VCP6-DCV Objective 1.1 – Configure and Administer Role-based Access Control

tarafından 27 Kasım 2015 tarihinde VMware, VMware ESXi, VMware vCenter kategorisine yazıldı.

Merhaba,

VCP6-DCV Study Guide isimli makale serimin ilk yazısını yazıyorum 🙂

VMware ESXi veya vCenter‘a erişim için kimlik doğrulaması yapabilirsiniz. Hatta bunun üzerinde roller belirleyebilirsiniz. Örneğin bir IT firmasısınız ve firma içerisinde birden fazla grup var. Bunları ESXi veya vCenter üzerinde roller belirleyip grup’lara özel yetkiler beliryebilirsiniz. VMware içinde 4 tip permission vardır. Bunları inceleyecek olursak;

vCenter Server Permissions: vCenter Server ‘da permission’lar nesne’lerin içerisindeki nesne hiyerarşisine dayanır. Bir role oluşturup buna bir user veya group tanımlayabilir daha sonra bunu bir nesneye atayabilirsiniz. Kısaca bir örnek vermek gerekirse, ESXi host’u seçip, sadece bu belirli bir user’ın veya grup’un bu ESXi host üzerinde işlem yapmasını sağlayabilirsiniz.

Global Permissions: Global izinler’ler, global root object’e uygulanan izinlerdir. Örneğin sizin vCenter Server ile birlikte vCenter Orchestrator’da yüklüyse, global izinleri kullanılarak vCenter Server’da belirli bir yetkiye sahip olan user veya grup aynı anda vCenter Orchestrator’da da yetkili olabilir.

Global Membership in vSphere.local Groups: vSphere.local domain’i, önceden tanımlanmış çeşitli grupları içerir. Uygun işlemleri gerçekleştirebilmek için, kullanıcıları AD’den (eğer AD’yi kullanıyorsanız) bu gruplardan birine bağlayın.
vCenter Server tarafından doğrudan yönetilmeyen bazı servisler için ayrıcalıklar, vCenter Single Sign-On gruplarından birine olan üyelikle belirlenir. Örneğin, Administrator grubunun üyesi olan bir kullanıcı vCenter Single Sign-On’u yönetebilir. CAAdmins grubuna üye olan bir kullanıcı VMware Certificate Authority’yi yönetebilir ve LicenseService.Administrators grubundaki bir kullanıcı da lisansları yönetebilir.

ESXi Local Host Permissions: Eğer standalone yani tek başına çalışan, vCenter ile yönetilmeyen bir ESXi host kullanıyorsanızda ESXi host üzerinde oluşturduğunuz kullanıcıları belirli role’lere atayabilirsiniz.

vCenter Server üzerinde default olarak gelen birden fazla role vardır. Bu roller üzerinde bazılarında delete veya modify işlemleri yapabilir bazılarında ise yapamazsınız. Ancak eğer isterseniz role’lerin clone’larını alıp kendiniz editleyebilirsiniz.

  • Administrator
  • Read-­‐Only
  • No Access
  • Tagging Admin
  • Resource Pool Administrator (sample)
  • Virtual Machine User (sample)
  • VMware Consolidated Backup User (sample)
  • Datastore Consumer (sample)
  • Network Administrator (sample)
  • Virtual Machine Power User (sample)
  • Content Library Administrator (sample)

Permission nasıl ayarlanır?

Permission’lar bir object’e bir datastore’a veya belirli bir virtual machine’e atanabilir. Public Cloud kullanıyorsunuz ve birden fazla müşteriye açık bir ortam. Bu durumda siz belirli virtual machine’e izin vererek, müşteri vCenter’a bağlandığında sadece o makinaya erişebilir. Diğer virtual machine’leri göremeyecektir. Roller vCenter ile ilişkilendirildiği için siz isterseniz User veya group’lara belirli permission’lar tanımlayabilirsiniz. Eğer ortamınızda bir Active Directory var ise kimlik doğrulaması yapabilir ve bunu Single Sign On ‘dan faydalanarak Active Directory üzerinden gerçekleştirebilirsiniz.

permissions

Bir object’e permission tanımlamak için aşağıdaki adımları izlemek gerekiyor.

  • vCenter içerisinde bulunan hangi object’e permission tanımlamak istiyorsak o object seçilir.
  • Object üzerinde sağ click > Add permission’a giriş yapılır.
  • Drop Down menüden hangi rol’ün kullanılmasını istiyorsak o rol seçilir ve bu rol’lere sahip olacak user veya group’un eklenmesi için Users and Groups altında bulunan Add butonuna basılır.
  • Burada isterseniz Local olarak tanımlı olan user veya group’u istersenizde Active Directory’e dahil bir user veya group’u ekleyebilirsiniz.
  • User veya group’u ekledikten sonra OK butonu ile permission’ı eklemiş oluyoruz.

Böylece vCenter 6 içerisinde bulunan bir object’e permission tanımlamış oldum. Ben aşağıdaki örnekte tayfundeger.local domain’inde bulunan tayfundeger isimli kullanıcıyı Administrator olarak ekledim.

permission2s

Yukarıdaki resimde de görüldüğü gibi tayfundeger kullanıcısını ESXi ‘a Administrator olarak ekledim. Burada dikkatinizi çekmek istediğim husus ise Propogate to children seçeneğidir. Eğer bu seçeneği işaretlerseniz o object altındaki bütün herşeye izin verir. Ben yukarıda ki örnekte ESXi ‘i seçtim ve permission tab’ından yetki ekledim. Eğer Propogate to children seçeneğini seçersek bu esxi altındaki virtual machine’ler de de Administrator yetkisi olacaktır. Ancak bu seçeneği seçmezseniz sadece ESXi üzerinde yetkili olur ve bu esxi altındaki virtual machine’lerde herhangi bir yetkisi olmaz.

View/Sort/Export User and Group Lists:

vCenter üzerinde yetkili olan User’ların veya Group’ların listesini alabilir veya hangi user/group’ların yetkili olduğunu merak edebilirsiniz. Manage > Permissions bölümünden bu vCenter’da yekili olan tüm kullanıcıları görebilirsiniz.

Eğer sadece belli bir object’deki yetkileri görmek istiyorsanız örneğin bu bir esxi veya virtual machine olabilir. Ozamanda yine ESXi veya virtual machine’i seçip Manage > Permissions tab’ından yetkileri görebilirsiniz. vCenter veya

2

Bir object üzerindeki yetkileri isterseniz .csv uzantılı olarak dışarıya alabilirsiniz. Burada isterseniz sadece seçmiş olduğunuz ıtems’i export edebilir istersenizde görmüş olduğunuz bütün users/groups’ların export’unu alabilirsiniz.

3

Bir user’a vermiş olduğunuz role’u değiştirmek isterseniz bunun için yapmanız gereken Manage > Permissions tab’ında yer alan yukarıda kırmızı kutu içerisine aldığım kalem icon’una tıklamaktır. Bunu hangi user’ı seçip yaparsanız o user’ın yetkilerini değiştirebilirsiniz. Örneğin ben tayfundeger.local\tayfundeger user’ına Administrator role’u verdim. Eğer istersem bunu değiştirip Administrator dışında farklı bir yetki verebilirim.

Create/Clone/Edit vCenter Server Roles:

Yukarıda da belirttiğim gibi vCenter üzerinde belirli role’ler vardır ve bu role’ler user veya group’lara verilerek yetkilendirmeler yapılır. Eğer siz bu role’ler üzerinde bir değişiklik yapmak istiyorsanız yani yeni bir role oluşturma veya varolan role’un bir kopyasını alıp editleme gibi işlemler yapmak istiyorsanız bunun için Home > Administration > Roles bölümüne girmeniz yeterli olacaktır.

4

 

Yukarıdaki resimde kırmızı kutu içerisine aldığım buton ile isterseniz yeni bir role oluşturabilirsiniz. İsterseniz sarı kutu içerisine aldığım buton ile var olan bir role clone’layıp bunun üzerinde değişiklikler yapıp yeni bir role oluşturabilirsiniz.

5

Default olarak aşağıdaki role’leri editleyemezsiniz.

  • Administrator
  • Read-only
  • No access

Yukarıdaki role’ler haricinde bir role’u istediğiniz gibi editleyebilirsiniz. Yukarıdaki resimde Resource pool administrator (sample) role’unu editlemek için ilk olarak bu role’u seçtim ve daha sonra kalem icon’una tıkladım. Bu role’ler istediğini gibi değiştirebilir daha sonra OK butonu ile kayıt edebilirsiniz. İsterseniz isminide değiştirebilirsiniz.

Eğer kullanılmayan bir role var ise bunu “x” butonu ile silebilirsiniz.

Determine the Correct Roles/Privileges Needed to Integrate vCenter Server with Other VMware Products:

Global izinler’ler, global root object’e uygulanan izinlerdir. Örneğin sizin vCenter Server ile birlikte vCenter Orchestrator’da yüklüyse, global izinleri kullanılarak vCenter Server’da belirli bir yetkiye sahip olan user veya grup aynı anda vCenter Orchestrator’da da yetkili olabilir.

Ayrıca bu konu ile ilgili buradaki pdf’in 122 ve 127. sayfalarını okuyabilirsiniz.

Umarım faydalı olmuştur.

Teşekkürler.

email

Bu yazı blog üzerinde Tayfun DEĞER tarafından paylaşılmıştır. 2009 yılında açılan blog kısa zaman içerisinde büyük bir izleyici kitlesine sahip olmuştur.Tayfun DEĞER danışmanlık ve eğitimler vermektedir. vExpert 2013-2017, VCP5, VCP5-DT, VCP-Cloud ve MCSE sertifikalarına sahiptir.Twitter 'dan @tayfundeger veya RSS ile sitedeki değişiklikleri takip edebilirsiniz.