Sunday, January 17, 2021

Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột khi phân quyền

Must Read

Hệ Thống Lưu Trữ DAS, NAS, SAN, ISCSI SAN Là Gì?

Các khái niệm về Strorage (lưu trữ) để có thể lưu trữ dữ liệu của bạn một cách an...

Hướng dẫn block port trên Firewall Windows Server

Click "Start | Control Panel | System and Security | Windows Firewall." Click USE recommended setting.(image 1) Select "Advanced Settings."...

Upgrade from MariaDB 5.5 to 10.1 on CentOS7

Here is the readout from my current Droplet which is similar to your example: # cat /etc/redhat-release CentOS Linux release...

Top 10 nhà cung cấp dịch vụ email miễn phí tốt nhất thị trường

Nhà cung cấp dịch vụ email miễn phí là các đơn vị hỗ trợ bạn trong các hoạt động...

Hướng dẫn sử dụng Directadmin cơ bản

Bước 1: Login Sau khi đăng ký hosting bạn sẽ nhận được một email gửi đầy đủ thông tin về...
- Advertisement -

ItWEB – Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột (conflict) khi phân quyền

Các bài trước chúng ta  đã

+ Join domain Vcenter

+ Phân quyền user admin1 tạo máy ảo

Để phân quyền thì tạo các role theo nhu cầu của mình (theo các quy tắc có sẵn).

Cấp quyền trên SSO

Nếu log = root của appliance sẽ thiếu chức năng SSO (đã nói – chỉ có administrator@vsphere.local thì log trên client hay web đều ok)

Vào Web

SSO -> user and group -> tab user: bài trước đã tạo user trên vsphere.local.

Tab group:

Group administrator là group có quyền cao nhất trên SSO

Trong đây cũng liệt kê nhiều group, đã được phân quyền sẵn.

Muốn user có quyền admin của SSO thì đưa vào group admin

Ta muốn root của Vcenter appliance có quyền admin trên SSO thì

Chọn vào group Administrator -> Add member

Chọn domain: localos

Chọn root -> add

Thấy root xuất hiện trong Group Administrator

Test: log bằng root/vmware trên Vsphere Web Client

Thấy root có Single Sign On.

Ôn lại phân quyền Vcenter

Phân quyền trên Vcenter là 1 quy trình gồm 3 đối tượng ghép lại với nhau.

Role, object ,quyền trên object

Role -> assign role và user cho object -> Các quyền trên object

Tạo role -> chọn quyền trên object -> assign role cho object (tab permission)và chỉ định user.

Sau khi phân quyền thì nó tác dụng lên Vsphere Client và Vsphere Web Client.

Các Trường hợp đụng độ (conflict) khi phân quyền trên Vcenter

Khi phân quyền, ta sẽ 1 số conflict (trùng lặp), ta sẽ giải quyết các trường hợp sau.

Phân quyền thì có thưa kế. Default là có thừa kế (nó check sẵn Propagete Child object), ta có thể bỏ check để hết thừa kế.

Hoặc muốn muốn bỏ thì làm như sau:

Vào Tab permission của các Inventory (host, vm hoặc netork hoặc datastore)

Chọn Role đã assign -> phải chuột Properties -> bỏ check Propagate.

Các trường hợp Conflic

1/ Invenroty: Network ở localhost

Role 1: cho phép assign network (thừa kế xuống  datacenter HCM)

Role 2 (ở Datacenter HCM): không cho phép assign network

Vậy nó sẽ apply Role 2

  • Quy tắc: Quyền của con overwrite quyền của cha nếu có conflict (Con ưu tiên hơn cha)

2/ User nằm ở 2 group, 2 group có 2 quyền khác nhau trên cùng 1 object

Quyền của user là quyền tổng

  • Quy tắc: User sẽ được tổng quyền khi nằm ở nhiều group.

3/ User nằm ở 2 group- có quyền A+B. User có quyền C (Chỉ add user chứ không add group)

  • Quyền của user là quyền C
  • Quy tắc: Quyền của user thay thế cho quyền Group (Overwrite quyền group)

Lưu ý:

1 user chỉ add được 1 role. Nếu cố tình add  user vào role khác nữa thì sẽ mất cái quyền ta đã add trước, chỉ còn quyền ta add sau cùng cho user đó.

Cảm ơn các bạn theo dõi

- Advertisement -

Latest News

Hệ Thống Lưu Trữ DAS, NAS, SAN, ISCSI SAN Là Gì?

Các khái niệm về Strorage (lưu trữ) để có thể lưu trữ dữ liệu của bạn một cách an...
- Advertisement -Thiết kế website chuyên nghiệp

More Articles Like This