware ne prennent pas en charge STP et nesont pas vulnérables à ce type d'attaque.

Attaques à tramealéatoire

Implique l'envoi d'un grand nombre de paquets dans lesquels les adresses desource et de destination restent identiques, mais dans lesquels les zones sontmodifiées aléatoirement en longueur, type ou contenu. L'objectif de cetteattaque est de forcer les paquets à être réacheminés par erreur vers un VLANdifférent.

Les commutateurs standard de VMware ne sont pas vulnérables à ce typed'attaque.

Comme de nouvelles menaces de sécurité continuent à se développer, ne considérez pas cela comme uneliste exhaustive des attaques. Vérifiez régulièrement les ressources de sécurité de VMware sur le Web pouren savoir plus sur la sécurité, les alertes de sécurité récentes et les tactiques de sécurité de VMware.

Sécuriser des vSphere Distributed SwitchesLes administrateurs disposent de plusieurs options pour sécuriser un vSphere Distributed Switch dans leurenvironnement vSphere.

Procédure

1 Vérifiez que la fonction Extension automatique pour les groupes de ports distribués avec liaisonstatique est désactivée.

Extension automatique est activée par défaut dans vSphere 5.1 et versions ultérieures.

Pour désactiver Extension automatique, configurez la propriété autoExpand sous le groupe de portsdistribués avec vSphere Web Services SDK ou avec une interface de ligne de commande. Consultez ladocumentation de vSphere API/SDK.

2 Assurez-vous que tous les ID de VLAN privés de tout vSphere Distributed Switch sont entièrementdocumentés.

3 Vérifiez l'absence de ports inutilisés sur un groupe de ports virtuels associé à un vSphere DistributedSwitch.

4 Protégez le trafic virtuel contre l'emprunt d'identité et les attaques de couche 2 d'interception enconfigurant une stratégie de sécurité sur les groupes de ports ou les ports.

La stratégie de sécurité sur les groupes de ports distribués et les ports inclut les options suivantes :

n Mode promiscuité (reportez-vous à « Fonctionnement en mode promiscuité », page 151)

n Modifications d'adresse MAC (reportez-vous à « Modifications d'adresse MAC », page 150)

n Transmissions forgées (reportez-vous à « Transmissions forgées », page 151)

Pour consulter les paramètres actuels et les modifier, sélectionnez Gérer des groupes de portsdistribués dans le menu contextuel (bouton droit de la souris) du Distributed Switch, puis sélectionnezSécurité dans l'assistant. Consultez la documentation de Mise en réseau vSphere.


VMware, Inc. 153

Sécurisation des machines virtuelles avec des VLANLe réseau peut être l'une des parties les plus vulnérables d'un système. Votre réseau de machines virtuellesnécessite autant de protection que votre réseau physique. L'utilisation des VLAN peut permettre d'améliorerla sécurité réseau dans votre environnement.

Les VLAN sont un schéma de réseau standard IEEE avec des méthodes de balisage spécifiques quipermettent le routage des paquets uniquement vers les ports faisant partie du VLAN. S'ils sont configuréscorrectement, les VLAN fournissent un moyen fiable pour protéger un ensemble de machines virtuelles desintrusions accidentelles et nuisibles.

Les VLAN vous permettent de segmenter un réseau physique afin que deux machines du réseau ne puissentpas transmettre et recevoir des paquets à moins de faire partie du même VLAN. Par exemple, lesenregistrements de comptabilité et les transactions font partie des informations internes les plus sensiblesd'une entreprise. Dans une entreprise dont les employés des ventes, des expéditions et de la comptabilitéutilisent tous des machines virtuelles sur le même réseau physique, vous pouvez protéger les machinesvirtuelles du service de comptabilité en configurant des VLAN.

Figure 9‑2. Exemple de disposition de VLAN

VM3 VM4

Commutateur standard

VM5


VM6 VM7 VM8


VM0 VM1 VM2


VM9 VM10 VM11

VM12VLAN

B

VM13VLAN

A

VM14VLAN

B


Routeur

Hôte 1

Hôte 3

Hôte 4

Hôte 2

Commutateur 1

Commutateur 2Plusieurs VLANsur le mêmecommutateur virtuelDomaines diffusion A et B

VLAN A

Domaine diffusion A

VLAN B

Domaine diffusion B

Dans cette configuration, tous les employés du service de comptabilité utilisent des machines virtuelles dansun VLAN A et les employés des ventes utilisent des machines virtuelles dans VLAN B.

Le routeur transmet les paquets contenant les données de comptabilité aux commutateurs. Ces paquets sontbalisés pour une distribution sur le VLAN A uniquement. Par conséquent, les données sont confinées à unediffusion dans le domaine A et ne peuvent pas être acheminées pour une diffusion dans le domaine B àmoins que le routeur ne soit configuré pour le faire.

Sécurité vSphere

154 VMware, Inc.

Cette configuration de VLAN empêche les forces de vente d'intercepter les paquets destinés au service decomptabilité. Elle empêche également le service de comptabilité de recevoir des paquets destinés au groupesde ventes. Les machines virtuelles prises en charge par un seul commutateur virtuel peuvent se trouver surdes VLAN différents.

Considérations relatives à la sécurité pour les VLANLa manière dont vous configurez les VLAN pour sécuriser des parties du réseau dépend de facteurs tels quele système d'exploitation invité et la façon dont votre équipement réseau est configuré.

ESXi dispose d'une implémentation VLAN complète conforme IEEE 802.1q. VMware ne peut pas faire derecommandations spécifiques sur la manière de configurer des VLAN, mais il existe des facteurs à prendreen compte lors de l'utilisation d'un déploiement VLAN dans le cadre de votre stratégie d'application de lasécurité.

Sécuriser les VLANLes administrateurs disposent de plusieurs options permettant de sécuriser les réseaux VLAN dans leurenvironnement vSphere.

Procédure

1 Assurez-vous que les groupes de ports ne sont pas configurés pour des valeurs VLAN réservées par lescommutateurs physiques en amont

Ne définissez pas de valeurs ID VLAN réservées au commutateur physique.

2 Assurez-vous que les groupes de ports ne sont pas configurés sur VLAN 4095, sauf si vous utilisez lebalisage d'invité virtuel (VGT).

Il existe trois types de balisage VLAN dans vSphere :

n Balisage de commutateur externe (EST)

n Balisage de commutateur virtuel (VST) - Le commutateur virtuel marque avec l'ID de VLAN letrafic qui entre dans les machines virtuelles attachées et supprime la balise VLAN du trafic qui lesquitte. Pour configurer le mode VST, attribuez un ID VLAN compris entre 1 et 4095.

n Balisage d'invité virtuel (VGT) - Les machines virtuelles gèrent le trafic VLAN. Pour activer lemode VGT, définissez l'ID VLAN sur 4095. Sur un commutateur distribué, vous pouvez égalementautoriser le trafic d'une machine virtuelle en fonction de son réseau VLAN à l'aide de l'optionJonction VLAN.

Sur un commutateur standard, vous pouvez configurer le mode de mise en réseau VLAN au niveau ducommutateur ou du groupe de ports, et sur un commutateur distribué au niveau du groupe de portsdistribués ou du port.

3 Assurez-vous que tous les réseaux VLAN de chaque commutateur virtuel sont pleinement documentéset que chaque commutateur virtuel dispose de tous les VLAN requis et des VLAN seulementnécessaires.


VMware, Inc. 155

Créer une DMZ réseau sur un hôte ESXiLa création d'une zone démilitarisée (DMZ) réseau sur un hôte est un exemple d'utilisation des fonctionsd'isolation et de mise en réseau virtuel d'ESXi pour configurer un environnement sécurisé.

Figure 9‑3. DMZ configurée sur un hôte ESXi

adaptateur réseau matériel 1

Réseau externe Réseau interne

adaptateur réseau matériel 2

ESXi

Machine virtuelle 1

serveur de pare-feu serveur Web serveur d'applications serveur de pare-feu

Commutateur standard 1



Machine virtuelle 2

Machine virtuelle 3

Machine virtuelle 4

Dans cet exemple, quatre machines virtuelles sont configurées en vue de créer une zone démilitariséevirtuelle sur le commutateur standard 2 :

n La machine virtuelle 1 et la machine virtuelle 4 exécutent des pare-feux et sont connectées auxadaptateurs réseau physiques par l'intermédiaire de commutateurs standard. Ces deux machinesvirtuelles utilisent plusieurs commutateurs.

n La machine virtuelle 2 s'exécute en tant que serveur Web, tandis que la machine virtuelle 3 s'exécute entant que serveur d'applications. Ces deux machines virtuelles sont connectées à un commutateurvirtuel.

Le serveur Web et le serveur d'applications occupent la DMZ entre les deux pare-feu. Le passage entre cesdeux éléments est le commutateur standard 2, qui connecte les pare-feu aux serveurs. Ce commutateur nepossède pas de connexion directe aux éléments situés hors de la zone démilitarisée ; il est isolé du traficexterne via les deux pare-feu.

D'un point de vue opérationnel, le trafic externe Internet entre dans la machine virtuelle 1 via l'adaptateurréseau 1 (acheminé par le commutateur standard 1) ; il est alors vérifié par le pare-feu installé sur cettemachine. Si le pare-feu autorise le trafic, celui-ci est acheminé vers le commutateur standard situé au sein dela zone démilitarisée (commutateur standard 2). Étant donné que le serveur Web et le serveur d'applicationssont également connectés à ce commutateur, ils peuvent traiter des requêtes externes.

Le commutateur standard 2 est également connecté à la machine virtuelle 4. Cette machine virtuelle permetde bénéficier d'un pare-feu entre la DMZ et le réseau interne de l'entreprise. Ce pare-feu filtre les paquets enprovenance du serveur Web et du serveur d'applications. Si un paquet est vérifié, il est acheminé versl'adaptateur réseau 2 via le commutateur standard 3. L'adaptateur réseau 2 est connecté au réseau interne del'entreprise.

Sécurité vSphere

156 VMware, Inc.

Lorsque vous créez une DMZ sur un seul hôte, vous pouvez utiliser des pare-feu assez légers. Dans cetteconfiguration, une machine virtuelle ne peut pas exercer un contrôle direct sur une autre machine virtuelle,ni accéder à sa mémoire ; toutefois, toutes les machines virtuelles restent connectées via un réseau virtuel.Or, ce réseau peut être utilisé pour la propagation de virus ou être la cible d'autres types d'attaques. Lasécurité des machines virtuelles dans la zone démilitarisée revient donc à séparer des machines physiquesconnectées à un même réseau.

Création de plusieurs réseaux sur un hôte ESXiLe système ESXi a été conçu pour vous permettre de connecter certains groupes de machines virtuelles auréseau interne, ainsi que d'autres groupes au réseau externe, et enfin d'autres groupes aux deux réseaux, letout sur le même hôte. Cette capacité est une extension de l'isolation de machines virtuelles ; elle est associéeà une optimisation de la planification d'utilisation des fonctions de réseau virtuel.

Figure 9‑4. Réseaux externes, réseaux internes et DMZ configurée sur un hôte ESXi unique

adaptateurs réseau physique

Mise en réseau Externe 1

Mise en réseau Interne 2

Mise en réseau Externe 2

Mise en réseau Interne 1

ESXi

VM 2

utilisateur interne

VM 3

utilisateur interne

VM 4

utilisateur interne

VM 5

utilisateur interne

VM 6

serveur pare-feu

VM 7

serveur Web

VM 8

serveur pare-feu

VM 1

serveur FTP

Mise en réseau interneMise en réseau externe DMZ

Dans la figure, l'administrateur système a configuré un hôte dans trois zones différentes de machinevirtuelle : sur le serveur FTP, dans les machines virtuelles et dans la zone démilitarisée (DMZ). Chacune deces zones a une fonction spécifique.

Serveur FTP La machine virtuelle 1 est configurée avec logiciel FTP et sert de zone derétention des données envoyées de et vers des ressources extérieures(formulaires et collatéraux localisés par un fournisseur, par exemple).

Cette machine virtuelle est associée à un réseau externe uniquement. Ellepossède son propre commutateur virtuel et sa propre carte de réseauphysique, qui lui permettent de se connecter au réseau externe 1. Ce réseauest réservé aux serveurs utilisés par l'entreprise pour la réception de donnéesissues de sources externes. Par exemple, l'entreprise peut utiliser le réseauexterne 1 pour recevoir un trafic FTP en provenance de leurs fournisseurs, etpour permettre à ces derniers d'accéder aux données stockées sur desserveurs externes via FTP. Outre la machine virtuelle 1, le réseau externe 1sert les serveurs FTP configurés sur différents hôtes ESXi du site.


VMware, Inc. 157

La machine virtuelle 1 ne partage pas de commutateur virtuel ou de carte deréseau physique avec les machines virtuelles de l'hôte ; par conséquent, lesautres machines virtuelles ne peuvent pas acheminer de paquets de et vers leréseau de la machine virtuelle 1. Cette restriction évite les intrusions, quinécessitent l'envoi de trafic réseau à la victime. Plus important encore : unpirate ne peut pas exploiter la vulnérabilité naturelle du protocole FTP pouraccéder aux autres machines virtuelles de l'hôte.

Machines virtuellesinternes

Les machines virtuelles 2 à 5 sont réservées à une utilisation interne. Cesmachines virtuelles traitent et stockent les données confidentielles desentreprises (dossiers médicaux, jugements ou enquêtes sur la fraude, parexemple). Les administrateurs systèmes doivent donc leur associer un niveaumaximal de protection.

Elles se connectent au réseau interne 2 via leur propre commutateur virtuelet leur propre carte réseau. Le réseau interne 2 est réservé à une utilisationinterne par le personnel approprié (responsables de dossiers d'indemnisationou juristes internes, par exemple).

Les machines virtuelles 2 à 5 peuvent communiquer entre elles via lecommutateur virtuel ; elles peuvent aussi communiquer avec les machinesvirtuelles du réseau interne 2 via la carte réseau physique. En revanche, ellesne peuvent pas communiquer avec des machines externes. Comme pour leserveur FTP, ces machines virtuelles ne peuvent pas acheminer des paquetsvers ou les recevoir depuis les réseaux des autres machines virtuelles. De lamême façon, les autres machines virtuelles de l'hôte ne peuvent pasacheminer des paquets vers ou les recevoir depuis les machines virtuelles 2 à5.

DMZ Les machines virtuelles 6 à 8 sont configurées en tant que zone démilitarisée(DMZ) ; le groupe marketing les utilise pour publier le site Web externe del'entreprise.

Ce groupe de machines virtuelles est associé au réseau externe 2 et au réseauinterne 1. L'entreprise utilise le réseau externe 2 pour les serveurs Web quihébergent le site Web de l'entreprise et d'autres outils Web destinés à desutilisateurs externes. Le réseau interne 1 est utilisé par le service marketingpour publier le contenu du site Web de l'entreprise, pour effectuer destéléchargements et pour gérer des services tels que des forums utilisateur.

Puisque ces réseaux sont séparés du réseau externe 1 et du réseau interne 2,et que les machines virtuelles n'ont pas de point de contact partagé(commutateurs ou adaptateurs), il n'y a aucun risque d'attaque de ou vers leserveur FTP ou le groupe de machines virtuelles internes.

Grâce à l'isolation des machines virtuelles, à la bonne configuration des commutateurs virtuels et à laséparation des réseaux, l'administrateur système peut inclure les trois zones de machines virtuelles sur lemême hôte ESXi et être rassuré quant à l'absence de violations de données ou de ressources.

L'entreprise met en œuvre l'isolation au sein des groupes de machines virtuelles via l'utilisation de plusieursréseaux internes et externes, et via la séparation des commutateurs virtuels et des adaptateurs réseauphysiques de chaque groupe.

Aucun des commutateurs virtuels ne fait le lien entre les différentes zones de machines virtuelles ;l'administrateur système peut donc éliminer tout risque de fuite de paquets d'une zone à l'autre. Au niveaude sa conception même, un commutateur virtuel ne peut pas transmettre directement des paquets vers unautre commutateur virtuel Pour acheminer des paquets d'un commutateur virtuel vers un autre, lesconditions suivantes doivent être réunies :

n Les commutateurs virtuels doivent être connectés au même réseau local physique.

Sécurité vSphere

158 VMware, Inc.

n Les commutateurs virtuels doivent se connecter à une machine virtuelle commune, qui peut êtreutilisée pour la transmission de paquets.

Or, aucune de ces situations ne se vérifie dans l'exemple de configuration. Si les administrateurs systèmesouhaitent vérifier l'absence de chemin commun de commutateur virtuel, ils peuvent rechercher leséventuels points de contact partagés en examinant la disposition des commutateurs réseau dansvSphere Web Client.

Pour protéger les ressources des machines virtuelles, l'administrateur système diminue le risque d'attaqueDoS et DDoS en configurant une réservation de ressources, ainsi qu'une limite applicable à chaque machinevirtuelle. Il renforce la protection de l'hôte ESXi et des machines virtuelles en installant des pare-feu sur lapartie frontale et la partie principale de la zone démilitarisée (DMZ), en vérifiant que l'hôte est protégé parun pare-feu physique et en configurant les ressources de stockage réseau de telle sorte qu'elles bénéficienttoutes de leur propre commutateur virtuel.

Sécurité du protocole InternetLa sécurité du protocole Internet (IPsec) sécurise les communications IP provenant de et arrivant sur l'hôte.Les hôtes ESXi prennent en charge IPsec utilisant IPv6.

Lorsque vous configurez IPsec sur un hôte, vous activez l'authentification et le chiffrement des paquetsentrants et sortants. Le moment et la manière dont le trafic IP est chiffré dépendent de la façon dont vousavez configuré les associations de sécurité et les règles de sécurité du système.

Une association de sécurité détermine comment le système chiffre le trafic. Lorsque vous créez uneassociation de sécurité, vous indiquez la source et la destination, les paramètres de chiffrement et le nom del'association de sécurité.

Une stratégie de sécurité détermine le moment auquel le système doit chiffrer le trafic. La stratégie desécurité comprend les informations de source et de destination, le protocole et la direction du trafic àchiffrer, le mode (transport ou tunnel) et l'association de sécurité à utiliser.

Liste des associations de sécurité disponiblesESXi peut fournir une liste de toutes les associations de sécurité disponibles pour l'utilisation par les règlesde sécurité. Cette liste inclut les associations de sécurité créées par l'utilisateur et les associations de sécuritéque VMkernel a installées à l'aide d'Internet Key Exchange.

Vous pouvez obtenir une liste des associations de sécurité disponibles à l'aide de la commande vSphere CLIesxcli.

Procédure

u Dans l'invite de commande, entrez la commande esxcli network ip ipsec sa list.

ESXi affiche une liste de toutes les associations de sécurité disponibles.

Ajout d'une association de sécuritéAjoutez une association de sécurité pour définir des paramètres de chiffrement pour le trafic IP associé.

Vous pouvez ajouter une association de sécurité avec la commande vSphere CLI esxcli.


VMware, Inc. 159

Procédure

u Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sa add avec une ouplusieurs des options suivantes.

Option Description

--sa-source= source address Requis. Spécifiez l'adresse source.

--sa-destination= destinationaddress

Requis. Spécifiez l'adresse de destination.

--sa-mode= mode Requis. Spécifiez le mode, soit transport ou tunnel.

--sa-spi= security parameter index Requis. Spécifiez l'index des paramètres de sécurité. Celui-ci identifiel'association de sécurité à l'hôte. Ce doit être un hexadécimal avec unpréfixe 0x. Chaque association de sécurité que vous créez doit disposerd'une combinaison unique de protocole et d'index de paramètres desécurité.

--encryption-algorithm=encryption algorithm

Requis. Spécifiez l'algorithme de chiffrement à l'aide d'un des paramètressuivants.n 3des-cbc

n aes128-cbc

n null

null aucun chiffrement.

--encryption-key= encryption key Requise lorsque vous spécifiez un algorithme de chiffrement. Spécifiez laclé de chiffrement. Vous pouvez entrer des clés en tant que texte ASCII ouen tant qu'hexadécimal avec un préfixe 0x.

--integrity-algorithm=authentication algorithm

Requis. Spécifiez l'algorithme d'authentification, soit hmac-sha1 ou hmac-sha2-256.

--integrity-key= authenticationkey

Requis. Spécifiez la clé d'authentification. Vous pouvez entrer des clés entant que texte ASCII ou en tant qu'hexadécimal avec un préfixe 0x.

--sa-name=name Requis. Indiquez un nom pour l'association de sécurité.

Exemple : Commande de nouvelle association de sécuritéL'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec sa add

--sa-source 3ffe:501:ffff:0::a

--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001

--sa-mode transport

--sa-spi 0x1000

--encryption-algorithm 3des-cbc

--encryption-key 0x6970763672656164796c6f676f336465736362636f757432

--integrity-algorithm hmac-sha1

--integrity-key 0x6970763672656164796c6f67736861316f757432

--sa-name sa1

Suppression d'une association de sécuritéVous pouvez supprimer une association de sécurité de l'hôte.

Vous pouvez supprimer une association de sécurité avec la commande vSphere CLI esxcli.

Prérequis

Assurez-vous que l'association de sécurité que vous souhaitez utiliser n'est pas actuellement utilisée. Si vousessayez de supprimer une association de sécurité en cours d'utilisation, l'opération de suppression échoue.

Sécurité vSphere

160 VMware, Inc.

Procédure

u Dans l'invite de commande, entrez la commandeesxcli network ip ipsec sa remove --sa-namesecurity_association_name.

Liste des règles de sécurité disponiblesESXi peut fournir une liste de toutes les règles de sécurité de l'hôte.

Vous pouvez obtenir la liste des règles de sécurité disponibles à l'aide de la commande vSphere CLI esxcli.

Procédure

u Dans l'invite de commande, entrez la commande esxcli network ip ipsec sp list.

L'hôte affiche une liste de toutes les règles de sécurité disponibles.

Création d'une règle de sécuritéCréez une règle de sécurité pour déterminer le moment auquel utiliser les paramètres d'authentification etde chiffrement définis dans une association de sécurité.

Vous pouvez ajouter une règle de sécurité avec la commande vSphere CLI esxcli.

Prérequis

Avant de créer une règle de sécurité, ajoutez une association de sécurité comportant les paramètresd'authentification et de chiffrement appropriés décrits dans « Ajout d'une association de sécurité », page 159.

Procédure

u Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sp add avec une ouplusieurs des options suivantes.

Option Description

--sp-source= source address Requis. Spécifiez l'adresse IP source et la longueur du préfixe.

--sp-destination= destinationaddress

Requis. Spécifiez l'adresse de destination et la longueur du préfixe.

--source-port= port Requis. Spécifiez le port source. Le port source doit être un nombrecompris entre 0 et 65 535.

--destination-port= port Requis. Spécifiez le port de destination. Le port source doit être un nombrecompris entre 0 et 65 535.

--upper-layer-protocol= protocol Spécifiez le protocole de couche supérieure à l'aide d'un des paramètressuivants.n tcp

n udp

n icmp6

n toutes

--flow-direction= direction Spécifiez la direction dans laquelle vous souhaitez surveiller le trafic àl'aide de in ou out.

--action= action Définissez l'action à prendre lorsque le trafic avec les paramètres spécifiésest rencontré à l'aide des paramètres suivants.n none : Ne faites rienn discard : Ne permettez pas l'entrée ou la sortie de données.n ipsec : Utilisez les informations d'authentification et de chiffrement

fournies dans l'association de sécurité pour déterminer si les donnéesproviennent d'une source de confiance.

--sp-mode= mode Spécifiez le mode, soit tunnel ou transport.


VMware, Inc. 161

Option Description

--sa-name=security associationname

Requis. Indiquez le nom de l'association de sécurité pour la règle desécurité à utiliser.

--sp-name=name Requis. Indiquez un nom pour la règle de sécurité.

Exemple : Commande de nouvelle règle de sécuritéL'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec add

--sp-source=2001:db8:1::/64

--sp-destination=2002:db8:1::/64

--source-port=23

--destination-port=25

--upper-layer-protocol=tcp

--flow-direction=out

--action=ipsec

--sp-mode=transport

--sa-name=sa1

--sp-name=sp1

Suppression d'une règle de sécuritéVous pouvez supprimer une règle de sécurité de l'hôte ESXi.

Vous pouvez supprimer une règle de sécurité avec la commande vSphere CLI esxcli.

Prérequis

Assurez-vous que la règle de sécurité que vous souhaitez utiliser n'est pas actuellement utilisée. Si vousessayez de supprimer une règle de sécurité en cours d'utilisation, l'opération de suppression échoue.

Procédure

u Dans l'invite de commande, entrez la commandeesxcli network ip ipsec sp remove --sa-name security policy name.

Pour supprimer toutes les règles de sécurité, entrez la commandeesxcli network ip ipsec sp remove --remove-all.

Garantir une configuration SNMP appropriéeSi SNMP n'est pas configuré correctement, les informations de surveillance peuvent être envoyées à un hôtemalveillant. L'hôte malveillant peut ensuite utiliser ces informations pour planifier une attaque.

Procédure

1 Exécutez esxcli system snmp get pour déterminer si SNMP est actuellement utilisé.

2 Si votre système requiert SNMP, assurez-vous qu'il n'est pas en cours d'exécution en exécutant lacommande esxcli system snmp set --enable true.

3 Si votre système utilise SNMP, consultez la publication Surveillance et performances pour obtenir desinformations sur la configuration de SNMP 3.

SNMP doit être configuré sur chaque hôte ESXi. Vous pouvez utiliser vCLI, PowerCLI ou les servicesWeb SDK de vSphere pour la configuration.

Sécurité vSphere

162 VMware, Inc.

Utiliser des commutateurs virtuels sur vSphere Network Appliance,uniquement si nécessaire

Si vous n'utilisez pas de produits faisant appel à l'API vSphere Network Appliance (DvFilter), ne configurezpas votre hôte pour envoyer des informations sur le réseau à une machine virtuelle. Si l'API vSphereNetwork Appliance est activée, un pirate peut tenter de connecter une machine virtuelle au filtre. Cetteconnexion risque de donner à d'autres machines virtuelles sur l'hôte un accès au réseau.

Si vous utilisez un produit qui fait appel à cette API, vérifiez que l'hôte est correctement configuré.Reportez-vous aux sections sur DvFilter dans Développement et déploiement des solutions vSphere, des vServiceset des agents ESX. Si votre hôte est configuré pour utiliser l'API, assurez-vous que la valeur du paramètreNet.DVFilterBindIpAddress correspond au produit qui utilise l'API.

Procédure

1 Pour s'assurer que le paramètre de noyau Net.DVFilterBindIpAddress a la valeur appropriée, localisezle paramètre à l'aide de vSphere Web Client.

a Sélectionnez l'hôte et cliquez sur l'onglet Gérer.

b Sous Système, sélectionnez Paramètres système avancés.

c Recherchez Net.DVFilterBindIpAddress et vérifiez que le paramètre a une valeur vide.

L'ordre des paramètres n'est pas strictement alphabétique. Faites défiler les informations pourtrouver le paramètre.

2 Si vous n'utilisez pas les paramètres DvFilter, assurez-vous que la valeur est vide.

3 Si vous utilisez des paramètres DvFilter, assurez-vous que la valeur du paramètre correspond à cellequ'emploie le produit qui utilise DvFilter.


VMware, Inc. 163

Sécurité vSphere

164 VMware, Inc.

Meilleures pratiques pour la sécuritédes machines virtuelles et des hôtes 10

Tenez compte des recommandations de base en matière de sécurité lorsque vous créez et configurez deshôtes et des machines virtuelles.


n « Synchronisation des horloges sur vSphere Network », page 165

n « Sécurisation du stockage iSCSI », page 167

n « Masquage et zonage des ressources SAN », page 168

n « Accès à l'outil de surveillance du matériel basé sur la surveillance CIM », page 169

n « Vérifier que l'envoi des données de performances de l'hôte aux invités est désactivé », page 170

Synchronisation des horloges sur vSphere NetworkAvant d'installer vCenter Single Sign-On, d'installer vSphere Web Client ou de déployer vCenter ServerAppliance, assurez-vous que les horloges de toutes les machines du réseau vSphere sont synchronisées.

Si les horloges des machines vCenter Server du réseau ne sont pas synchronisées, les certificats SSL, qui sontsensibles au temps, peuvent ne pas être reconnus comme valides dans les communications entre lesmachines du réseau. Des horloges non synchronisées peuvent entraîner des problèmes d'authentification, cequi peut causer l'échec de l'installation de vSphere Web Client ou empêcher le démarrage du service vpxddu dispositif vCenter Server.

Assurez-vous que tous les hôtes Windows sur lesquels un composant vCenter s'exécute sont synchronisésavec le serveur NTP. Consultez l'article de la base de connaissances Meilleures pratiques de chronométragepour Windows, notamment NTP.

n Synchroniser les horloges ESX et ESXi avec un serveur de temps du réseau page 166Avant d'installer vCenter Single Sign-On, vSphere Web Client ou le dispositif vCenter Server, assurez-vous que les horloges de toutes les machines du réseau vSphere sont synchronisées.

n Synchroniser l'horloge de vCenter Server Appliance avec un serveur NTP page 166Avant de déployer vCenter Server Appliance, assurez-vous que les horloges de toutes les machines surle réseau sont synchronisées. Des horloges non synchronisées peuvent entraîner des erreursd'installation et d'authentification.

VMware, Inc. 165



Synchroniser les horloges ESX et ESXi avec un serveur de temps du réseauAvant d'installer vCenter Single Sign-On, vSphere Web Client ou le dispositif vCenter Server, assurez-vousque les horloges de toutes les machines du réseau vSphere sont synchronisées.

Procédure

1 Dans vSphere Web Client, connectez-vous à vCenter Server.

2 Sélectionnez l'hôte dans l'inventaire.

3 Sélectionnez l'onglet Gérer.

4 Sélectionnez Paramètres.

5 Dans la section Système, sélectionnez Configuration de temps.

6 Cliquez sur Modifier et configurez le serveur NTP.

a Sélectionnez Utiliser le protocole de temps du réseau (activer le client NTP).

b Définissez la stratégie de démarrage du service NTP.

c Entrez les adresses IP des serveurs NTP avec lesquels se synchroniser.

d Cliquez sur Démarrer ou Redémarrer dans la section État du service NTP.

7 Cliquez sur OK.

L'hôte se synchronise avec le serveur NTP.

Synchroniser l'horloge de vCenter Server Appliance avec un serveur NTPAvant de déployer vCenter Server Appliance, assurez-vous que les horloges de toutes les machines sur leréseau sont synchronisées. Des horloges non synchronisées peuvent entraîner des erreurs d'installation etd'authentification.

Sur les systèmes joints à un domaine Windows, l'horloge de vCenter Server Appliance est synchroniséeautomatiquement avec le contrôleur de domaine. Sur d'autres systèmes, vous pouvez activer lasynchronisation de l'horloge à l'aide de VMware Tools. Comme alternative, vous pouvez utiliser cetteprocédure.

Procédure

1 Ouvrez un navigateur Web et accédez à l'interface de gestion de vCenter Server Appliance(https://vCenter-Appliance-Address:5480/).

2 Connectez-vous en tant qu'utilisateur racine.

3 Dans l'onglet vCenter Server, sélectionnez le sous-onglet Heure.

4 Sélectionnez une ou plusieurs des options disponibles.

Option Description

Aucune synchronisation Ne pas effectuer de synchronisation.

Synchronisation NTP Sélectionnez cette option et spécifiez un ou plusieurs serveurs NTP pourconfigurer la synchronisation du dispositif directement avec un serveurNTP.

Synchronisation VMware Tools Sélectionnez cette option pour synchroniser toutes les machines virtuelles.

Synchronisation Active Directory Cette option devient disponible uniquement si vous ajoutez le dispositif àun domaine Active Directory. Si vous sélectionnez cette option, aucune desautres options n'est disponible.

Sécurité vSphere

166 VMware, Inc.

5 Cliquez sur Enregistrer les paramètres.

L'horloge de vCenter Server Appliance est synchronisée avec le serveur NTP.

Sécurisation du stockage iSCSILe stockage que vous configurez pour un hôte peut comprendre un ou plusieurs réseaux de zone destockage (SAN) utilisant iSCSI. Lorsque vous configurez iSCSI sur un hôte, vous pouvez prendre plusieursmesures pour réduire les risques de sécurité.

iSCSI est un moyen d'accéder aux périphériques SCSI et d'échanger des enregistrements de données à l'aidedu protocole TCP/IP sur un port réseau plutôt que via une connexion directe à un périphérique SCSI. Dansles transactions iSCSI, des blocs de données SCSI brutes sont encapsulés dans des enregistrements iSCSI ettransmis au périphérique demandant ou à l'utilisateur.

Les SAN iSCSI vous permettent d'utiliser efficacement les infrastructures Ethernet existantes pour permettreaux hôtes d'accéder aux ressources de stockage qu'ils peuvent partager de manière dynamique. Les SANiSCSI offrent une solution de stockage économique pour les environnements reposant sur un pool destockage pour servir de nombreux utilisateurs. Comme pour tout système en réseau, vos SAN iSCSI peuventêtre soumis à des défaillances de sécurité.

Remarque Les contraintes et les procédures de sécurisation d'un SAN iSCSI sont semblables à celles desadaptateurs iSCSI matériels que vous pouvez utiliser avec les hôtes et à celles des iSCSI configurésdirectement via l'hôte.

Sécurisation des périphériques iSCSI via l'authentificationUn moyen permettant de sécuriser les périphériques iSCSI des intrusions indésirables consiste à demanderque l'hôte, ou l'initiateur, soit authentifié par le périphérique iSCSI, ou la cible, à chaque fois que l'hôte tented'accéder aux données sur la LUN cible.

L'objectif de l'authentification consiste à prouver que l'initiateur a le droit d'accéder à une cible, ce droitétant accordé lorsque vous configurez l'authentification.

ESXi ne prend en charge ni Kerberos, ni Secure Remote Protocol (SRP), ni les méthodes d'authentificationpar clé publique d'iSCSI. Il ne prend pas non plus en charge l'authentification IPsec et le chiffrement.

Utilisez vSphere Web Client pour déterminer si l'authentification est en cours et pour configurer la méthoded'authentification.

Protection d'un SAN iSCSILorsque vous planifiez la configuration iSCSI, prenez des mesures pour optimiser la sécurité globale devotre SAN iSCSI. Votre configuration iSCSI présente le même niveau de sécurité que votre réseau IP. Parconséquent, en appliquant de bonnes normes de sécurité lors de la configuration de votre réseau, vous aidezà la protection de votre stockage iSCSI.

Vous trouverez ci-dessous des suggestions spécifiques pour appliquer de bonnes normes de sécurité.

Protection des données transmisesLe premier risque de sécurité dans les SAN iSCSI est qu'un attaquant puisse renifler les données de stockagetransmises.

Prenez des mesures supplémentaires pour empêcher les attaquants de voir aisément les données iSCSI. Nil'adaptateur iSCSI du matériel, ni l'initiateur iSCSI d'ESXi ne chiffre les données qu'ils transmettent vers lescibles et obtiennent de celles-ci, rendant ainsi les données plus vulnérables aux attaques par reniflage.

Chapitre 10 Meilleures pratiques pour la sécurité des machines virtuelles et des hôtes

VMware, Inc. 167

Permettre à vos machines virtuelles de partager des commutateurs standard et des VLAN avec votreconfiguration iSCSI expose potentiellement le trafic iSCSI à une mauvaise utilisation par un attaquant demachine virtuelle. Afin de garantir que les intrus ne peuvent pas écouter les transmissions iSCSI, assurez-vous qu'aucune des machines virtuelles ne peut voir le réseau de stockage iSCSI.

Si vous utilisez un adaptateur iSCSI matériel, vous pouvez effectuer cette opération en vous assurant quel'adaptateur iSCSI et l'adaptateur de réseau physique ESXi ne sont pas connectés par inadvertance en dehorsde l'hôte pour partager un commutateur ou un autre élément. Si vous configurez iSCSI directement vial'hôte ESXi, vous pouvez effectuer cette opération en configurant le stockage iSCSI via un commutateurstandard différent de celui utilisé par vos machines virtuelles.

En plus de protéger le SAN iSCSI en lui attribuant un commutateur standard, vous pouvez configurer votreSAN iSCSI avec son propre VLAN pour améliorer les performances et la sécurité. Le placement de votreconfiguration iSCSI sur un VLAN séparé garantit qu'aucun périphérique autre que l'adaptateur iSCSI n'a devisibilité sur les transmissions au sein du SAN iSCSI. Par conséquent, aucun blocage réseau provenantd'autres sources ne peut interférer avec le trafic iSCSI.

Sécurisation des ports iSCSILorsque vous exécutez des périphériques iSCSI, ESXi n'ouvre pas de port écoutant les connexions réseau.Cette mesure réduit le risque qu'un intrus puisse pénétrer dans ESXi par des ports disponibles et prenne lecontrôle de l'hôte. Par conséquent, l'exécution iSCSI ne présente pas de risques de sécurité supplémentairessur le côté hôte ESXi de la connexion.

Tout périphérique cible iSCSI que vous exécutez doit disposer d'un ou plusieurs ports TCP ouverts pourécouter les connexions iSCSI. Si des vulnérabilités de sécurité existent dans le logiciel du périphérique iSCSI,vos données peuvent courir un risque en raison d'une panne d'ESXi. Pour réduire ce risque, installez tous lescorrectifs de sécurité que le fournisseur de votre équipement de stockage fournit et limitez le nombre depériphériques connectés au réseau iSCSI.

Masquage et zonage des ressources SANVous pouvez utiliser le zonage et le masquage LUN pour distinguer l'activité SAN et restreindre l'accès auxpériphériques de stockage.

Vous pouvez protéger l'accès au stockage dans votre environnement vSphere en utilisant le zonage et lemasquage LUN avec vos ressources SAN. Par exemple, vous pouvez gérer des zones définies pour des testsindépendamment dans le réseau SAN afin qu'elles n'interfèrent pas avec l'activité des zones de production.De même, vous pouvez configurer différentes zones pour différents services.

Lorsque vous configurez des zones, tenez compte des groupes d'hôtes qui sont configurés sur lepériphérique SAN.

Les possibilités de zonage et de masquage pour chaque commutateur et baie de disques SAN, ainsi que lesoutils de gestion du masquage LUN sont spécifiques du fournisseur.

Consultez la documentation de votre fournisseur SAN ainsi que la documentation Stockage vSphere.

Sécurité vSphere

168 VMware, Inc.

Accès à l'outil de surveillance du matériel basé sur la surveillanceCIM

Le système CIM (Modèle de données unifié, Common Information Model) fournit une interface permettantla gestion au niveau du matériel à partir d'applications distantes utilisant un ensemble d'API standard. Pourassurer la sécurisation de l'interface CIM, ne fournissez que le niveau d'accès minimal nécessaire à cesapplications. Si une application, qui a été provisionnée avec un compte racine ou un compte administrateurcomplet, est compromise, l'ensemble de l'environnement virtuel peut l'être aussi.

Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressourcesmatérielles sans agent et basée sur des règles pour ESXi. Cette structure se compose d'un gestionnaired'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.

Les fournisseurs CIM sont utilisés comme mécanisme pour fournir un accès de gestion aux pilotes depériphériques et au matériel sous-jacent. Les fabricants de matériel, notamment les fabricants de serveurs etles fournisseurs de périphériques spécifiques, peuvent créer ce type de fournisseurs afin d'assurer lasurveillance et la gestion de leurs périphériques spécifiques. VMware crée également des fournisseurs quimettent en œuvre la surveillance du matériel serveur, l'infrastructure de stockage ESXi et des ressourcesspécifiques à la virtualisation. Ces fournisseurs s'exécutent au sein même du système ESXi. Ils sont doncconçus pour être extrêmement légers et dédiés à des tâches de gestion spécifiques. Le courtier CIM recueilledes informations auprès de tous les fournisseurs CIM et les diffuse à l'extérieur par le biais d'API standards,la plus commune d'entre elles étant WS-MAN.

Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder àl'interface CIM. Créez plutôt un compte de service spécifique à ces applications et accordez un accès enlecture seule aux informations CIM à tous les comptes locaux définis sur le système ESXi, ainsi qu'à tous lesrôles définis dans vCenter Server.

Procédure

1 Créez un compte de service spécifique aux applications CIM.

2 Accordez un accès en lecture seule aux informations CIM à tous les comptes locaux définis sur lesystème ESXi, ainsi qu'à tous les rôles définis dans vCenter Server.

3 (Facultatif) Si l'application requiert un accès en écriture à l'interface CIM, créez un rôle s'appliquant aucompte de service avec seulement deux privilèges :

n Hôte.Config.SystemManagement (Gestion du système)

n Hôte.CIM.CIMInteraction (Interaction CIM)

Ce rôle peut être local pour l'hôte ou défini centralement sur vCenter Server, selon le mode defonctionnement de l'application de contrôle.

Lorsqu'un utilisateur se connecte à l'hôte avec le compte de service créé pour les applications CIM,l'utilisateur dispose uniquement des privilèges SystemManagement (Gestion du système) etCIMInteraction (Interaction CIM) ou d'un accès en lecture seule.

Chapitre 10 Meilleures pratiques pour la sécurité des machines virtuelles et des hôtes

VMware, Inc. 169

Vérifier que l'envoi des données de performances de l'hôte auxinvités est désactivé

vSphere comprend des compteurs de performance de machine virtuelle lorsque VMware Tools est installésous des systèmes d'exploitation Windows. Les compteurs de performance permettent aux personnes encharge des machines virtuelles d'effectuer des analyses de performance précises à l'intérieur du systèmed'exploitation client. Par défaut, vSphere n'expose pas les informations relatives à l'hôte à la machinevirtuelle invitée.

La possibilité d'envoyer des données de performance relatives à l'hôte à une machine virtuelle cliente estdésactivée par défaut. Ce paramétrage par défaut empêche une machine virtuelle d'obtenir des informationsdétaillées sur l'hôte physique et rend les données de l'hôte indisponibles si une faille de la sécurité de lamachine virtuelle se produit.

Remarque La procédure ci-dessous illustre le processus simple. Utilisez plutôt vSphere ou l'une desinterfaces de ligne de commande vSphere (vCLI, PowerCLI et ainsi de suite) pour effectuer cette tâche surtous les hôtes simultanément.

Procédure

1 Sur le système ESXi hébergeant la machine virtuelle, accédez au fichier VMX.

Les fichiers de configuration des machines virtuelles se situent dans lerépertoire /vmfs/volumes/datastore, où datastore correspond au nom du périphérique de stockage danslequel sont stockés les fichiers de la machine virtuelle.

2 Dans le fichier VMX, vérifiez que le paramètre suivant est défini.

tools.guestlib.enableHostInfo=FALSE

3 Enregistrez et fermez le fichier.

Vous ne pouvez pas récupérer d'informations de performance relatives à l'hôte à l'intérieur de la machinevirtuelle.

Sécurité vSphere

170 VMware, Inc.

Privilèges définis 11Les tableaux suivants présentent les privilèges par défaut qui, une fois sélectionnés pour un rôle, peuventêtre associés avec un utilisateur et assignés à un objet. Dans les tableaux de cette annexe, VC désignevCenter Server et HC désigne le client de l'hôte, un hôte ESXi autonome ou un hôte de poste de travail.

En définissant des autorisations, vérifiez que tous les types d'objet sont définis avec des privilègesappropriés pour chaque action particulière. Quelques opérations exigent la permission d'accès au dossierracine ou au dossier parent en plus de l'accès à l'objet manipulé. Quelques opérations exigent l'autorisationd'accès ou de performances à un dossier parent et à un objet associé.

Les extensions de vCenter Server peuvent définir des privilèges supplémentaires non mentionnés ici.Référez-vous à la documentation concernant l'extension pour plus d'informations sur ces privilèges.


n « Alarmes », page 172

n « Centre de données », page 173

n « Banque de données », page 173

n « Cluster de banques de données », page 174

n « vSphere Distributed Switch », page 174

n « Gestionnaire d'agent ESX », page 175

n « Extension », page 176

n « Dossier », page 176

n « Global », page 176

n « Hôte CIM », page 177

n « Configuration d'hôte », page 178

n « Inventaire d'hôte », page 179

n « Opérations locales d'hôte », page 180

n « Réplication d'hôte vSphere », page 180

n « Profil d'hôte », page 181

n « Réseau », page 181

n « Performances », page 181

n « Autorisations », page 182

n « Stockage basé sur le profil », page 182

VMware, Inc. 171

n « Ressource », page 183

n « Tâche planifiée », page 183

n « Sessions », page 184

n « Vues de stockage », page 184

n « Tâches », page 185

n « vApp », page 185

n « Identification vCenter Inventory Service », page 186

n « Configuration de la machine virtuelle », page 187

n « Opérations de système invité d'une machine virtuelle », page 189

n « Interaction de machine virtuelle », page 189

n « Inventaire de machine virtuelle », page 191

n « Provisionnement de machine virtuelle », page 192

n « Privilèges de gestion des snapshots d'une machine virtuelle », page 193

n « Réplication de machine virtuelle vSphere », page 194

n « groupes de ports virtuels distibués », page 194

n « vServices », page 195

n « Règle de VRM », page 195

AlarmesLes privilèges d'alarmes contrôlent la capacité à définir et à répondre aux alarmes sur des objetsd'inventaire.

Le tableau décrit les privilèges nécessaires pour créer, modifier et répondre aux alarmes.

Vous pouvez définir ce privilège à différents niveaux dans la hiérarchie. Par exemple, si vous définissez unprivilège au niveau du dossier, vous pouvez propager le privilège à un ou plusieurs objets dans le dossier.Le privilège doit être défini pour l'objet répertorié dans la colonne Requis, soit directement soit de manièrehéritée.

Tableau 11‑1. Privilèges d'alarmes

Nom de privilège Description Requis sur

Alarmes.Reconnaître unealarme

Permet la suppression de toutes les actionsd'alarme sur toutes les alarmes déclenchées.

Objet sur lequel une alarme est définie

Alarmes.Créer une alarme Permet la création d'une alarme.En créant des alarmes avec une actionpersonnalisée, le privilège d'exécuter l'actionest vérifié quand l'utilisateur crée l'alarme.


Alarmes.Désactiver une actiond'alarme

Permet d'empêcher une action d'alarmeaprès le déclenchement d'une alarme. Cetteintervention ne désactive pas l'alarme.


Alarmes.Modifier une alarme Permet le changement des propriétés d'unealarme.


Alarmes.Supprimer une alarme Permet la suppression d'une alarme. Objet sur lequel une alarme est définie

Alarmes.Définir l'état d'unealarme

Permet de changer l'état de l'alarmed'événement configurée. L'état peut changeren Normal, Avertissement ou Alerte.


Sécurité vSphere

172 VMware, Inc.

Centre de donnéesLes privilèges de centre de données contrôlent la capacité à créer et modifier des centres de données dansl'inventaire de vSphere Web Client.

Le tableau décrit les privilèges requis pour créer et modifier des centres de données. Tous les privilèges decentre de données ne sont utilisés que dans vCenter Server. Le privilège Créer un centre de données estdéfini sur les dossiers du centre de données ou l'objet racine. Tous les autres privilèges de centre de donnéessont associés à des centres de données, des dossiers de centres de données ou à l'objet racine.


Tableau 11‑2. Privilèges de centre de données


Centre de données.Créerun centre de données

Permet de créer un centre de données. Objet de dossier de centre de données ou objetracine

Centre dedonnées.Déplacer uncentre de données

Permet de déplacer un centre de données.Le privilège doit être présent à la fois à lasource et à la destination.

Centre de données, source et destination

Centre dedonnées.Configuration duprofil réseau

Permet de configurer le profil réseau d'uncentre de données.

Centre de données

Centre dedonnées.Allocation derequête de poold'adresses IP

Permet la configuration d'un pool d'adressesIP.

Centre de données

Centre dedonnées.Reconfigurer uncentre de données

Permet de reconfigurer un centre de données. Centre de données

Centre de données.Libérerune allocation IP

Permet de libérer l'allocation IP attribuée à uncentre de données.

Centre de données

Centre dedonnées.Supprimer uncentre de données

Permet de supprimer un centre de données.Pour pouvoir exécuter cette opération, ceprivilège doit être assigné à la fois à l'objet età son objet parent.

Centre de données plus objet parent

Centre dedonnées.Renommer uncentre de données

Permet de modifier le nom d'un centre dedonnées.

Centre de données

Banque de donnéesLes privilèges de banque de données contrôlent la capacité à parcourir, gérer, et allouer l'espace sur lesbanques de données.

Le tableau décrit les privilèges requis pour travailler avec des banques de données.


Chapitre 11 Privilèges définis

VMware, Inc. 173

Tableau 11‑3. Privilèges de banque de données


Banque de données.Allouer del'espace

Permet l'allocation d'espace sur une banque de données pour unemachine virtuelle, un snapshot, un clone ou un disque virtuel.

Banques de données

Banque de données.Parcourirune banque de données

Permet la recherche de fichiers sur une banque de données. Banques de données

Banque de données.Configurerune banque de données

Permet la configuration d'une banque de données. Banques de données

Banque de données.Opérationsde fichier de niveau inférieur

Permet l'exécution d'opérations de lecture, d'écriture, desuppression et de changement de nom dans le navigateur de labanque de données.

Banques de données

Banque de données.Déplacerune banque de données

Permet le déplacement d'une banque de données entre dossiers.Les privilèges doivent être présents à la fois à la source et à ladestination.

La banque de données,source et destination

Banque de données.Supprimerune banque de données

Permet la suppression d'une banque de données.Ce privilège est à éviter.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Banques de données

Banque de données.Supprimerun fichier

Permet la suppression de fichiers dans la banque de données.Ce privilège est à éviter. Attribue le privilège Opérations de fichierde niveau inférieur.

Banques de données

Banque de données.Renommerune banque de données

Permet de renommer une banque de données. Banques de données

Banque de données.Mettre àjour les fichiers de machinevirtuelle

Permet de mettre à niveau les chemins d'accès aux fichiers demachine virtuelle sur une banque de données après que la banquede données a été resignée.

Banques de données

Cluster de banques de donnéesLes privilèges de cluster de banques de données contrôlent la configuration des clusters de banques dedonnées du DRS de stockage.

Le tableau décrit les privilèges utilisés pour configurer les clusters de banques de données.


Tableau 11‑4. Privilèges de cluster de banques de données


Cluster de banques dedonnées.Configurer uncluster de banques dedonnées

Permet la création et la configuration de paramètres pour les clustersde banques de données de Storage DRS.

Datastore Clusters

vSphere Distributed SwitchLes privilèges de vSphere Distributed Switches contrôlent la capacité à effectuer des tâches associées à lagestion des vSphere Distributed Switch.

Le tableau décrit les privilèges requis pour créer et configurer des vSphere Distributed Switches.

Sécurité vSphere

174 VMware, Inc.


Tableau 11‑5. Privilèges de vSphere Distributed Switch


vSphere DistributedSwitch.Créer

Autorise la création d'un vSphere Distributed Switch. Centres de données,dossiers de réseau

vSphere DistributedSwitch.Supprimer

Autorise la suppression d'un vSphere Distributed Switch.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

vSphere DistributedSwitches

vSphere DistributedSwitch.Opération d'hôte

Autorise la modification des membres de l'hôte d'un vSphereDistributed Switch.


vSphere DistributedSwitch.Modifier

Autorise la modification de la configuration d'un vSphere DistributedSwitch.


vSphere DistributedSwitch.Déplacer

Autorise le déplacement d'un vSphere Distributed Switch vers un autredossier.


vSphere DistributedSwitch.Opération deNetwork I/O control

Autorise la modification des paramètres de ressources d'un vSphereDistributed Switch.


vSphere DistributedSwitch.Opération destratégie

Autorise la modification de la règle d'un vSphere Distributed Switch. vSphere DistributedSwitches

vSphere DistributedSwitch .Opération deconfiguration de port

Autorise la modification de la configuration d'un port dans un vSphereDistributed Switch.


vSphere DistributedSwitch.Opération deparamétrage de port

Autorise la modification des paramètres d'un port dans un vSphereDistributed Switch.


vSphere DistributedSwitch.Opération de VSPAN

Autorise la modification de la configuration VSPAN d'un vSphereDistributed Switch.


Gestionnaire d'agent ESXLes privilèges de gestionnaire d'agent ESX contrôlent les opérations liées au Gestionnaire d'agent ESX et auxmachines virtuelles d'agent.

Le tableau décrit les privilèges liés au Gestionnaire d'agent ESX et aux machines virtuelles d'agent.


Tableau 11‑6. Gestionnaire d'agent ESX


Gestionnaire d'agentESX.Config

Permet de déployer une machine virtuelle d'agent sur un hôte ou uncluster.

Machines virtuelles

Gestionnaire d'agentESX.Modifier

Permet d'apporter des modifications à une machine virtuelle d'agenttelles que la mise hors tension ou la suppression de la machine virtuelle.

Machines virtuelles

Affichage d'agentESX.Affichage

Permet d'afficher une machine virtuelle d'agent. Machines virtuelles


VMware, Inc. 175

ExtensionLes privilèges d'extension contrôlent la capacité à installer et gérer des extensions.

Le tableau décrit les privilèges requis pour installer et gérer des plug-ins.


Tableau 11‑7. Privilèges d'extension


Extension.Enregistrer uneétendue

Permet d'enregistrer une extension (plug-in). Racine vCenter Server

Extension.Annulerl'enregistrement d'uneétendue

Permet d'annuler l'enregistrement d'une extension (plug-in). Racine vCenter Server

Extension.Mettre à jour uneétendue

Permet de mettre à jour une extension (plug-in). Racine vCenter Server

DossierLes privilèges de dossier contrôlent la capacité à créer et gérer des dossiers.

Le tableau décrit les privilèges requis pour créer et gérer des dossiers.


Tableau 11‑8. Privilèges de dossier


Dossier.Créer un dossier Permet de créer un dossier. Dossiers

Dossier.Supprimer undossier

Permet de supprimer un dossier.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Dossiers

Dossier.Déplacer un dossier Permet de déplacer un dossier.Le privilège doit être présent à la fois à la source et à la destination.

Dossiers

Dossier.Renommer undossier

Permet de modifier le nom d'un dossier. Dossiers

GlobalLes privilèges globaux contrôlent un certain nombre de tâches globales associées aux tâches, aux scripts etaux extensions.

Le tableau décrit les privilèges requis pour les tâches globales effectuées dans vSphere Web Client.


Sécurité vSphere

176 VMware, Inc.

Tableau 11‑9. Privilèges globaux


Global.Agir en tant quevCenter Server

Permet la préparation ou le lancement d'une opération d'envoivMotion ou d'une opération de réception vMotion.

Racine vCenter Server

Global.Annuler une tâche Permet l'annulation d'une tâche en cours d'exécution ou en filed'attente.

Objet d'inventaire associéà la tâche

Global.Planification decapacité

Permet l'activation de l'utilisation de la planification de capacité pourprévoir la consolidation de machines physiques en machinesvirtuelles.


Global.Diagnostics Permet la récupération d'une liste de fichiers de diagnostic, d'un en-tête de journal, de fichiers binaires ou d'un groupe de diagnostic.Pour éviter d'éventuelles failles de sécurité, limitez ce privilège au rôled'administrateur vCenter Server.


Global.Désactiver méthodes Permet à des serveurs d'extensions de vCenter Server de désactiverdes opérations sur des objets gérés par vCenter Server.


Global.Activer desméthodes

Permet à des serveurs d'extensions de vCenter Server de désactiverdes opérations sur des objets gérés par vCenter Server.


Global.Balise globale Permet l'ajout ou la suppression de balises globales. Hôte racine ou vCenterServer

Global.Intégrité Permet l'affichage de l'état de fonctionnement de composants devCenter Server.


Global.Licences Permet l'affichage de licences installées, ainsi que l'ajout ou lasuppression de licences.

Hôte racine ou vCenterServer

Global.Événement dejournal

Permet la consignation d'un événement défini par l'utilisateur parrapport à une entité gérée.

Tout objet

Global.Gérer des attributspersonnalisés

Permet d'ajouter, de supprimer ou de renommer des définitions dechamps personnalisés.


Global.Proxy Permet l'accès à une interface interne pour ajouter ou supprimer despoints finaux à ou depuis un proxy.


Global.Action de script Permet de planifier une action de script en relation avec une alarme. Tout objet

Global.Gestionnaires deservices

Permet l'utilisation de la commande resxtop dans l'interface de lignede commande vSphere.


Global.Définir un attributpersonnalisé

Permet de visualiser, créer ou supprimer des attributs personnaliséspour un objet géré.

Tout objet

Global.Paramètres Permet la lecture ou la modification de paramètres de configurationd'exécution de vCenter Server.


Global.Balise système Permet l'ajout ou la suppression de balises système. Racine vCenter Server

Hôte CIMLes privilèges d'hôte CIM contrôlent l'utilisation du CIM pour la surveillance de la santé de l'hôte.

Le tableau décrit les privilèges utilisés pour la surveillance de la santé de l'hôte CIM.



VMware, Inc. 177

Tableau 11‑10. Privilèges CIM d'hôte


Hôte.CIM.Interaction CIM Permettre à un client d'obtenir un billet pour l'utilisation de servicesCIM.

Hôtes

Configuration d'hôteLes privilèges de configuration d'hôte contrôlent la capacité à configurer des hôtes.

Le tableau décrit les privilèges requis pour configurer les paramètres d'hôte.


Tableau 11‑11. Privilèges de configuration d'hôte


Hôte.Configuration.Paramètresavancés

Permet de définir les options avancées de paramètres dans laconfiguration d'hôte.

Hôtes

Hôte.Configuration.Banqued'authentification

Permet de configurer les banques d'authentification d'ActiveDirectory.

Hôtes

Hôte.Configuration.Modifier lesparamètres de date et d'heure

Permet de modifier les paramètres de date et d'heure surl'hôte.

Hôtes

Hôte.Configuration.Modifier lesparamètres PciPassthru

Permet de modifier les paramètres PciPassthru pour un hôte. Hôtes

Hôte.Configuration.Modifier lesparamètres

Permet de paramétrer le mode verrouillage sur des hôtesESXi. Le mode verrouillage n'est pas pris en charge sur leshôtes ESX.

Hôtes

Hôte.Configuration.Modifier lesparamètres SNMP

Permet de configurer, redémarrer et arrêter l'agent SNMP. Hôtes

Hôte.Configuration.Connexion Permet de modifier l'état de la connexion d'un hôte (connectéou déconnecté).

Hôtes

Hôte.Configuration.Micrologiciel Permet de mettre à jour le microprogramme des hôtes ESXi. Hôtes

Hôte.Configuration.Hyperthreading Permet de mettre sous et hors tension la technologieHyperthread dans un planificateur CPU d'hôte.

Hôtes

Hôte.Configuration.Configurationd'image

Permet de modifier l'image associée à un hôte.

Hôte.Configuration.Maintenance Permet de mettre l'hôte en mode maintenance et hors de cemode, ainsi que d'arrêter et de redémarrer l'hôte.

Hôtes

Hôte.Configuration.Configurationde la mémoire

Permet de modifier la configuration de l'hôte. Hôtes

Hôte.Configuration.Configurationdu réseau

Permet de configurer le réseau, le pare-feu et le réseau devMotion.

Hôtes

Hôte.Configuration.Alimentation Permet de configurer les paramètres de gestion del'alimentation de l'hôte.

Hôtes

Hôte.Configuration.Interroger uncorrectif

Permet de demander les correctifs installables et de lesinstaller sur l'hôte.

Hôtes

Hôte.Configuration.Profil desécurité et pare-feu

Permet de configurer les services Internet, tels que leprotocole SSH, Telnet, SNMP et le pare-feu de l'hôte.

Hôtes

Sécurité vSphere

178 VMware, Inc.

Tableau 11‑11. Privilèges de configuration d'hôte (suite)


Hôte.Configuration.Configurationde la partition de stockage

Permet de gérer des partitions de la banque de données et dediagnostic de VMFS. Les utilisateurs disposant de ceprivilège peuvent rechercher de nouveaux périphériques destockage et gérer l'iSCSI.

Hôtes

Hôte.Configuration.Gestion dusystème

Permet à des extensions de manier le système de fichiers surl'hôte.

Hôtes

Hôte.Configuration.Ressourcessystème

Permet de mettre à jour la configuration de la hiérarchie desressources système.

Hôtes

Hôte.Configuration.Configurationdu démarrage automatique demachine virtuelle

Permet de modifier la commande de démarrage et d'arrêtautomatique des machines virtuelles sur un hôte unique.

Hôtes

Inventaire d'hôteLes privilèges d'inventaire d'hôte contrôlent l'ajout des hôtes à l'inventaire, l'ajout des hôtes aux clusters et ledéplacement des hôtes dans l'inventaire.

Le tableau décrit les privilèges requis pour ajouter et déplacer des hôtes et des clusters dans l'inventaire.


Tableau 11‑12. Privilèges d'inventaire d'hôte


Hôte.Inventaire.Ajouter unhôte au cluster

Permet d'ajouter un hôte à un cluster existant. des clusters

Hôte.Inventaire .Ajouter unhôte autonome

Permet d'ajouter un hôte autonome. Dossiers d'hôte

Hôte.Inventaire.Créer uncluster

Permet de créer un cluster. Dossiers d'hôte

Hôte.Inventaire.Modifier uncluster

Permet de changer les propriétés d'un cluster. des clusters

Hôte.Inventaire.Déplacer uncluster ou un hôte autonome

Permet de déplacer un cluster ou un hôte autonome d'un dossier àl'autre.Le privilège doit être présent à la fois à la source et à la destination.

des clusters

Hôte.Inventaire.Déplacer unhôte

Permet de déplacer un ensemble d'hôtes existants au sein d'un clusterou en dehors.Le privilège doit être présent à la fois à la source et à la destination.

des clusters

Hôte.Inventaire.Supprimerun cluster

Permet de supprimer un cluster ou un hôte autonome.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Clusters, hôtes

Hôte.Inventaire.Supprimerun hôte

Permet de supprimer un hôte.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Objet d'hôtes plus objetparent

Hôte.Inventaire.Renommerun cluster

Permet de renommer un cluster. des clusters


VMware, Inc. 179

Opérations locales d'hôteLes privilèges d'opérations locales d'hôtes contrôlent les actions effectuées lorsque vSphere Client estconnecté directement à un hôte.

Le tableau décrit les privilèges requis pour effectuer des actions lorsque vSphere Client est directementconnecté à un hôte unique.


Tableau 11‑13. Privilèges d'opérations locales d'hôte


Hôte.Opérationslocales.Ajouter un hôte àvCenter

Permet d'installer et de supprimer des agents vCenter, tels que vpxaet aam, sur un hôte.

Hôte racine

Hôte.Opérationslocales.Créer une machinevirtuelle

Permet de créer une machine virtuelle entièrement nouvelle sur undisque sans l'enregistrer sur l'hôte.

Hôte racine

Hôte.Opérationslocales.Supprimer unemachine virtuelle

Permet de supprimer une machine virtuelle sur le disque. Cetteopération est autorisée pour les machines virtuelles enregistréescomme pour celles dont l'enregistrement a été annulé.

Hôte racine

Hôte.Opérationslocales.Extraire du contenuNVRAM

Permet d'extraire le contenu NVRAM d'un hôte.

Hôte.Opérationslocales.Gérer des groupesd'utilisateurs

Permet de gérer des comptes locaux sur un hôte. Hôte racine

Hôte.Opérationslocales.Reconfigurer unemachine virtuelle

Permet de reconfigurer une machine virtuelle. Hôte racine

Hôte.Opérationslocales.Réorganisation desnapshots

Permet de modifier la disposition des snapshots d'une machinevirtuelle.

Hôte racine

Réplication d'hôte vSphereLes privilèges de réplication d'hôte vSphere contrôlent l'utilisation de la réplication des machines virtuellesd'un hôte.

Le tableau décrit les privilèges utilisés pour la réplication de machines virtuelles par VMware vCenter SiteRecovery Manager™.


Tableau 11‑14. Privilèges de réplication d'hôte vSphere


Hôte.vSphereReplication.Gérer laréplication

Autorise la gestion de la réplication de machine virtuelle sur cet hôte. Hôtes

Sécurité vSphere

180 VMware, Inc.

Profil d'hôteLes privilèges de profil d'hôte contrôlent les opérations liées à la création et à la modification des profilsd'hôte.

Le tableau décrit les privilèges requis pour créer et modifier des profils d'hôte.


Tableau 11‑15. Privilèges de profil d'hôte


Profil d'hôte.Effacer Permet d'effacer les informations liées au profil. Racine vCenter Server

Profil d'hôte.Créer Permet la création d'un profil d'hôte. Racine vCenter Server

Profil d'hôte.Supprimer Permet la suppression d'un profil d'hôte. Racine vCenter Server

Profil d'hôte.Modifier Permet la modification d'un profil d'hôte. Racine vCenter Server

Profil d'hôte.Exportation Permet l'exportation d'un profil d'hôte Racine vCenter Server

Profil d'hôte.Afficher Permet l'affichage d'un profil d'hôte. Racine vCenter Server

RéseauLes privilèges de réseau contrôlent les tâches associées à la gestion du réseau.

Le tableau décrit les privilèges requis pour la gestion de réseau.


Tableau 11‑16. Privilèges de réseau


Réseau.Assigner un réseau Permet l'attribution d'un réseau à une machine virtuelle. Réseaux, machinesvirtuelles

Réseau.Configurer Permet la configuration d'un réseau. Réseaux, machinesvirtuelles

Réseau.Déplacer un réseau Permet de déplacer un réseau entre des dossiers.Le privilège doit être présent à la fois à la source et à la destination.

Réseaux

Réseau.Supprimer Permet la suppression d'un réseau.Ce privilège est à éviter.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Réseaux

PerformancesLes privilèges de performances contrôlent la modification de paramètres statistiques de performances.

Le tableau décrit les privilèges requis pour modifier les paramètres statistiques de performances.


VMware, Inc. 181


Tableau 11‑17. Privilèges de performances


Performances.Modifier desintervalles

Permet la création, la suppression et la mise à jour d'intervalles decollecte de données de performance.


AutorisationsLes privilèges d'autorisations contrôlent l'attribution des rôles et des autorisations.

Le tableau décrit les autorisations requises pour attribuer des rôles et des autorisations.


Tableau 11‑18. Privilèges d'autorisations


Autorisations.Modifier uneautorisation

Permet de définir une ou plusieurs règles d'autorisation sur une entité,ou met à jour des règles éventuellement déjà présentes, pourl'utilisateur ou le groupe donné de l'entité.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Tout objet plus objetparent

Autorisations.Modifier unrôle

Permet la mise à jour du nom d'un rôle et de ses privilèges. Tout objet

Autorisations.Réassignerdes autorisations de rôle

Permet la réattribution de toutes les autorisations d'un rôle à un autrerôle.

Tout objet

Stockage basé sur le profilLes privilèges de stockage basé sur le profil contrôlent les opérations liées aux profils de stockage.

Le tableau décrit les privilèges requis pour afficher et mettre à niveau des profils de stockage.


Tableau 11‑19. Privilèges de stockage basé sur le profil


Stockage basé sur le profil.Mise àjour du stockage basée sur le profil

Permet d'apporter des modifications aux profils destockage, telles que la création et la mise à jour decapacités de stockage et de profils de stockage demachine virtuelle.


Stockage basé sur le profil.Vue dustockage basée sur le profil

Permet d'afficher les capacités de stockage et lesprofils de stockage définis.


Sécurité vSphere

182 VMware, Inc.

RessourceLes privilèges de ressource contrôlent la création et la gestion des pools de ressources, ainsi que la migrationdes machines virtuelles.

Le tableau décrit les privilèges qui contrôlent la gestion des ressources et la migration des machinesvirtuelles.


Tableau 11‑20. Privilèges de ressources


Ressource.Appliquer unerecommandation

Permet d'accepter une suggestion du serveur poureffectuer une migration vers vMotion.

des clusters

Ressource.Attribuer un vApp au pool deressources

Permet d'attribuer un vApp à un pool de ressources. Pools de ressources

Ressource.Attribuer une machinevirtuelle au pool de ressources

Permet d'attribuer une machine virtuelle à un pool deressources.

Pools de ressources

Ressource.Créer un pool de ressources Permet de créer un pool de ressources. Pools de ressources,clusters

Ressource.Migrer une machine virtuellehors tension

Permet de migrer une machine virtuelle hors tensionvers un autre pool de ressources ou un autre hôte.

Machines virtuelles

Ressource.Migrer une machine virtuellesous tension

Permet de migrer une machine virtuelle hors tensionvers un autre pool de ressources ou un autre hôte àl'aide de vMotion.

Ressource.Modifier un pool deressources

Permet de changer les allocations d'un pool deressources.

Pools de ressources

Ressource.Déplacer un pool deressources

Permet de déplacer un pool de ressources.Le privilège doit être présent à la fois à la source et à ladestination.

Pools de ressources

Ressource.Interroger vMotion Permet d'interroger la compatibilité générale de lafonction vMotion d'une machine virtuelle avec unensemble d'hôtes.


Ressource.Translater Permet de migrer à froid l'exécution d'une machinevirtuelle vers un pool de ressources ou un hôtespécifique.

Machines virtuelles

Ressource.Supprimer un pool deressources

Permet de supprimer un pool de ressources.Pour pouvoir exécuter cette opération, vous devezdisposer de ce privilège assigné à la fois à l'objet et àson objet parent.

Pools de ressources

Ressource.Renommer un pool deressources

Permet de renommer un pool de ressources. Pools de ressources

Tâche planifiéeLes privilèges de tâche planifiée contrôlent la création, l'édition et la suppression de tâches planifiées.

Le tableau décrit les privilèges requis pour créer et modifier des tâches planifiées.


VMware, Inc. 183


Tableau 11‑21. Privilèges de tâche planifiée


Tâche planifiée.Créer destâches

Permet de planifier une tâche. Requis en plus des privilèges pourexécuter l'action programmée au moment de l'établissement de laplanification.

Tout objet

Tâche planifiée.Modifier latâche

Permet de reconfigurer les propriétés de tâche planifiée. Tout objet

Tâche planifiée.Supprimerla tâche

Permet de supprimer une tâche planifiée de la file d'attente. Tout objet

Tâche planifiée.Exécuterune tâche

Permet d'exécuter la tâche planifiée immédiatement.La création et l'exécution d'une tâche planifiée exigent égalementl'autorisation d'exécuter l'action associée.

Tout objet

SessionsLes privilèges de session contrôlent la capacité des extensions à ouvrir des sessions sur vCenter Server.

Le tableau décrit les privilèges associés aux sessions sur vCenter Server.


Tableau 11‑22. Privilèges de session


Sessions.Emprunterl'identité de l'utilisateur

Permet d'emprunter l'identité d'un autre utilisateur. Cette capacité estutilisée par des extensions.


Sessions.Message Permet de définir le message global de procédure de connexion. Racine vCenter Server

Sessions.Valider une session Permet de vérifier la validité de la session. Racine vCenter Server

Sessions.Afficher et arrêterdes sessions

Permet d'afficher les sessions et de forcer un ou plusieurs utilisateursconnectés à fermer leurs sessions.


Vues de stockageLes privilèges de vues de stockage contrôlent la capacité à configurer et à utiliser des vues de stockage survCenter Server.

Le tableau décrit les privilèges requis pour configurer et utiliser des vues de stockage.


Sécurité vSphere

184 VMware, Inc.

Tableau 11‑23. Vues de stockage


Vues de stockage.Configurer le service Autorise les modifications d'options telles quel'intervalle de mise à jour des rapports et lesinformations de connectivité de la base de données.


Vues de stockage.Affichage Permet d'afficher l'onglet Vues de stockage. Racine vCenter Server

TâchesLes privilèges de tâches contrôlent la capacité des extensions à créer et mettre à niveau des tâches survCenter Server.

Le tableau décrit les privilèges associés aux tâches.


Tableau 11‑24. Privilèges de tâches


Tâches.Créer une tâche Permet à une extension de créer une tâche définie par l'utilisateur. Racine vCenter Server

Tâches.Mettre à jour unetâche

Permet à une extension de mettre à niveau une tâche définie parl'utilisateur.


vAppLes privilèges vApp contrôlent des opérations associées au déploiement et à la configuration d'un vApp.

Le tableau décrit les privilèges associés aux vApp.


Tableau 11‑25. Privilèges de vApp


vApp.Ajouter une machinevirtuelle

Permet d'ajouter une machine virtuelle à un vApp. vApp

vApp.Assigner un pool deressources

Permet d'attribuer un pool de ressources à unvApp.

vApp

vApp.Assigner un vApp Permet d'attribuer un vApp à un autre vApp. vApp

vApp.Cloner Permet de cloner un vApp. vApp

vApp.Créer Permet de créer un vApp. vApp

vApp.Supprimer Permet de supprimer un vApp.Pour pouvoir exécuter cette opération, vous devezdisposer de ce privilège assigné à la fois à l'objet età son objet parent.

vApp

vApp.Exportation Permet d'exporter un vApp à partir de vSphere. vApp

vApp.Importation Permet d'importer un vApp dans vSphere. vApp


VMware, Inc. 185

Tableau 11‑25. Privilèges de vApp (suite)


vApp.Déplacer Permet de déplacer un vApp vers un nouvelemplacement d'inventaire.

vApp

vApp.Mettre hors tension Permet de désactiver des opérations sur un vApp. vApp

vApp.Mettre sous tension Permet d'activer des opérations sur un vApp. vApp

vApp.Renommer Permet de renommer un vApp. vApp

vApp.Interrompre Permet d'interrompre un vApp. vApp

vApp.Annuler l'enregistrement Permet d'annuler l'enregistrement d'un vApp.Pour pouvoir exécuter cette opération, vous devezdisposer de ce privilège assigné à la fois à l'objet età son objet parent.

vApp

vApp.Afficher l'environnementOVF

Permet de consulter l'environnement OVF d'unemachine virtuelle sous tension au sein d'un vApp.

vApp

vApp.Configuration d'applicationvApp

Permet de modifier la structure interne d'un vApp,telle que l'information produit et les propriétés.

vApp

vApp.Configuration d'instancevApp

Permet de modifier la configuration d'une instancede vApp, telle que les stratégies.

vApp

vApp.Configuration de vAppmanagedBy

Permet à une extension ou à une solution demarquer un vApp comme étant géré par cetteextension ou solution.Aucun élément d'interface utilisateur de vSphereWeb Client n'est associé à ce privilège.

vApp

vApp.Configuration des ressourcesvApp

Permet de modifier la configuration des ressourcesd'un vApp.Pour pouvoir exécuter cette opération, vous devezdisposer de ce privilège assigné à la fois à l'objet età son objet parent.

vApp

Identification vCenter Inventory ServiceLes privilèges de balisage vCenter Inventory Service contrôlent la capacité à créer et supprimer des balises etdes catégories de balises, ainsi qu'à attribuer et supprimer des balises sur les objets de l'inventaire vSphere.

Le tableau décrit les privilèges associés au balisage.


Tableau 11‑26. Privilèges vCenter Inventory Service

Nom du privilège Description Requis sur

vCenter Inventory Service.Identification vCenterInventory Service.Affecter ou désaffecter une balised'Inventory Service

Permetd'attribuer ounon une balisepour un objetdans l'inventairevCenter Server.

Tout objet

vCenter Inventory Service.Balisage de vCenter InventoryService.Créer une catégorie de balises Inventory Service

Permet de créerune catégorie debalise.

Tout objet

Sécurité vSphere

186 VMware, Inc.

Tableau 11‑26. Privilèges vCenter Inventory Service (suite)

Nom du privilège Description Requis sur

vCenter Inventory Service.Balisage de vCenter InventoryService.Créer une balise Inventory Service

Permet de créerune balise.

Tout objet

vCenter Inventory Service.Balisage de vCenter InventoryService.Supprimer une catégorie de balises InventoryService

Permet desupprimer unecatégorie debalise.

Tout objet

vCenter Inventory Service.Balisage de vCenter InventoryService.Supprimer une balise Inventory Service

Permet desupprimer unebalise.

Tout objet

vCenter Inventory Service.Balisage de vCenter InventoryService.Modifier une catégorie de balises InventoryService

Permet demodifier unecatégorie debalise.

Tout objet

vCenter Inventory Service.Balisage de vCenter InventoryService.Modifier une balise Inventory Service

Permet demodifier unebalise.

Tout objet

Configuration de la machine virtuelleLes privilèges de configuration de la machine virtuelle contrôlent la capacité de configuration des options etdes périphériques de machine virtuelle.

Le tableau décrit les privilèges requis pour configurer les périphériques et les options de machine virtuelle.


Tableau 11‑27. Privilèges de configuration de machine virtuelle


Machinevirtuelle.Configuration.Ajouter un disque existant

Permet l'ajout d'un disque virtuel existant à une machine virtuelle. Machines virtuelles

Machinevirtuelle.Configuration.Ajouter un nouveau disque

Permet la création d'un disque virtuel à ajouter à une machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Ajouter ou supprimer unpériphérique

Permet l'ajout ou la suppression de n'importe quel périphérique non-disque.

Machines virtuelles

Machinevirtuelle.Configuration.Avancée

Permet l'ajout ou la modification de paramètres avancés dans le fichierde configuration de la machine virtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Modifier le nombre de CPU

Permet de changer le nombre de CPU virtuelles. Machines virtuelles

Machinevirtuelle.Configuration.Modifier une ressource

Permet la modification de la configuration des ressources d'unensemble de nœuds de machine virtuelle dans un pool de ressourcesdonné.

Machines virtuelles

Machinevirtuelle.Configuration.Configurer managedBy

Permet à une extension ou à une solution de marquer une machinevirtuelle comme étant gérée par cette extension ou solution.

Machines virtuelles


VMware, Inc. 187

Tableau 11‑27. Privilèges de configuration de machine virtuelle (suite)


Machinevirtuelle.Configuration.Suivides changements de disques

Permet l'activation ou la désactivation du suivi des modifications desdisques de la machine virtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Afficher les paramètres deconnexion

Permet de configurer les options de la console distante d'une machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Développer un disque virtuel

Permet d'étendre la taille d'un disque virtuel. Machines virtuelles

Machinevirtuelle.Configuration.Périphérique USB hôte

Permet d'attacher à une machine virtuelle un périphérique USBhébergé sur hôte.

Machines virtuelles

Machinevirtuelle.Configuration.Mémoire

Permet de changer la quantité de mémoire allouée à la machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Modifier les paramètres depériphérique

Permet de changer les propriétés d'un périphérique existant. Machines virtuelles

Machinevirtuelle.Configuration.Interroger la compatibilité avecFault Tolerance

Permet de contrôler si une machine virtuelle est compatible avec FaultTolerance.

Machines virtuelles

Machinevirtuelle.Configuration.Interroger les fichiers sanspropriétaire

Permet d'interroger des fichiers sans propriétaire. Machines virtuelles

Machinevirtuelle.Configuration.Périphérique brut

Permet d'ajouter ou de retirer un mappage de disque brut ou unpériphérique de relais SCSI.La définition de ce paramètre ne tient compte d'aucun autre privilègepour modifier les périphériques bruts, y compris des états deconnexion.

Machines virtuelles

Machinevirtuelle.Configuration.Recharger à partir du chemin

Permet de changer un chemin de configuration de machine virtuelletout en préservant l'identité de la machine virtuelle. Les solutions tellesque VMware vCenter Site Recovery Manager utilisent cette opérationpour préserver l'identité de la machine virtuelle pendant lebasculement et la restauration automatique.

Machines virtuelles

Machinevirtuelle.Configuration.Supprimer un disque

Permet la suppression d'un périphérique de disque virtuel. Machines virtuelles

Machinevirtuelle.Configuration.Renommer

Permet de renommer une machine virtuelle ou de modifier les notesassociées d'une machine virtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Réinitialiser les informations del'invité

Permet de modifier les informations du système d'exploitation invitéd'une machine virtuelle

Machines virtuelles

Machinevirtuelle.Configuration.Définir des annotations

Permet d'ajouter ou de modifier une annotation de machine virtuelle. Machines virtuelles

Sécurité vSphere

188 VMware, Inc.

Tableau 11‑27. Privilèges de configuration de machine virtuelle (suite)


Machinevirtuelle.Configuration.Paramètres

Permet de modifier les paramètres généraux d'une machine virtuelle. Machines virtuelles

Machinevirtuelle.Configuration.Emplacement du fichier d'échange

Permet de changer la règle de placement du fichier d'échange d'unemachine virtuelle.

Machines virtuelles

Machinevirtuelle.Configuration.Déverrouiller machine virtuelle

Permet d'autoriser le déchiffrement d'une machine virtuelle. Machines virtuelles

Machinevirtuelle.Configuration.Mettre à niveau la compatibilitéde machine virtuelle

Permet la mise à niveau de la version de compatibilité des machinesvirtuelles.

Machines virtuelles

Opérations de système invité d'une machine virtuelleLes privilèges d'opérations de système invité d'une machine virtuelle contrôlent la capacité à interagir avecles fichiers et les programmes au sein du système d'exploitation invité d'une machine virtuelle.

Le tableau décrit les privilèges requis pour les opérations de système invité d'une machine virtuelle via l'APIVMware vSphere. Pour obtenir plus d'informations sur ces opérations, consultez la documentation RéférenceAPI de VMware vSphere.


Tableau 11‑28. Opérations de système invité d'une machine virtuelle

Nom de privilège Description Pertinent sur l'objet

Machinevirtuelle.Opérationsinvité.Modificationsd'opération invité

Autorise les opérations de système invité d'une machine virtuelleimpliquant des modifications apportées au système d'exploitationinvité d'une machine virtuelle, telles que le transfert d'un fichier versla machine virtuelle.Aucun élément d'interface utilisateur de vSphere Web Client n'estassocié à ce privilège.

Machines virtuelles

Machinevirtuelle.Opérationsinvité.Exécution d'unprogramme d'opérationinvité

Autorise les opérations de système invité d'une machine virtuelleimpliquant l'exécution d'un programme dans la machine virtuelle.Aucun élément d'interface utilisateur de vSphere Web Client n'estassocié à ce privilège.

Machines virtuelles

Machinevirtuelle.Opérationsinvité.Requêtes opérationinvité

Autorise les opérations de système invité d'une machine virtuelleimpliquant l'interrogation du système d'exploitation invité, telles quel'énumération des fichiers du système d'exploitation invité.Aucun élément d'interface utilisateur de vSphere Web Client n'estassocié à ce privilège.

Machines virtuelles

Interaction de machine virtuelleLes privilèges d'interaction de machine virtuelle contrôlent la capacité à interagir avec une console demachine virtuelle, à configurer des médias, à exécuter des opérations d'alimentation et à installer VMwareTools.

Le tableau décrit les privilèges requis pour l'interaction de machine virtuelle.


VMware, Inc. 189


Tableau 11‑29. Interaction de machine virtuelle


Machinevirtuelle.Interaction.Répondre à une question

Permet de résoudre les problèmes de transitions d'état ou d'erreursd'exécution de la machine virtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Opération de sauvegarde sur unemachine virtuelle

Permet d'exécuter des opérations de sauvegarde sur des machinesvirtuelles.

Machines virtuelles

Machinevirtuelle.Interaction.Configurer un support CD

Permet de configurer un DVD virtuel ou un lecteur de CD-ROM. Machines virtuelles

Machinevirtuelle.Interaction.Configurer un support de disquette

Permet de configurer un périphérique de disquettes virtuel. Machines virtuelles

Machinevirtuelle.Interaction.Interaction avec une console

Permet d'interagir avec la souris virtuelle, le clavier et l'écran de lamachine virtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Créerune capture d'écran

Permet de créer une capture d'écran de machine virtuelle. Machines virtuelles

Machinevirtuelle.Interaction.Défragmenter tous les disques

Permet de défragmenter des opérations sur tous les disques sur lamachine virtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Connexion de périphérique

Permet de modifier l'état connecté des périphériques virtuelsdéconnectables d'une machine virtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Désactiver Fault Tolerance

Permet de désactiver la machine virtuelle secondaire pour unemachine virtuelle utilisant Fault Tolerance.

Machines virtuelles

Machinevirtuelle.Interaction.ActiverFault Tolerance

Permet d'activer la machine virtuelle secondaire pour une machinevirtuelle utilisant Fault Tolerance.

Machines virtuelles

Machinevirtuelle.Interaction.Gestionpar l'API VIX du systèmed'exploitation invité

Permet de gérer le système d'exploitation de la machine virtuelle vial'API VIX.

Machines virtuelles

Machinevirtuelle.Interaction.Injecterdes codes de balayage HIDUSB

Permet d'injecter des codes d'analyse USB HID. Machines virtuelles

Machinevirtuelle.Interaction.Exécuter des opérationsd'effacement ou deréduction

Permet d'effectuer des opérations d'effacement ou de réduction sur lamachine virtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Mettrehors tension

Permet de mettre hors tension une machine virtuelle sous tension.Cette opération met hors tension le système d'exploitation invité.

Machines virtuelles

Sécurité vSphere

190 VMware, Inc.

Tableau 11‑29. Interaction de machine virtuelle (suite)


Machinevirtuelle.Interaction.Mettresous tension

Permet de mettre sous tension une machine virtuelle hors tension etde redémarrer une machine virtuelle interrompue.

Machines virtuelles

Machinevirtuelle.Interaction.Sessiond'enregistrement sur unemachine virtuelle

Permet d'enregistrer une session sur une machine virtuelle. Machines virtuelles

Machinevirtuelle.Interaction.Sessionde lecture sur une machinevirtuelle

Permet de réinsérer une session enregistrée sur une machine virtuelle. Machines virtuelles

Machinevirtuelle.Interaction.Réinitialiser

Permet de réinitialiser une machine virtuelle et redémarre le systèmed'exploitation invité.

Machines virtuelles

Machinevirtuelle.Interaction.Interrompre

Permet d'interrompre une machine virtuelle sous tension. Cetteopération met l'invité en mode veille.

Machines virtuelles

Machinevirtuelle.Interaction.Testerle basculement

Permet de tester le basculement de Fault Tolerance en faisant de lamachine virtuelle secondaire la machine virtuelle principale.

Machines virtuelles

Machinevirtuelle.Interaction.Testerle redémarrage de la VMsecondaire

Permet de terminer une machine virtuelle secondaire pour unemachine virtuelle utilisant Fault Tolerance.

Machines virtuelles

Machinevirtuelle.Interaction.Désactiver la Fault Tolerance

Permet de mettre hors tension Fault Tolerance pour une machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Activerla Fault Tolerance

Permet de mettre sous tension Fault Tolerance pour une machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Interaction.Installer VMware Tools

Permet de monter et démonter le programme d'installation CD deVMware Tools comme un CD-ROM pour le système d'exploitationinvité.

Machines virtuelles

Inventaire de machine virtuelleLes privilèges d'inventaire de machine virtuelle contrôlent l'ajout, le déplacement et la suppression desmachines virtuelles.

Le tableau décrit les privilèges requis pour ajouter, déplacer et supprimer des machines virtuelles dansl'inventaire.



VMware, Inc. 191

Tableau 11‑30. Privilèges d'inventaire de machine virtuelle


Machinevirtuelle .Inventaire .Créer àpartir d'un modèle/d'unemachine virtuelle existante

Permet la création d'une machine virtuelle basée sur une machinevirtuelle existante ou un modèle existant, par clonage ou déploiementà partir d'un modèle.

Clusters, hôtes, dossiers demachine virtuelle

Machinevirtuelle.Inventaire .Créernouveau

Permet la création d'une machine virtuelle et l'allocation de ressourcespour son exécution.


Machinevirtuelle.Inventaire .Déplacer

Permet le déplacement d'une machine virtuelle dans la hiérarchie.Le privilège doit être présent à la fois à la source et à la destination.

Machines virtuelles

Machinevirtuelle.Inventaire .Registre

Permet d'ajouter une machine virtuelle existante à vCenter Server ouà un inventaire d'hôtes.


Machinevirtuelle.Inventaire .Supprimer

Permet la suppression d'une machine virtuelle. L'opération supprimedu disque les fichiers sous-jacents de la machine virtuelle.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Machines virtuelles

Machinevirtuelle.Inventaire .Annuler l'enregistrement

Permet l'annulation de l'enregistrement d'une machine virtuelle devCenter Server ou d'un inventaire d'hôtes.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Machines virtuelles

Provisionnement de machine virtuelleLes privilèges de provisionnement de machine virtuelle contrôlent les activités associées au déploiement et àla personnalisation des machines virtuelles.

Le tableau décrit les privilèges requis pour le provisionnement de machine virtuelle.


Tableau 11‑31. Privilèges de provisionnement de machine virtuelle


Machinevirtuelle.Provisionnement.Autoriser l'accès au disque

Permet d'ouvrir un disque sur une machine virtuelle pourl'accès aléatoire en lecture et en écriture. Utilisé en majeurepartie pour le montage distant de disque.

Machines virtuelles

Machinevirtuelle.Provisionnement.Autoriser l'accès au disque enlecture seule

Permet d'ouvrir un disque sur une machine virtuelle pourl'accès aléatoire en lecture. Utilisé en majeure partie pour lemontage distant de disque.

Machines virtuelles

Machinevirtuelle.Provisionnement.Autoriser le téléchargement demachines virtuelles

Permet de lire des fichiers associés à une machine virtuelle, ycompris les fichiers vmx, les disques, les journaux et lesnvram.


Machinevirtuelle.Provisionnement.Autoriser le chargement defichiers de machinesvirtuelles

Permet d'écrire sur des fichiers associés à une machinevirtuelle, y compris les fichiers vmx, les disques, les journauxet les nvram.


Sécurité vSphere

192 VMware, Inc.

Tableau 11‑31. Privilèges de provisionnement de machine virtuelle (suite)


Machinevirtuelle.Provisionnement.Cloner un modèle

Permet de cloner un modèle. Modèles

Machinevirtuelle.Provisionnement.Cloner une machine virtuelle

Permet de cloner une machine virtuelle existante et d'allouerdes ressources.

Machines virtuelles

Machinevirtuelle.Provisionnement.Créer un modèle à partir d'unemachine virtuelle

Permet de créer un nouveau modèle à partir d'une machinevirtuelle.

Machines virtuelles

Machinevirtuelle.Provisionnement.Personnaliser

Permet de personnaliser le système d'exploitation invité d'unemachine virtuelle sans déplacer cette dernière.

Machines virtuelles

Machinevirtuelle.Provisionnement.Déployer un modèle

Permet de déployer une machine virtuelle à partir d'unmodèle.

Modèles

Machinevirtuelle.Provisionnement.Marquer comme modèle

Permet de marquer une machine virtuelle existante horstension comme modèle.

Machines virtuelles

Machinevirtuelle.Provisionnement.Marquer comme machinevirtuelle

Permet de marquer un modèle existant comme machinevirtuelle.

Modèles

Machinevirtuelle.Provisionnement.Modifier la spécification depersonnalisation

Permet de créer, modifier ou supprimer des spécifications depersonnalisation.


Machinevirtuelle.Provisionnement.Promouvoir des disques

Permet de promouvoir des opérations sur les disques d'unemachine virtuelle.

Machines virtuelles

Machinevirtuelle.Provisionnement.Lire les spécifications depersonnalisation

Permet de lire une spécification de personnalisation. Machines virtuelles

Privilèges de gestion des snapshots d'une machine virtuelleLes privilèges de gestion des snapshots d'une machine virtuelle contrôlent la capacité à prendre, supprimer,renommer et restaurer des snapshots.

Le tableau décrit les privilèges requis pour travailler avec des snapshots de machine virtuelle.



VMware, Inc. 193

Tableau 11‑32. Privilèges d'état de machine virtuelle


Machine virtuelle.Gestiondes snapshots.Créer unsnapshot

Permet de créer un nouveau snapshot de l'état actuel de la machinevirtuelle.

Machines virtuelles

Machine virtuelle.Gestiondes snapshots.Supprimer unsnapshot

Permet de supprimer un snapshot de l'historique de snapshots. Machines virtuelles

Machine virtuelle.Gestiondes snapshots.Renommerun snapshot

Permet de renommer un snapshot avec un nouveau nom, unenouvelle description, ou les deux.

Machines virtuelles

Machine virtuelle.Gestiondes snapshots.Rétablir lesnapshot

Permet de paramétrer la machine virtuelle à l'état où elle était à unsnapshot donné.

Machines virtuelles

Réplication de machine virtuelle vSphereLes privilèges de réplication de machine virtuelle vSphere contrôlent l'utilisation de la réplication desmachines virtuelles.

Le tableau décrit les privilèges utilisés pour la réplication de machines virtuelles par VMware vCenter SiteRecovery Manager™.


Tableau 11‑33. Réplication de machine virtuelle vSphere


Machine virtuelle.vSphereReplication.ConfigurervSphere Replication

Permet de configurer la réplication de la machine virtuelle. Machines virtuelles

Machine virtuelle.vSphereReplication.Gérer vSphereReplication

Permet de déclencher la synchronisation complète, la synchronisationen ligne ou la synchronisation hors ligne d'une réplication.

Machines virtuelles

Machine virtuelle.vSphereReplication.SurveillervSphere Replication

Permet de contrôler la réplication. Machines virtuelles

groupes de ports virtuels distibuésLes privilèges de groupes de ports virtuels distribués contrôlent la capacité à créer, supprimer et modifierles groupes de ports virtuels distribués.

Le tableau décrit les privilèges requis pour créer et configurer des groupes de ports virtuels distribués.


Sécurité vSphere

194 VMware, Inc.

Tableau 11‑34. Privilèges de groupes de ports virtuels distribués


Commutateurdistribué.Créer

Permet de créer un groupe de ports virtuels distribués. Groupes de portsvirtuels

Commutateurdistribué.Supprimer

Permet de supprimer un groupe de ports virtuels distribués.Pour pouvoir exécuter cette opération, vous devez disposer de ceprivilège assigné à la fois à l'objet et à son objet parent.

Groupes de portsvirtuels

Commutateurdistribué.Modifier

Permet de modifier la configuration d'un groupe de ports virtuelsdistribués.

Groupes de portsvirtuels

Commutateurdistribué.Opération destratégie

Permet de définir la règle d'un groupe de ports virtuels distribués. Groupes de portsvirtuels

Commutateurdistribué.Opération deconfiguration de port

Permet de définir la portée d'un groupe de ports virtuels distribués. Groupes de portsvirtuels

vServicesLes privilèges vServices contrôlent la capacité à créer, configurer et mettre à niveau les dépendancesvService des machines virtuelles et des vApp.

Le tableau décrit les privilèges associés aux dépendances vService.


Tableau 11‑35. vServices


vService.Créer unedépendance

Permet de créer une dépendance vService pour une machine virtuelleou un vApp.

vApp et machinesvirtuelles

vService.Détruire ladépendance

Permet de supprimer une dépendance vService d'une machinevirtuelle ou d'un vApp.


vService.Reconfigurer laconfiguration dedépendance

Permet la reconfiguration d'une dépendance pour mettre à jour lefournisseur ou la liaison.


vService.mettre à niveau ladépendance

Permet des mises à jour d'une dépendance pour configurer le nom oula description.


Règle de VRMLes privilèges de règle de VRM contrôlent la capacité à interroger et à mettre à niveau les règles de gestiondes droits virtuels.

Le tableau décrit les privilèges associés à la gestion des droits virtuels.



VMware, Inc. 195

Tableau 11‑36. Privilèges de règle de VRM


VRMPolicy.InterrogerVRMPolicy

Autorise l'interrogation de la stratégie de gestion des droits virtuels. Machines virtuelles

VRMPolicy.Mettre à jourVRMPolicy

Autorise la mise à jour de la stratégie de gestion des droits virtuels. Machines virtuelles

Sécurité vSphere

196 VMware, Inc.

Index

Aaccès, privilèges 171accès aux outils CIM, limitation 169accès DCUI 96, 115accès de gestion

pare-feu 92ports TCP et UDP 147

Active Directory 100, 101, 117, 119administrateur, paramètrage pour vCenter

Server 17administrateur vCenter Server, paramètre 17Adresses IP, Ajout d'adresses 93adresses IP autorisées, pare-feu 93alarmes, privilèges 172associations de sécurité

ajout 159disponible 159liste 159suppression 160

attaques802.1Q et balisage ISL 151double encapsulation 151force brute multidiffusion 151l'arbre recouvrant 151Saturation MAC 151trame aléatoire 151

attaques 802.1Q et de balisage ISL 151attaques à double encapsulation 151attaques à trame aléatoire 151attaques de force brute multidiffusion 151attaques l'arbre recouvrant 151authentification

avec le domaine Active Directory 43stockage iSCSI 167vSphere Authentication Proxy 118

authentification de session Windows 34Auto Deploy, sécurité 125automatisation des valeurs par défaut 55autorisation 71autorisations

administrateur 71attribution 66, 72, 120commutateurs distribués 61et privilèges 71héritage 61, 64, 65, 97, 98ignorer 64, 65, 97, 98

meilleures pratiques 66modification 73paramètres 63, 96présentation 71privilèges 182suppression 73utilisateur 98–100utilisateur racine 71validation 65, 70, 74vpxuser 71

autorisations de l'utilisateurdcui 100vpxuser 99

Bbalisage d'invité virtuel 155balises, privilèges 186banques de données, privilèges 173

Ccatégories, privilèges 186centres de données, privilèges 173Certificat SSL 33certificats

actualiser STS pour vCenter Single Sign-On 32

chargement 105contrôle 79expiré 80générer nouveau 103mettre hors tension SSL pour SDK de

vSphere 120remplacement de Single Sign-On 51remplacer vCenter Server Heartbeat 59révoqués 80

Certificats ESXi, remplacer 102certificats expirés 80certificats heartbeat, remplacer 59certificats par défaut, remplacer par des

certificats signés par une CA 103, 104certificats révoqués 80certificats signés par une CA 103, 104certificats vCenter Server Appliance 59changer les services proxy de l'hôte 121, 122clés

authorisées 106

VMware, Inc. 197

chargement 105, 106SSH 106téléchargement 106

clés autorisées, désactivation 88Clés SSH 105client NFS, ensemble de règles de pare-feu 93Client Web vSphere

remplacer des certificats 51sécurisation 82

Clients basés sur Linux, restriction de l'utilisationavec vCenter Server 81

clusters de banques de données, privilèges 174commutateur distribué 153commutateurs distribués, autorisation 61commutateurs standard

attaques 802.1Q et de balisage ISL 151attaques à double encapsulation 151attaques à trame aléatoire 151attaques de force brute multidiffusion 151attaques l'arbre recouvrant 151et iSCSI 167mode promiscuité 150Modifications d'adresse MAC 150Saturation MAC 151sécurité 151Transmissions forgées 150

compte utilisateur verrouillé, échec de SSO 44connectivité du réseau, limitation 81connexion racine, autorisations 71, 98console de machine virtuelle, sécurité de

l'hôte 138copie de fichiers réseau (NFC) 80copier et coller

désactivé pour les systèmes d'exploitationclients 132

machines virtuelles 133systèmes d'exploitation invité 133

couche de virtualisation, sécurité 11couche réseau virtuelle et sécurité 12

Ddcui 100déconnexion d'un périphérique, empêcher dans

vSphere Web Client 134délai d'attente de disponibilité pour ESXi

Shell 110délai d'expiration, ESXi Shell 109, 111délai d'expiration de l'annuaire d'utilisateurs 76délai d'expiration de session inactive 109, 111délais d'attente

ESXi Shell 108paramètre 108SSL 88

demandes de certificats, génération 55, 56

désactivationjournalisation pour les systèmes d'exploitation

invités 135, 139SSL pour SDK de vSphere 120taille variable d'informations 135

désactiver l'utilisateur, Single Sign-On 36désactiver les opérations distantes sur une

machine virtuelle 133disques virtuels, réduction 137DMZ 157Domaine Active Directory, authentification avec

vCenter Server Appliance 43domaine joint 117domaine par défaut 22domaines par défaut, vCenter Single Sign

On 28données de performance, désactiver l'envoi 170dossiers, privilèges 176DvFilter 163

Eempreintes, hôtes 79entités gérées, autorisations 61Erreur Lookup Service 42ESXi

fichiers de journalisation 127service syslog 126

ESXi Shellactivation 110connexions directes 111connexions distantes 111connexions SSH 112définition du délai d'expiration 110délais d'attente 109, 111ouvrir une session 111paramétrage du délai d'attente de

disponibilité 108paramétrage du délai d'inactivité 108

exigences de mot de passe 69expiration d'un certificat 33extensions, privilèges 176

FFault Tolerance (FT)

journalisation 127sécurité 127

fichiers de journalisationemplacement 127ESXi 125, 127limitation de la taille 139limitation du nombre 139

fichiers journaux ESXi 125fichiers vmx, modification 137fonctions non exposées, désactivation 131

Sécurité vSphere

198 VMware, Inc.

Ggénération de demandes de certificats 55, 56générer des certificats 103gestion d'utilisateurs 71gestion des utilisateurs Single Sign-On 35Gestionnaire d'agent ESX, privilèges 175groupes

ajout 38ajouter des membres 39local 38modification 38recherche 76

Hhôtes

empreintes 79mémoire 134Privilèges CIM 177privilèges d'inventaire 179privilèges d'opérations locales 180privilèges de configuration 178Privilèges de réplication vSphere 180

HTTPS PUT, télécharger des certificats etclés 105, 106

Iinformations mises à jour 9interface de gestion

sécurisation 85sécurisation avec VLAN et commutateurs

virtuels 155Interface utilisateur de console directe

(DCUI) 96, 115IPsec, , voir Sécurité du protocole Internet

(IPsec)iSCSI

adaptateurs iSCSI QLogic 167authentification 167protection des données transmises 167sécurisation des ports 167sécurité 167

isolationcommutateurs standard 12couche réseau virtuelle 12VLAN 12

Jjournalisation

désactivation pour les systèmes d'exploitationinvités 135, 139

sécurité de l'hôte 125journaux d'échec d'installation 80

Llimiter les privilèges Opérations client 133listes de recherche, ajustement à de grands

domaines 76logiciel anti-virus, installation 129Lookup Service, , voir vCenter Lookup Service

Mmachines virtuelles

copier et coller 133désactivation de la journalisation 135, 139désactiver le copier/coller 132empêcher la déconnexion de périphériques

dans vSphere Web Client 134isolation 156, 157limitation de la taille variable

d'informations 135privilèges d'interaction 189privilèges d'inventaire 191privilèges d'opérations de système invité 189privilèges de configuration 187privilèges de gestion des snapshots 193privilèges de provisionnement 192Privilèges de réplication vSphere 194sécurisation 137

managed object browser, désactivation 87masquage de LUN 168meilleures pratiques

autorisations 66rôles 66sécurité 165

messages d'information, limitation 137mettre à jour les certificats 58mise à jour automatisée des certificats 50Mise en réseau d'ESXi 87mode promiscuité 150, 151mode verrouillage

accès DCUI 96, 115activation 114Client Web vSphere 114comportement 113Interface utilisateur de la console directe 114

modèles, sécurité de l'hôte 136Modifications d'adresse MAC 150modifier un utilisateur, Single Sign-On 37module tcdump 82mots de passe

changement de vCenter Single Sign-On 41réinitialisation 23Stratégies vCenter Single Sign-On 23

Index

VMware, Inc. 199

NNFC, activation de SSL 80niveaux de journalisation, systèmes

d'exploitation client 138nom de l'hôte, configuration 100NTP 94, 100

Oopérations à distance, désactivation dans la

machine virtuelle 133outil d'automatisation de mise à jour des

certificats 50Outil d'automatisation des certificats,

installation 54outil d'automatisation des certificats:conditions

préalables 52

Pparamètres du pare-feu 93pare-feu

accès pour agents de gestion 92accès pour services 92client NFS 93commandes 95configuration 95hôte 91

partages et limites, sécurité de l'hôte 136performances, privilèges 181périphériques matériels, suppression 131périphériques PCI 91Périphériques PCIE 91planificateur d'exécution 50planificateur de mise à jour des certificats 50plug-ins, privilèges 176politique de support logiciel tiers 12politique des mots de passe 22ports de commutateur standard, sécurité 149,

150ports de pare-feu

automatisation du comportement duservice 94

configuration avec vCenter Server 143configuration sans vCenter Server 144connexion à vCenter Server 144connexion directe de vSphere Client 144hôte à hôte 145présentation 143vSphere Web Client et vCenter Server 143

ports de pare-feu hôte à hôte 145ports TCP 147ports UDP 147Présentation générale de la sécurité de

vSphere 11principaux, supprimer du groupe 40

privilègesalarmes 172attribution 66autorisation 182balises 186banques de données 173catégories 186centre de données 173clusters de banques de données 174configuration 178configuration de machine virtuelle 187dossier 176Extension 176gestion des snapshots d'une machine

virtuelle 193Gestionnaire d'agent ESX 175global 176Groupe dvPort 194hôte CIM 177interaction de machine virtuelle 189inventaire d'hôte 179machine virtuelle 191network 181Opérations de système invité d'une machine

virtuelle 189opérations locales d'hôte 180performances 181plug-ins 176profils d'hôte 181, 182provisionnement de machine virtuelle 192Règle de VRM 195réplication d'hôte vSphere 180Réplication de machine virtuelle vSphere 194ressources 183sessions 184tâches 185tâches planifiées 183vApp 185vCenter Inventory Service 186vCenter Server 78vServices 195vSphere Distributed Switches 174vues de stockage 184

privilèges de groupes de ports virtuelsdistribués 194

privilèges et autorisations 71privilèges globaux 176privilèges requis, pour des tâches communes 67privilèges, requis, pour des tâches

communes 67profils d'hôte, privilèges 181, 182proxy d'authentification 100, 115, 117, 119

Sécurité vSphere

200 VMware, Inc.

Qquitter l'outil d'automatisation 95

Rrecommandations de sécurité 112référentiels d'utilisateurs pour vCenter Single

Sign-On 26règle de verrouillage, vCenter Single Sign On 24Règle de VRM, privilèges 195règles, sécurité 161règles de sécurité

création 161disponible 161liste 161suppression 162

remplacement d'un certificat Single Sign-On 49remplacement des certificats, exigences 102remplacement des certificats vCenter par

défaut 51remplacer, certificats par défaut 103, 104réseau de gestion 87Réseau SAN 168réseau virtuel, sécurité 154réseaux

privilèges 181sécurité 154

ressources, privilèges 183restauration 59restriction de l'utilisation des clients basés sur

Linux avec vCenter Server 81rôle Administrateur, restriction 78, 79rôle Aucun Accès 74rôle Lecture seule 74rôles

Administrateur 74Aucun accès 74création 75et autorisations 74Lecture seule 74meilleures pratiques 66par défaut 74privilèges, listes de 171sécurité 74suppression 73

SSaturation MAC 151SDK, ports du pare-feu et console de machine

virtuelle 145sécurisation de la mise en réseau 141sécurisation renforcée du système d'exploitation

de l'hôte de vCenter Server 77

sécuritéautorisations 71certification 12couche de virtualisation 11couche réseau virtuelle 12DMZ sur un hôte 156, 157hôte 85machines virtuelles avec VLAN 154meilleures pratiques 165politique VMware 12ports de commutateur standard 149, 150Stockage iSCSI 167VLAN hopping 155VMkernel 11

sécurité d'Image Builder 89sécurité de l'hôte

clés autorisées 88console de machine virtuelle 138désactivation du MOB 87données de performance 170gestion des ressources 136journalisation 125managed object browser 87outils CIM 169réduction de disque virtuel 137utilisation des modèles 136VIB non signés 89vpxuser 99

sécurité de vCenter Server 78, 79, 81Sécurité de vSphere Web Client, plug-ins 82sécurité des machines virtuelles

désactiver les fonctions 131paramètres VMX 131

sécurité du commutateur standard 155Sécurité du protocole Internet (IPsec) 159sécurité du réseau 141sécurité du VLAN 155sécurité et périphériques PCI 91serveur d'annuaire, affichage 102serveur de gestion des comptes

d'ordinateur 118serveur proxy d'authentification 118Serveur vSphere Authentication Proxy 118service CAM 117service d'annuaire

Active Directory 100configuration d'un hôte 100

Service d'annuaire VMware 17Service d'émission de jeton de sécurité 17service de jetons de sécurité (STS), vCenter

Single Sign On 32

Index

VMware, Inc. 201

servicesautomatisation 94syslogd 126

services proxy, modification 121, 122sessions, privilèges 184setinfo 134Shell ESXi

activation 107, 108activation avec vSphere Web Client 108configuration 107

Single Sign On, mises à niveau 19Single Sign On

dépannage 41Erreur Lookup Service 42impossible de se connecter en utilisant le

domaine Active Directory 43la connexion a échoué car le compte

utilisateur est verrouillé 44Single Sign-On

désactivation des utilisateurs 36modification d'utilisateurs 37

SNMP 162source d'identité

ajout dans vCenter Single Sign-On 28modification de vCenter Single Sign-On 31

source d'identité Active Directory 30source d'identité du serveur LDAP Active

Directory 30source d'identité du serveur OpenLDAP 30source d'identité Single Sign-On,

suppression 32sources d'identité pour vCenter Single Sign-

On 26SSH

ESXi Shell 112paramètres de sécurité 112

SSLactiver et mettre hors tension 47activer sur la NFC 80chiffrement et certificats 47délais d'attente 88

ssl-environment.bat 55SSO, , voir Single Sign On , voir Single Sign OnSSPI 34standard 149stockage, sécurisation avec VLAN et

commutateurs virtuels 155stp 149stratégie de sécurité 149stratégie des jetons, Single Sign On 25stratégies

Mots de passe vCenter Single Sign-On 23Single Sign On 25verrouillage dans vCenter Single Sign-On 24

stratégies des mots de passe, vCenter SingleSign-On 23

STS, , voir service de jetons de sécurité (STS)STS (Security Token Service) 17Supprimer des utilisateurs de groupes 40supprimer des utilisateurs Single Sign-On 37supprimer des utilisateurs vCenter Single Sign-

On 37supprimer une source d'identité 32synchronisation des horloges sur le réseau

vSphere 165synchronisez les horloges ESX/ESXi sur le

réseau vSphere 166syslog 126système d'exploitation de l'hôte de vCenter

Server, sécurisation renforcée 77systèmes d'exploitation client

copier et coller 133désactivation de la journalisation 135, 139limitation de la taille variable

d'informations 135niveaux de journalisation 138

systèmes d'exploitation invité, activation desopérations copier et coller 132

Ttâches, privilèges 185tâches planifiées, privilèges 183taille variable d'informations des systèmes

d'exploitation invitésdésactivation 135limitation 135

TPM (Trusted Platform Module) 11Transmissions forgées 150, 151types de certificats 47

Uutilisateurs

ajouter des utilisateurs locaux 36, 90application 40désactivation de Single Sign-On 36modification de Single Sign-On 37recherche 76suppression 65, 70supprimer du groupe 40

utilisateurs d'application 40Utilisateurs d'application Single Sign-On 40utilisateurs et autorisations 61utilisateurs et groupes 40utilisation de certificat 34

Sécurité vSphere

202 VMware, Inc.

VvApp, privilèges 185vCenter Inventory Service

balisage 186privilèges 186

vCenter Lookup Service 17vCenter Server

connexion via un pare-feu 144ports de pare-feu 143privilèges 78

vCenter Server Applianceconnexion impossible 43synchroniser l'horloge avec le serveur

NTP 166vCenter Server Heartbeat, remplacer des

certificats 59vCenter Single Sign On

Active Directory 28, 31avantages 15domaines 28l'installation échoue 42LDAP 28, 31OpenLDAP 28, 31Référentiels d'utilisateurs 26remplacer des certificats 51service de jetons de sécurité (STS) 32sources d'identité 26, 28, 31utilisateurs verrouillés 24

vCenter Single Sign-Onà propos 20impact sur l'installation et les mises à niveau

de vCenter Server 17modification de mot de passe 41stratégie des mots de passe 23

VGT 155vifs, télécharger des certificats et clés 106VLAN

et iSCSI 167sécurité 154sécurité de la couche 2 155VLAN hopping 155

VMkernel, sécurité 11vMotion, sécurisation avec VLAN et

commutateurs virtuels 155vpxuser, mot de passe 99vServices, privilèges 195vSphere Authentication Proxy

authentification 118installation 115

vSphere Authentication Proxy Server 118vSphere Client, ports de pare-feu pour

connexion directe 144vSphere Distributed Switch 153vSphere Distributed Switches, privilèges 174

vSphere Network Appliance 163vues de stockage, privilèges 184

Zzonage 168

Index

VMware, Inc. 203

Sécurité vSphere

204 VMware, Inc.