Comment gérer les utilisateurs dans ESXi : un guide complet 2025

Introduction

VMware ESXi est un puissant hyperviseur bare metal qui constitue la base de nombreuses infrastructures de virtualisation. Que vous gériez un environnement de petite entreprise ou un centre de données de niveau entreprise, une gestion appropriée des utilisateurs dans ESXi est essentielle pour maintenir la sécurité, garantir les niveaux d’accès appropriés et faciliter une administration efficace.

Ce guide complet vous présentera tout ce que vous devez savoir sur la gestion des utilisateurs dans ESXi, des concepts de base aux techniques avancées. Vous apprendrez à créer et à configurer des utilisateurs, à attribuer les autorisations appropriées, à mettre en œuvre les bonnes pratiques de sécurité et à résoudre les problèmes courants qui peuvent survenir lors de la gestion des utilisateurs.

Une gestion efficace des utilisateurs est essentielle pour les organisations qui cherchent à maintenir des environnements de virtualisation sécurisés et bien organisés. Grâce aux serveurs dédiés de TildaVPS optimisés pour les charges de travail de virtualisation, vous pouvez mettre en œuvre ces stratégies de gestion des utilisateurs sur une infrastructure robuste et fiable conçue spécifiquement pour les déploiements ESXi.

Section 1 : Comprendre la gestion des utilisateurs d’ESXi

Présentation de la gestion des utilisateurs d’ESXi

La gestion des utilisateurs d’ESXi implique la création, la modification et la maintenance des comptes d’utilisateurs qui ont accès à votre environnement de virtualisation. Il est essentiel de comprendre les principes fondamentaux du fonctionnement d’ESXi en matière de gestion des utilisateurs et des autorisations avant de se lancer dans des tâches de gestion spécifiques.

Explication : Considérez la gestion des utilisateurs d’ESXi comme une activité similaire à la construction de la sécurité dans un complexe de bureaux. Tout comme différents employés ont besoin de différents niveaux d’accès à différents secteurs du bâtiment (certains peuvent accéder uniquement à leur étage, tandis que d’autres peuvent avoir besoin d’un accès aux salles de serveurs ou aux bureaux de direction), les utilisateurs d’ESXi ont besoin de différents niveaux d’accès à différentes parties de votre infrastructure de virtualisation.

Détails techniques : ESXi propose deux principaux types de gestion des utilisateurs :

1. Gestion des utilisateurs locaux : utilisateurs créés et gérés directement sur l’hôte ESXi
2. Intégration du service d’annuaire : authentification via des sources d’identité externes telles qu’Active Directory

Le système de gestion des utilisateurs d’ESXi se compose de plusieurs éléments clés :

• Utilisateurs : comptes individuels qui peuvent se connecter à l’hôte ESXi
• Groupes : ensembles d’utilisateurs qui partagent les mêmes autorisations
• Rôles : ensembles de privilèges qui définissent les actions que les utilisateurs peuvent effectuer
• Autorisations : attributions de rôles à des utilisateurs ou à des groupes pour des objets spécifiques

Architecture de la gestion des utilisateurs d’ESXi

L’architecture de la gestion des utilisateurs d’ESXi est conçue pour fournir un contrôle flexible et granulaire sur les personnes qui peuvent accéder à votre environnement de virtualisation et sur ce à quoi elles peuvent accéder.

Utilisateurs et groupes locaux : ils sont stockés directement sur l’hôte ESXi dans le fichier /etc/passwd et les fichiers de configuration associés. La gestion des utilisateurs locaux est adaptée aux environnements plus petits ou lorsque les services d’authentification externes ne sont pas disponibles.

Services d’annuaire : pour les environnements plus vastes, ESXi peut s’intégrer aux services d’annuaire tels qu’Active Directory, ce qui permet une gestion centralisée des utilisateurs sur plusieurs hôtes.

Privilèges et rôles : ESXi utilise un système de contrôle d’accès basé sur les rôles (RBAC) où les privilèges (autorisations individuelles pour effectuer des actions spécifiques) sont regroupés en rôles, qui sont ensuite attribués à des utilisateurs ou à des groupes.

Héritage des autorisations : les autorisations dans ESXi suivent un modèle hiérarchique où les autorisations attribuées à un niveau supérieur (comme un centre de données) peuvent se propager aux objets de niveau inférieur (comme les machines virtuelles).

Avantages d’une gestion appropriée des utilisateurs dans ESXi

La mise en œuvre d’une gestion appropriée des utilisateurs dans votre environnement ESXi offre de nombreux avantages :

1. Sécurité renforcée : la limitation de l’accès basée sur le principe du moindre privilège réduit le risque d’actions non autorisées.
2. Responsabilité améliorée : les comptes d’utilisateurs individuels facilitent le suivi des personnes qui ont effectué quelles actions.
3. Efficacité opérationnelle : les rôles bien définis rationalisent les tâches administratives et réduisent le risque d’erreurs.
4. Prise en charge de la conformité : une gestion appropriée des utilisateurs permet de répondre aux exigences réglementaires en matière de contrôle d’accès et de pistes d’audit.
5. Dépannage simplifié : les rôles d’utilisateurs clairs facilitent le diagnostic des problèmes liés aux autorisations.

Élément visuel : [Image : diagramme montrant la structure hiérarchique de la gestion des utilisateurs d’ESXi, y compris la relation entre les utilisateurs, les groupes, les rôles, les privilèges et les objets.]

Utilisateurs par défaut dans ESXi

ESXi est livré avec plusieurs comptes d’utilisateurs par défaut qui servent à des fins spécifiques :

1. root : le compte superutilisateur avec des privilèges d’administrateur complets
2. vpxuser : utilisé par vCenter Server pour gérer l’hôte ESXi
3. dcui : utilisé pour l’accès à l’interface utilisateur de la console directe
4. shell : utilisé pour l’accès SSH au shell d’ESXi

Il est important de comprendre ces comptes par défaut et leurs objectifs pour maintenir la sécurité et le bon fonctionnement de votre environnement ESXi.

Résumé de la section : la gestion des utilisateurs d’ESXi implique la création et la maintenance des comptes d’utilisateurs avec les niveaux d’accès appropriés. Le système utilise un modèle de contrôle d’accès basé sur les rôles avec des utilisateurs locaux ou l’intégration du service d’annuaire. Une gestion appropriée des utilisateurs améliore la sécurité, la responsabilité et l’efficacité opérationnelle de votre environnement de virtualisation.

Mini-FAQ :

Quelle est la différence entre les utilisateurs locaux et les utilisateurs des services d’annuaire dans ESXi ?

Les utilisateurs locaux sont créés et stockés directement sur l’hôte ESXi, tandis que les utilisateurs des services d’annuaire sont authentifiés via des systèmes externes tels qu’Active Directory. Les utilisateurs locaux sont plus simples à configurer, mais doivent être gérés individuellement sur chaque hôte, tandis que les utilisateurs des services d’annuaire offrent une gestion centralisée sur plusieurs hôtes.

Puis-je désactiver complètement le compte root dans ESXi pour des raisons de sécurité ?

Bien que vous ne puissiez pas supprimer complètement le compte root, vous pouvez renforcer la sécurité en modifiant son mot de passe avec une valeur forte et unique, en limitant son utilisation et en mettant en œuvre des politiques de verrouillage. Pour l’administration quotidienne, il est préférable de créer des comptes individuels nommés avec les autorisations appropriées plutôt que de partager le compte root.

Section 2 : Accéder à l’interface de gestion des utilisateurs d’ESXi

Présentation des interfaces de gestion d’ESXi

Avant de pouvoir gérer les utilisateurs dans ESXi, vous devez comprendre les différentes interfaces disponibles pour l’administration. ESXi fournit plusieurs façons d’accéder aux comptes d’utilisateurs et de les gérer :

1. vSphere Client/vCenter Server : l’interface graphique pour la gestion des hôtes ESXi et de leurs utilisateurs
2. Client d’hôte ESXi direct : interface Web pour la gestion d’un seul hôte ESXi
3. Interface de ligne de commande (CLI) : utilisation de SSH ou de l’interface utilisateur de la console directe (DCUI)
4. PowerCLI : l’interface de ligne de commande de VMware basée sur PowerShell pour l’automatisation

Chaque interface a ses points forts et convient à différents scénarios.

Accéder au client d’hôte ESXi

Le client d’hôte ESXi est une interface Web qui vous permet de gérer directement un seul hôte ESXi. Voici comment y accéder :

1. Ouvrez un navigateur Web sur un ordinateur qui a un accès réseau à votre hôte ESXi
2. Entrez l’adresse IP ou le nom d’hôte de votre hôte ESXi au format suivant : https://votre-ip-ou-nom-d-hote-esxi/ui
3. Acceptez tous les avertissements de sécurité liés au certificat SSL
4. Entrez votre nom d’utilisateur (par exemple, root) et votre mot de passe
5. Une fois connecté, vous verrez le tableau de bord du client d’hôte ESXi

Détails techniques : le client d’hôte ESXi s’exécute sur HTML5 et a remplacé l’ancien vSphere Client (client C#) pour la gestion directe des hôtes. Il fournit une interface moderne et réactive qui fonctionne sur différents navigateurs et systèmes d’exploitation.

Accéder à la gestion des utilisateurs via vCenter Server

Pour les environnements avec plusieurs hôtes ESXi, vCenter Server fournit une gestion centralisée. Pour accéder à la gestion des utilisateurs via vCenter :

1. Ouvrez un navigateur Web et accédez au client Web de votre vCenter Server : https://votre-ip-ou-nom-d-hote-de-vcenter/ui
2. Connectez-vous avec vos informations d’identification vCenter
3. Accédez au « Menu » et sélectionnez « Administration »
4. Dans la section « Contrôle d’accès », vous trouverez des options pour « Utilisateurs et groupes » et « Rôles »

Avantages et applications : l’utilisation de vCenter Server pour la gestion des utilisateurs offre plusieurs avantages :

• Gestion centralisée des utilisateurs sur plusieurs hôtes ESXi
• Options de contrôle d’accès basées sur les rôles plus avancées
• Intégration avec les domaines d’authentification unique (SSO)
• Gestion simplifiée des autorisations sur l’ensemble de l’infrastructure

Accès en ligne de commande pour la gestion des utilisateurs

Pour les administrateurs qui préfèrent les interfaces de ligne de commande ou qui doivent automatiser les tâches de gestion des utilisateurs, ESXi fournit des options de CLI :

1. Accès SSH :

   • Activez SSH sur votre hôte ESXi via le client d’hôte (Hôte > Gérer > Services > Activer SSH)
   • Connectez-vous à l’aide d’un client SSH tel que PuTTY ou le terminal
   • Connectez-vous avec vos informations d’identification ESXi
   • Utilisez des commandes telles que esxcli system account pour gérer les utilisateurs

2. PowerCLI :

   • Installez VMware PowerCLI sur votre station de travail de gestion
   • Connectez-vous à votre hôte ESXi ou vCenter Server :

     Connect-VIServer -Server votre-ip-ou-nom-d-hote-esxi -User nomdutilisateur -Password motdepasse
     

   • Utilisez les applets de commande PowerCLI pour gérer les utilisateurs et les autorisations

Élément visuel : [Image : capture d’écran montrant l’écran de connexion du client d’hôte ESXi avec l’URL et les champs de connexion mis en évidence.]

Étape par étape : activation et sécurisation de l’accès à la gestion à distance

Pour vous assurer que vous pouvez accéder aux interfaces de gestion des utilisateurs tout en maintenant la sécurité :

1. Activer le client d’hôte ESXi :

   • Il est activé par défaut, mais s’il a été désactivé :
   • Connectez-vous à l’hôte à l’aide de SSH
   • Exécutez vim-cmd hostsvc/enable_esx_shell
   • Exécutez vim-cmd hostsvc/start_esx_shell

2. Configurer le pare-feu ESXi :

   • Dans le client d’hôte ESXi, accédez à Réseau > Règles du pare-feu
   • Assurez-vous que les services nécessaires (Client Web, SSH si nécessaire) sont activés
   • Envisagez de restreindre l’accès à des adresses IP spécifiques pour plus de sécurité

3. Configurer les politiques de verrouillage :

   • Dans le client d’hôte ESXi, accédez à Gérer > Système > Paramètres avancés
   • Configurez des paramètres tels que Security.AccountLockFailures et Security.AccountUnlockTime

4. Activer la journalisation centralisée :

   • Configurez un serveur syslog pour capturer les tentatives d’authentification
   • Dans le client d’hôte ESXi, accédez à Gérer > Système > Paramètres avancés
   • Définissez Syslog.global.logHost sur l’adresse de votre serveur syslog

Résumé de la section : ESXi fournit plusieurs interfaces pour la gestion des utilisateurs, y compris le client d’hôte ESXi basé sur le Web, vCenter Server et les outils de ligne de commande. Le choix de la bonne interface dépend de la taille de votre environnement et de vos préférences de gestion. Il est essentiel de bien sécuriser ces interfaces de gestion pour maintenir la sécurité globale de votre infrastructure de virtualisation.

Mini-FAQ :

Quelle interface de gestion dois-je utiliser pour mon environnement ESXi ?

Pour les petits environnements avec un ou quelques hôtes ESXi, le client d’hôte ESXi fournit une interface Web simple. Pour les environnements plus vastes avec plusieurs hôtes, vCenter Server offre une gestion centralisée et des fonctionnalités plus avancées. Les outils de ligne de commande tels que PowerCLI sont idéaux pour les tâches d’automatisation et de script.

Est-il sûr d’activer SSH sur mes hôtes ESXi ?

Bien que SSH fournisse de puissantes capacités de gestion, il introduit également des risques de sécurité s’il n’est pas correctement configuré. Activez SSH uniquement en cas de besoin, limitez l’accès à des adresses IP spécifiques, utilisez une authentification forte et envisagez de le désactiver lorsqu’il n’est pas utilisé. Pour la gestion continue, les interfaces Web sont généralement des options plus sûres.

Section 3 : Création et configuration des utilisateurs d’ESXi

Création d’utilisateurs locaux dans le client d’hôte ESXi

La création d’utilisateurs locaux directement sur votre hôte ESXi est simple à l’aide du client d’hôte ESXi. Suivez ces étapes :

1. Connectez-vous au client d’hôte ESXi à l’aide de vos informations d’identification d’administrateur
2. Accédez à « Gérer » dans la barre latérale gauche
3. Sélectionnez l’onglet « Sécurité et utilisateurs »
4. Cliquez sur « Utilisateurs »
5. Cliquez sur le bouton « Ajouter un utilisateur »
6. Remplissez les champs obligatoires :
   • Nom d’utilisateur : créez un nom d’utilisateur unique (évitez les noms communs)
   • Mot de passe : définissez un mot de passe fort en suivant la politique de votre organisation
   • Confirmer le mot de passe : entrez à nouveau le mot de passe
   • Description : champ facultatif pour décrire l’objectif de l’utilisateur
7. Cliquez sur « Ajouter » pour créer l’utilisateur

Détails techniques : lorsque vous créez un utilisateur local, ESXi ajoute une entrée au fichier /etc/passwd sur l’hôte. Les mots de passe sont stockés dans un format haché pour des raisons de sécurité. Les utilisateurs locaux sont spécifiques à l’hôte ESXi individuel et doivent être recréés sur chaque hôte si vous n’utilisez pas vCenter ou les services d’annuaire.

Conventions d’attribution de noms aux utilisateurs et bonnes pratiques

La mise en œuvre de conventions d’attribution de noms cohérentes pour vos utilisateurs d’ESXi permet de maintenir un environnement organisé :

1. Format normalisé : pensez à des formats tels que [service]-[rôle]-[nom] ou [fonction]-[niveau]
2. Noms descriptifs : utilisez des noms qui indiquent l’objectif ou le rôle de l’utilisateur
3. Évitez les noms génériques : au lieu de « admin1 », utilisez des identifiants plus spécifiques
4. Documentation : conservez une documentation de votre convention d’attribution de noms et de votre inventaire d’utilisateurs

Avantages et applications : de bonnes conventions d’attribution de noms :

• Facilitent la vérification des personnes qui ont accès à quoi
• Simplifient la résolution des problèmes d’autorisations
• Contribuent à maintenir la sécurité en identifiant clairement les objectifs de l’utilisateur
• Facilitent des transitions plus fluides lors des changements de personnel

Création d’utilisateurs via vCenter Server

Pour les environnements avec vCenter Server, la création d’utilisateurs via cette interface centralisée offre des avantages supplémentaires :

1. Connectez-vous au client Web de vCenter Server
2. Accédez à Menu > Administration
3. Sous « Contrôle d’accès », sélectionnez « Utilisateurs et groupes »
4. Sélectionnez le domaine approprié (vsphere.local pour les utilisateurs SSO)
5. Cliquez sur le bouton « Ajouter un utilisateur »
6. Remplissez les informations de l’utilisateur :
   • Nom d’utilisateur
   • Mot de passe
   • E-mail (facultatif)
   • Prénom et nom (facultatif)
   • Description (facultatif)
7. Cliquez sur « Ajouter » pour créer l’utilisateur

Élément visuel : [Tableau : comparaison des fonctions de gestion des utilisateurs entre le client d’hôte ESXi et vCenter Server, montrant les avantages et les limites de chaque approche.]

Gestion des utilisateurs en ligne de commande

Pour les administrateurs qui préfèrent les interfaces de ligne de commande ou qui doivent automatiser la création d’utilisateurs, ESXi fournit des options de CLI :

Utilisation des commandes ESXi Shell :

# Ajouter un nouvel utilisateur
esxcli system account add -i nomdutilisateur -p motdepasse -c "Description de l'utilisateur"

# Répertorier les utilisateurs existants
esxcli system account list

# Supprimer un utilisateur
esxcli system account remove -i nomdutilisateur

Utilisation de PowerCLI :

# Se connecter à l'hôte ESXi
Connect-VIServer -Server ip-de-l-hote-esxi -User root -Password motdepasse

# Créer un nouvel utilisateur
New-VMHostAccount -Id nouvealutilisateur -Password (ConvertTo-SecureString "motdepasse" -AsPlainText -Force) -Description "Description du nouvel utilisateur"

# Obtenir les utilisateurs existants
Get-VMHostAccount

# Supprimer un utilisateur
Remove-VMHostAccount -Id nomdutilisateur -Confirm:$false

Étape par étape : création d’un utilisateur administrateur standard

La création d’un utilisateur administrateur dédié (au lieu d’utiliser toujours root) est une bonne pratique de sécurité :

1. Planifier le compte d’utilisateur :

   • Choisissez un nom d’utilisateur en suivant votre convention d’attribution de noms
   • Préparez un mot de passe fort
   • Déterminez le niveau d’accès dont cet administrateur a besoin

2. Créer l’utilisateur :

   • Connectez-vous au client d’hôte ESXi en tant que root
   • Accédez à Gérer > Sécurité et utilisateurs > Utilisateurs
   • Cliquez sur « Ajouter un utilisateur »
   • Entrez le nom d’utilisateur et le mot de passe
   • Ajoutez une description telle que « Administrateur ESXi principal »
   • Cliquez sur « Ajouter »

3. Attribuer les autorisations d’administrateur :

   • Accédez à Hôte > Gérer > Autorisations
   • Cliquez sur l’icône « + » pour ajouter une nouvelle autorisation
   • Sélectionnez l’utilisateur que vous venez de créer
   • Attribuez le rôle « Administrateur »
   • Assurez-vous que la case « Propager aux enfants » est cochée
   • Cliquez sur « Ajouter »

4. Tester le nouveau compte :

   • Fermez la session du compte root
   • Connectez-vous avec le nouveau compte d’administrateur
   • Vérifiez que vous pouvez effectuer des tâches administratives

5. Documenter le compte :

   • Enregistrez la création du compte dans la documentation de votre système
   • Notez l’objectif et les autorisations attribuées
   • Stockez le mot de passe en toute sécurité conformément aux politiques de votre organisation

Résumé de la section : la création et la configuration des utilisateurs dans ESXi peuvent être effectuées via le client d’hôte ESXi, vCenter Server ou les interfaces de ligne de commande. Le respect des bonnes pratiques pour l’attribution de noms aux utilisateurs et la création contribue à maintenir un environnement organisé et sécurisé. La création de comptes d’administrateur dédiés au lieu d’utiliser toujours root améliore la sécurité et la responsabilité.

Mini-FAQ :

Combien d’utilisateurs locaux puis-je créer sur un hôte ESXi ?

ESXi n’a pas de limite stricte quant au nombre d’utilisateurs locaux que vous pouvez créer, mais, en tant que bonne pratique, vous devez maintenir le nombre gérable. Pour les environnements avec de nombreux utilisateurs, envisagez d’utiliser des services d’annuaire tels qu’Active Directory au lieu d’utilisateurs locaux.

Dois-je créer des comptes individuels pour chaque administrateur ou utiliser un compte d’administrateur partagé ?

Créez toujours des comptes nommés individuels pour chaque administrateur au lieu de comptes partagés. Cette pratique améliore la responsabilité en vous permettant de suivre les personnes qui ont effectué quelles actions, simplifie la gestion des autorisations lorsque des changements de personnel se produisent et s’aligne sur les bonnes pratiques de sécurité et les exigences de conformité.

Section 4 : Gestion des autorisations et des rôles des utilisateurs

Comprendre le modèle d’autorisations d’ESXi

ESXi utilise un système robuste de contrôle d’accès basé sur les rôles (RBAC) pour gérer les autorisations. Il est essentiel de comprendre ce modèle pour une gestion efficace des utilisateurs.

Explication : Le modèle d’autorisations d’ESXi fonctionne comme une matrice tridimensionnelle, combinant trois éléments :

1. Utilisateur ou groupe : à qui l’accès est accordé
2. Rôle : quelles actions ils peuvent effectuer (une collection de privilèges)
3. Objet d’inventaire : où ils peuvent effectuer ces actions (quelles machines virtuelles, banques de données, etc.)

Lorsque ces trois éléments sont combinés, ils créent une autorisation. Par exemple, vous pouvez attribuer à l’utilisateur A le rôle Administrateur sur VM-1, tout en n’attribuant à l’utilisateur B que le rôle Utilisateur de machine virtuelle sur la même VM.

Détails techniques : Le système d’autorisations dans ESXi est hiérarchique. Les autorisations attribuées à un niveau supérieur (comme un centre de données) peuvent se propager vers les objets de niveau inférieur (comme les machines virtuelles dans ce centre de données). Cette propagation peut être contrôlée avec l’option « Propager aux enfants » lors de l’attribution des autorisations.

Rôles par défaut dans ESXi

ESXi est livré avec plusieurs rôles prédéfinis qui couvrent les cas d’utilisation courants :

1. Pas d’accès : ne peut pas afficher ou modifier l’objet attribué
2. Lecture seule : peut afficher l’état et les détails de l’objet, mais ne peut pas effectuer de modifications
3. Utilisateur de machine virtuelle : peut allumer, éteindre et interagir avec la console d’une VM
4. Utilisateur expérimenté de machine virtuelle : peut créer et modifier les configurations de VM, en plus des privilèges d’utilisateur de VM
5. Administrateur : accès complet à tous les objets et actions
6. Administrateur du pool de ressources : peut créer et gérer des pools de ressources et y attribuer des VM

Avantages et applications : Utilisation de ces rôles par défaut :

• Simplifie la gestion des autorisations pour les scénarios courants
• Fournit un point de départ pour la création de rôles personnalisés
• Garantit une attribution cohérente des autorisations dans votre environnement

Création de rôles personnalisés

Bien que les rôles par défaut couvrent de nombreux scénarios, vous devrez peut-être créer des rôles personnalisés pour des exigences spécifiques :

Dans le client d’hôte ESXi :

1. Accédez à « Gérer » > « Sécurité et utilisateurs » > « Rôles »
2. Cliquez sur « Ajouter un rôle »
3. Entrez un nom pour le nouveau rôle
4. Sélectionnez les privilèges à inclure dans ce rôle
5. Cliquez sur « Ajouter » pour créer le rôle

Dans vCenter Server :

1. Accédez à « Menu » > « Administration »
2. Sous « Contrôle d’accès », sélectionnez « Rôles »
3. Cliquez sur l’icône « + » pour créer un nouveau rôle
4. Entrez un nom et une description
5. Sélectionnez les privilèges à inclure
6. Cliquez sur « OK » pour créer le rôle

Élément visuel : [Tableau : exemples de rôles personnalisés pour les scénarios courants, y compris le nom du rôle, la description, les privilèges clés et les cas d’utilisation typiques.]

Attribution d’autorisations aux utilisateurs

Une fois que vous avez créé des utilisateurs et défini des rôles, vous devez attribuer des autorisations à des objets d’inventaire spécifiques :

Dans le client d’hôte ESXi :

1. Accédez à l’objet d’inventaire (hôte, VM, banque de données, etc.)
2. Sélectionnez l’onglet « Autorisations »
3. Cliquez sur l’icône « + » pour ajouter une nouvelle autorisation
4. Sélectionnez l’utilisateur ou le groupe
5. Choisissez le rôle à attribuer
6. Cochez ou décochez la case « Propager aux enfants » selon les besoins
7. Cliquez sur « Ajouter » pour appliquer l’autorisation

Dans vCenter Server :

1. Accédez à l’objet d’inventaire dans vSphere Client
2. Sélectionnez l’onglet « Autorisations »
3. Cliquez sur l’icône « + »
4. Sélectionnez ou recherchez l’utilisateur ou le groupe
5. Sélectionnez le rôle dans la liste déroulante
6. Configurez les paramètres de propagation
7. Cliquez sur « OK » pour appliquer l’autorisation

Héritage et propagation des autorisations

Il est essentiel de comprendre comment les autorisations se propagent dans la hiérarchie de l’inventaire pour une gestion efficace :

Explication : Considérez l’inventaire d’ESXi comme un arbre généalogique. Lorsque vous attribuez des autorisations à un objet parent (comme un dossier contenant des VM) et que vous activez la propagation, tous les « enfants » (les VM dans ce dossier) héritent de ces autorisations. Cet héritage peut faire gagner beaucoup de temps lors de la gestion des autorisations pour les grands environnements.

Détails techniques :

• Les autorisations se propagent vers le bas dans la hiérarchie
• Les objets enfants héritent des autorisations des objets parents lorsque la propagation est activée
• Les autorisations plus spécifiques (attribuées directement à un objet) remplacent les autorisations héritées
• Plusieurs autorisations peuvent être attribuées au même objet pour différents utilisateurs

Étape par étape : création d’un rôle d’opérateur de VM et attribution des autorisations

Créons un rôle personnalisé pour les opérateurs de VM qui doivent gérer les machines virtuelles, mais qui ne doivent pas avoir un accès administrateur complet :

1. Définir les exigences du rôle :

   • Déterminer quelles actions les opérateurs de VM doivent pouvoir effectuer
   • Déterminer quelles actions doivent être limitées

2. Créer le rôle personnalisé :

   • Connectez-vous au client d’hôte ESXi ou à vCenter Server
   • Accédez à la gestion des rôles
   • Créer un nouveau rôle nommé « Opérateur de VM »
   • Sélectionner les privilèges, y compris :
     • Machine virtuelle > Interaction (tous)
     • Machine virtuelle > Provisionnement > Déployer un modèle
     • Machine virtuelle > Gestion des snapshots (tous)
     • Machine virtuelle > Configuration (options sélectionnées)
   • Enregistrer le rôle

3. Créer un groupe d’opérateurs de VM (si vous utilisez des services d’annuaire) :

   • Créer un groupe de sécurité dans votre service d’annuaire
   • Ajouter les utilisateurs appropriés à ce groupe

4. Attribuer les autorisations :

   • Accédez au dossier de la VM ou au pool de ressources contenant les VM
   • Ouvrez l’onglet Autorisations
   • Ajoutez une nouvelle autorisation
   • Sélectionnez l’utilisateur ou le groupe Opérateurs de VM
   • Attribuez le rôle « Opérateur de VM »
   • Activez la case « Propager aux enfants »
   • Enregistrez l’autorisation

5. Tester les autorisations :

   • Connectez-vous en tant qu’utilisateur opérateur de VM
   • Vérifiez qu’ils peuvent effectuer les actions autorisées
   • Vérifiez qu’ils ne peuvent pas effectuer les actions restreintes
   • Ajustez les privilèges du rôle si nécessaire

Résumé de la section : Le modèle d’autorisations d’ESXi combine les utilisateurs, les rôles et les objets d’inventaire pour contrôler l’accès. Les rôles par défaut couvrent les scénarios courants, tandis que les rôles personnalisés permettent des ensembles d’autorisations plus spécifiques. Il est essentiel de comprendre l’héritage et la propagation des autorisations pour une gestion efficace des autorisations. La création de rôles spécialisés tels qu’Opérateur de VM permet de mettre en œuvre le principe du moindre privilège dans votre environnement.

Mini-FAQ :

Que se passe-t-il lorsqu’un utilisateur a plusieurs autorisations sur le même objet ?

Lorsqu’un utilisateur a plusieurs autorisations sur le même objet (soit directement, soit par le biais de son appartenance à un groupe), ESXi combine les privilèges de tous les rôles applicables. Cela signifie que l’utilisateur obtient effectivement la réunion de tous les privilèges des rôles attribués.

Comment puis-je voir rapidement les autorisations dont dispose un utilisateur spécifique dans mon environnement ?

Dans vCenter Server, vous pouvez filtrer les autorisations par un utilisateur spécifique : accédez à Administration > Contrôle d’accès > Autorisations globales, puis utilisez la fonction de recherche pour trouver l’utilisateur. Pour une vue complète, les outils tiers ou les scripts PowerCLI peuvent générer des rapports indiquant toutes les autorisations d’un utilisateur spécifique dans l’ensemble de l’environnement.

Section 5 : Mise en œuvre des bonnes pratiques d’authentification

Politiques de mot de passe et sécurité des comptes

La mise en œuvre de politiques de mot de passe forts est un aspect fondamental de la sécurité d’ESXi: :

Détails techniques : ESXi vous permet de configurer plusieurs paramètres liés aux mots de passe via les paramètres système avancés :

1. Complexité du mot de passe : configurez les exigences relatives à la longueur du mot de passe, aux types de caractères et à la complexité
2. Verrouillage de compte : définissez les seuils pour les tentatives de connexion infructueuses et la durée du verrouillage
3. Expiration du mot de passe : appliquez les modifications du mot de passe à intervalles réguliers

Pour configurer ces paramètres dans le client d’hôte ESXi :

1. Accédez à « Gérer » > « Système » > « Paramètres avancés »
2. Recherchez « Sécurité » pour trouver les paramètres pertinents
3. Modifiez les paramètres tels que :
   • Security.PasswordQualityControl : contrôle les exigences de complexité du mot de passe
   • Security.PasswordHistory : nombre de mots de passe précédents qui ne peuvent pas être réutilisés
   • Security.PasswordMaxDays : âge maximal du mot de passe en jours
   • Security.AccountLockFailures : nombre de tentatives infructueuses avant le verrouillage du compte
   • Security.AccountUnlockTime : temps en secondes avant qu’un compte verrouillé ne soit automatiquement déverrouillé

Avantages et applications : les politiques de mot de passe forts :

• Réduisent le risque d’accès non autorisé par le biais de la devinette de mots de passe ou des attaques par force brute
• Aident à répondre aux exigences de conformité pour les systèmes qui gèrent des données sensibles
• Établissent une base de référence de sécurité pour votre environnement de virtualisation

Intégration avec les services d’annuaire

Pour les environnements avec plusieurs hôtes ESXi, l’intégration avec les services d’annuaire tels qu’Active Directory offre des avantages significatifs :

Explication : Considérez l’intégration du service d’annuaire comme la création d’une base de données unique et centralisée des employés pour l’ensemble de votre organisation, plutôt que de maintenir des listes d’employés distinctes pour chaque service. Cette centralisation simplifie la gestion, garantit la cohérence et réduit les frais généraux administratifs.

Configuration de l’intégration d’Active Directory :

1. Préparer Active Directory :

   • Assurez-vous que vos hôtes ESXi peuvent résoudre vos contrôleurs de domaine via DNS
   • Créez un compte de service pour l’authentification ESXi (facultatif mais recommandé)

2. Joindre ESXi à Active Directory :

   • Dans le client d’hôte ESXi, accédez à « Gérer » > « Sécurité et utilisateurs » > « Authentification »
   • Sélectionnez « Rejoindre le domaine »
   • Entrez votre nom de domaine, votre nom d’utilisateur et votre mot de passe
   • Cliquez sur « Rejoindre le domaine »

3. Configurer les autorisations pour les utilisateurs/groupes AD :

   • Accédez à la section des autorisations pour les objets d’inventaire appropriés
   • Ajoutez de nouvelles autorisations à l’aide des utilisateurs ou des groupes AD
   • Attribuez les rôles appropriés
   • Activez la propagation si nécessaire

Élément visuel : [Image : diagramme montrant le flux d’authentification entre les hôtes ESXi, Active Directory et les utilisateurs, illustrant le fonctionnement de l’authentification centralisée.]

Mise en œuvre de l’authentification multifacteur

Pour une sécurité renforcée, envisagez de mettre en œuvre l’authentification multifacteur (MFA) pour l’accès à ESXi :

Détails techniques : ESXi lui-même ne prend pas en charge nativement MFA, mais vous pouvez le mettre en œuvre via :

1. vCenter Server avec intégration du fournisseur d’identité :

   • Configurez vCenter Server pour qu’il utilise un fournisseur d’identité externe qui prend en charge MFA
   • Les fournisseurs courants incluent Okta, Microsoft Azure AD et RSA SecurID

2. Authentification par carte à puce :

   • ESXi prend en charge l’authentification par carte à puce lorsqu’elle est correctement configurée
   • Cela nécessite :
     • Configuration appropriée du certificat
     • Lecteurs de cartes à puce pour les administrateurs
     • Configuration de l’hôte ESXi pour accepter les cartes à puce

3. VPN avec MFA comme passerelle :

   • Exigez MFA pour l’accès VPN au réseau de gestion
   • Limitez les interfaces de gestion ESXi pour qu’elles ne soient accessibles que via ce VPN

Audit et surveillance de l’activité des utilisateurs

Le maintien de la visibilité des actions des utilisateurs est crucial pour la sécurité et le dépannage :

1. Activer et configurer la journalisation :

   • Dans le client d’hôte ESXi, accédez à « Gérer » > « Système » > « Paramètres avancés »
   • Configurez Syslog.global.logHost pour envoyer les journaux à un serveur syslog central
   • Définissez les niveaux de journalisation appropriés pour les événements d’authentification

2. Examen régulier des journaux :

   • Établissez un processus pour l’examen régulier des journaux d’authentification
   • Recherchez des schémas de tentatives de connexion infructueuses ou des heures d’accès inhabituelles
   • Envisagez d’utiliser des outils automatisés d’analyse des journaux pour signaler les activités suspectes

3. Mettre en œuvre la surveillance des modifications :

   • Suivez les modifications apportées aux comptes d’utilisateurs et aux autorisations
   • Documentez toutes les activités de gestion des utilisateurs
   • Envisagez d’utiliser des processus de gestion des modifications pour les modifications d’accès des utilisateurs

Avantages et applications : Un audit approprié :

• Aide à détecter les incidents de sécurité potentiels
• Fournit la responsabilité des actions administratives
• Prend en charge les exigences de conformité
• Aide à la résolution des problèmes d’accès

Étape par étape : mise en œuvre d’une stratégie d’authentification sécurisée

Implémentons une stratégie d’authentification complète pour votre environnement ESXi :

1. Évaluer l’état actuel et les exigences :

   • Inventoriez les utilisateurs existants et leurs besoins d’accès
   • Identifiez les exigences de conformité pour votre environnement
   • Déterminez les méthodes d’authentification appropriées

2. Mettre en œuvre des politiques de mot de passe forts :

   • Configurer les exigences de complexité du mot de passe :

     Security.PasswordQualityControl = "retry=3 min=8,8,8,7,6 passphrase=0 similar=deny digit=1 upper=1 lower=1 special=1"
     

   • Définir les seuils de verrouillage de compte :

     Security.AccountLockFailures = 5
     Security.AccountUnlockTime = 900
     

3. Configurer l’intégration du service d’annuaire :

   • Joindre les hôtes ESXi à Active Directory
   • Créer des groupes de sécurité dans AD pour différents rôles ESXi
   • Attribuer les autorisations à l’aide des groupes AD plutôt que des utilisateurs individuels

4. Mettre en œuvre les contrôles d’accès :

   • Restreindre l’accès à la gestion à des réseaux spécifiques
   • Configurer le pare-feu ESXi pour limiter l’accès aux interfaces de gestion
   • Envisager de mettre en œuvre une jump box pour l’accès administratif

5. Configurer la journalisation centralisée :

   • Configurer un serveur syslog
   • Diriger les journaux ESXi vers ce serveur
   • Mettre en œuvre des politiques de rétention des journaux
   • Configurer les alertes pour les événements d’authentification suspects

6. Documenter et tester :

   • Documenter la stratégie d’authentification
   • Tester l’accès des utilisateurs pour vérifier les autorisations appropriées
   • Effectuer des examens de sécurité périodiques

Résumé de la section : La mise en œuvre des bonnes pratiques d’authentification implique la définition de politiques de mot de passe forts, l’intégration avec les services d’annuaire, la prise en compte des options d’authentification multifacteur et la mise en place de procédures d’audit appropriées. Une authentifica tion complète améliore la sécurité, simplifie l’administration et aide à répondre aux exigences de conformité de votre environnement ESXi.

Mini-FAQ :

Est-il préférable d’utiliser des comptes locaux ou Active Directory pour l’authentification ESXi ?

Pour les environnements avec plusieurs hôtes ESXi, l’intégration d’Active Directory est généralement préférable, car elle fournit une gestion centralisée des utilisateurs, des contrôles d’accès cohérents sur tous les hôtes et une administration simplifiée des utilisateurs. Les comptes locaux doivent être maintenus pour l’accès d’urgence au cas où le service d’annuaire ne serait pas disponible.

Comment puis-je m’assurer que les administrateurs ne partagent pas le mot de passe root ?

Mettez en œuvre ces pratiques : créez des comptes nommés individuels avec des privilèges administratifs pour chaque administrateur ; activez la journalisation et l’audit détaillés ; mettez en œuvre une solution de coffre-fort de mots de passe pour l’accès root d’urgence ; faites régulièrement tourner le mot de passe root ; et établissez des politiques claires contre le partage de mots de passe avec des conséquences en cas de violation.

Section 6 : Résolution des problèmes courants de gestion des utilisateurs

Diagnostic des problèmes d’autorisations

Les problèmes d’autorisations sont parmi les problèmes les plus courants dans la gestion des utilisateurs d’ESXi. Voici comment les diagnostiquer et les résoudre :

Explication : Les problèmes d’autorisations dans ESXi se manifestent souvent par des erreurs « Accès refusé » ou par des utilisateurs incapables d’effectuer les actions attendues. La résolution de ces problèmes nécessite de comprendre la hiérarchie des autorisations et la manière dont les autorisations sont combinées.

Problèmes d’autorisations courants et solutions :

1. Autorisations propagées manquantes :

   • Symptôme : l’utilisateur a accès à un objet parent, mais pas aux objets enfants
   • Diagnostic : vérifiez si « Propager aux enfants » était activé lors de l’attribution de l’autorisation
   • Solution : modifiez l’autorisation pour activer la propagation ou attribuez des autorisations directement aux objets enfants

2. Conflits d’autorisations :

   • Symptôme : l’utilisateur a des niveaux d’accès inattendus
   • Diagnostic : recherchez plusieurs entrées d’autorisations qui pourraient se combiner de manière inattendue
   • Solution : simplifiez la structure des autorisations, supprimez les autorisations redondantes

3. Problèmes d’appartenance à un groupe :

   • Symptôme : l’utilisateur devrait avoir accès via l’appartenance à un groupe, mais ce n’est pas le cas
   • Diagnostic : vérifiez l’appartenance au groupe dans le service d’annuaire
   • Solution : mettez à jour l’appartenance au groupe ou attribuez des autorisations directement

Détails techniques : lors de la résolution des problèmes d’autorisations, rappelez-vous :

• Les autorisations plus restrictives ne remplacent pas les autorisations moins restrictives ; au lieu de cela, les privilèges sont combinés
• Les autorisations attribuées directement à un objet ont priorité sur les autorisations héritées
• Le rôle « Pas d’accès » est une exception : il remplace les autorisations héritées

Échecs d’authentification

Les problèmes d’authentification empêchent les utilisateurs de se connecter à l’environnement ESXi :

Problèmes d’authentification courants et solutions :

1. Verrouillage de compte :

   • Symptôme : les informations d’identification valides sont rejetées après plusieurs tentatives infructueuses
   • Diagnostic : vérifiez les journaux à la recherche de messages de verrouillage de compte
   • Solution : attendez que la période de verrouillage expire ou déverrouillez manuellement le compte

2. Connectivité du service d’annuaire :

   • Symptôme : les utilisateurs AD ne peuvent pas s’authentifier
   • Diagnostic : vérifiez la connectivité réseau aux contrôleurs de domaine et la résolution DNS
   • Solution : résolvez les problèmes de réseau ou joignez à nouveau l’hôte au domaine

3. Expiration du mot de passe :

   • Symptôme : les informations d’identification qui fonctionnaient auparavant échouent soudainement
   • Diagnostic : vérifiez si les politiques d’expiration des mots de passe sont en vigueur
   • Solution : réinitialisez le mot de passe de l’utilisateur

Élément visuel : [Tableau : messages d’erreur d’authentification courants, leurs causes probables et les solutions recommandées.]

Utilisation des journaux pour le dépannage

Les journaux ESXi contiennent des informations précieuses pour diagnostiquer les problèmes de gestion des utilisateurs :

1. Accès aux journaux d’authentification :

   • Dans le client d’hôte ESXi, accédez à « Gérer » > « Système » > « Journaux »
   • Sélectionnez « hostd.log » pour la plupart des problèmes d’authentification et d’autorisations
   • Utilisez grep ou des outils similaires pour filtrer les entrées pertinentes :

     grep -i "auth\|perm\|user" /var/log/hostd.log
     

2. Schémas de journaux courants :

   • Tentatives d’authentification infructueuses : recherchez les messages « Échec de l’authentification »
   • Problèmes d’autorisations : recherchez « Autorisation refusée » ou « Privilèges insuffisants »
   • Modifications de compte : recherchez « Compte d’utilisateur » suivi de « créé », « modifié » ou « supprimé »

3. Bonnes pratiques d’analyse des journaux :

   • Corrélez les horodatages avec les problèmes signalés
   • Recherchez des schémas d’échecs répétés
   • Vérifiez les journaux sur les hôtes ESXi et sur vCenter Server (le cas échéant)
   • Envisagez de transférer les journaux vers un système SIEM pour une analyse avancée

Récupération après les verrouillages et les informations d’identification perdues

Même avec une gestion prudente, les verrouillages et les informations d’identification perdues peuvent se produire :

1. Récupération après les verrouillages de compte :

   • Pour les comptes locaux, attendez que le délai de déverrouillage automatique expire
   • Vous pouvez également accéder à l’hôte via DCUI ou un autre compte administrateur pour réinitialiser le verrouillage
   • Pour les problèmes persistants, envisagez d’ajuster les politiques de verrouillage

2. Réinitialisation des mots de passe perdus :

   • Pour le compte root, utilisez l’interface utilisateur de la console directe

Section 6 : Résolution des problèmes courants de gestion des utilisateurs (suite)

Récupération après les verrouillages et les informations d’identification perdues (suite)

2. Réinitialisation des mots de passe perdus :
   • Pour le compte root, utilisez l’interface utilisateur de la console directe (DCUI) :
     1. Accédez à la console physique ou à la console distante via iLO/iDRAC/IPMI
     2. Appuyez sur F2 sur l’écran de bienvenue d’ESXi
     3. Sélectionnez « Options de dépannage »
     4. Sélectionnez « Activer ESXi Shell » et « Activer SSH » si nécessaire
     5. Quittez le menu principal et sélectionnez « Réinitialiser la configuration du système »
     6. Suivez les invites pour réinitialiser le mot de passe root

• Pour les autres comptes locaux :
  1. Connectez-vous en tant que root ou un autre administrateur
  2. Utilisez le client d’hôte ESXi pour réinitialiser le mot de passe, ou
  3. Utilisez la commande ESXi Shell : esxcli system account set -i nomdutilisateur -p nouveaumotdepasse

3. Planification de l’accès d’urgence :
   • Maintenez la documentation des procédures d’accès d’urgence
   • Envisagez de mettre en œuvre un coffre-fort de mots de passe pour les informations d’identification critiques
   • Établissez un processus pour l’autorisation d’accès d’urgence

Détails techniques : lors de la réinitialisation du mot de passe root, sachez que cette action est consignée et peut déclencher des alertes de sécurité si vous avez mis en place une surveillance. Suivez toujours les procédures de gestion des modifications de votre organisation pour de telles opérations sensibles.

Résolution des problèmes d’intégration du service d’annuaire

L’intégration du service d’annuaire peut parfois rencontrer des problèmes :

1. Résolution des problèmes de jonctions de domaine ayant échoué :

   • Symptôme : Impossible de joindre l’hôte ESXi à Active Directory
   • Diagnostic :
     • Vérifiez la configuration DNS sur l’hôte ESXi
     • Vérifiez la connectivité réseau aux contrôleurs de domaine
     • Assurez-vous que le compte utilisé a l’autorisation de joindre des ordinateurs au domaine
   • Solution :
     • Corrigez les paramètres DNS
     • Résolvez les problèmes de réseau
     • Utilisez un compte avec les autorisations appropriées

2. Gestion des retards d’authentification :

   • Symptôme : temps de connexion lents pour les utilisateurs AD
   • Diagnostic : vérifiez la latence du réseau vers les contrôleurs de domaine
   • Solution :
     • Optimisez la connectivité réseau
     • Assurez-vous que les contrôleurs de domaine sont accessibles avec une faible latence
     • Envisagez d’ajouter des contrôleurs de domaine plus près de vos hôtes ESXi

3. Gestion des mises à jour de l’appartenance à un groupe :

   • Symptôme : les nouvelles appartenances à un groupe ne sont pas reflétées dans les autorisations
   • Diagnostic : Les modifications de l’appartenance au groupe peuvent prendre du temps à se propager
   • Solution :
     • Attendez la réplication AD et l’actualisation du jeton
     • Demandez à l’utilisateur de fermer la session et de se reconnecter
     • Dans les cas urgents, attribuez des autorisations directement à l’utilisateur

Étape par étape : résolution des problèmes liés à l’accès d’un utilisateur

Passons en revue une approche systématique pour résoudre les problèmes lorsqu’un utilisateur signale qu’il ne peut pas effectuer une action pour laquelle il estime avoir l’autorisation :

1. Recueillir des informations :

   • Identifier le compte d’utilisateur spécifique qui rencontre le problème
   • Déterminer l’action exacte qu’il essaie d’effectuer
   • Identifier l’objet auquel il essaie d’accéder (quelle VM, quelle banque de données, etc.)
   • Noter tous les messages d’erreur qu’il reçoit

2. Vérifier l’authentification :

   • Confirmer que l’utilisateur peut se connecter avec succès au client d’hôte ESXi ou à vSphere Client
   • Si l’authentification échoue, vérifiez l’état du compte, l’expiration du mot de passe et l’état de verrouillage
   • Pour les utilisateurs AD, vérifiez la connectivité du domaine et l’appartenance au groupe

3. Vérifier les autorisations directes :

   • Accédez à l’objet spécifique auquel l’utilisateur essaie d’accéder
   • Passez en revue l’onglet Autorisations
   • Recherchez les entrées qui incluent l’utilisateur directement ou via l’appartenance au groupe
   • Vérifiez que le rôle attribué possède les privilèges nécessaires pour l’action tentée

4. Vérifier les autorisations héritées :

   • Remontez dans la hiérarchie de l’inventaire (dossiers, clusters, centre de données)
   • Vérifiez les autorisations à chaque niveau
   • Vérifiez les paramètres de propagation

5. Examiner les journaux :

   • Vérifiez hostd.log à la recherche d’entrées liées aux autorisations
   • Filtrez les journaux pour le nom d’utilisateur en question
   • Recherchez les messages « autorisation refusée » ou similaires

6. Tester avec différents comptes :

   • Essayez la même action avec un compte administrateur pour vérifier si cela est possible
   • Si disponible, essayez avec un autre utilisateur qui devrait avoir des autorisations similaires

7. Mettre en œuvre la solution :

   • En fonction des résultats, ajustez les autorisations si nécessaire
   • Envisagez de créer un rôle personnalisé si les rôles existants ne correspondent pas aux exigences
   • Documentez la solution pour référence future

8. Vérifier la résolution :

   • Demandez à l’utilisateur de tester à nouveau l’action
   • Confirmez que le problème est résolu
   • Surveillez tout problème récurrent

Élément visuel : [Image : organigramme montrant l’arbre de décision pour la résolution des problèmes d’accès des utilisateurs dans ESXi, du signalement initial du problème à la vérification de la solution.]

Résumé de la section : La résolution des problèmes de gestion des utilisateurs dans ESXi implique le diagnostic des problèmes d’autorisations, la résolution des échecs d’authentification, l’analyse des journaux et la récupération des verrouillages ou des informations d’identification perdues. Les problèmes d’intégration du service d’annuaire nécessitent une attention particulière à la configuration du réseau et du domaine. Une approche systématique de la résolution des problèmes permet d’identifier et de résoudre rapidement les problèmes d’accès des utilisateurs.

Mini-FAQ :

Que dois-je faire si tous les comptes administrateur sont verrouillés hors d’ESXi ?

Si tous les comptes administrateur sont verrouillés, vous pouvez accéder à l’interface utilisateur de la console directe (DCUI) via la console physique ou la carte de gestion à distance (iLO/iDRAC/IPMI). À partir de là, vous pouvez activer ESXi Shell, réinitialiser le mot de passe root si nécessaire, puis utiliser le compte root pour déverrouiller ou recréer d’autres comptes administrateur.

Comment puis-je savoir si un problème d’autorisations est dû à des privilèges manquants ou à des problèmes d’héritage ?

Vérifiez le rôle attribué à l’utilisateur pour l’objet spécifique auquel il essaie d’accéder. Comparez les privilèges de ce rôle aux exigences pour l’action qu’il tente d’effectuer. Ensuite, vérifiez si les autorisations sont correctement héritées des objets parents en vérifiant le paramètre « Propager aux enfants » sur les autorisations attribuées aux objets parents dans la hiérarchie.

Principaux points à retenir

• La gestion des utilisateurs d’ESXi combine les utilisateurs locaux, les services d’annuaire et un modèle d’autorisations basé sur les rôles pour contrôler l’accès à votre environnement de virtualisation
• La mise en œuvre du principe du moindre privilège par le biais de rôles personnalisés et d’une attribution prudente des autorisations améliore la sécurité et réduit le risque d’actions accidentelles ou malveillantes
• L’intégration du service d’annuaire, en particulier avec Active Directory, simplifie considérablement la gestion des utilisateurs sur plusieurs hôtes ESXi et doit être mise en œuvre dans la mesure du possible
• Les pratiques d’authentification fortes, y compris les mots de passe complexes, les politiques de verrouillage de compte et éventuellement l’authentification multifacteur, sont essentielles pour protéger votre infrastructure de virtualisation
• L’audit et la surveillance réguliers de l’activité des utilisateurs aident à détecter les problèmes de sécurité potentiels et assurent la conformité aux politiques organisationnelles
• Une approche systématique de la résolution des problèmes de gestion des utilisateurs permet d’identifier et de résoudre rapidement les problèmes liés à l’authentification et aux autorisations
• La documentation appropriée de votre stratégie de gestion des utilisateurs, y compris les conventions d’attribution de noms, les structures d’autorisations et les procédures d’accès d’urgence, est cruciale pour la gestion à long terme

Glossaire

• ESXi : l’hyperviseur bare metal de VMware qui s’installe directement sur les serveurs physiques pour les virtualiser
• vCenter Server : la plateforme de gestion centralisée de VMware pour plusieurs hôtes ESXi
• Contrôle d’accès basé sur les rôles (RBAC) : une méthode de régulation de l’accès basée sur les rôles attribués aux utilisateurs
• Privilège : une autorisation spécifique pour effectuer une action dans ESXi
• Rôle : une collection de privilèges qui peuvent être attribués à des utilisateurs ou à des groupes
• Autorisation : la combinaison d’un utilisateur/groupe, d’un rôle et d’un objet d’inventaire
• Propagation : l’héritage des autorisations des objets parents vers les objets enfants
• Service d’annuaire : un système centralisé pour stocker et gérer les informations d’identité des utilisateurs
• Active Directory (AD) : le service d’annuaire de Microsoft pour les réseaux de domaine Windows
• Authentification unique (SSO) : un processus d’authentification qui permet aux utilisateurs d’accéder à plusieurs systèmes avec un ensemble d’informations d’identification
• DCUI : Direct Console User Interface, l’interface de la console locale pour les hôtes ESXi
• Politique de verrouillage : paramètres qui déterminent quand les comptes sont verrouillés après des tentatives de connexion infructueuses
• Authentification multifacteur (MFA) : une méthode d’authentification nécessitant deux facteurs de vérification ou plus

Lectures complémentaires

• Documentation de VMware ESXi
• Guides de renforcement de la sécurité de VMware
• Bonnes pratiques d’intégration d’Active Directory
• Base de connaissances de TildaVPS : bonnes pratiques de virtualisation
• Gestion de la ligne de commande ESXi avec PowerCLI
• Audit et conformité dans les environnements virtualisés