ItWEB – Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột (conflict) khi phân quyền
Các bài trước chúng ta đã
+ Join domain Vcenter
+ Phân quyền user admin1 tạo máy ảo
Để phân quyền thì tạo các role theo nhu cầu của mình (theo các quy tắc có sẵn).
Cấp quyền trên SSO
Nếu log = root của appliance sẽ thiếu chức năng SSO (đã nói – chỉ có administrator@vsphere.local thì log trên client hay web đều ok)
Vào Web
SSO -> user and group -> tab user: bài trước đã tạo user trên vsphere.local.
Tab group:
Group administrator là group có quyền cao nhất trên SSO
Trong đây cũng liệt kê nhiều group, đã được phân quyền sẵn.
Muốn user có quyền admin của SSO thì đưa vào group admin
Ta muốn root của Vcenter appliance có quyền admin trên SSO thì
Chọn vào group Administrator -> Add member
Chọn domain: localos
Chọn root -> add
Thấy root xuất hiện trong Group Administrator
Test: log bằng root/vmware trên Vsphere Web Client
Thấy root có Single Sign On.
Ôn lại phân quyền Vcenter
Phân quyền trên Vcenter là 1 quy trình gồm 3 đối tượng ghép lại với nhau.
Role, object ,quyền trên object
Role -> assign role và user cho object -> Các quyền trên object
Tạo role -> chọn quyền trên object -> assign role cho object (tab permission)và chỉ định user.
Sau khi phân quyền thì nó tác dụng lên Vsphere Client và Vsphere Web Client.
Các Trường hợp đụng độ (conflict) khi phân quyền trên Vcenter
Khi phân quyền, ta sẽ 1 số conflict (trùng lặp), ta sẽ giải quyết các trường hợp sau.
Phân quyền thì có thưa kế. Default là có thừa kế (nó check sẵn Propagete Child object), ta có thể bỏ check để hết thừa kế.
Hoặc muốn muốn bỏ thì làm như sau:
Vào Tab permission của các Inventory (host, vm hoặc netork hoặc datastore)
Chọn Role đã assign -> phải chuột Properties -> bỏ check Propagate.
Các trường hợp Conflic
1/ Invenroty: Network ở localhost
Role 1: cho phép assign network (thừa kế xuống datacenter HCM)
Role 2 (ở Datacenter HCM): không cho phép assign network
Vậy nó sẽ apply Role 2
- Quy tắc: Quyền của con overwrite quyền của cha nếu có conflict (Con ưu tiên hơn cha)
2/ User nằm ở 2 group, 2 group có 2 quyền khác nhau trên cùng 1 object
Quyền của user là quyền tổng
- Quy tắc: User sẽ được tổng quyền khi nằm ở nhiều group.
3/ User nằm ở 2 group- có quyền A+B. User có quyền C (Chỉ add user chứ không add group)
- Quyền của user là quyền C
- Quy tắc: Quyền của user thay thế cho quyền Group (Overwrite quyền group)
Lưu ý:
1 user chỉ add được 1 role. Nếu cố tình add user vào role khác nữa thì sẽ mất cái quyền ta đã add trước, chỉ còn quyền ta add sau cùng cho user đó.
Cảm ơn các bạn theo dõi