Vsphere Esxi Vcenter Server 51 Security Guide

vSphere-Sicherheit
ESXi 5.1
vCenter Server 5.1
Dieses Dokument untersttzt die aufgefhrten Produktversionen

sowie alle folgenden Versionen, bis das Dokument durch eine neue
Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments
finden Sie unter http://www.vmware.com/de/support/pubs.
DE-000792-01
vSphere-Sicherheit
Die neueste technische Dokumentation finden Sie auf der VMware-Website unter:
http://www.vmware.com/de/support/
Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates.
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschlge an:
docfeedback@vmware.com
Copyright 20092012 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale
Vertrge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgefhrten Patente geschtzt.
VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Lndern. Alle anderen in diesem
Dokument erwhnten Bezeichnungen und Namen sind unter Umstnden markenrechtlich geschtzt.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware Global, Inc.

Zweigniederlassung Deutschland
Freisinger Str. 3
85716 Unterschleiheim/Lohhof
Germany
Tel.: +49 (0) 89 3706 17000
Fax: +49 (0) 89 3706 17333
www.vmware.com/de
VMware, Inc.
Inhalt
Info zu vSphere Security 7

Aktualisierte Informationen
1 Sicherheit fr ESXi -Systeme 11
Architektur und Sicherheitsfunktionen von ESXi 11

Sonstige Quellen und Informationen zur Sicherheit 18
2 Absichern von ESXi -Konfigurationen 21
Absichern des Netzwerks mit Firewalls 21

Absichern virtueller Maschinen durch VLANs 27
Absichern der Standard-Switch-Ports 31
Internet Protocol Security (IPsec) 33
Absichern von iSCSI-Speicher 36
Schlsselqualitt 39
Steuern des Zugriffs auf das CIM-basierte Hardwareberwachungs-Tool 39
3 Absichern der Verwaltungsschnittstelle 41

Allgemeine Sicherheitsempfehlungen 41
ESXi -Firewall-Konfiguration 42
ESXi -Firewall-Befehle 48
4 Verwenden der ESXi-Shell 51
Verwenden des vSphere-Clients zum Aktivieren des Zugriffs auf die ESXi-Shell 51
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die ESXi-Shell 53
Verwenden der Benutzerschnittstelle der direkten Konsole (DCUI) fr den Zugriff auf die
ESXi-Shell 55
Anmelden bei der ESXi Shell zur Fehlerbehebung 56
5 Sperrmodus 57
Verhalten im Sperrmodus 58
Sperrmodus-Konfigurationen 58
Aktivieren des Sperrmodus ber den vSphere-Client 59
Aktivieren des Sperrmodus ber vSphere Web Client 59
Aktivieren des Sperrmodus ber die Benutzerschnittstelle der direkten Konsole 60
6 ESXi -Authentifizierung und Benutzerverwaltung 61

Verwalten von Benutzern mit dem vSphere-Client 61
Kennwortanforderungen 64
Zuweisen der Berechtigungen fr ESXi 65
Zuweisen von ESXi -Rollen 77
VMware, Inc.
vSphere-Sicherheit
Verwenden von Active Directory zum Verwalten von Benutzern und Gruppen
Verwenden des vSphere Authentication Proxy 83
80
7 vCenter Server-Authentifizierung und Benutzerverwaltung 91
Verwenden von vCenter Single Sign On mit vSphere 92

Auswirkungen von vCenter Single Sign On-Bereitstellungsszenarios auf das Anmeldeverhalten 92
Konfigurieren von vCenter Single Sign On 95
Verwenden von vCenter Single Sign On fr das Verwalten von Benutzern und Gruppen 105
Einstellungen des vCenter Server-Benutzerverzeichnisses 111
Zuweisen von Berechtigungen fr vCenter Server 113
Zuweisen von Rollen im vSphere Web Client 115
Manuelles Replizieren von Daten in einer vCenter Single Sign On-Bereitstellung mit mehreren Standorten 118
Fehlerbehebung fr vCenter Single Sign On 120
8 Verschlsselungs- und Sicherheitszertifikate 127
Generieren neuer Zertifikate fr den ESXi -Host 128

Aktivieren der Validierung von SSL-Zertifikaten ber NFC 128
Hochladen eines SSL-Zertifikats und Schlssels anhand von HTTPS PUT 129
Ersetzen eines ESXi -Standardzertifikats durch ein CA-signiertes Zertifikat 129
Ersetzen eines ESXi -Standardzertifikats durch ein CA-signiertes Zertifikat unter Verwendung des
vifs-Befehls 130
Hochladen eines SSH-Schlssels anhand von HTTPS PUT 131
Hochladen eines SSH-Schlssels mithilfe eines vifs-Befehls 132
Konfigurieren von SSL-Zeitberschreitungen 132
ndern von ESXi -Web-Proxy-Einstellungen 133
Aktivieren der berprfung von Zertifikaten und Host-Fingerabdrcken 137
Aktivieren der Zertifikatsberprfung und berprfen der Host-Fingerabdrcke im
vSphere Web Client 137
9 Sichern von virtuellen Maschinen 139
Allgemeiner Schutz fr virtuelle Maschinen 139

Konfigurieren der Protokollierungsebenen fr das Gastbetriebssystem 144
Begrenzen der Offenlegung vertraulicher Daten, die in die Zwischenablage kopiert wurden 147
Deaktivieren nicht freigelegter Funktionen 148
Beschrnken von Schreibvorgngen des Gastbetriebssystems in den Hostspeicher 149
Entfernung berflssiger Hardwaregerte 151
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen Maschine die Verbindung zu Gerten
trennt 152
Verhindern, dass ein Benutzer bzw. ein Vorgang einer virtuellen Maschine Gerte im
vSphere Web Client trennt 153
10 Sichern von vCenter Server-Systemen 155
Absichern des vCenter Server-Hostbetriebssystems 155

Best Practices fr vCenter Server-Rechte 156
Begrenzen der vCenter Server-Netzwerkkonnektivitt 157
Beschrnken der Verwendung von Linux-basierten Clients 158
berprfen der Integritt des vSphere-Clients 158
VMware, Inc.
Inhalt
Einrichten einer Zeitberschreitung bei Inaktivitt fr den vSphere-Client 159

Deaktivieren des Sendens von Host-Leistungsdaten an Gastbetriebssysteme 159
11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts 161
Installieren von Antivirensoftware. 161
Verwalten der ESXi-Protokolldateien 162
Sichern des Fault Tolerance-Protokollierungsdatenverkehrs 164
Auto Deploy-Sicherheitsberlegungen 164
berlegungen zur Sicherheit von Image Builder 165
Kennwortqualitt und -komplexitt bei Hosts 165
Synchronisieren der Systemuhren im vSphere-Netzwerk 167
Deaktivieren des Shell-Zugriffs fr anonyme Benutzer 169
Begrenzen des DCUI-Zugriffs im Sperrmodus 169
Deaktivieren des Browsers fr verwaltete Objekte (MOB) 169
Deaktivieren autorisierter Schlssel (SSH) 170
Herstellen und Aufrechterhalten der Integritt der Konfigurationsdatei
berwachen und Beschrnken des Zugriffs auf SSL-Zertifikate 171
Sicheres Lschen der VMDK-Dateien 172
171
Index 173
VMware, Inc.
vSphere-Sicherheit
VMware, Inc.
Info zu vSphere Security
vSphere Security bietet Informationen ber das Sichern Ihrer vSphere -Umgebung fr VMware vCenter
Server und VMware ESXi.
Zum Schutz Ihrer ESXi -Installation beschreibt diese Dokumentation die in ESXi integrierten Sicherheitsfunktionen sowie die Manahmen, die Sie ergreifen knnen, um sie vor Angriffen zu schtzen.
Zielgruppe
Diese Informationen sind fr alle Benutzer hilfreich, die ihre ESXi-Konfiguration sichern mchten. Die Informationen sind fr erfahrene Systemadministratoren bestimmt, die mit der Windows- oder Linux-VM-Technologie und Datencenteroperationen vertraut sind.
VMware, Inc.
vSphere-Sicherheit
VMware, Inc.
Aktualisierte Informationen
Diese Dokumentation zur vSphere-Sicherheit wird in jeder Version des Produkts oder bei Bedarf aktualisiert.
Diese Tabelle enthlt den Update-Verlauf fr die Dokumentation vSphere-Sicherheit.
Revision
Beschreibung
EN- 000792-01
n
n
n
n
n
EN- 000792-00
VMware, Inc.
Der Abschnitt zur Fehlerbehebung fr Single Sign On wurde unter Fehlerbehebung fr vCenter Single
Sign On, auf Seite 120 hinzugefgt.
Die Liste der TCP- und UDP-Ports, die fr vCenter Virtual Appliance bentigt werden, wurde unter
TCP- und UDP-Ports fr den Verwaltungszugriff, auf Seite 25 aktualisiert.
Es wurde ein Hinweis hinzugefgt, dass sich der Vorgang zum Konfigurieren und Ersetzen der Zertifikate fr die vCenter Server Virtual Appliance unterscheidet.
Text des Hinweises, Beschreibung des Benutzernamens und des Kennworts in Schritt 4 von Hinzufgen einer vCenter Single Sign On-Identittsquelle, auf Seite 98 wurden gendert.
Geringfgige nderungen.
Erstversion.
vSphere-Sicherheit
10
VMware, Inc.
Sicherheit fr ESXi -Systeme
Bei der Entwicklung von ESXi war hohe Sicherheit einer der Schwerpunkte. VMware sorgt fr Sicherheit in
der ESXi-Umgebung und geht das Thema Systemarchitektur vom Standpunkt der Sicherheit aus an.
Dieses Kapitel behandelt die folgenden Themen:
n
Architektur und Sicherheitsfunktionen von ESXi, auf Seite 11
Sonstige Quellen und Informationen zur Sicherheit, auf Seite 18
Architektur und Sicherheitsfunktionen von ESXi

Die Komponenten und die gesamte Architektur von ESXi wurden so entworfen, dass die Sicherheit des
ESXi-Systems als Ganzes gewhrleistet wird.
Im Hinblick auf die Sicherheit umfasst ESXi drei Hauptkomponenten: Die Virtualisierungsebene, die virtuellen
Maschinen und die virtuelle Netzwerkebene.
Abbildung 1-1. ESXi-Architektur
ESXi
Virtuelle
Maschine
VMwareVirtualisierungsebene (VMkernel)
CPU
VMware, Inc.
Virtuelle
Maschine
Virtuelle
Maschine
Virtuelle
Maschine
Virtuelle
Netzwerkebene
Arbeitsspeicher
Hardware-Netzwerkadapter
Speicher
11
vSphere-Sicherheit
Sicherheit und die Virtualisierungsebene

VMware hat die Virtualisierungsebene (bzw. VMkernel) fr die Ausfhrung virtueller Maschinen entwickelt.
Diese Ebene steuert die Hardware, die von den ESX-Hosts verwendet wird, und plant die Zuweisung von
Hardwareressourcen an die einzelnen virtuellen Maschinen. Da VMkernel ausschlielich zur Untersttzung
virtueller Maschinen verwendet wird, beschrnkt sich die Schnittstelle zu VMkernel strikt auf die API, die zur
Verwaltung der virtuellen Maschinen notwendig ist.
ESXi bietet durch folgende Funktionen zustzlichen Schutz fr VMkernel:
Memory Hardening
Der ESXi-Kernel, Anwendungen im Benutzermodus und ausfhrbare Komponenten, z. B. Treiber und Bibliotheken, befinden sich an zufllig zugeteilten,
nicht vorhersehbaren Speicheradressen. In Kombination mit dem von Mikroprozessoren bereitgestellten Schutz fr nicht ausfhrbaren Arbeitsspeicher
bietet dies Schutz gegen bsartigen Code, dem es dadurch erschwert wird,
Arbeitsspeicherexploits zu verwenden, um Schwachstellen auszunutzen.
Integritt des Kernelmoduls
Digitale Signaturen berprfen die Integritt und Echtheit von Modulen, Treibern und Anwendungen, wenn sie vom VMkernel geladen werden. Das Signieren von Modulen hilft ESXi, die Anbieter von Modulen, Treibern oder Anwendungen zu identifizieren und festzustellen, ob sie fr VMware zertifiziert
sind. VMware-Software und bestimmte Treiber von Drittanbieter haben eine
VMware-Signatur.
Trusted Platform Module

(TPM)
vSphere verwendet Intel Trusted Platform Module/Trusted Execution Technology (TPM/TXT), um einen Remote-Nachweis des Hypervisor-Images basierend auf Hardware Root of Trust zu erhalten. Das Hypervisor-Image enthlt
folgende Elemente:
n
ESXi-Software (Hypervisor) in VIB-Format (Paket)
VIBs von Drittanbietern
Treiber von Drittanbietern
Um diese Funktionen zu nutzen, mssen auf Ihrem ESXi-System TPM und TXT
aktiviert sein.
Wenn TPM und TXT aktiviert sind, misst ESXi den kompletten HypervisorStapel, wenn das System hochfhrt, und speichert diese Messungen in den
Plattformkonfigurations-Registern (Platform Configuration Register, PCR) des
TPM. Die Messungen umfassen VMkernel, Kernelmodule, Treiber, native Verwaltungssoftware, die auf ESXi luft, sowie Konfigurationsoptionen fr den
Neustart. Alle VIBs, die im System installiert sind, werden gemessen.
Drittanbieterlsungen knnen diese Funktion verwenden, um ein Prfprogramm zu erstellen, das eine Manipulation des Hypervisor-Images erkennt,
indem das Image einem Image der erwarteten korrekten Werte verglichen
wird. vSphere stellt keine Benutzeroberflche zur Anzeige dieser Messungen
bereit.
Die Messungen werden in einer vSphere-API angeboten. Ein Ereignisprotokoll
wird gem den Spezifikationen des Trusted Computing Group-Standards
(TCG) fr TXT als Teil der API bereitgestellt.
12
VMware, Inc.
Kapitel 1 Sicherheit fr ESXi -Systeme
Sicherheit und virtuelle Maschinen

Virtuelle Maschinen sind die Container, in denen Anwendungen und Gastbetriebssysteme ausgefhrt werden. Bedingt durch den Systemaufbau sind alle virtuellen Maschinen von VMware voneinander isoliert. Durch
diese Isolierung knnen mehrere virtuelle Maschinen gleichzeitig und sicher auf der gleichen Hardware ausgefhrt werden. Dabei werden sowohl der Hardwarezugriff als auch ununterbrochene Leistung garantiert.
Selbst ein Benutzer mit Systemadministratorrechten fr das Gastbetriebssystem der virtuellen Maschine kann
diese Isolierungsebene nicht berwinden und auf andere virtuelle Maschinen zugreifen, wenn er vom ESXiSystemadministrator keine entsprechenden Rechte erhalten hat. Durch die Isolierung der virtuellen Maschinen
werden bei einem Fehlschlagen eines auf einer virtuellen Maschine ausgefhrten Gastbetriebssystems die
anderen virtuellen Maschinen auf dem gleichen Host weiterhin ausgefhrt. Fehlgeschlagen des Gastbetriebssystems hat keinen Einfluss auf Folgendes:
n
Den uneingeschrnkten Zugriff der Benutzer auf die anderen virtuellen Maschinen
Den uneingeschrnkten Zugriff der anderen virtuellen Maschinen auf die Ressourcen, die sie bentigen
Die Leistung der anderen virtuellen Maschinen
Jede virtuelle Maschine ist von den anderen virtuellen Maschinen, die auf der gleichen Hardware ausgefhrt
werden, isoliert. Obwohl sich die virtuellen Maschinen die physischen Ressourcen wie CPU, Arbeitsspeicher
und E/A-Gerte teilen, kann das Gastbetriebssystem einer einzelnen virtuellen Maschine nur die virtuellen
Gerte sehen, die ihm zur Verfgung gestellt wurden.
Abbildung 1-2. Isolierung virtueller Maschinen
Virtuelle Maschine
Anw.
Anw.
Anw.
Anw.
Anw.
Betriebssystem
VM-Ressourcen
CPU
SCSIController
Arbeitsspeicher
Maus
Festplatte Netzwerk und

Grafikkarten
CD/DVD
Tastatur
Da VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware ber
VMkernel erfolgt, knnen die virtuellen Maschinen diese Isolierungsebene nicht umgehen.
So wie ein Computer mit anderen Computern in einem Netzwerk ber eine Netzwerkkarte kommuniziert,
kann eine virtuelle Maschine mit anderen virtuellen Maschinen auf dem gleichen Host ber einen virtuellen
Switch kommunizieren. Auerdem kann die virtuelle Maschine mit einem physischen Netzwerk, einschlielich virtueller Maschinen auf anderen ESXi-Hosts, ber einen physischen Netzwerkadapter kommunizieren.
VMware, Inc.
13
vSphere-Sicherheit
Abbildung 1-3. Virtuelle Netzwerkanbindung ber virtuelle Switches

ESXi
Virtuelle Maschine
Virtuelle Maschine
Virtueller
Netzwerkadapter
Virtueller
Netzwerkadapter
VMkernel
Virtuelle
Netzwerkebene
Virtueller Switch
verbindet virtuelle
Maschinen miteinander
Hardware-Netzwerkadapter
verknpft virtuelle Maschinen
mit dem physischen Netzwerk
Physisches Netzwerk
Fr die Isolierung virtueller Maschinen in einem Netzwerk gelten folgende Merkmale:

n
Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt, ist sie
von den virtuellen Netzwerken auf dem Host vollstndig getrennt.
Wenn einer virtuellen Maschine kein physischer Netzwerkadapter zugewiesen wurde, ist die virtuelle
Maschine vollstndig von physischen Netzwerken getrennt.
Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsmanahmen
wie fr normale Computer verwenden (Firewalls, Antiviren-Software usw.), ist die virtuelle Maschine
genau so sicher, wie es ein Computer wre.
Sie knnen die virtuelle Maschine auerdem durch die Einrichtung von Ressourcenreservierungen und -begrenzungen auf dem Host schtzen. So knnen Sie zum Beispiel eine virtuelle Maschine mit den detaillierten
Werkzeugen zur Ressourcensteuerung, die Ihnen in ESXi zur Verfgung stehen, so konfigurieren, dass sie
immer mindestens 10 Prozent der CPU-Ressourcen des Hosts erhlt, nie jedoch mehr als 20 Prozent.
Ressourcenreservierungen und -einschrnkungen schtzen die virtuellen Maschinen vor Leistungsabfllen,
wenn eine andere virtuelle Maschine versucht, zu viele Ressourcen der gemeinsam genutzten Hardware zu
verwenden. Wenn zum Beispiel eine virtuelle Maschine auf einem Host durch eine Denial-Of-Service (DoS)Angriff auer Gefecht gesetzt wird, verhindert eine Einschrnkung, dass der Angriff so viele Hardware-Ressourcen einnimmt, dass die anderen virtuellen Maschinen ebenfalls betroffen werden. Ebenso stellt eine Ressourcenreservierung fr jede virtuelle Maschine sicher, dass bei hohen Ressourcenanforderungen durch den
DoS-Angriff alle anderen virtuellen Maschinen immer noch ber gengend Kapazitten verfgen.
Standardmig schreibt ESXi eine Art der Ressourcenreservierung vor, indem ein Verteilungsalgorithmus
verwendet wird, der die verfgbaren Hostressourcen zu gleichen Teilen auf die virtuellen Maschinen verteilt
und gleichzeitig einen bestimmten Prozentsatz der Ressourcen fr einen Einsatz durch andere Systemkomponenten bereithlt. Dieses Standardverhalten bietet einen natrlichen Schutz gegen DoS- und DDoS-Angriffe.
Geben Sie die spezifischen Ressourcenreservierungen und Grenzwerte individuell ein, wenn Sie das Standardverhalten auf Ihre Bedrfnisse so zuschneiden wollen, dass die Verteilung ber die gesamte Konfiguration
der virtuellen Maschine nicht einheitlich ist.
Sicherheit und die virtuelle Netzwerkebene

Zur virtuellen Netzwerkebene gehren virtuelle Netzwerkadapter und virtuelle Switches. ESXi verwendet die
virtuelle Netzwerkebene zur Kommunikation zwischen den virtuellen Maschinen und ihren Benutzern. Auerdem verwenden Hosts die virtuelle Netzwerkebene zur Kommunikation mit iSCSI-SANs, NAS-Speicher
usw.
Die Methoden, die Sie zur Absicherung eines Netzwerks von virtuellen Maschinen verwenden, hngen unter
anderem davon ab, welches Gastbetriebssystem installiert wurde und ob die virtuellen Maschinen in einer
sicheren Umgebung betrieben werden. Virtuelle Switches bieten einen hohen Grad an Sicherheit, wenn sie in
Verbindung mit anderen blichen Sicherheitsmanahmen, z. B. Firewalls, verwendet werden.
14
VMware, Inc.
ESXi untersttzt auch VLANs nach IEEE 802.1q, die zum weiteren Schutz des Netzwerkes der virtuellen Maschinen oder der Speicherkonfiguration verwendet werden knnen. Mit VLANs knnen Sie ein physisches
Netzwerk in Segmente aufteilen, sodass zwei Computer im gleichen physischen Netzwerk nur dann Pakete
untereinander versenden knnen, wenn sie sich im gleichen VLAN befinden.
Erstellen einer Netzwerk-DMZ auf einem einzelnen ESXi -Host

Ein Beispiel fr die Anwendung der ESXi-Isolierung und der virtuellen Netzwerkfunktionen zur Umgebungsabsicherung ist die Einrichtung einer so genannten entmilitarisierten Zone (DMZ) auf einem einzelnen
Host.
Abbildung 1-4. Konfigurierte DMZ auf einem einzelnen ESXi-Host
ESXi
Virtuelle Maschine 1
Firewallserver
Webserver
Anwendungsserver
Firewallserver
Standard-Switch
Hardware-Netzwerkadapter 1
Externes Netzwerk
Standard-Switch
Standard-Switch
Hardware-Netzwerkadapter 2
Internes Netzwerk
In diesem Beispiel sind vier virtuelle Maschinen so konfiguriert, dass sie eine virtuelle DMZ auf dem StandardSwitch 2 bilden:
n
Die virtuelle Maschine 1 und die virtuelle Maschine 4 fhren Firewalls aus und sind ber Standard-Switches an virtuelle Adapter angeschlossen. Diese beiden virtuellen Maschinen sind mehrfach vernetzt.
Auf der virtuellen Maschine 2 wird ein Webserver ausgefhrt, auf der virtuellen Maschine 3 ein Anwendungsserver. Diese beiden Maschinen sind einfach vernetzt.
Der Webserver und der Anwendungsserver befinden sich in der DMZ zwischen den zwei Firewalls. Die Verbindung zwischen diesen Elementen ist der Standard-Switch2, der die Firewalls mit den Servern verbindet.
Dieser Switch ist nicht direkt mit Elementen auerhalb der DMZ verbunden und wird durch die beiden Firewalls vom externen Datenverkehr abgeschirmt.
Whrend des Betriebs der DMZ betritt externer Datenverkehr aus dem Internet die virtuelle Maschine 1 ber
den Hardware-Netzwerkadapter 1 (weitergeleitet vom Standard-Switch 1) und wird von der auf dieser virtuellen Maschine installierten Firewall berprft. Wenn die Firewall den Datenverkehr autorisiert, wird er an
den Standard-Switch in der DMZ, den Standard-Switch 2, weitergeleitet. Da der Webserver und der Anwendungsserver ebenfalls an diesen Switch angeschlossen sind, knnen sie die externen Anforderungen bearbeiten.
Der Standard-Switch 2 ist auch an die virtuelle Maschine 4 angeschlossen. Auf dieser virtuellen Maschine
schirmt eine Firewall die DMZ vom internen Firmennetzwerk ab. Diese Firewall filtert Pakete vom Web- und
Anwendungsserver. Wenn ein Paket berprft wurde, wird es ber den Standard-Switch 3 an den HardwareNetzwerkadapter 2 weitergeleitet. Der Hardware-Netzwerkadapter 2 ist an das interne Firmennetzwerk angeschlossen.
VMware, Inc.
15
vSphere-Sicherheit
Bei der Implementierung einer DMZ auf einem einzelnen Host knnen Sie relativ einfache Firewalls verwenden. Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle ber eine andere virtuelle
Maschine ausben oder auf ihren Arbeitsspeicher zugreifen kann, sind die virtuellen Maschinen dennoch ber
ein virtuelles Netzwerk verbunden. Dieses Netzwerk kann fr die Verbreitung von Viren oder fr andere
Angriffe missbraucht werden. Die virtuellen Maschinen in der DMZ sind ebenso sicher wie getrennte physische Computer, die an dasselbe Netzwerk angeschlossen sind.
Erstellen mehrerer Netzwerke auf einem einzelnen ESXi -Host

Das ESXi-System wurde so entworfen, dass Sie bestimmte Gruppen virtueller Maschinen an das interne Netzwerk anbinden knnen, andere an das externe Netzwerk und wiederum andere an beide Netzwerke, alle auf
demselben ESX-Host. Diese Fhigkeit basiert auf der grundlegenden Isolierung virtueller Maschinen im Zusammenspiel mit der berlegt geplanten Nutzung von Funktionen zur virtuellen Vernetzung.
Abbildung 1-5. Konfigurierte externe Netzwerke, interne Netzwerke und DMZ auf einem ESXi -Host
ESXi
Externes Netzwerk
Internes Netzwerk
DMZ
VM 2
Interner
Benutzer
VM 3
VM 6
Interner
Benutzer
FirewallServer
VM 4
VM 7
Interner
Benutzer
WebServer
VM 1
VM 5
VM 8
FTPServer
Interner
Benutzer
FirewallServer
Physische Netzwerkadapter
Externes
Netzwerk 1
Internes
Netzwerk 2
Externes
Netzwerk 2
Internes
Netzwerk 1
In der Abbildung wurde ein Host vom Systemadministrator in drei eigenstndige virtuelle Maschinenzonen
eingeteilt: FTP-Server, interne virtuelle Maschinen und DMZ. Jede Zone erfllt eine bestimmte Funktion.
FTP-Server
Die virtuelle Maschine 1 wurde mit FTP-Software konfiguriert und dient als
Speicherbereich fr Daten von und an externe Ressourcen, z. B. fr von einem
Dienstleister lokalisierte Formulare und Begleitmaterialien.
Diese virtuelle Maschine ist nur mit dem externen Netzwerk verbunden. Sie
verfgt ber einen eigenen virtuellen Switch und physischen Netzwerkadapter, die sie mit dem externen Netzwerk 1 verbinden. Dieses Netzwerk ist auf
Server beschrnkt, die vom Unternehmen zum Empfang von Daten aus externen Quellen verwendet werden. Das Unternehmen verwendet beispielsweise
das externe Netzwerk 1, um FTP-Daten von Dienstleistern zu empfangen und
den Dienstleistern FTP-Zugriff auf Daten zu gewhren, die auf extern verfgbaren Servern gespeichert sind. Zustzlich zur Verarbeitung der Daten fr die
virtuelle Maschine 1 verarbeitet das externe Netzwerk 1 auch Daten fr FTPServer auf anderen ESXi-Hosts am Standort.
16
VMware, Inc.
Da sich die virtuelle Maschine 1 keinen virtuellen Switch oder physischen

Netzwerkadapter mit anderen virtuellen Maschinen auf dem Host teilt, knnen die anderen virtuellen Maschinen auf dem Host keine Datenpakete in das
Netzwerk der virtuellen Maschine 1 bertragen oder daraus empfangen. Dadurch werden Spionageangriffe verhindert, da dem Opfer dafr Netzwerkdaten gesendet werden mssen. Auerdem kann der Angreifer dadurch die natrliche Anflligkeit von FTP nicht zum Zugriff auf andere virtuelle Maschinen
auf dem Host nutzen.
Interne virtuelle Maschinen
Die virtuellen Maschinen 2 bis 5 sind der internen Verwendung vorbehalten.

Diese virtuellen Maschinen verarbeiten und speichern vertrauliche firmeninterne Daten wie medizinische Unterlagen, juristische Dokumente und Betrugsermittlungen. Daher mssen Systemadministratoren fr diese virtuellen Maschinen den hchsten Schutz gewhrleisten.
Diese virtuellen Maschinen sind ber ihren eigenen virtuellen Switch und
physischen Netzwerkadapter an das Interne Netzwerk 2 angeschlossen. Das
interne Netzwerk 2 ist der internen Nutzung durch Mitarbeiter wie Reklamationssachbearbeiter, firmeninterne Anwlte und andere Sachbearbeiter vorbehalten.
Die virtuellen Maschinen 2 bis 5 knnen ber den virtuellen Switch untereinander und ber den physischen Netzwerkadapter mit internen Maschinen an
anderen Stellen des internen Netzwerks 2 kommunizieren. Sie knnen nicht
mit Computern oder virtuellen Maschinen kommunizieren, die Zugang zu den
externen Netzwerken haben. Wie beim FTP-Server knnen diese virtuellen
Maschinen keine Datenpakete an Netzwerke anderer virtueller Maschinen
senden oder sie von diesen empfangen. Ebenso knnen die anderen virtuellen
Maschinen keine Datenpakete an die virtuellen Maschinen 2 bis 5 senden oder
von diesen empfangen.
DMZ
Die virtuellen Maschinen 6 bis 8 wurden als DMZ konfiguriert, die von der
Marketingabteilung dazu verwendet wird, die externe Website des Unternehmens bereitzustellen.
Diese Gruppe virtueller Maschinen ist dem externen Netzwerk 2 und dem internen Netzwerk 1 zugeordnet. Das Unternehmen nutzt das externe Netzwerk
2 zur Untersttzung der Webserver, die von der Marketing- und der Finanzabteilung zur Bereitstellung der Unternehmenswebsite und anderer webbasierter Anwendungen fr externe Nutzer verwendet werden. Das interne
Netzwerk1 ist der Verbindungskanal, den die Marketingabteilung zur Verffentlichung des Inhalts von der Unternehmenswebsite, zur Bereitstellung von
Downloads und Diensten wie Benutzerforen verwendet.
Da diese Netzwerke vom externen Netzwerk 1 und vom internen Netzwerk 2
getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte (Switches oder Adapter) aufweisen, besteht kein Angriffsrisiko fr den FTPServer oder die Gruppe interner virtueller Maschinen (weder als Ausgangspunkt noch als Ziel).
Wenn die Isolierung der virtuellen Maschinen genau beachtet wird, die virtuellen Switches ordnungsgem
konfiguriert werden und die Netzwerktrennung eingehalten wird, knnen alle drei Zonen der virtuellen Maschinen auf dem gleichen ESXi-Host untergebracht werden, ohne dass Datenverluste oder Ressourcenmissbruche befrchtet werden mssen.
Das Unternehmen erzwingt die Isolierung der virtuellen Maschinengruppen durch die Verwendung mehrerer
interner und externer Netzwerke und die Sicherstellung, dass die virtuellen Switches und physischen Netzwerkadapter jeder Gruppe von denen anderer Gruppen vollstndig getrennt sind.
VMware, Inc.
17
vSphere-Sicherheit
Da keiner der virtuellen Switches sich ber mehrere Zonen erstreckt, wird das Risiko des Durchsickerns von
Daten von einer Zone in eine andere ausgeschaltet. Ein virtueller Switch kann aufbaubedingt keine Datenpakete direkt an einen anderen virtuellen Switch weitergeben. Datenpakete knnen nur unter folgenden Umstnden von einem virtuellen Switch zu einem anderen gelangen:
n
Wenn die virtuellen Switches an das gleiche physische LAN angeschlossen sind
Wenn die virtuellen Switches an eine gemeinsame virtuelle Maschine angeschlossen sind, die dann dazu
verwendet werden kann, Datenpakete zu bertragen.
In der Beispielkonfiguration wird keine dieser Bedingungen erfllt. Wenn die Systemadministratoren sicherstellen mchten, dass es keine gemeinsamen virtuellen Switch-Pfade gibt, knnen sie mgliche gemeinsame
Kontaktpunkte suchen, indem sie den Netzwerk-Switch-Plan im vSphere-Client berprfen.
Zum Schutz der Hardwareressourcen der virtuellen Maschinen kann der Systemadministrator eine Reservierung und Einschrnkung der Ressourcen fr jede virtuelle Maschine vornehmen, um das Risiko von DoS- und
DDoS-Angriffen einzudmmen. Der Systemadministrator kann den ESXi-Host und die virtuellen Maschinen
auerdem durch die Installation von Softwarefirewalls im Front-End und Back-End der DMZ, durch Positionierung des ESXi-Hosts hinter einer physischen Firewall und der an das Netzwerk angeschlossenen Speicherressourcen an jeweils einen eigenen virtuellen Switch schtzen.
Sonstige Quellen und Informationen zur Sicherheit

Weitere Informationen zur Sicherheit erhalten Sie auf der VMware-Website.
Die Tabelle enthlt eine Auflistung der Sicherheitsthemen und den Ort, wo Sie zustzliche Informationen zu
diesen Themen finden knnen.
Tabelle 1-1. Sicherheitsressourcen von VMware im Internet
18
Thema
Ressourcen
Sicherheitsrichtlinien von VMware, aktuelle Sicherheitswarnungen, Sicherheitsdownloads

und themenspezifische Abhandlungen zu Sicherheitslcken
http://www.vmware.com/security/
Richtlinie zur Sicherheitsantwort
http://www.vmware.com/support/policies/security_response.html
VMware hat es sich zur Aufgabe gemacht, Sie bei der Absicherung Ihrer
virtuellen Umgebung zu untersttzen. Sicherheitslcken werden so
schnell wie mglich beseitigt. Die VMware-Richtlinie zur Sicherheitsantwort dokumentiert unseren Einsatz fr die Behebung mglicher
Schwachstellen in unseren Produkten.
Richtlinie zur Untersttzung von DrittanbieterSoftware
http://www.vmware.com/support/policies/
VMware untersttzt viele Speichersysteme und Software-Agenten wie
Sicherungs-Agenten, Systemverwaltungs-Agenten usw. Ein Verzeichnis
der Agenten, Werkzeuge und anderer Software, die ESXi untersttzen,
finden Sie, indem Sie unter http://www.vmware.com/vmtn/resources/
nach ESXi-Kompatibilittshandbchern suchen.
Die Branche bietet mehr Produkte und Konfigurationen an, als VMware
testen kann. Wenn VMware ein Produkt oder eine Konfiguration nicht
in einem Kompatibilittshandbuch nennt, wird der technische Support
versuchen, Ihnen bei Problemen zu helfen, kann jedoch nicht garantieren, dass das Produkt oder die Konfiguration verwendet werden kann.
Testen Sie die Sicherheitsrisiken fr nicht untersttzte Produkte oder
Konfigurationen immer sorgfltig.
Allgemeine Informationen zu Virtualisierung

und Sicherheit
VMware Virtual Security Technical Resource Center

http://www.vmware.com/go/security/
VMware, Inc.
Tabelle 1-1. Sicherheitsressourcen von VMware im Internet (Fortsetzung)

Thema
Ressourcen
bereinstimmungs- und Sicherheitsstandards

sowie Partnerlsungen und vertiefende Informationen zu Virtualisierung und bereinstimmung
http://www.vmware.com/go/compliance/
Informationen zu VMsafe-Technologie zum

Schutz von virtuellen Maschinen, einschlielich
einer Liste mit Partnerlsungen
http://www.vmware.com/go/vmsafe/
VMware, Inc.
19
vSphere-Sicherheit
20
VMware, Inc.
Absichern von ESXi -Konfigurationen
Sie knnen mithilfe von bestimmten Manahmen die Umgebung fr Ihre ESXi-Hosts, virtuellen Maschinen
und iSCSI-SANs absichern. Beachten Sie den sicherheitsbezogenen Netzwerkkonfigurationsaufbau und die
Manahmen, mit denen Sie die Komponenten in Ihrer Konfiguration vor Angriffen schtzen knnen.
n
Absichern des Netzwerks mit Firewalls, auf Seite 21
Absichern virtueller Maschinen durch VLANs, auf Seite 27
Absichern der Standard-Switch-Ports, auf Seite 31
Internet Protocol Security (IPsec), auf Seite 33
Absichern von iSCSI-Speicher, auf Seite 36
Schlsselqualitt, auf Seite 39
Steuern des Zugriffs auf das CIM-basierte Hardwareberwachungs-Tool, auf Seite 39
Absichern des Netzwerks mit Firewalls

Sicherheitsadministratoren verwenden Firewalls, um das Netzwerk oder ausgewhlte Komponenten innerhalb des Netzwerks vor unerlaubten Zugriffen zu schtzen.
Firewalls kontrollieren den Zugriff auf die Gerte in ihrem Umfeld, indem sie alle Kommunikationspfade
auer denen abriegeln, die der Administrator explizit oder implizit als zulssig definiert. Diese Pfade, die der
Administrator in der Firewall ffnet, werden Ports genannt und lassen Datenverkehr zwischen Gerten auf
den beiden Seiten der Firewall passieren.
WICHTIG Die ESXi-Firewall in ESXi 5.0 erlaubt das Filtern des vMotion-Datenverkehrs pro Netzwerk nicht.
Daher mssen Sie Regeln fr Ihre externe Firewall installieren, um sicherzustellen, dass keine eingehenden
Verbindungen zu dem vMotion-Socket hergestellt werden knnen.
In der virtuelle Maschinenumgebung knnen Sie Ihr Layout fr die Firewalls zwischen den Komponenten
planen.
n
Physische Maschinen, z. B. vCenter Server-Systeme und ESXi-Hosts.
Zwischen zwei virtuelle Maschinen beispielsweise zwischen einer virtuellen Maschine, die als externer
Webserver dient, und einer virtuellen Maschine, die an das interne Firmennetzwerk angeschlossen ist.
Zwischen einem physischen Computer und einer virtuellen Maschine, wenn Sie eine Firewall zwischen
einen physischen Netzwerkadapter und eine virtuelle Maschine schalten.
VMware, Inc.
21
vSphere-Sicherheit
Die Nutzung von Firewalls in einer ESXi-Konfiguration hngt davon ab, wie Sie das Netzwerk nutzen mchten
und wie sicher die einzelnen Komponenten sein mssen. Wenn Sie zum Beispiel ein virtuelles Netzwerk erstellen, in dem jede virtuelle Maschine eine andere Benchmark-Testsuite fr die gleiche Abteilung ausfhrt,
ist das Risiko ungewollten Zugriffs von einer virtuellen Maschine auf eine andere minimal. Eine Konfiguration,
bei der Firewalls zwischen den virtuelle Maschinen vorhanden sind, ist daher nicht erforderlich. Um jedoch
eine Strung der Testlufe durch einen externen Host zu verhindern, kann die Konfiguration so eingerichtet
werden, dass sich eine Firewall am Eingang zum virtuellen Netzwerk befindet, um alle virtuelle Maschinen
zu schtzen.
Firewalls in Konfigurationen mit vCenter Server

Wenn Sie ber vCenter Server auf ESXi-Hosts zugreifen, schtzen Sie vCenter Server normalerweise durch
eine Firewall. Diese Firewall bietet einen Grundschutz fr das Netzwerk.
Zwischen den Clients und vCenter Server kann sich ein Firewall befinden. Abhngig vom Netzwerkaufbau
knnen sich aber auch sowohl der vCenter Server als auch die Clients hinter einer Firewall befinden. Wichtig
ist es sicherzustellen, dass eine Firewall an den Punkten vorhanden ist, die Sie als Eingangspunkte in das
System betrachten.
Einer umfassende Liste der TCP- und UDP-Ports, darunter die Ports fr vSphere vMotion und vSphere Fault
Tolerance finden Sie unter TCP- und UDP-Ports fr den Verwaltungszugriff, auf Seite 25.
Netzwerke, die ber vCenter Server konfiguriert werden, knnen Daten ber den vSphere-Client oder Netzwerkverwaltungs-Clients von Drittanbietern erhalten, die ber das SDK eine Schnittstelle zum Host einrichten.
Whrend des normalen Betriebs wartet vCenter Server an bestimmten Ports auf Daten von verwalteten Hosts
und Clients. vCenter Server geht auch davon aus, dass die verwalteten Hosts an bestimmten Ports auf Daten
von vCenter Server warten. Wenn sich zwischen diesen Elementen eine Firewall befindet, muss sichergestellt
werden, dass Firewall-Ports fr den Datenverkehr geffnet wurden.
Firewalls knnen auch an vielen anderen Zugriffspunkten im Netzwerk installiert werden. Dies hngt von der
Sicherheitsebene, die fr die verschiedenen Gerte bentigt wird, sowie davon ab, wie das Netzwerk genutzt
werden soll. Bestimmen Sie die Installationspunkte fr Ihre Firewalls anhand der Sicherheitsrisiken, die eine
Analyse der Netzwerkkonfiguration ergeben hat. Die folgende Liste fhrt verschiedene Installationspunkte
fr Firewalls auf, die in ESXi-Implementierungen hufig auftreten.
n
Zwischen dem vSphere-Client oder einem Netzwerkverwaltungs-Client eines Drittanbieters und vCenter
Server.
Wenn die Benutzer ber einen Webbrowser auf virtuelle Maschinen zugreifen, zwischen dem Webbrowser und dem ESXi-Host.
Wenn die Benutzer ber den vSphere-Client auf virtuelle Maschinen zugreifen, zwischen dem vSphereClient und dem ESXi-Host. Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem vSphereClient und vCenter Server und bentigt einen anderen Port.
Zwischen vCenter Server und den ESXi-Hosts.
Zwischen den ESXi-Hosts in Ihrem Netzwerk. Zwar ist der Datenverkehr zwischen Hosts normalerweise
vertrauenswrdig, aber Sie knnen bei befrchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den Hosts installieren.
Wenn Sie Firewalls zwischen ESXi-Hosts hinzufgen und virtuelle Maschinen auf einen anderen Server
verschieben, klonen oder vMotion verwenden mchten, mssen Sie auch Ports in allen Firewalls zwischen
Quell- und Zielhost ffnen, damit Quelle und Ziel miteinander kommunizieren knnen.
22
Zwischen ESXi-Hosts und Netzwerkspeicher, z. B. NFS- oder iSCSI-Speicher. Diese Ports sind nicht
VMware-spezifisch und werden anhand der Spezifikationen fr das jeweilige Netzwerk konfiguriert.
VMware, Inc.
Kapitel 2 Absichern von ESXi -Konfigurationen
Firewalls fr Konfigurationen ohne vCenter Server

Wenn Sie Clients direkt an Ihr ESXi-Netzwerk anbinden anstatt ber vCenter Server, gestaltet sich die Konfiguration Ihrer Firewall etwas einfacher.
Netzwerke ohne vCenter Server erhalten ihre Daten ber die gleichen Typen von Clients wie Netzwerke mit
vCenter Server: der vSphere-Client oder Netzwerkverwaltungs-Clients von Drittanbietern. Grtenteils sind
die Anforderungen der Firewall die gleichen, aber es gibt einige markante Unterschiede.
n
Wie bei Konfigurationen mit vCenter Server sollten Sie sicherstellen, dass Ihre ESXi-Ebene oder, je nach
Konfiguration, Ihre Clients und die ESXi-Ebene geschtzt sind. Diese Firewall bietet einen Grundschutz
fr das Netzwerk. Die verwendeten Firewallports sind die gleichen wie bei der Verwendung von vCenter
Server.
Die Lizenzierung gehrt in dieser Konfiguration zu dem ESXi-Paket, das Sie auf allen Hosts installieren.
Da die Lizenzierung ber den Server abgewickelt wird, ist kein getrennter Lizenzserver erforderlich. Dadurch entfllt die Firewall zwischen dem Lizenzserver und dem ESXi-Netzwerk.
Herstellen einer Verbindung mit einem vCenter Server ber eine Firewall
Der von vCenter Server zum berwachen der von seinen Clients ausgehenden Datenbertragung verwendete
Standardport ist Port 443. Wenn zwischen vCenter Server und seinen Clients eine Firewall vorhanden ist,
mssen Sie eine Verbindung konfigurieren, ber die vCenter Server Daten von seinen Clients empfangen kann.
Geben Sie in der Firewall Port 443 frei, damit der vCenter Server Daten von dem vSphere-Client empfangen
kann. Bei weiteren Fragen zum Konfigurieren der Ports in der Firewall wenden Sie sich an Ihren FirewallAdministrator.
Wenn Sie den vSphere-Client verwenden und nicht Port 443 als Port fr den Datenverkehr zwischen vSphereClient und vCenter Server verwenden mchten, knnen Sie den Port ber die vCenter Server-Einstellungen
auf dem vSphere-Client ndern. Weitere Informationen ber das ndern dieser Einstellungen finden Sie unter
vCenter Server und Hostverwaltung.
Herstellen einer Verbindung mit der VM-Konsole ber eine Firewall

Wenn Sie ber vCenter Server Ihren Client mit ESXi-Hosts verbinden, sind bestimmte Ports fr die Kommunikation zwischen Administrator bzw. Benutzer und den Konsolen der virtuellen Maschinen erforderlich.
Diese Ports untersttzen verschiedene Clientfunktionen, verbinden unterschiedliche Ebenen innerhalb von
ESXi und verwenden verschiedene Authentifizierungsprotokolle.
Port 902
VMware, Inc.
Dies ist der Port, den vCenter Server fr den Empfang von Daten vom ESXiHost als verfgbar erachtet. Der vSphere-Client nutzt diesen Port fr Verbindungen der Maus-/Tastatur-/Bildschirmaktivitten des Gastbetriebssystems
auf virtuelle Maschinen. Die Benutzer interagieren ber diesen Port mit dem
Gastbetriebssystem und den Anwendungen der virtuellen Maschine. Port 902
ist der Port, den der vSphere-Client fr verfgbar hlt, wenn mit virtuellen
Maschinen kommuniziert wird.
23
vSphere-Sicherheit
Port 902 verbindet vCenter Server mit dem Host ber den VMware Authorization Daemon (vmware-authd). Dieser Daemon bertrgt anschlieend Daten
von Port 902 zur Verarbeitung an die entsprechenden Empfnger. VMware
untersttzt fr diese Verbindung nur diesen Port.
Port 443
Der vSphere-Client und die SDK verwenden diesen Port, um Daten an die von
vCenter Server verwalteten Hosts zu senden. Auch das vSphere-SDK verwendet diesen Port, wenn es direkt mit dem ESXi-Host verbunden ist, um Verwaltungsfunktionen fr den Server und seine virtuelle Maschinen durchzufhren.
Port 443 ist der Port, den die Clients fr verfgbar halten, wenn Daten an den
ESXi-Host gesendet werden. VMware untersttzt fr diese Verbindungen nur
diesen Port.
Port 443 verbindet Clients mit dem ESXi-Host ber den Webservice Tomcat
oder das SDK. Der Host bertrgt anschlieend Daten von Port 443 zur Verarbeitung an die entsprechenden Empfnger.
Der vSphere-Client verwendet diesen Port fr Verbindungen der MKS-Aktivitten des Gastbetriebssystems auf virtuelle Maschinen. Die Benutzer interagieren ber diesen Port mit dem Gastbetriebssystem und den Anwendungen
der virtuellen Maschine. Port 903 ist der Port, den der vSphere-Client fr verfgbar hlt, wenn mit virtuellen Maschinen kommuniziert wird. Fr diese
Aufgabe untersttzt VMware nur diesen Port.
Port 903
Port 903 verbindet den vSphere-Client mit einer bestimmten virtuellen Maschine, die auf dem ESXi-Host konfiguriert wurde.
In der folgenden Abbildung werden die Beziehungen zwischen den vSphere-Clientfunktionen, Ports und
Prozessen dargestellt.
Abbildung 2-1. Port-Verwendung fr vSphere-Clientdatenverkehr mit ESXi
vSphere-Client
Virtuelle Maschine Managementfunktionen
Port 443
Virtuelle Maschine Konsole
Firewall
Port 903
ESXi
vmware-hostd
vmware-authd
Wenn Sie zwischen dem vCenter Server-System und dem von vCenter Server verwalteten Host eine Firewall
installiert haben, mssen Sie die Ports 443 und 903 der Firewall ffnen, um Datenverkehr von vCenter Server
zu den ESXi-Hosts zuzulassen.
Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewalladministrator.
24
VMware, Inc.
Verbinden von ESXi -Hosts ber Firewalls

Wenn Sie eine Firewall zwischen zwei ESXi-Hosts eingerichtet haben und Transaktionen zwischen den Hosts
ermglichen mchten oder mit vCenter Server Quell/Ziel-Aktivitten wie Datenverkehr im Rahmen von
vSphere High Availability (vSphere HA), Migrationen, Klonen oder vMotion durchfhren mchten, mssen
Sie eine Verbindung konfigurieren, ber die die verwalteten Hosts Daten empfangen knnen.
ffnen Sie zum Konfigurieren einer Verbindung fr den Empfang von Daten Ports fr den Datenverkehr von
Diensten, wie z. B. vSphere High Availability, vMotion und vSphere Fault Tolerance. Eine Liste der Ports
finden Sie unter TCP- und UDP-Ports fr den Verwaltungszugriff, auf Seite 25. Weitere Informationen zur
Konfiguration der Ports erhalten Sie beim Firewall-Administrator.
TCP- und UDP-Ports fr den Verwaltungszugriff

Auf vCenter Server, ESXi-Hosts und andere Netzwerkkomponenten erfolgt der Zugriff ber vorab festgelegte
TCP- und UDP-Ports. Wenn Netzwerkkomponenten, die auerhalb einer Firewall liegen, verwaltet werden
mssen, muss ggf. die Firewall neu konfiguriert werden, damit auf die entsprechenden Ports zugegriffen
werden kann.
Die Tabelle enthlt eine Auflistung von TCP- und UDP-Ports mit dem jeweiligen Zweck und Typ. Bei der
Installation standardmig geffnete Ports werden angegeben (Standard).
Tabelle 2-1. TCP- und UDP-Ports
Port
Zweck
Art des Datenverkehrs
22
SSH-Server
Eingehendes TCP
53 (Standard)
DNS-Client
Ein- und ausgehendes UDP
68 (Standard)
DHCP-Client
161 (Standard)
SNMP-Server
Eingehendes UDP
80 (Standard)
vSphere Fault Tolerance (FT) (ausgehendes TCP, UDP)

HTTP-Zugriff
Nicht abgesicherter Standard-TCP-Webport, der normalerweise in Verbindung
mit Port 443 als Front-End zum Zugriff auf ESXi-Netzwerke vom Internet aus
verwendet wird. Port 80 leitet Datenverkehr auf eine HTTPS-Startseite (Port 443)
um.
WS-Management
Eingehendes TCP
Ausgehendes TCP,
UDP
111 (Standard)
RPC-Dienst fr die NIS-Registrierung von vCenter Virtual Appliance
Ein- und ausgehendes TCP
123
NTP-Client
Ausgehendes UDP
135 (Standard)
Wird zum Beitreten der vCenter Virtual Appliance zur Active Directory-Domne
verwendet
427 (Standard)
Der CIM-Client verwendet das Service Location Protocol, Version 2 (SLPv2), zum
Ermitteln von CIM-Servern.
VMware, Inc.
25
vSphere-Sicherheit
Tabelle 2-1. TCP- und UDP-Ports (Fortsetzung)

Art des Datenverkehrs
Port
Zweck
443 (Standard)
HTTPS-Zugriff
vCenter Server-Zugriff auf ESXi-Hosts
Standard-SSL-Webport.
vSphere-Client-Zugriff auf vCenter Server
vSphere-Client-Zugriff auf ESXi-Hosts
WS-Verwaltung
vSphere-Client-Zugriff auf vSphere Update Manager
Verbindungen von Netzwerkverwaltungs-Clients von Drittanbietern mit vCenter Server
Zugriff von Netzwerkverwaltungs-Client von Drittanbietern auf Hosts
Eingehendes TCP
513 (Standard)
Zur Protokollierung verwendete vCenter Virtual Appliance
Eingehendes UDP
902 (Standard)
Hostzugriff auf andere Hosts fr Migration und Bereitstellung
Eingehendes und
ausgehendes TCP,
ausgehendes UDP
Authentifizierungsverkehr fr ESXi- und Remotekonsolenverkehr (xinetd/vmware-authd)

vSphere-Client-Zugriff auf die Konsolen virtueller Maschinen
(UDP) Status-Update-Verbindung (Taktsignal) von ESXi mit vCenter Server
903
Datenverkehr der Remotesteuerung, der durch Zugriffe der Benutzer auf virtuelle Maschinen auf einem bestimmten Host entsteht.
vSphere-Client-Zugriff auf die Konsolen virtueller Maschinen
MKS-Transaktionen (xinetd/vmware-authd-mks)
Eingehendes TCP
1234, 1235
(Standard)
vSphere Replication
Ausgehendes TCP
2049
Transaktionen von den NFS-Speichergerten

Dieser Port wird fr die VMkernel-Schnittstelle verwendet.
3260
Transaktionen an die iSCSI-Speichergerte
Ausgehendes TCP
5900-5964
RFB-Protokoll, das von Verwaltungstools wie VNC verwendet wird
5988 (Standard)
CIM-Transaktionen ber HTTP
Eingehendes TCP
5989 (Standard)
CIM-XML-Transaktionen ber HTTPS
8000 (Standard)
Anforderungen von vMotion
8009
AJP-Connector-Port fr die Kommunikation von vCenter Virtual Appliance mit

Tomcat
Ausgehendes TCP
8100, 8200
(Standard)
Datenverkehr zwischen Hosts fr vSphere Fault Tolerance (FT)
Eingehendes und
ausgehendes TCP,
UDP
8182
Datenverkehr zwischen Hosts fr vSphere High Availability (HA)
Eingehendes und
ausgehendes TCP,
eingehendes und
ausgehendes UDP
9009
Wird verwendet, um vCenter Virtual Appliance die Kommunikation mit dem

vSphere Web Client zu ermglichen
Zustzlich zu den aufgefhrten TCP- und UDP-Ports knnen Sie andere Ports je nach Bedarf konfigurieren.
26
VMware, Inc.
Absichern virtueller Maschinen durch VLANs

Das Netzwerk gehrt zu den gefhrdetsten Teilen eines jeden Systems. Ihre VM-Netzwerk muss genauso wie
ihr physisches Netzwerk geschtzt werden. Sie knnen Ihr Netzwerk der virtuellen Maschinen auf verschiedene Weise absichern.
Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslcken aufweisen wie ein Netzwerk, das aus physischen Computern besteht. Selbst wenn das virtuelle
Maschinennetzwerk nicht an ein physisches Netzwerk angeschlossen ist, kann ein Angriff auf virtuelle Maschinen innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen. Die Anforderungen an die Absicherung virtueller Maschinen sind oft die gleichen wie fr physische Maschinen.
Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreibvorgnge im Speicher der anderen virtuellen Maschine ausfhren noch auf deren Daten zugreifen, ihre Anwendungen verwenden usw. Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes
durch externe Manahmen bedrfen.
Sie knnen die Sicherheit durch unterschiedliche Manahmen erhhen:
n
Hinzufgen von Firewallschutz fr das virtuelle Netzwerk durch Installation und Konfiguration von
hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk.
Aus Effizienzgrnden knnen Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen
Maschine am Eingang des virtuellen Netzwerks. Diese dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den brigen virtuellen Maschinen im virtuellen Netzwerk.
Die Installation einer hostbasierten Firewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerks ist eine bewhrte Sicherheitsmanahme. Da hostbasierte Firewalls jedoch die Leistung beeintrchtigen knnen, sollten Sie Sicherheitsbedrfnisse und Leistungsanforderungen abwgen, bevor Sie hostbasierte Firewalls in anderen virtuellen Maschinen im Netzwerk installieren.
Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen
Netzwerksegmenten. Wenn Sie virtuelle Maschinenzonen in deren eigenen Netzwerksegmenten isolieren, minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone in die nchste. Die
Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehrt auch die Manipulation des Adressauflsungsprotokolls (ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und
IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum
Host mglich ist. Angreifer verwenden diese ARP-Manipulierung fr Man-in-the-Middle-Angriffe, fr
Denial of Service-Angriffe (DOS), zur bernahme des Zielsystems und zur anderweitigen Beeintrchtigung des virtuellen Netzwerks.
Eine sorgfltige Planung der Segmentierung senkt das Risiko von Paketbertragungen zwischen virtuellen Maschinenzonen und somit von Spionageangriffen, die voraussetzen, dass dem Opfer Netzwerkdatenverkehr zugestellt wird. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Sie knnen die
Segmentierung mit einer der beiden folgenden Methoden herstellen, von denen jede andere Vorteile bietet.
n
VMware, Inc.
Verwenden Sie getrennte physische Netzwerkadapter fr Zonen virtueller Maschinen, damit die Zonen auch tatschlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter fr die virtuellen Maschinenzonen stellt unter Umstnden die sicherste Methode dar, und
gleichzeitig ist sie am wenigsten anfllig fr Konfigurationsfehler nach dem Anlegen des ersten Segments.
27
vSphere-Sicherheit
Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. Da VLANs fast alle Sicherheitsvorteile bieten, die auch die Implementierung physisch getrennter Netzwerke aufweist, ohne
dass dafr der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist, stellen sie
eine rentable Lsung zur Verfgung, die die Kosten fr die Bereitstellung und Wartung zustzlicher
Gerte, Kabel usw. einsparen kann.
VLANs sind eine Netzwerkarchitektur nach dem IEEE-Standard und verfgen ber spezifische Kennzeichnungsmethoden, durch die Datenpakete nur an die Ports weitergeleitet werden, die zum VLAN gehren.
Wenn das VLAN ordnungsgem konfiguriert ist, ist es ein zuverlssiges Mittel zum Schutz einer Gruppe
virtueller Maschinen vor zuflligem und bswilligem Eindringen.
Mit VLANs knnen Sie ein physisches Netzwerk so in Segmente aufteilen, dass zwei Computer oder virtuelle
Maschinen im Netzwerk nur dann Pakete untereinander austauschen knnen, wenn sie zum gleichen VLAN
gehren. So gehren zum Beispiel Buchhaltungsunterlagen und -transaktionen zu den wichtigsten vertraulichen internen Informationen eines Unternehmens. Wenn in einem Unternehmen die virtuellen Maschinen der
Verkaufs-, Logistik- und Buchhaltungsmitarbeiter an das gleiche physische Netzwerk angeschlossen sind,
knnen Sie die virtuellen Maschinen fr die Buchhaltungsabteilung schtzen, indem Sie VLANs einrichten.
Abbildung 2-2. Beispielplan eines VLAN
Host 1
Standard-Switch
Router
Host 2
VM0
VM1
VM2
VM3
VM4
VM5
VLAN A
BroadcastDomne A
Standard-Switch
Standard-Switch
Switch 1
VM6
Host 3
VM8
Standard-Switch
VM9
Switch 2
VM7
VM10
Standard-Switch
VM13
VLAN
A
BroadcastDomne B
VM11
Host 4
VM12
VLAN
B
VLAN B
VM14
VLAN
B
Mehrere VLANs
auf demselben
virtuellen Switch
BroadcastDomnen A und B
Bei dieser Konfiguration verwenden alle Mitarbeiter der Buchhaltungsabteilung virtuelle Maschinen im VLAN
A, die Mitarbeiter der Vertriebsabteilung verwenden die virtuellen Maschinen im VLAN B.
Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter. Diese Pakete sind so gekennzeichnet, dass sie nur an VLAN A weitergeleitet werden drfen. Daher sind die Daten auf die BroadcastDomne A beschrnkt und knnen nur an die Broadcast-Domne B weitergeleitet werden, wenn der Router
entsprechend konfiguriert wurde.
Bei dieser VLAN-Konfiguration wird verhindert, dass Mitarbeiter des Vertriebs Datenpakete abfangen knnen, die fr die Buchhaltungsabteilung bestimmt sind. Die Buchhaltungsabteilung kann zudem auch keine
Datenpakete empfangen, die fr den Vertrieb bestimmt sind. Virtuelle Maschinen, die an einen gemeinsamen
virtuellen Switch angebunden sind, knnen sich dennoch in unterschiedlichen VLANs befinden.
28
VMware, Inc.
Sicherheitsempfehlungen fr VLANs
Wie Sie die VLANs einrichten, um Teile eines Netzwerks abzusichern, hngt von Faktoren wie dem Gastbetriebssystem und der Konfiguration der Netzwerkgerte ab.
ESXi ist mit einer vollstndigen VLAN-Implementierung nach IEEE 802.1q ausgestattet. Zwar kann VMware
keine spezifischen Empfehlungen aussprechen, wie die VLANs eingerichtet werden sollten, es sollten jedoch
bestimmte Faktoren bercksichtigt werden, wenn ein VLAN ein Bestandteil Ihrer Sicherheitsrichtlinien ist.
VLANs im Rahmen eines Sicherheitspakets

Mit VLANs kann effektiv gesteuert werden, wo und in welchem Umfang Daten im Netzwerk bertragen
werden. Wenn ein Angreifer Zugang zum Netzwerk erlangt, wird der Angriff mit hoher Wahrscheinlichkeit
nur auf das VLAN beschrnkt, das als Zugangspunkt diente, wodurch das Risiko fr das gesamte Netzwerk
verringert wird.
VLANs bieten nur dadurch Schutz, dass sie steuern, wie Daten weitergeleitet und verarbeitet werden, nachdem sie die Switches passiert haben und sich im Netzwerk befinden. Sie knnen VLANs dazu nutzen, die 2.
Schicht des Netzwerkmodells, die Sicherungsschicht, zu schtzen. Die Einrichtung von VLANs schtzt jedoch
weder die Bitbertragungsschicht noch die anderen Schichten. Auch bei der Verwendung von VLANs sollten
Sie zustzlichen Schutz durch Absicherung der Hardware (Router, Hubs usw.) und Verschlsselung der Datenbertragungen implementieren.
VLANs ersetzen Softwarefirewalls in den Konfigurationen virtueller Maschinen nicht. In den meisten Netzwerkkonfigurationen mit VLANs gibt es auch Firewalls. Wenn Sie VLANs in Ihr virtuelles Netzwerk implementieren, stellen Sie sicher, dass die installierten Firewalls SAN-fhig sind.
Ordnungsgemes Konfigurieren von VLANs

Eine Fehlkonfiguration der Ausstattung und Netzwerkhardware, -firmware oder -software setzt ein VLAN
mglichen VLAN-Hopping-Angriffen aus.
VLAN-Hopping tritt dann auf, wenn ein Angreifer mit autorisiertem Zugriff auf ein VLAN Datenpakete erstellt, die die physischen Switches dazu bringen, die Pakete in ein anderes VLAN zu bertragen, fr das der
Angreifer keine Zugriffsberechtigung besitzt. Anflligkeit fr diese Art von Angriffen liegt meist dann vor,
wenn ein Switch falsch fr den nativen VLAN-Betrieb konfiguriert wurde, wodurch der Switch nicht gekennzeichnete Pakete empfangen und bertragen kann.
Um ein VLAN-Hopping zu verhindern, aktualisieren Sie stets Ihre Umgebung, indem Sie Updates der Hardware und Firmware sofort aufspielen. Achten Sie bei der Konfiguration Ihrer Umgebung auch stets auf die
Einhaltung der Empfehlungen des Herstellers.
Standard-Switches von VMware untersttzen nicht das Konzept nativer VLANs. Alle Daten, die ber diese
Switches bertragen werden, mssen ordnungsgem gekennzeichnet werden. Da es jedoch im Netzwerk
auch andere Switches geben kann, die fr den nativen VLAN-Betrieb konfiguriert wurden, knnen VLANs
mit Standard-Switches dennoch anfllig fr VLAN-Hopping sein.
Wenn Sie VLANs zur Netzwerksicherung verwenden mchten, deaktivieren Sie die native VLAN-Funktion
fr alle Switches, sofern nicht ein zwingender Grund vorliegt, dass einige VLANs im nativen Modus betrieben
werden mssen. Wenn Sie ein natives VLAN verwenden mssen, beachten Sie die Konfigurationsrichtlinien
des Switch-Herstellers fr diese Funktion.
VMware, Inc.
29
vSphere-Sicherheit
Schutz von Standard-Switches und VLANs

Die Standard-Switches von VMware schtzen vor bestimmten Bedrohungen der VLAN-Sicherheit. Durch den
Aufbau der Standard-Switches schtzen sie VLANs gegen viele Arten von Angriffen, die meist auf VLANHopping basieren.
Dieser Schutz garantiert jedoch nicht, dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun sind. So schtzen Standard-Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen,
sie schtzen nur das virtuelle Netzwerk.
Standard-Switches und VLANs knnen gegen folgende Arten von Angriffen schtzen:
MAC-Flooding
Diese Angriffe berschwemmen den Switch mit Datenpaketen, die MAC-Adressen enthalten, die als von verschiedenen Quellen stammend gekennzeichnet
wurden. Viele Switches verwenden eine assoziative Speichertabelle, um die
Quelladresse fr jedes Datenpaket zu speichern. Wenn die Tabelle voll ist,
schaltet der Switch ggf. in einen vollstndig geffneten Status um, in dem alle
eingehenden Pakete auf allen Ports bertragen werden, sodass der Angreifer
den gesamten Datenverkehr des Switches verfolgen kann. In diesem Fall kann
es auch zu Paketlecks in andere VLANs kommen.
Zwar speichern die Standard-Switches von VMware eine MAC-Adressentabelle, aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr und sind daher gegen diese Art von Angriffen immun.
Angriffe durch 802.1qund ISL-Kennzeichnung
Bei diesem Angriff werden die Datenblcke durch den Switch an ein anderes
VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird,
als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs
weiterzuleiten.
Die Standard-Switches von VMware fhren das dynamische Trunking, das fr
diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun.
Doppelt gekapselte Angriffe
Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt gekapseltes Paket, in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner
im ueren Tag unterscheidet. Um Rckwrtskompatibilitt zu gewhrleisten,
entfernen native VLANs standardmig das uere Tag von bertragenen Paketen. Wenn ein nativer VLAN-Switch das uere Tag entfernt, bleibt nur das
innere Tag brig, welches das Paket zu einem anderen VLAN weiterleitet, als
im jetzt fehlenden ueren Tag angegeben war.
Die Standard-Switches von VMware verwerfen alle doppelt eingekapselten
Datenblcke, die eine virtuelle Maschine auf einem fr ein bestimmtes VLAN
konfigurierten Port senden mchte. Daher sind sie immun gegen diese Art von
Angriffen.
Multicast-Brute-ForceAngriffe
Bei diesen Angriffen wird eine groe Anzahl von Multicast-Datenblcken fast
zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu berlasten, damit er versehentlich einige Datenblcke in andere VLANs bertrgt.
Die Standard-Switches von VMware erlauben es Datenblcken nicht, ihren
richtigen bertragungsbereich (VLAN) zu verlassen und sind daher gegen
diese Art von Angriffen immun.
30
VMware, Inc.
Spanning-Tree-Angriffe
Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das zur Steuerung der berbrckung verschiedener Teile des LANs verwendet wird. Der
Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch,
die Netzwerktopologie zu ndern und sich selbst als Root-Bridge einzusetzen.
Als Root-Bridge kann der Angreifer dann die Inhalte bertragener Datenblcke mitschneiden.
Die Standard-Switches von VMware untersttzen STP nicht und sind daher
gegen diese Art von Angriffen immun.
Zufallsdatenblock-Angriffe
Bei diesen Angriffen wird eine groe Anzahl Pakete gesendet, bei denen die
Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher
Lnge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es
zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet
werden.
Die Standard-Switches von VMware sind gegen diese Art von Angriffen immun.
Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste mglicher Angriffe nicht vollstndig sein. Rufen Sie regelmig die VMware-Sicherheitsressourcen im Internet ab, um mehr ber Sicherheit,
neue Sicherheitswarnungen und die Sicherheitstaktiken von VMware zu erfahren.
Absichern der Standard-Switch-Ports

Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenblcke versenden, die von
einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren, damit
er Datenblcke aus dem Netzwerk empfangen kann, die fr die jeweilige virtuelle Maschine bestimmt sind.
Auerdem kann ein virtueller Netzwerkadapter, genauso wie ein physischer Netzwerkadapter, so konfiguriert
werden, dass er Datenblcke empfngt, die fr andere virtuelle Maschinen bestimmt sind.
Wenn Sie einen Standard-Switch fr Ihr Netzwerk erstellen, fgen Sie Portgruppen hinzu, um fr die an den
Switch angeschlossenen virtuellen Maschinen und Speichersysteme Richtlinien zu konfigurieren. Virtuelle
Ports werden ber den vSphere-Client erstellt.
Whrend des Hinzufgens eines Ports oder einer Standard-Portgruppe zu einem Standard-Switch konfiguriert
der vSphere-Client ein Sicherheitsprofil fr den Port. Mit diesem Sicherheitsprofil knnen Sie sicherstellen,
dass der Host verhindert, dass die Gastbetriebssysteme auf den virtuellen Maschinen andere Computer im
Netzwerk imitieren knnen. Diese Sicherheitsfunktion wurde so implementiert, dass das Gastbetriebssystem,
welches fr die Imitation verantwortlich ist, nicht erkennt, dass diese verhindert wurde.
Das Sicherheitsprofil bestimmt, wie streng der Schutz gegen Imitierungs- oder Abfangangriffe auf virtuelle
Maschinen sein soll. Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden knnen, bentigen
Sie Grundkenntnisse darber, wie virtuelle Netzwerkadapter Datenbertragungen steuern und wie Angriffe
auf dieser Ebene vorgenommen werden.
Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC-Adresse zugewiesen. Diese Adresse wird Ursprnglich zugewiesene MAC-Adresse genannt. Obwohl die ursprngliche MAC-Adresse von auerhalb des Gastbetriebssystems neu konfiguriert werden kann, kann sie nicht vom Gastbetriebssystem selbst gendert werden. Auerdem verfgt jeder Adapter ber eine geltende MAC-Adresse, die eingehenden Netzwerkverkehr mit einer MAC-Adresse, die nicht der geltenden MAC-Adresse entspricht, herausfiltert. Das Gastbetriebssystem ist fr die Einstellung der geltenden MAC-Adresse verantwortlich. In der
Regel stimmen die geltende MAC-Adresse und die ursprnglich zugewiesene MAC-Adresse berein.
Beim Versand von Datenpaketen schreibt das Betriebssystem die geltende MAC-Adresse des eigenen Netzwerkadapters in das Feld mit der Quell-MAC-Adresse des Ethernet-Frames. Es schreibt auch die MAC-Adresse des Empfnger-Netzwerkadapters in das Feld mit der Ziel-MAC-Adresse. Der empfangende Adapter
akzeptiert Datenpakete nur dann, wenn die Ziel-MAC-Adresse im Paket mit seiner eigenen geltenden MACAdresse bereinstimmt.
VMware, Inc.
31
vSphere-Sicherheit
Bei der Erstellung stimmen die geltende und die ursprnglich zugewiesene MAC-Adresse berein. Das Betriebssystem der virtuellen Maschine kann die geltenden MAC-Adresse jedoch jederzeit auf einen anderen
Wert setzen. Wenn ein Betriebssystem die geltenden MAC-Adresse ndert, empfngt der Netzwerkadapter
Netzwerkdatenverkehr, der fr die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann jederzeit Frames mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem bswillige Angriffe auf
die Gerte in einem Netzwerk durchfhren, indem es einen Netzwerkadapter imitiert, der vom Empfngernetzwerk autorisiert wurde.
Mit den Sicherheitsprofilen fr den Standard-Switch auf den Hosts knnen Sie sich gegen diese Art von Angriffen schtzen, indem Sie drei Optionen einstellen. Wenn Sie eine Standardeinstellung fr einen Port ndern
mchten, mssen Sie das Sicherheitsprofil in den Einstellungen des Standard-Switches im vSphere-Client ndern.
MAC-Adressennderungen
Die Einstellung der Option [MAC-Adressennderungen] beeinflusst den Datenverkehr, den eine virtuelle
Maschine empfngt.
Wenn die Option auf [Akzeptieren] festgelegt ist, akzeptiert ESXi Anforderungen, die geltende MAC-Adresse
in eine andere als die ursprnglich zugewiesene Adresse zu ndern.
Wenn die Option auf [Ablehnen] festgelegt ist, lehnt ESXi Anforderungen ab, die geltende MAC-Adresse in
eine andere als die ursprnglich zugewiesene Adresse zu ndern. Damit wird der Host vor MAC-Imitationen
geschtzt. Der Port, der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird, ist deaktiviert, und der virtuelle Adapter erhlt keine weiteren Frames mehr, bis er die geltende MAC-Adresse ndert,
sodass sie mit der ursprnglichen MAC-Adresse bereinstimmt. Das Gastbetriebssystem erkennt nicht, dass
die nderung der MAC-Adresse nicht angenommen wurde.
HINWEIS Der iSCSI-Initiator basiert darauf, dass er MAC-Adressnderungen von bestimmten Speichertypen
erhalten kann. Wenn Sie ESXi-iSCSI verwenden und ber einen iSCSI-Speicher verfgen, legen Sie die Option [MAC-Adressennderungen] auf [Akzeptieren] fest.
In bestimmten Situationen ist es tatschlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche
MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-NetzwerkLastausgleich im Unicast-Modus verwenden. Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die
Adapter nicht die gleiche MAC-Adresse.
MAC-Adressennderungen beeinflussen den Datenverkehr, der eine virtuelle Maschine verlsst. MAC-Adressnderungen treten ein, wenn der Absender diese vornehmen darf, selbst wenn Standard-Switches oder
eine empfangende virtuelle Maschine keine MAC-Adressnderungen zulassen.
Geflschte bertragungen
Die Einstellung der Option [Geflschte bertragungen] beeinflusst den Datenverkehr, der von einer virtuellen Maschine versendet wird.
Wenn die Option auf [Akzeptieren] festgelegt ist, vergleicht ESXi die Quell- und die geltende MAC-Adresse
nicht.
Zum Schutz gegen MAC-Imitation knnen Sie diese Option auf [Ablehnen (Reject)] einstellen. In diesem
Fall vergleicht der Host die Quell-MAC-Adresse, die vom Betriebssystem bertragen wird, mit der geltenden
MAC-Adresse des Adapters, um festzustellen, ob sie bereinstimmen. Wenn die Adressen nicht bereinstimmen, verwirft ESXi das Paket.
Das Gastbetriebssystem erkennt nicht, dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MACAdresse nicht senden kann. Der ESXi-Host fngt alle Pakete mit imitierten Adressen vor der bermittlung ab.
Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.
32
VMware, Inc.
Betrieb im Promiscuous-Modus
Der Promiscuous-Modus deaktiviert jegliche Empfangsfilterung, die der virtuelle Netzwerkadapter normalerweise ausfhren wrde, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk
empfngt. Standardmig kann der virtuelle Netzwerkadapter nicht im Promiscuous-Modus betrieben werden.
Zwar kann der Promiscuous-Modus fr die Nachverfolgung von Netzwerkaktivitten ntzlich sein, aber er
ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, auch
wenn manche Pakete nur fr einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der fr andere
Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann.
HINWEIS Unter bestimmten Umstnden ist es notwendig, einen Standard-Switch in den Promiscuous-Modus
zu setzen, zum Beispiel wenn Sie eine Software zur Netzwerkeinbruchserkennung oder einen Paket-Sniffer
verwenden.
Internet Protocol Security (IPsec)

Internet Protocol Security (IPsec) sichert die von einem Host ausgehende und bei diesem eingehende IP-Kommunikation. ESXi-Hosts untersttzen IPsec mit IPv6.
Wenn Sie IPsec auf einem Host einrichten, aktivieren Sie die Authentifizierung und Verschlsselung ein- und
ausgehender Pakete. Wann und wie der IP-Datenverkehr verschlsselt wird, hngt davon ab, wie Sie die
Sicherheitsverbindungen und -richtlinien des Systems einrichten.
Eine Sicherheitsverbindung bestimmt, wie das System den Datenverkehr verschlsselt. Beim Erstellen einer
Sicherheitsverbindung geben Sie Quelle und Ziel, Verschlsselungsparameter und einen Namen fr die Sicherheitsverbindung an.
Eine Sicherheitsrichtlinie legt fest, wann das System Datenverkehr verschlsseln soll. Die Sicherheitsrichtlinie
enthlt Informationen zu Quelle und Ziel, Protokoll und Richtung des zu verschlsselnden Datenverkehrs,
dem Modus (Transport oder Tunnel) und der zu verwendenden Sicherheitsverbindung.
Hinzufgen einer Sicherheitsverbindung

Fgen Sie eine Sicherheitsverbindung hinzu, um Verschlsselungsparameter fr den zugeordneten IP-Datenverkehr festzulegen.
Sie knnen eine Sicherheitsverbindung mithilfe des vSphere-CLI-Befehls esxcli hinzufgen.
Vorgehensweise
u
VMware, Inc.
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa add zusammen mit einer
oder mehreren der nachfolgenden Optionen ein.
Option
Beschreibung
--sa-source= Quelladresse
Erforderlich. Geben Sie die Quelladresse an.
--sa-destination= Zieladresse
Erforderlich. Geben Sie die Zieladresse an.
--sa-mode= Modus
Erforderlich. Geben Sie als Modus entweder transport oder tunnel an.
--sa-spi= Sicherheitsparameter-Index
Erforderlich. Geben Sie den Sicherheitsparameter-Index an. Der Sicherheitsparameter-Index identifiziert die Sicherheitsverbindung dem Host gegenber. Er muss eine Hexadezimalzahl mit dem Prfix 0x sein. Jede von Ihnen
erstellte Sicherheitsverbindung muss eine eindeutige Kombination aus Protokoll und Sicherheitsparameter-Index besitzen.
33
vSphere-Sicherheit
Option
Beschreibung
--encryption-algorithm= Verschlsselungsalgorithmus
Erforderlich. Verwenden Sie einen der folgenden Parameter, um den Verschlsselungsalgorithmus anzugeben.
n 3des-cbc
n aes128-cbc
n Null
Null bietet keine Verschlsselung.
--encryption-key= Verschlsselungsschlssel
Erforderlich, wenn Sie einen Verschlsselungsalgorithmus angeben. Geben

Sie den Verschlsselungsschlssel an. Sie knnen Schlssel als ASCII-Text
oder als Hexadezimalzahl mit dem Prfix 0x eingeben.
--integrity-algorithm= Authentifizierungsalgorithmus
Erforderlich. Geben Sie den Authentifizierungsalgorithmus an: hmac-sha1

oder hmac-sha2-256.
--integrity-key= Authentifizierungsschlssel
Erforderlich. Geben Sie den Authentifizierungsschlssel an. Sie knnen

Schlssel als ASCII-Text oder als Hexadezimalzahl mit dem Prfix 0x eingeben.
--sa-name=Name
Erforderlich. Geben Sie einen Namen fr die Sicherheitsverbindung an.
Beispiel: Befehl fr eine neue Sicherheitsverbindung

Im folgenden Beispiel wurden Zeilenumbrche hinzugefgt, um die Lesbarkeit zu verbessern.
esxcli network ip ipsec sa add
--sa-source 3ffe:501:ffff:0::a
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1
Entfernen einer Sicherheitsverbindung

Sie knnen eine Sicherheitsverbindung vom Host entfernen.
Sie knnen eine Sicherheitsverbindung mithilfe des vSphere-CLI-Befehls esxcli entfernen.
Voraussetzungen
Vergewissern Sie sich, dass die Sicherheitsverbindung, die Sie verwenden mchten, zurzeit nicht verwendet
wird. Wenn Sie versuchen, eine Sicherheitsverbindung zu entfernen, die gerade verwendet wird, schlgt der
Entfernungsvorgang fehl.
Vorgehensweise
u
Geben Sie den Befehl esxcli network ip ipsec sa remove --sa-nameName_der_Sicherheitsverbindung

in die Eingabeaufforderung ein.
Auflisten der verfgbaren Sicherheitsverbindungen

ESXi kann eine Liste aller Sicherheitsverbindungen zur Verfgung stellen, die zur Verwendung durch Sicherheitsrichtlinien verfgbar sind. Die Liste enthlt sowohl die vom Benutzer erstellten Sicherheitsverbindungen
als auch die Sicherheitsverbindungen, die der VMkernel mithilfe von Internet Key Exchange installiert hat.
Sie knnen mithilfe des vSphere-CLI-Befehls esxcli eine Liste der verfgbaren Sicherheitsverbindungen abrufen.
34
VMware, Inc.
Vorgehensweise
u
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa list ein.
ESXi zeigt eine Liste aller verfgbaren Sicherheitsverbindungen an.
Erstellen einer Sicherheitsrichtlinie

Erstellen Sie eine Sicherheitsrichtlinie, um festzulegen, wann die in einer Sicherheitsverbindung angegebenen
Authentifizierungs- und Verschlsselungsparameter verwendet werden sollen.
Sie knnen eine Sicherheitsrichtlinie mithilfe des vSphere-CLI-Befehls esxcli hinzufgen.
Voraussetzungen
Fgen Sie vor dem Erstellen einer Sicherheitsrichtlinie eine Sicherheitsverbindung mit den entsprechenden
Authentifizierungs- und Verschlsselungsparametern hinzu, wie unter Hinzufgen einer Sicherheitsverbindung, auf Seite 33 beschrieben.
Vorgehensweise
u
VMware, Inc.
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp add zusammen mit einer
oder mehreren der nachfolgenden Optionen ein.
Option
Beschreibung
--sp-source= Quelladresse
Erforderlich. Geben Sie Quell-IP-Adresse und die Prfixlnge an.
--sp-destination= Zieladresse
Erforderlich. Geben Sie Zieladresse und die Prfixlnge an.
--source-port= Port
Erforderlich. Geben Sie den Quellport an. Der Quellport muss eine Zahl
zwischen 0 und 65535 sein.
--destination-port= Port
Erforderlich. Geben Sie den Zielport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
--upper-layer-protocol= Protokoll
Verwenden Sie einen der folgenden Parameter, um das Protokoll fr hhere

Schichten anzugeben.
n TCP
n UDP
n ICMP6
n alle
--flow-direction= Richtung
Whlen Sie als Richtung, in der Sie den Datenverkehr berwachen mchten,
entweder in oder out aus.
--action= Aktion
Geben Sie mithilfe eines der folgenden Parameters die Aktion an, die ausgefhrt werden soll, wenn auf Datenverkehr mit den angegebenen Parametern gestoen wird.
n Keine: Keine Aktion ausfhren
n
Verwerfen: Keinen einoder ausgehenden Datenverkehr zulassen.
ipsec: Die in der Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlsselungsinformationen verwenden, um zu ermitteln, ob die Daten aus einer vertrauenswrdigen Quelle stammen.
--sp-mode= Modus
Geben Sie als Modus entweder tunnel oder transport an.
--sa-name=Name der Sicherheitsverbindung
Erforderlich. Geben Sie den Namen der Sicherheitsverbindung an, die die
Sicherheitsrichtlinie verwenden soll.
--sp-name=Name
Erforderlich. Geben Sie einen Namen fr die Sicherheitsrichtlinie an.
35
vSphere-Sicherheit
Beispiel: Befehl fr eine neue Sicherheitsrichtlinie

Im folgenden Beispiel wurden Zeilenumbrche hinzugefgt, um die Lesbarkeit zu verbessern.
esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1
Entfernen einer Sicherheitsrichtlinie

Sie knnen eine Sicherheitsrichtlinie vom ESXi-Host entfernen.
Sie knnen eine Sicherheitsrichtlinie mithilfe des vSphere-CLI-Befehls esxcli entfernen.
Voraussetzungen
Vergewissern Sie sich, dass die Sicherheitsrichtlinie, die Sie verwenden mchten, zurzeit nicht verwendet wird.
Wenn Sie versuchen, eine Sicherheitsrichtlinie zu entfernen, die gerade verwendet wird, schlgt der Entfernungsvorgang fehl.
Vorgehensweise
u
Geben Sie den Befehl esxcli network ip ipsec sp remove --sa-nameName der Sicherheitsrichtlinie
in die Eingabeaufforderung ein.
Um alle Sicherheitsrichtlinien zu entfernen, geben Sie den Befehl
esxcli network ip ipsec sp remove --remove-all ein.
Auflisten der verfgbaren Sicherheitsrichtlinien

ESXi kann eine Liste aller Sicherheitsrichtlinien auf dem Host zur Verfgung stellen.
Sie knnen mithilfe des vSphere-CLI-Befehls esxcli eine Liste der verfgbaren Sicherheitsrichtlinien abrufen.
Vorgehensweise
u
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp list ein.
Der Host zeigt eine Liste aller verfgbaren Sicherheitsrichtlinien an.
Absichern von iSCSI-Speicher

Der Speicher, den Sie fr einen Host konfigurieren, kann ein oder mehrere SANs (Speichernetzwerke) umfassen, die iSCSI verwenden. Wenn Sie iSCSI auf einem Host konfigurieren, knnen Sie diese Sicherheitsrisiken
durch verschiedene Manahmen minimieren.
iSCSI ist ein Instrument fr den Zugriff auf SCSI-Gerte und zum Austausch von Datenstzen, indem das
TCP/IP ber einen Netzwerkport und nicht ber einen direkten Anschluss an ein SCSI-Gert eingesetzt wird.
In iSCSI-bertragungen werden Raw-SCSI-Datenblcke in iSCSI-Datenstze eingekapselt und an das Gert
oder den Benutzer, das/der die Anforderung gestellt hat, bertragen.
36
VMware, Inc.
iSCSI-SANs ermglichen die effiziente Verwendung bestehender Ethernet-Infrastrukturen zum Zugriff auf
Speicherressourcen durch Hosts, die diese Ressourcen dynamisch teilen knnen. Deshalb bieten iSCSI-SANs
eine wirtschaftliche Speicherlsung fr Umgebungen, die auf einem gemeinsamen Speicherpool fr verschiedene Benutzer basieren. Wie in allen vernetzten Systemen sind auch iSCSI-SANs anfllig fr Sicherheitsverletzungen.
HINWEIS Die Anforderungen und Vorgehensweisen fr die Absicherung von iSCSI-SANs hneln denen fr
Hardware-iSCSI-Adapter, die Sie fr Hosts und fr iSCSI verwenden, die direkt ber den Host konfiguriert
werden.
Absichern von iSCSI-Gerten ber Authentifizierung

iSCSI-Gerte knnen gegen ungewollten Zugriff abgesichert werden, indem der Host, der Initiator, vom
iSCSI-Gert, dem Ziel, authentifiziert werden muss, wenn der Host versucht, auf Daten in der Ziel-LUN
zuzugreifen.
Ziel der Authentifizierung ist es zu berprfen, dass der Initiator das Recht hat, auf ein Ziel zuzugreifen. Dieses
Recht wird bei der Konfiguration der Authentifizierung gewhrt.
ESXi untersttzt fr iSCSI weder Kerberos noch Secure Remote Protocol (SRP) noch Authentifizierungsverfahren mit ffentlichen Schlsseln. Auerdem untersttzt es keine IPsec-Authentifizierung und -Verschlsselung.
Mit dem vSphere-Client knnen Sie bestimmen, ob die Authentifizierung derzeit verwendet wird, und das
Authentifizierungsverfahren konfigurieren.
Aktivieren von Challenge-Handshake Authentication Protocol (CHAP) fr iSCSISANs

Sie knnen das iSCSI-SAN so konfigurieren, dass die CHAP-Authentifizierung verwendet wird.
Bei der CHAP-Authentifizierung sendet das iSCSI-Ziel, wenn der Initiator mit ihm Kontakt aufnimmt, einen
vordefinierten ID-Wert und einen Zufallswert, den Schlssel, an den Initiator. Der Initiator erstellt einen unidirektionalen Prfsummenwert, den er an das Ziel sendet. Die Prfsumme enthlt drei Elemente: einen vordefinierten ID-Wert, den Zufallswert, den das Ziel gesendet hat, und einen privaten Wert, den sog. CHAPSchlssel, den sowohl der Initiator als auch das Ziel haben. Wenn das Ziel die Prfsumme vom Initiator erhlt,
erstellt es aus den gleichen Elementen seine eigene Prfsumme und vergleicht diese mit dem Prfsummenwert
des Initiators. Wenn die Ergebnisse bereinstimmen, authentifiziert das Ziel den Initiator.
ESXi untersttzt die unidirektionale und die bidirektionale CHAP-Authentifizierung fr iSCSI: Bei der unidirektionalen CHAP-Authentifizierung authentifiziert das Ziel den Initiator, nicht jedoch der Initiator das Ziel.
Bei der bidirektionalen CHAP-Authentifizierung ermglicht eine zustzliche Sicherheitsstufe dem Initiator
die Authentifizierung des Ziels.
ESXi untersttzt die CHAP-Authentifizierung auf Adapterebene, wenn nur ein Satz von Anmeldedaten fr
die Authentifizierung vom Host an alle Ziele gesendet werden kann. Die zielbasierte CHAP-Authentifizierung,
bei der verschiedene Anmeldedaten fr die Ziele konfiguriert werden knnen, um eine bessere Zielunterscheidung vornehmen zu knnen, wird ebenfalls untersttzt.
Siehe die Dokumentation zu vSphere-Speicher. Dort finden Sie Informationen zum Arbeiten mit CHAP.
VMware, Inc.
37
vSphere-Sicherheit
Deaktivieren der iSCSI-SAN-Authentifizierung

Sie knnen das iSCSI-SAN so konfigurieren, dass die CHAP-Authentifizierung nicht verwendet wird. Der
Datenverkehr zwischen Initiator und Ziel wird dennoch rudimentr berprft, da iSCSI-Zielgerte normalerweise so eingerichtet sind, dass sie nur mit bestimmten Initiatoren kommunizieren.
Die Deaktivierung einer strengeren Authentifizierung kann zum Beispiel sinnvoll sein, wenn sich der iSCSISpeicher an einem Standort befindet und ein dediziertes Netzwerk oder VLAN fr alle iSCSI-Gerte erstellt
wird. Die iSCSI-Konfiguration ist sicher, weil sie von ungewolltem Zugriff isoliert ist, wie dies auch von einem
Fibre-Channel-SAN der Fall ist.
Deaktivieren Sie die Authentifizierung grundstzlich nur dann, wenn Sie einen Angriff auf das iSCSI-SAN
riskieren knnen oder Probleme beheben mssen, die durch menschliches Versagen entstanden sind.
Siehe die Dokumentation zu vSphere-Speicher. Dort finden Sie Informationen zum Arbeiten mit CHAP.
Schtzen eines iSCSI-SAN

Bei der Planung der iSCSI-Konfiguration sollten Sie Manahmen zur Verbesserung der allgemeinen Sicherheit
des iSCSI-SAN ergreifen. Die iSCSI-Konfiguration ist nur so sicher wie das IP-Netzwerk. Wenn Sie also hohe
Sicherheitsstandards bei der Netzwerkeinrichtung befolgen, schtzen Sie auch den iSCSI-Speicher.
Nachfolgend sind einige spezifische Vorschlge zum Umsetzen hoher Sicherheitsstandards aufgefhrt.
Schtzen bertragener Daten

Eines der Hauptrisiken bei iSCSI-SANs ist, dass der Angreifer bertragene Speicherdaten mitschneiden kann.
Ergreifen Sie zustzliche Manahmen, um zu verhindern, dass Angreifer iSCSI-Daten sehen knnen. Weder
der Hardware-iSCSI-Adapter noch der ESXi-iSCSI-Initiator verschlsseln Daten, die zu und von den Zielen
bertragen werden. Dies macht die Daten anflliger fr Sniffing-Angriffe.
Wenn die virtuellen Maschinen die gleichen Standard-Switches und VLANs wie die iSCSI-Struktur verwenden, ist der iSCSI-Datenverkehr potenziell dem Missbrauch durch Angreifer der virtuellen Maschinen ausgesetzt. Um sicherzustellen, dass Angreifer die iSCSI-bertragungen nicht berwachen knnen, achten Sie darauf, dass keine Ihrer virtuellen Maschinen das iSCSI-Speichernetzwerk sehen kann.
Wenn Sie einen Hardware-iSCSI-Adapter verwenden, erreichen Sie dies, indem Sie sicherstellen, dass der
iSCSI-Adapter und der physische Netzwerkadapter von ESXi nicht versehentlich auerhalb des Hosts durch
eine gemeinsame Verwendung des Switches oder in anderer Form verbunden sind. Wenn Sie iSCSI direkt
ber den ESXi-Host konfigurieren, knnen Sie dies erreichen, indem Sie den iSCSI-Speicher ber einen anderen
Standard-Switch konfigurieren als denjenigen, der durch Ihre virtuellen Maschinen verwendet wird.
Zustzlich zum Schutz durch einen eigenen Standard-Switch knnen Sie das iSCSI-SAN durch die Konfiguration eines eigenen VLAN fr das iSCSI-SAN schtzen, um Leistung und Sicherheit zu verbessern. Wenn die
iSCSI-Konfiguration sich in einem eigenen VLAN befindet, wird sichergestellt, dass keine Gerte auer dem
iSCSI-Adapter Einblick in bertragungen im iSCSI-SAN haben. Auch eine Netzwerkberlastung durch andere
Quellen kann den iSCSI-Datenverkehr nicht beeintrchtigen.
Sichern der iSCSI-Ports

Wenn Sie die iSCSI-Gerte ausfhren, ffnet ESXi keine Ports, die Netzwerkverbindungen berwachen. Durch
diese Manahme wird die Chance, dass ein Angreifer ber ungenutzte Ports in ESXi eindringen und Kontrolle
ber ihn erlangen kann, reduziert. Daher stellt der Betrieb von iSCSI kein zustzliches Sicherheitsrisiko fr
das ESXi-Ende der Verbindung dar.
Beachten Sie, dass auf jedem iSCSI-Zielgert mindestens ein freigegebener TCP-Port fr iSCSI-Verbindungen
vorhanden sein muss. Wenn es Sicherheitsprobleme in der Software des iSCSI-Gerts gibt, knnen die Daten
unabhngig von ESXi in Gefahr sein. Installieren Sie alle Sicherheitspatches des Speicherherstellers und beschrnken Sie die Anzahl der an das iSCSI-Netzwerk angeschlossenen Gerte, um dieses Risiko zu verringern.
38
VMware, Inc.
Schlsselqualitt
Die bertragung von Daten ber unsichere Verbindungen stellt ein Sicherheitsrisiko dar, da bswillige Benutzer Daten scannen knnen, whrend sie im Netzwerk bertragen werden. Als Schutz dagegen verschlsseln die Netzwerkkomponenten meistens die Daten, sodass diese nicht so einfach gelesen werden knnen.
Zur Verschlsselung verwendet die sendende Komponente, zum Beispiel ein Gateway oder ein Redirector,
kryptographische Algorithmen (sog. Schlssel), um die Daten zu ndern, bevor sie bertragen werden. Die
Zielkomponente verwendet dann einen Schlssel, um die Daten zu entschlsseln und sie in ihre ursprngliche
Form zu bringen. Mehrere Schlssel werden verwendet. Die Sicherheitsebene jedes dieser Schlssel ist unterschiedlich. Ein Ma zur Bestimmung der Datenschutzfhigkeit eines Schlssels ist die Schlsselqualitt, d. h.
die Anzahl der Bits im Verschlsselungsschlssel. Je hher diese Anzahl ist, desto sicherer ist der Schlssel.
Damit die aus und zu externen Netzwerken gesendeten Daten geschtzt werden, verwendet ESXi einen der
aktuell verfgbaren sichersten Blockschlssel: die 256-Bit-AES-Blockverschlsselung. ESXi verwendet auerdem 1024-Bit-RSA fr den Schlsselaustausch. Diese Verschlsselungsalgorithmen sind fr folgende Verbindungen Standard.
n
vSphere-Client-Verbindungen zu vCenter Server und zu ESXi ber die Verwaltungsschnittstelle.
SDK-Verbindungen zu vCenter Server und zu ESXi.
Verwaltungsschnittstellenverbindungen zu den virtuellen Maschinen ber VMkernel.
SSH-Verbindungen zu ESXi ber die Verwaltungsschnittstelle.
SSH-Sicherheit
Sie knnen SSH verwenden, um sich remote an die ESXi-Shell anzumelden und Fehlerbehebungsaufgaben fr
den Host durchzufhren.
Die SSH-Konfiguration in ESXi wurde zwecks Erweiterung der Sicherheitsstufe verbessert.
Version 1 SSH-Protokoll
deaktiviert
VMware bietet keine Untersttzung fr das SSH-Protokoll Version 1, sondern

verwendet ausschlielich das Version 2-Protokoll. In Version 2 wurden einige
in Version 1 enthaltenen Sicherheitsprobleme behoben, wodurch Sie die Mglichkeit haben, sicher mit der Verwaltungsschnittstelle zu kommunizieren.
Verbesserte Schlsselqualitt
SSH untersttzt lediglich 256-Bit- und 128-Bit-AES-Verschlsselungen fr Ihre

Verbindungen.
Diese Einstellungen wurden so entworfen, dass die Daten, die Sie ber SSH an die Verwaltungsschnittstelle
bertragen, gut geschtzt werden. Wenn diese Konfiguration fr Ihre Bedrfnisse zu streng ist, knnen Sie
die Sicherheitsparameter senken.
Steuern des Zugriffs auf das CIM-basierte HardwareberwachungsTool

Das CIM-System (Common Information Model) bietet eine Schnittstelle, mit der es mglich ist, Hardware von
Remoteanwendungen aus mit einem Standard-API-Satz zu verwalten. Um die Sicherheit der CIM-Schnittstelle
sicherzustellen, sollten Sie diesen Anwendungen nur den ntigen Mindestzugriff einrumen. Wenn eine Anwendung mit einem Root- oder Volladministratorkonto bereitgestellt wurde und die Anwendung manipuliert
wird, ist mglicherweise die gesamte virtuelle Umgebung gefhrdet.
CIM ist ein offener Standard, der ein Framework fr agentenlose und standardbasierte berwachung von
Hardwareressourcen fr ESXi definiert. Dieses Framework besteht aus einem CIM Object Manager, hufig
auch CIM-Broker genannt, und einem Satz von CIM-Anbietern.
VMware, Inc.
39
vSphere-Sicherheit
CIM-Anbieter werden als Mechanismus zum Bereitstellen des Verwaltungszugriffs auf Gertetreiber und die
zugrunde liegende Hardware verwendet. Hardwareanbieter einschlielich Serverhersteller und Anbieter spezieller Hardwaregerte knnen Anbieter fr die berwachung und Verwaltung ihrer speziellen Gerte entwickeln. Auch VMware schreibt Anbieter, mit denen die berwachung von Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifischen Ressourcen implementiert wird. Diese Anbieter werden im
ESXi-System ausgefhrt. Aus diesem Grund sind sie sehr leichtgewichtig und auf spezifische Verwaltungsaufgaben ausgerichtet. Der CIM-Broker erfasst Informationen von allen CIM-Anbietern und stellt sie der Auenwelt ber Standard-APIs bereit, wobei WS-MAN der gelufigste ist.
Stellen Sie Remoteanwendungen keine Root-Anmeldedaten fr den Zugriff auf die CIM-Schnittstelle bereit.
Erstellen Sie stattdessen ein fr diese Anwendungen bestimmtes Dienstkonto und gewhren Sie jedem auf
dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff
auf CIM-Informationen.
Vorgehensweise
1
Erstellen Sie ein fr CIM-Anwendungen bestimmtes Dienstkonto.
Gewhren Sie jedem auf dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff auf CIM-Informationen.
(Optional) Wenn die Anwendung Schreibzugriff auf die CIM-Schnittstelle erfordert, erstellen Sie eine auf
das Dienstkonto anzuwendende Rolle mit nur zwei Rechten:
n
Host.Config.SystemManagement
Host.CIM.CIMInteraction
Diese Rolle kann je nach Funktionsweise der berwachungsanwendung lokal auf dem Host oder auf
vCenter Server zentral definiert sein.
Wenn sich ein Benutzer am Host mit dem Dienstkonto anmeldet (z. B. mit dem vSphere-Client), verfgt er nur
ber die zwei Rechte SystemManagement und CIMInteraction oder hat nur Lesezugriff.
40
VMware, Inc.
Absichern der
Verwaltungsschnittstelle
Die Sicherheit der ESXi-Verwaltungsschnittstelle ist ausschlaggebend fr den Schutz vor unbefugtem Zugriff
und Missbrauch.
Wenn ein Host auf bestimmte Weise gefhrdet wird, ist auch die von ihm gesteuerte virtuelle Maschine gefhrdet. Um das Risiko eines Angriffs ber die Verwaltungsschnittstelle zu minimieren, wird ESXi durch eine
Firewall geschtzt.
n
Allgemeine Sicherheitsempfehlungen, auf Seite 41
ESXi-Firewall-Konfiguration, auf Seite 42
ESXi-Firewall-Befehle, auf Seite 48
Allgemeine Sicherheitsempfehlungen
Um den Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschrnkungen
fr mehrere Parameter, Einstellungen und Aktivitten auferlegt. Sie knnen diese Beschrnkungen lockern,
um Ihre Konfigurationsbedrfnisse zu erfllen. In diesem Fall mssen Sie aber tatschlich in einer vertrauenswrdigen Umgebung arbeiten und gengend andere Sicherheitsmanahmen ergriffen haben, um das
Netzwerk als Ganzes und die an den Host angeschlossenen Gerte zu schtzen.
Bercksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.
n
Beschrnken Sie den Benutzerzugriff.

Schrnken Sie zur Erhhung der Sicherheit den Benutzerzugriff auf die Verwaltungsschnittstelle ein und
setzen Sie Sicherheitsrichtlinien fr den Zugriff durch, wie z. B. die Einrichtung von Kennwortbeschrnkungen.
Die ESXi-Shell hat privilegierten Zugriff auf bestimmte Teile des Hosts. Daher sollten nur vertrauenswrdige Benutzer Zugriff auf die ESXi-Shell erhalten.
Versuchen Sie auerdem, nur die wichtigen Prozesse, Dienste und Agenten auszufhren, z. B. Antivirenprogramme und Sicherungen virtueller Maschinen.
Verwalten Sie ESXi-Hosts ber den vSphere-Client.

Verwenden Sie nach Mglichkeit den vSphere-Client oder ein Netzwerkverwaltungsprogramm eines
Drittanbieters zur Verwaltung der ESXi-Hosts, anstatt dies als Root-Benutzer ber die Befehlszeilenschnittstelle vorzunehmen. Mit dem vSphere-Client knnen Sie die Anzahl an Konten, die Zugriff auf die
ESXi-Shell haben, einschrnken, Zustndigkeiten sicher delegieren und Rollen einrichten, damit Administratoren und Benutzer keine Funktionen nutzen knnen, die sie nicht bentigen.
VMware, Inc.
Verwenden Sie nur VMware-Quellen, um ESXi-Komponenten zu aktualisieren.
41
vSphere-Sicherheit
Der Host fhrt eine Vielzahl von Drittanbieterpaketen aus, um Verwaltungsschnittstellen oder von Ihnen
durchzufhrende Aufgaben zu untersttzen. Bei VMware drfen diese Pakete nur ber eine VMwareQuelle aktualisiert werden. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden,
knnen die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefhrdet werden. berprfen
Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank regelmig auf Sicherheitswarnungen.
Neben der Implementierung der Firewall knnen auch andere Methoden zur Reduzierung von Hostrisiken
verwendet werden.
n
ESXi fhrt nur Dienste aus, die zur Verwaltung seiner Funktionen unabdingbar sind. Die Distribution
beschrnkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.
Standardmig sind alle Ports, die nicht speziell fr den Verwaltungszugriff auf den Host notwendig
sind, geschlossen. Wenn Sie zustzliche Dienste bentigen, mssen Sie die jeweiligen Ports ffnen.
Standardmig sind schwache Schlssel deaktiviert und smtliche Kommunikation der Clients wird
durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hngen
vom SSL-Handshake ab. Auf ESXi erstellte Standardzertifikate verwenden SHA-1 mit RSA-Verschlsselung als Signaturalgorithmus.
Der Webservice Tomcat, der intern von ESXi verwendet wird, um den Zugriff von Webclients zu untersttzen, wurde so angepasst, dass nur diejenigen Funktionen ausgefhrt werden, die fr die Verwaltung
und berwachung von einem Webclient erforderlich sind. Daher ist ESXi nicht von den Sicherheitslcken
betroffen, die fr Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.
VMware berwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeintrchtigen knnten, und
gibt, falls erforderlich, einen Sicherheits-Patch aus.
Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports fr diese Dienste sind
standardmig geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfgbar sind, sollten Sie stets
auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten. Wenn Sie die
unsicheren Dienste verwenden mssen und fr den Host einen ausreichenden Schutz hergestellt haben,
mssen Sie explizit Ports ffnen, um sie zu untersttzen.
HINWEIS Befolgen Sie nur die VMware-Sicherheitswarnungen unter http://www.vmware.com/security/.
ESXi -Firewall-Konfiguration
ESXi enthlt eine Firewall zwischen der Verwaltungsschnittstelle und dem Netzwerk. Die Firewall ist standardmig aktiviert.
Whrend der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme der unter TCP- und
UDP-Ports fr den Verwaltungszugriff, auf Seite 25 aufgefhrten Standarddienste der eingehende und ausgehende Datenverkehr blockiert wird.
HINWEIS Die Firewall lsst auch Internet Control Message Protocol (ICMP)-Pings und Kommunikation mit
DHCP- und DNS- Clients (nur UDP) zu.
Untersttzte Dienste und Verwaltungs-Agenten, die zum Ausfhren des Hosts erforderlich sind, werden in
einer Regelsatz-Konfigurationsdatei im ESXi-Firewallverzeichnis /etc/vmware/firewall/ beschrieben. Die
Datei enthlt Firewallregeln und listet die Beziehung einer jeden Regel zu Ports und Protokollen auf.
42
VMware, Inc.
Kapitel 3 Absichern der Verwaltungsschnittstelle
Sie knnen zur ESXi-Firewall nur dann eine Regel hinzufgen, wenn Sie ein VIB erstellen und installieren, das
die Regelsatz-Konfigurationsdatei enthlt. Das VIB-Authoring-Tool steht VMware-Partnern zur Verfgung.
HINWEIS Das Verhalten des NFS-Client-Regelsatzes (nfsClient) unterscheidet sich von dem Verhalten anderer
Regelstze. Wenn der NFS-Client-Regelsatz aktiviert ist, sind alle ausgehenden TCP-Ports fr die Zielhosts in
der Liste der zulssigen IP-Adressen offen. Weitere Informationen hierzu finden Sie unter Verhalten des NFSClient-Regelsatzes, auf Seite 46.
Regelsatz-Konfigurationsdateien
Eine Regelsatz-Konfigurationsdatei enthlt Firewallregeln und beschreibt die Beziehung einer jeden Regel zu
Ports und Protokollen. Die Regelsatz-Konfigurationsdatei kann Regelstze fr mehrere Dienste enthalten.
Regelsatz-Konfigurationsdateien befinden sich im Verzeichnis /etc/vmware/firewall/. Um einen Dienst zum
Sicherheitsprofil des Hosts hinzuzufgen, knnen VMware-Partner ein VIB erstellen, das die Portregeln fr
den Dienst in einer Konfigurationsdatei enthlt. Die VIB-Authoring-Tools stehen VMware-Partnern zur Verfgung.
Das ruleset.xml-Format fr ESXi 5.x ist das gleiche wie in der Version 4.x von ESX und ESXi, weist aber zwei
zustzliche Tags auf: enabled und required. Die ESXi 5.x-Firewall untersttzt weiterhin das ruleset.xmlFormat fr 4.x.
Jeder Satz von Regeln fr einen Dienst in der Regelsatz-Konfigurationsdatei enthlt die folgenden Informationen.
n
Ein numerischer Bezeichner fr den Dienst, falls die Konfigurationsdatei mehr als einen Dienst enthlt.
Ein eindeutiger Bezeichner fr den Regelsatz, in der Regel der Name des Dienstes.
Fr jede Regel enthlt die Datei eine oder mehrere Portregeln, die jeweils eine Definition fr die Richtung,
das Protokoll, den Porttyp und die Portnummer oder einen Bereich von Portnummern enthalten.
Ein Flag, das angibt, ob der Dienst aktiviert oder deaktiviert ist, wenn der Regelsatz angewendet wird.
Ein Hinweis darauf, ob der Regelsatz erforderlich ist und nicht deaktiviert werden kann.
Beispiel: Regelsatz-Konfigurationsdatei
<ConfigRoot>
<service id='0000'>
<id>serviceName</id>
<rule id = '0000'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>80</port>
</rule>
<rule id='0001'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>src</porttype>
<port>
<begin>1020</begin>
<end>1050</end>
</port>
</rule>
<enabled>true</enabled>
<required>false</required>
</service>
</ConfigRoot>
VMware, Inc.
43
vSphere-Sicherheit
Zulassen oder Verweigern des Zugriffs auf einen ESXi -Dienst oder ManagementAgenten
Sie knnen die Eigenschaften der Firewall konfigurieren, um einem Dienst oder Verwaltungs-Agenten den
Zugriff zu ermglichen oder zu verweigern.
Sie fgen Informationen ber zulssige Dienste und Management-Agenten zur Hostkonfigurationsdatei hinzu. Sie knnen diese Dienste und Agenten mithilfe des vSphere-Clients oder der Befehlszeile aktivieren bzw.
deaktivieren.
HINWEIS Wenn sich die Portregeln verschiedener Dienste berschneiden, kann das Aktivieren eines Diensts
mglicherweise dazu fhren, dass weitere berschneidende Dienste implizit aktiviert werden. Zum Minimieren der Auswirkungen dieses Verhaltens knnen Sie angeben, welche IP-Adressen auf jeden Dienst auf dem
Host zugreifen drfen.
Vorgehensweise
1
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Whlen Sie den Host im Bestandslistenbereich aus.
Klicken Sie auf die Registerkarte [Konfiguration (Configuration)] und dann auf [Sicherheitsprofil
(Security Profile)] .
Der vSphere-Client zeigt eine Liste der aktiven eingehenden und ausgehenden Verbindungen mit den
entsprechenden Firewallports an.
Klicken Sie im Abschnitt Firewall auf [Eigenschaften] .

Im Dialogfeld Firewalleigenschaften werden alle Regelstze aufgelistet, die fr den Host konfiguriert
werden knnen.
Whlen Sie die zu aktivierenden Regelstze oder heben Sie die Auswahl der zu deaktivierenden Regelstze auf.
Die Spalten Eingehende Ports und Ausgehende Ports zeigen die Ports an, die der vSphere-Client fr
den Dienst freigibt. Die Spalte Protokoll gibt das Protokoll an, das der Dienst verwendet. Die Spalte
Daemon zeigt den Status der Daemons an, die dem Dienst zugewiesen wurden.
Klicken Sie auf [OK] .
Zulassen oder Verweigern des Zugriffs auf einen ESXi -Dienst oder ManagementAgenten mit vSphere Web Client
Sie knnen die Eigenschaften der Firewall konfigurieren, um einem Dienst oder Management-Agenten den
Zugriff zu ermglichen oder zu verweigern.
Sie fgen Informationen ber zulssige Dienste und Management-Agenten zur Hostkonfigurationsdatei hinzu. Sie knnen diese Dienste und Agenten mithilfe des vSphere-Clients oder der Befehlszeile aktivieren bzw.
deaktivieren.
HINWEIS Wenn sich die Portregeln verschiedener Dienste berschneiden, kann das Aktivieren eines Diensts
mglicherweise dazu fhren, dass weitere berschneidende Dienste implizit aktiviert werden. Zum Minimieren der Auswirkungen dieses Verhaltens knnen Sie angeben, welche IP-Adressen auf jeden Dienst auf dem
Host zugreifen drfen.
Vorgehensweise
44
Navigieren Sie zum Host im Navigator von vSphere Web Client.
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
VMware, Inc.
Klicken Sie auf [Sicherheitsprofil] .

Der vSphere-Client zeigt eine Liste der aktiven eingehenden und ausgehenden Verbindungen mit den
entsprechenden Firewallports an.
Klicken Sie im Abschnitt Firewall auf [Bearbeiten] .
Whlen Sie die zu aktivierenden Regelstze oder heben Sie die Auswahl der zu deaktivierenden Regelstze auf.
Die Spalten Eingehende Ports und Ausgehende Ports zeigen die Ports an, die der vSphere-Client fr
den Dienst freigibt. Die Spalte Protokoll gibt das Protokoll an, das der Dienst verwendet. Die Spalte
Daemon zeigt den Status der Daemons an, die dem Dienst zugewiesen wurden.
Hinzufgen von zulssigen IP-Adressen

Sie knnen angeben, welche Netzwerke eine Verbindung zu jedem Dienst herstellen drfen, der auf dem Host
ausgefhrt wird.
Sie knnen den vSphere-Client oder die Befehlszeile verwenden, um die Liste der zulssigen IP-Adressen fr
einen Dienst zu aktualisieren. Standardmig sind alle IP-Adressen zugelassen.
Vorgehensweise
1
Klicken Sie auf die Registerkarte [Konfiguration] und whlen Sie [Sicherheitsprofil] .
Whlen Sie einen Dienst in der Liste aus und klicken Sie auf [Firewall] .
Whlen Sie [Nur Verbindungen von den folgenden Netzwerken zulassen] und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host herstellen drfen.
Sie knnen die IP-Adressen in den folgenden Formaten eingeben: 192.168.0.0/24, 192.168.1.2, 2001::1/64
oder fd3e:29a6:0a81:e478::/64.
Hinzufgen zulssiger IP-Adressen im vSphere Web Client

Sie knnen angeben, welche Netzwerke eine Verbindung zu jedem Dienst herstellen drfen, der auf dem Host
ausgefhrt wird.
Sie knnen den vSphere-Client oder die Befehlszeile verwenden, um die Liste der zulssigen IP-Adressen fr
einen Dienst zu aktualisieren. Standardmig sind alle IP-Adressen zugelassen.
Vorgehensweise
1
Klicken Sie unter System auf [Sicherheitsprofil] .
Klicken Sie im Abschnitt Firewall auf [Bearbeiten] , und whlen Sie einen Dienst aus der Liste aus.
VMware, Inc.
45
vSphere-Sicherheit
Deaktivieren Sie im Abschnitt Zulssige IP-Adressen die Option [Verbindungen von jeder beliebigen
IP-Adresse zulassen] und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host
herstellen drfen.
Sie knnen die IP-Adressen in den folgenden Formaten eingeben: 192.168.0.0/24, 192.168.1.2, 2001::1/64
oder fd3e:29a6:0a81:e478::/64.
Verhalten des NFS-Client-Regelsatzes

Der NFS-Client-Regelsatz weist ein anderes Verhalten als der ESXi-Firewall-Regelsatz auf. ESXi konfiguriert
NFS-Client-Einstellungen, wenn Sie einen NFS-Datenspeicher mounten oder unmounten.
Wenn Sie einen NFS-Datenspeicher hinzufgen oder mounten, berprft ESXi den Status des NFS-Client
(nfsClient)-Firewall-Regelsatzes.
n
Wenn der NFS-Client-Regelsatz deaktiviert ist, aktiviert ESXi den Regelsatz und deaktiviert die Richtlinie
zum Zulassen aller IP-Adressen, indem das allowedAll-Flag auf FALSE gesetzt wird. Die IP-Adresse des
NFS-Servers wird der zugelassenen Liste fr ausgehende IP-Adressen hinzugefgt.
Wenn der NFS-Client-Regelsatz aktiviert ist, werden der Status des Regelsatzes und die Richtlinie zum
Zulassen von IP-Adressen nicht gendert. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste
fr ausgehende IP-Adressen hinzugefgt.
Wenn Sie einen NFS-Datenspeicher entfernen oder unmounten, fhrt ESXi eine der folgenden Aktionen durch.
n
Wenn ESXi auf einem beliebigen NFS-Datenspeicher gemountet wird, wird die IP-Adresse des nicht gemounteten NFS-Servers aus der Liste der zugelassenen ausgehenden IP-Adressen entfernt und der NFSClient-Regelsatz bleibt aktiviert.
Falls ESXi nicht in einem NFS-Datenspeicher gemountet ist, wird die IP-Adresse des nicht gemounteten
NFS-Servers aus der Liste der zugelassenen IP-Adressen entfernt und die NFS-Client-Regel wird deaktiviert.
HINWEIS Wenn Sie vor oder nach dem Hinzufgen eines NFS-Datenspeichers zum System den NFS-ClientRegelsatz manuell aktivieren oder die Richtlinie zum Zulassen aller IP-Adressen manuell festlegen, werden
Ihre Einstellungen nach dem Unmounten des letzten NFS-Datenspeichers berschrieben. Der NFS-ClientRegelsatz wird nach dem Unmounten aller NFS-Datenspeicher deaktiviert.
Automatisieren des Dienstverhaltens basierend auf Firewalleinstellungen

ESXi kann automatisieren, ob Dienste basierend auf dem Status von Firewallports gestartet werden.
Die Automatisierung sorgt dafr, dass die Dienste gestartet werden, wenn die Umgebung fr ihre Aktivierung
konfiguriert ist. Zum Beispiel kann die Situation vermieden werden, dass Dienste zwar gestartet werden, aber
ihre Aufgabe aufgrund von geschlossenen Ports nicht ausfhren knnen, indem ein Netzwerkdienst nur gestartet wird, wenn bestimmte Ports geffnet sind.
Die genaue Kenntnis der aktuellen Uhrzeit ist auerdem bei einigen Protokollen, z. B. Kerberos, erforderlich.
Der NTP-Dienst kann przise Zeitinformationen bereitstellen, doch dieser Dienst funktioniert nur, wenn die
bentigten Ports in der Firewall geffnet sind. Der Dienst kann seine Aufgabe nicht erfllen, wenn smtliche
Ports geschlossen sind. Der NTP-Dienst bietet eine Mglichkeit zum Konfigurieren der Bedingungen, unter
46
VMware, Inc.
denen der Dienst gestartet oder beendet werden kann. Diese Konfiguration umfasst Optionen, welche das
ffnen der entsprechenden Ports bercksichtigen, und startet und beendet den NTP-Dienst anschlieend basierend auf diesen Bedingungen. Es sind mehrere Konfigurationsoptionen mglich, die alle auch fr den SSHServer gelten.
HINWEIS Die in diesem Abschnitt beschriebenen Einstellungen gelten nur fr Diensteinstellungen, die ber
den vSphere-Client oder ber mithilfe der vSphere Web Services SDK erstellte Anwendungen konfiguriert
wurden. Konfigurationen, die mit anderen Mitteln, wie z. B. ESXi-Shell, erstellt werden, oder Konfigurationsdateien im Verzeichnis /etc/init.d/ sind von diesen Einstellungen nicht betroffen.
n
[Automatisch starten, wenn ein Port geffnet ist, und beenden, wenn alle Ports geschlossen sind] : Die
Standardeinstellung fr diese Dienste, die VMware empfiehlt. Falls ein beliebiger Port geffnet ist, versucht der Client die zum betreffenden Dienst gehrenden Netzwerkressourcen zu kontaktieren. Wenn
einige Ports geffnet sind, der Port fr einen bestimmten Dienst jedoch geschlossen ist, misslingt der
Versuch. Dies hat allerdings nur geringe Nachteile. Wird der zugehrige ausgehende Port geffnet, beginnt der Dienst mit der Erledigung seiner Aufgaben.
[Mit dem Host starten und beenden] : Der Dienst wird kurz nach dem Starten des Hosts gestartet und
kurz vor dessen Herunterfahren beendet. Ebenso wie [Automatisch starten, wenn ein Port geffnet ist,
und beenden, wenn alle Ports geschlossen sind] bedeutet diese Option, dass der Dienst regelmig
versucht, seine Aufgaben zu erledigen, z. B. das Kontaktieren des angegebenen NTP-Servers. Wenn der
Port geschlossen war, spter jedoch geffnet wird, beginnt der Client unmittelbar mit der Erledigung
seiner Aufgaben.
[Manuell starten und beenden] : Der Host bernimmt unabhngig davon, welche Ports offen oder geschlossen sind, die vom Benutzer festgelegten Diensteinstellungen. Wenn ein Benutzer den NTP-Dienst
startet, wird dieser Dienst so lange ausgefhrt, bis der Host ausgeschaltet wird. Wenn der Dienst gestartet
und der Host ausgeschaltet wird, wird der Dienst als Teil des Herunterfahrens beendet. Sobald der Host
jedoch eingeschaltet wird, wird auch der Dienst erneut gestartet, sodass der vom Benutzer festgelegte
Status beibehalten bleibt.
HINWEIS ESXi-Firewall legt basierend auf der Startrichtlinie des Diensts automatisch fest, wann Regelstze
aktiviert oder deaktiviert werden. Mit dem Start eines Diensts wird der entsprechende Regelsatz aktiviert. Mit
dem Beenden eines Diensts wird der Regelsatz deaktiviert.
Festlegen der Optionen fr das Starten von Diensten oder Clients

Standardmig werden daemon-Prozesse automatisch gestartet, sobald einer der Ports geffnet wird, und
automatisch gestoppt, sobald alle Ports geschlossen sind. Sie haben die Mglichkeit, diese Startrichtlinie fr
den ausgewhlten Dienst oder Client zu ndern.
Vorgehensweise
1
Klicken Sie auf die Registerkarte [Konfiguration (Configuration)] und dann auf [Sicherheitsprofil
(Security Profile)] .

Im Dialogfeld Firewall-Eigenschaften werden alle Dienste und Verwaltungs-Agenten aufgelistet, die
fr den Host konfiguriert werden knnen.
VMware, Inc.
47
vSphere-Sicherheit
Whlen Sie den zu konfigurierenden Dienst oder Management-Agenten aus und klicken Sie auf [Optionen] .
Das Dialogfeld Startrichtlinie legt fest, wann der Dienst gestartet wird. In diesem Dialogfeld finden Sie
auch Informationen zum aktuellen Status des Diensts und Optionen zum manuellen Starten, Beenden
und Neustarten des Diensts.
Whlen Sie in der Liste [Startrichtlinie] eine Richtlinie aus.
Festlegen der Optionen fr das Starten von Diensten oder Clients im

vSphere Web Client
Standardmig werden daemon-Prozesse automatisch gestartet, sobald einer der Ports geffnet wird, und
automatisch gestoppt, sobald alle Ports geschlossen sind. Sie haben die Mglichkeit, diese Startrichtlinie fr
den ausgewhlten Dienst oder Client zu ndern.
Vorgehensweise
1
Klicken Sie auf [Sicherheitsprofil] .
Klicken Sie im Abschnitt Dienste auf [Bearbeiten] .
Whlen Sie den Dienst oder Verwaltungs-Agenten zum Konfigurieren aus.
Whlen Sie in der Liste [Startrichtlinie] eine Richtlinie aus.
ESXi -Firewall-Befehle
Sie knnen mithilfe der Befehlszeile die ESXi-Firewall konfigurieren.
Firewall-Konfiguration mit der ESXi Shell

Die grafische Benutzeroberflche des vSphere-Client ist die bevorzugte Umgebung zur Durchfhrung mehrerer Konfigurationsaufgaben. Sie knnen jedoch die ESXi-Shell verwenden, um bei Bedarf ESXi in der Befehlszeile zu konfigurieren.
Tabelle 3-1. Firewall-Befehle
48
Befehl
Beschreibung
esxcli network firewall get
Gibt den aktivierten oder deaktivierten Status der Firewall

zurck und listet die Standardaktionen auf.
esxcli network firewall set --defaultaction
Standardaktionen aktualisieren.
esxcli network firewall set --enabled
Aktiviert bzw. deaktiviert die ESXi-Firewall.
esxcli network firewall load
Ldt die Firewallmodul- und Regelsatz-Konfigurationsdateien.
esxcli network firewall refresh
Aktualisiert die Firewall-Konfiguration durch das Einlesen

der Regelsatzdateien, wenn das Firewallmodul geladen ist.
esxcli network firewall unload
Lscht Filter und entldt das Firewallmodul.
esxcli network firewall ruleset list
Listet Informationen zu Regelstzen auf.
esxcli network firewall ruleset set --allowedall
Setzt das Flag allowedall.
esxcli network firewall ruleset set --enabled
Aktiviert bzw. deaktiviert den angegebenen Regelsatz.
VMware, Inc.
Tabelle 3-1. Firewall-Befehle (Fortsetzung)

Befehl
Beschreibung
esxcli network firewall ruleset allowedip list
Listet die zulssigen IP-Adressen des angegebenen Regelsatzes auf.
esxcli network firewall ruleset allowedip add
Ermglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
esxcli network firewall ruleset allowedip remove
Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
VMware, Inc.
49
vSphere-Sicherheit
50
VMware, Inc.
Verwenden der ESXi-Shell
Die ESXi-Shell (vormals Tech Support Mode oder TSM) ist auf ESXi standardmig deaktiviert. Sie knnen
bei Bedarf lokalen Zugriff und Remotezugriff auf die Shell aktivieren.
Aktivieren Sie die ESXi-Shell nur zur Fehlerbehebung. Die ESXi-Shell kann unabhngig davon, ob der Host
im Sperrmodus ausgefhrt wird, aktiviert und deaktiviert werden.
ESXi-Shell
Aktivieren Sie diesen Dienst, um lokal auf die ESXi-Shell zuzugreifen.
SSH
Aktivieren Sie diesen Dienst, um die ESXi-Shell remote ber SSH aufzurufen.
Die Benutzerschnittstelle der direkten Konsole

(Direct Console User Interface, DCUI)
Wenn Sie diesen Dienst im Sperrmodus aktivieren, knnen Sie sich lokal bei
der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface,
DCUI) als Benutzer mit dem DCUI-Zugriffsrecht anmelden und den Sperrmodus deaktivieren. Sie knnen anschlieend auf den Host zugreifen, indem
Sie die ESXi-Shell aktivieren.
Nur Benutzer mit der Administratorrolle knnen auf die ESXi-Shell zugreifen. Benutzern, die zur Active Directory-Gruppe ESX Admins gehren, wird automatisch die Rolle Administrator zugewiesen. Jeder Benutzer mit der Administratorrolle kann unter Verwendung der ESXi-Shell Systembefehle (z. B. vmware -v)
ausfhren.
HINWEIS Aktivieren Sie die ESXi-Shell erst dann, wenn dies erforderlich ist.
n
Verwenden des vSphere-Clients zum Aktivieren des Zugriffs auf die ESXi-Shell, auf Seite 51
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die ESXi-Shell, auf Seite 53
Verwenden der Benutzerschnittstelle der direkten Konsole (DCUI) fr den Zugriff auf die ESXiShell, auf Seite 55
Anmelden bei der ESXi Shell zur Fehlerbehebung, auf Seite 56
Verwenden des vSphere-Clients zum Aktivieren des Zugriffs auf die

ESXi-Shell
Verwenden des vSphere-Clients zum Aktivieren des lokalen und des Remotezugriffs auf die ESXi-Shell.
Vorgehensweise
1
VMware, Inc.
51
vSphere-Sicherheit
Klicken Sie im Abschnitt Dienste auf [Eigenschaften] .
Whlen Sie einen Dienst aus der Liste aus.
ESXi Shell
SSH
Benutzerschnittstelle der direkten Konsole
Klicken Sie auf [Optionen] und whlen Sie [Manuell starten und beenden] .
Wenn Sie [Manuell starten und beenden] whlen, wird der Dienst nicht gestartet, wenn Sie den Host
neu starten. Wenn Sie den Dienst beim Neustart des Hosts starten mchten, whlen Sie [Mit dem Host
starten und beenden] .
Whlen Sie [Starten] , um den Dienst zu aktivieren.
Weiter
Legen Sie die Zeitberschreitungswerte fr die Verfgbarkeits- und Leerlaufzeiten der ESXi-Shell fest.
Erstellen einer Zeitberschreitung fr die ESXi-Shell -Verfgbarkeit

Standardmig ist die ESXi-Shell deaktiviert. Sie knnen einen Zeitberschreitungswert fr die Verfgbarkeit
fr die ESXi-Shell festlegen, um die Sicherheit beim Aktivieren der Shell zu erhhen.
Der Zeitberschreitungswert fr die Verfgbarkeit gibt die Zeitspanne an, whrend der Sie sich nach der
Aktivierung der ESXi-Shell anmelden mssen. Nach Ablauf dieser Zeitspanne wird der Dienst deaktiviert und
die Benutzer knnen sich nicht mehr anmelden.
Vorgehensweise
1
Whlen Sie in der Bestandsliste den Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Whlen Sie unter Software die Option [Erweiterte Einstellungen] .
Whlen Sie im linken Fensterbereich [UserVars] .
Geben Sie im Feld UserVars.ESXiShellTimeOut den Zeitberschreitungswert fr die Verfgbarkeit ein.

Sie mssen den SSH-Dienst und den ESXi Shell-Dienst neu starten, damit die Einstellungen wirksam
werden.
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
Erstellen einer Zeitberschreitung fr ESXi-Shell -Sitzungen im Leerlauf

Wenn ein Benutzer die ESXi-Shell auf einem Host aktiviert, aber vergisst, sich von der Sitzung abzumelden,
bleibt die Sitzung im Leerlauf fr unbestimmte Zeit bestehen. Die offene Verbindung kann die Mglichkeit
fr einen privilegierten Zugriff auf den Host erhhen. Dies knnen Sie verhindern, indem Sie eine Zeitberschreitung fr Sitzungen im Leerlauf festlegen.
Der Zeitberschreitungswert fr die Leerlaufzeit gibt die Zeitspanne an, die verstreichen darf, bis Sie bei interaktiven Sitzungen, die sich im Leerlauf befinden, abgemeldet werden. nderungen an den Zeitberschreitungswerten fr die Leerlaufzeit werden erst wirksam, wenn Sie sich das nchste Mal bei der ESXi-Shell anmelden. Sie gelten nicht fr aktuelle Sitzungen.
52
VMware, Inc.
Kapitel 4 Verwenden der ESXi-Shell
Vorgehensweise
1
Whlen Sie in der Bestandsliste den Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Whlen Sie unter Software die Option [Erweiterte Einstellungen] .
Whlen Sie im linken Fensterbereich [UserVars] .
Geben Sie im Feld UserVars.ESXiShellInteractiveTimeOut den Zeitberschreitungswert fr die Verfgbarkeit ein.

werden.
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die
ESXi-Shell
Verwenden Sie den vSphere Web Client, um lokalen Zugriff und Remotezugriff auf die ESXi-Shell zu aktivieren.
Vorgehensweise
1
Klicken Sie im Bereich Dienste auf [Bearbeiten] .
Whlen Sie einen Dienst aus der Liste aus.
ESXi Shell
SSH
Klicken Sie auf [Dienstdetails] und whlen Sie die Startrichtlinie [Manuell starten und stoppen] aus.
Wenn Sie [Manuell starten und beenden] whlen, wird der Dienst nicht gestartet, wenn Sie den Host
neu starten. Wenn Sie den Dienst beim Neustart des Hosts starten mchten, whlen Sie [Mit dem Host
starten und beenden] .
Whlen Sie [Starten] , um den Dienst zu aktivieren.
Weiter
VMware, Inc.
53
vSphere-Sicherheit
Erstellen einer Zeitberschreitung fr die ESXi-Shell -Verfgbarkeit im

vSphere Web Client
Vorgehensweise
1
Klicken Sie unter System auf [Erweiterte Systemeinstellungen] .
Whlen Sie UserVars.ESXiShellTimeOut und klicken Sie auf das Symbol [Bearbeiten] .
Geben Sie den Zeitberschreitungswert fr den Leerlauf ein.

werden.
Erstellen einer Zeitberschreitung fr ESXi-Shell -Sitzungen im Leerlauf im

vSphere Web Client
Vorgehensweise
1
Klicken Sie unter System auf [Erweiterte Systemeinstellungen] .
Whlen Sie UserVars.ESXiShellTimeOut und klicken Sie auf das Symbol [Bearbeiten] .
Geben Sie den Zeitberschreitungswert fr den Leerlauf ein.

werden.
54
VMware, Inc.
Kapitel 4 Verwenden der ESXi-Shell
Verwenden der Benutzerschnittstelle der direkten Konsole (DCUI) fr

den Zugriff auf die ESXi-Shell
Mithilfe der Benutzerschnittstelle der direkten Konsole (DCUI) knnen Sie lokal unter Verwendung textbasierter Mens mit dem Hosts interagieren. Sie knnen die Benutzerschnittstelle der direkten Konsole verwenden, um den lokalen und den Remotezugriff auf die ESXi-Shell zu ermglichen.
HINWEIS nderungen am Host, die mit der Benutzerschnittstelle der direkten Konsole, dem vSphere-Client,
ESXCLI oder anderen Verwaltungs-Tools vorgenommen wurden, werden stndlich oder beim ordnungsgemen Herunterfahren des Systems dauerhaft gespeichert. nderungen knnen verlorengehen, falls der Host
ausfllt, bevor sie festgeschrieben wurden.
Vorgehensweise
1
Drcken Sie in Direct Console User Interface die Taste F2, um das Men fr die Systemanpassung aufzurufen.
Whlen Sie [Fehlerbehebungsoptionen] und drcken Sie die Eingabetaste.
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus einen Dienst aus, der aktiviert werden
soll.
n
Aktivieren von ESXi Shell
Aktivieren von SSH
Drcken Sie die Eingabetaste, um den Dienst zu starten.
Drcken Sie die Esc-Taste wiederholt, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
Weiter
Erstellen einer Zeitberschreitung fr die ESXi-Shell -Sitzungen im Leerlauf

Vorgehensweise
1
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus die Option [ESXi Shell- und SSHZeitberschreitungen ndern] aus und drcken Sie die Eingabetaste.
Geben Sie den Zeitberschreitungswert fr die Leerlaufzeit ein.

werden.
VMware, Inc.
Drcken Sie wiederholt die Eingabetaste und die Esc-Taste, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
55
vSphere-Sicherheit
Erstellen einer Zeitberschreitung fr die ESXi-Shell -Verfgbarkeit in der

Vorgehensweise
1
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus die Option [ESXi Shell- und SSHZeitberschreitungen ndern] aus und drcken Sie die Eingabetaste.
Geben Sie den Zeitberschreitungswert fr die Verfgbarkeit ein.

werden.
Drcken Sie wiederholt die Eingabetaste und die Esc-Taste, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
Anmelden bei der ESXi Shell zur Fehlerbehebung

ESXi-Konfigurationsaufgaben knnen Sie ber den vSphere-Client oder die vSphere-CLI durchfhren. Melden
Sie sich bei der ESXi-Shell (vormals Support-Modus oder TSM) nur zwecks Fehlerbehebung an.
Vorgehensweise
1
56
Melden Sie sich an der ESXi-Shell mit einer der folgenden Methoden an:
n
Wenn Sie direkten Zugriff auf den Host haben, drcken Sie Alt+F1, um den Anmeldebildschirm auf
der physischen Konsole der Maschine aufzurufen.
Wenn Sie eine Verbindung mit dem Host remote herstellen, verwenden Sie SSH oder eine andere
Remote-Konsolenverbindung, um eine Sitzung auf dem Host zu starten.
Geben Sie einen Benutzernamen und ein Kennwort ein, die vom Host erkannt werden.
VMware, Inc.
Sperrmodus
Um die Sicherheit von ESXi-Hosts zu verbessern, knnen Sie diese in den Sperrmodus versetzen.
Wenn Sie den Sperrmodus aktivieren, hat kein Benutzer auer vpxuser Authentifizierungsberechtigungen
oder kann Vorgnge direkt am Host vornehmen. Der Sperrmodus sorgt dafr, dass alle Vorgnge ber
vCenter Server durchgefhrt werden.
Wenn sich ein Host im Sperrmodus befindet, knnen Sie fr den Host keine vSphere-CLI-Befehle von einem
Verwaltungsserver, einem Skript oder von vMA aus ausfhren. Externe Software- oder Verwaltungstools
knnen mglicherweise keine Informationen vom ESXi-Host abrufen oder ndern.
HINWEIS Benutzer die zum DCUI-Zugriff berechtigt sind, knnen sich bei der Benutzerschnittstelle der direkten Konsole (DCUI) anmelden, wenn der Sperrmodus aktiviert ist. Wenn Sie den Sperrmodus ber die
Benutzerschnittstelle der direkten Konsole deaktivieren, wird allen Benutzern mit DCUI-Zugriffsrecht die
Administratorrolle auf dem Host erteilt. Sie erteilen das DCUI-Zugriffsrecht in den erweiterten Einstellungen.
Das Aktivieren oder Deaktivieren des Sperrmodus wirkt sich darauf aus, welche Benutzertypen berechtigt
sind, auf Hostdienste zuzugreifen, es hat jedoch keine Auswirkung auf die Verfgbarkeit dieser Dienste. Dies
bedeutet, dass bei Aktivierung der Dienste ESXi-Shell, SSH oder Direct Console User Interface (DCUI) diese
unabhngig davon ausgefhrt werden, ob sich der Host im Sperrmodus befindet.
Sie knnen den Sperrmodus aktivieren, indem Sie mithilfe des Assistenten zum Hinzufgen von Hosts dem
vCenter Servereinen Host hinzufgen, den vSphere-Client zum Verwalten eines Hosts verwenden oder die
Benutzerschnittstelle der direkten Konsole nutzen.
HINWEIS Wenn Sie den Sperrmodus ber die Direct Console User Interface (DCUI) aktivieren bzw. deaktivieren, werden Berechtigungen fr Benutzer und Gruppen auf dem Host verworfen. Um diese Berechtigungen
beizubehalten, mssen Sie den Sperrmodus mithilfe des vSphere-Clients aktivieren oder deaktivieren, der mit
vCenter Server verbunden ist.
Der Sperrmodus ist nur auf ESXi-Hosts verfgbar, die zu vCenter Server hinzugefgt wurden.
n
Verhalten im Sperrmodus, auf Seite 58
Sperrmodus-Konfigurationen, auf Seite 58
Aktivieren des Sperrmodus ber den vSphere-Client, auf Seite 59
Aktivieren des Sperrmodus ber vSphere Web Client, auf Seite 59
Aktivieren des Sperrmodus ber die Benutzerschnittstelle der direkten Konsole, auf Seite 60
VMware, Inc.
57
vSphere-Sicherheit
Verhalten im Sperrmodus
Die Aktivierung des Sperrmodus wirkt sich darauf aus, welche Benutzer berechtigt sind, auf Hostdienste
zuzugreifen.
Benutzer, die bei der ESXi-Shell vor dem Aktivieren des Sperrmodus angemeldet waren, bleiben angemeldet
und knnen Befehle ausfhren. Allerdings knnen diese Benutzer den Sperrmodus nicht deaktivieren. Kein
anderer Benutzer, auch nicht Root-Benutzer oder Benutzer mit der Administratorrolle auf dem Host, kann die
ESXi-Shell verwenden, um sich bei einem Host anzumelden, der sich im Sperrmodus befindet.
Benutzer mit Administratorrechten auf dem vCenter Server-System knnen mithilfe des vSphere-Clients den
Sperrmodus fr Hosts deaktivieren, die vom vCenter Server-System verwaltet werden. Benutzer mit DCUIZugriffsrecht knnen sich mithilfe der Benutzerschnittstelle der direkten Konsole (DCUI) immer direkt beim
Host anmelden, um den Sperrmodus zu deaktivieren, selbst wenn der Benutzer nicht ber die Administratorrolle auf dem Host verfgt. Sie mssen das DCUI-Zugriffsrecht in den erweiterten Einstellungen festlegen.
HINWEIS Wenn Sie den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole deaktivieren, wird
allen Benutzern mit DCUI-Zugriffsrecht die Administratorrolle auf dem Host erteilt.
Root-Benutzer und Benutzer mit der Administratorrolle auf dem Host knnen sich mithilfe der DCUI nicht
direkt beim Host anmelden, wenn ihnen das DCUI-Zugriffsrecht nicht erteilt wurde. Wenn der Host nicht von
vCenter Server verwaltet wird oder nicht erreichbar ist, knnen sich nur die Benutzer mit DCUI-Zugriff bei
der DCUI anmelden und den Sperrmodus deaktivieren. Wenn der DCUI-Dienst beendet wurde, mssen Sie
ESXi erneut installieren.
Wenn der Host im Sperrmodus ausgefhrt wird, sind - im Gegensatz zum normalen Modus - je nach Benutzertyp verschiedene Dienste verfgbar. Nicht-Root-Benutzer drfen keine Systembefehle in ESXi Shell ausfhren.
Tabelle 5-1. Verhalten im Sperrmodus
Dienst
Normaler Modus
Sperrmodus
vSphere WebServices API
Alle Benutzer, basierend auf ESXi-Berechtigungen
nur vCenter (vpxuser)
CIM-Anbieter
Root-Benutzer und Benutzer mit der

Admin-Rolle auf dem Host
nur vCenter (Ticket)
Die Benutzerschnittstelle der direkten

Konsole (Direct Console User Interface,
DCUI)
Benutzer mit der Admin-Rolle auf

dem Host und Benutzer mit dem Recht
DCUI-Zugriff
Benutzer mit dem Recht DCUI-Zugriff
ESXi Shell

dem Host
Keine Benutzer
SSH

dem Host
Keine Benutzer
Sperrmodus-Konfigurationen
Sie knnen den Remotezugriff und den lokalen Zugriff auf die ESXi-Shell aktivieren oder deaktivieren, um
verschiedene Sperrmodus-Konfigurationen zu erstellen.
In der folgenden Tabelle wird aufgelistet, welche Dienste bei drei typischen Konfigurationen aktiviert sind.
VORSICHT Wenn Sie whrend der Ausfhrung des totalen Sperrmodus (Total Lockdown Mode) den Zugriff
auf vCenter Server verlieren, mssen Sie ESXi neu installieren, um Zugriff auf den Host zu erhalten.
58
VMware, Inc.
Kapitel 5 Sperrmodus
Tabelle 5-2. Sperrmodus-Konfigurationen

Dienst
Standardkonfiguration
Empfohlene Konfiguration
Sperrmodus- (Total Lockdown-)Konfiguration
Sperre
Aus
Ein
Ein
ESXi Shell
Aus
Aus
Aus
SSH
Aus
Aus
Aus
Die Benutzerschnittstelle der

direkten Konsole (Direct
Console User Interface,
DCUI)
Ein
Ein
Aus
Aktivieren des Sperrmodus ber den vSphere-Client

Aktivieren Sie den Sperrmodus, damit alle Konfigurationsnderungen vCenter Server durchlaufen mssen.
Sie knnen den Sperrmodus auch ber die Benutzerschnittstelle der direkten Konsole (DCUI) aktivieren bzw.
deaktivieren.
Vorgehensweise
1
Klicken Sie neben Sperrmodus auf den Link [Bearbeiten] .

Das Dialogfeld Sperrmodus wird angezeigt.
Whlen Sie [Aktivieren von Sperrmodus] .
Aktivieren des Sperrmodus ber vSphere Web Client

Aktivieren Sie den Sperrmodus, damit alle Konfigurationsnderungen vCenter Server durchlaufen mssen.
Sie knnen den Sperrmodus auch ber die Benutzerschnittstelle der direkten Konsole (DCUI) aktivieren bzw.
deaktivieren.
Vorgehensweise
1
Klicken Sie im Bereich Sperrmodus auf [Bearbeiten] .
Whlen Sie [Aktivieren von Sperrmodus] .
VMware, Inc.
59
vSphere-Sicherheit
Aktivieren des Sperrmodus ber die Benutzerschnittstelle der direkten

Konsole
Sie knnen den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface,
DCUI) aktivieren.
HINWEIS Wenn Sie den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole aktivieren bzw.
deaktivieren, werden Berechtigungen fr Benutzer und Gruppen auf dem Host verworfen. Um diese Berechtigungen beizubehalten, mssen Sie den Sperrmodus mithilfe des vSphere-Client aktivieren oder deaktivieren,
der mit vCenter Server verbunden ist.
Vorgehensweise
60
Drcken Sie F2 an der Benutzerschnittstelle der direkten Konsole des Hosts und melden Sie sich an.
Blttern Sie zur Einstellung [Sperrmodus konfigurieren] und drcken Sie die Eingabetaste.
Drcken Sie die Esc-Taste wiederholt, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
VMware, Inc.
ESXi -Authentifizierung und

Benutzerverwaltung
ESXi steuert die Benutzerauthentifizierung und untersttzt Benutzerberechtigungen.

ESXi 5.1 ist nicht in vCenter Single Sign On integriert und Sie knnen keine ESXi-Benutzer mit dem
vSphere Web Client anlegen. Sie mssen ESXi-Benutzer mit dem vSphere-Client erstellen und verwalten.
vCenter Server kennt keine lokalen Benutzer von ESXi und ESXi kennt die vCenter Server-Benutzer nicht. Sie
knnen aber Single Sign On so konfigurieren, dass eine Active Directory-Domne als Identittsquelle verwendet wird, und ESXi so einstellen, dass es auf dieselbe Active Directory-Domne zeigt, um Benutzer- und
Gruppeninformationen zu erhalten. Diese Aktion ermglicht es, dass dieselbe Benutzergruppe fr den Host
und vCenter Server verfgbar ist. Informationen ber vCenter Single Sign On finden Sie unter Konfigurieren
von vCenter Single Sign On, auf Seite 95.
n
Verwalten von Benutzern mit dem vSphere-Client, auf Seite 61
Kennwortanforderungen, auf Seite 64
Zuweisen der Berechtigungen fr ESXi, auf Seite 65
Zuweisen von ESXi-Rollen, auf Seite 77
Verwenden von Active Directory zum Verwalten von Benutzern und Gruppen, auf Seite 80
Verwenden des vSphere Authentication Proxy, auf Seite 83
Verwalten von Benutzern mit dem vSphere-Client

Ein Benutzer ist eine Person, die dazu autorisiert ist, sich bei ESXi oder vCenter Server anzumelden.
In vSphere 5.1 unterliegt die Verwaltung von ESXi-Benutzern folgenden Einschrnkungen.
n
Sie knnen keine ESXi-Benutzer mit dem vSphere Web Client erstellen. Sei mssen sich mit dem vSphereClient direkt beim Host anmelden, um ESXi-Benutzer zu erstellen.
n
ESXi 5.1 untersttzt keine lokalen Gruppen. Active Directory-Gruppen werden jedoch untersttzt.
Damit anonyme Benutzern wie root nicht ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) oder die ESXi Shell auf den Host zugreifen knnen, entfernen Sie die Administratorrechte des Benutzers vom Root-Ordner des Hosts. Dies gilt sowohl fr lokale Benutzer als auch fr Active
Directory-Benutzer und -Gruppen.
VMware, Inc.
61
vSphere-Sicherheit
Hinzufgen eines lokalen ESXi-Benutzers

Wenn Sie einen Benutzer zur Tabelle Benutzer hinzufgen, wird die vom Host verwaltete, interne Benutzerliste aktualisiert.
Voraussetzungen
Lesen Sie die Kennwortanforderungen unter Kennwortanforderungen, auf Seite 64.
Vorgehensweise
1
Melden Sie sich ber den vSphere-Client bei ESXi an.

Sie knnen keine ESXi-Benutzer mit dem vSphere Web Client erstellen. Sie mssen sich mit dem vSphereClient direkt beim Host anmelden, um ESXi-Benutzer zu erstellen.
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Tabelle Benutzer und klicken Sie
auf [Hinzufgen] .
Geben Sie fr die Anmeldung einen Benutzernamen und ein Kennwort ein.
HINWEIS Erstellen Sie keinen Benutzer mit dem Namen ALL. Berechtigungen, die dem Namen ALL zugewiesen sind, stehen mglicherweise in manchen Situationen nicht allen Benutzern zur Verfgung. Wenn
beispielsweise ein Benutzer mit dem Namen ALL Administratorberechtigungen besitzt, ist es mglich, dass
sich ein Benutzer mit ReadOnly-Berechtigungen remote beim Host anmelden kann. Dies ist nicht das
beabsichtigte Verhalten.
Die Angabe des Benutzernamens und der ID sind optional.
Erstellen Sie ein Kennwort, das den Anforderungen in Bezug auf die Lnge und Komplexitt entspricht. Der Host berprft die Einhaltung der Kennwortrichtlinien mithilfe des Standardauthentifizierungs-Plug-Ins pam_passwdqc.so. Falls das Kennwort nicht den Richtlinien entspricht, wird der
folgende Fehler angezeigt: Ein allgemeiner Systemfehler ist aufgetreten: Kennwort: Authentifizierungstoken-Manipulationsfehler.
ESXi 5.1 untersttzt keine lokalen Gruppen.
ndern der Einstellungen fr einen Benutzer auf dem Host

Sie knnen die Benutzer-ID, den Benutzernamen und das Kennwort eines Benutzers ndern.
Voraussetzungen
Lesen Sie die Kennwortanforderungen unter Kennwortanforderungen, auf Seite 64.
Vorgehensweise
1

Sie knnen keine ESXi-Benutzer mit dem vSphere Web Client erstellen. Sei mssen sich mit dem vSphereClient direkt beim Host anmelden, um ESXi-Benutzer zu erstellen.
62
Klicken Sie mit der rechten Maustaste auf den Benutzer und klicken Sie zum ffnen des Dialogfelds
Benutzer bearbeiten auf [Bearbeiten] .
VMware, Inc.
Kapitel 6 ESXi -Authentifizierung und Benutzerverwaltung
Geben Sie fr die Anmeldung einen Benutzernamen und ein Kennwort ein.
HINWEIS Erstellen Sie keinen Benutzer mit dem Namen ALL. Berechtigungen, die dem Namen ALL zugewiesen sind, stehen mglicherweise in manchen Situationen nicht allen Benutzern zur Verfgung. Wenn
beispielsweise ein Benutzer mit dem Namen ALL Administratorberechtigungen besitzt, ist es mglich, dass
sich ein Benutzer mit ReadOnly-Berechtigungen remote beim Host anmelden kann. Dies ist nicht das
beabsichtigte Verhalten.
Die Angabe des Benutzernamens und der ID sind optional.
Erstellen Sie ein Kennwort, das den Anforderungen in Bezug auf die Lnge und Komplexitt entspricht. Der Host berprft die Einhaltung der Kennwortrichtlinien mithilfe des Standardauthentifizierungs-Plug-Ins pam_passwdqc.so. Falls das Kennwort nicht den Richtlinien entspricht, wird der
folgende Fehler angezeigt: Ein allgemeiner Systemfehler ist aufgetreten: Kennwort: Authentifizierungstoken-Manipulationsfehler.
ESXi 5.1 untersttzt keine lokalen Gruppen.
Entfernen eines lokalen ESXi-Benutzers von einem Host

Sie knnen einen lokalen ESXi-Benutzer von dem Host entfernen.
VORSICHT Entfernen Sie den Root-Anwender nicht.
Wenn Sie einen Benutzer vom Host entfernen, verliert er seine Berechtigungen fr alle Objekte auf dem Host
und kann sich nicht mehr anmelden.
HINWEIS Angemeldete Benutzer, die aus der Domne entfernt werden, behalten ihre Hostberechtigungen bis
zum nchsten Neustart des Hosts.
Vorgehensweise
1
Klicken Sie mit der rechten Maustaste auf den zu entfernenden Benutzer und whlen Sie [Entfernen] .
Entfernen Sie den Root-Benutzer in keinem Fall.
Sortieren, Exportieren und Anzeigen von lokalen ESXi -Benutzern

Sie knnen Listen mit den lokalen Benutzern eines Hosts anzeigen, sortieren und in eine Datei im HTML-,
XML-, Microsoft Excel- oder CSV-Format exportieren.
Vorgehensweise
1
VMware, Inc.
63
vSphere-Sicherheit
Legen Sie die Sortierreihenfolge der Tabelle fest, und blenden Sie Spalten ein oder aus, je nachdem, welche
Daten in der Exportdatei enthalten sein sollen.
n
Wenn Sie die Tabelle nach einer Spalte sortieren mchten, klicken Sie auf die entsprechende Spaltenberschrift.
Wenn Sie eine Spalte einoder ausblenden mchten, klicken Sie mit der rechten Maustaste auf eine
der Spaltenberschriften, und aktivieren oder deaktivieren Sie den Namen der Spalte, die Sie einoder ausblenden mchten.
Wenn Sie eine Spalte einoder ausblenden mchten, klicken Sie mit der rechten Maustaste auf eine
der Spaltenberschriften, und aktivieren oder deaktivieren Sie den Namen der Spalte, die Sie einoder ausblenden mchten.
Klicken Sie mit der rechten Maustaste an eine beliebigen Stelle in der Tabelle und klicken Sie dann zum
ffnen des Dialogfelds Speichern unter auf [Liste exportieren] .
Whlen Sie ein Verzeichnis aus, und geben Sie einen Dateinamen ein.
Whlen Sie den Dateityp aus und klicken Sie auf [OK] .
Kennwortanforderungen
Standardmig werden fr Benutzerkennwrter bestimmte Anforderungen von ESXi vorausgesetzt.
Kennwrter sollten Zeichen aus vier Zeichenklassen enthalten: Kleinbuchstaben, Grobuchstaben, Ziffern und
Sonderzeichen, wie z. B. Unter- oder Schrgstriche.
Ihr Benutzerkennwort muss die folgenden Lngenanforderungen erfllen.
n
Kennwrter mit Zeichen aus einer oder zwei Zeichenklassen mssen mindestens acht Zeichen lang sein.
Kennwrter mit Zeichen aus drei Zeichenklassen mssen mindestens sieben Zeichen lang sein.
Kennwrter mit Zeichen aus allen vier Zeichenklassen mssen mindestens sechs Zeichen lang sein.
HINWEIS Wenn ein Kennwort mit einem Grobuchstaben beginnt, wird dieser bei der Berechnung der verwendeten Zeichenklassen nicht bercksichtigt. Endet ein Kennwort mit einer Ziffer, wird diese bei der Berechnung der verwendeten Zeichenklassen ebenfalls nicht bercksichtigt.
Sie knnen auch einen Kennwortsatz verwenden, der mindestens drei Wrter mit einer Zeichenlnge von
jeweils 8 bis 40 Zeichen enthalten muss.
Beispiel: Erstellen annehmbarer Kennwrter

Die folgenden Beispielkennwrter entsprechen den Anforderungen von ESXi.
n
xQaTEhbU: Enthlt acht Zeichen aus zwei Zeichenklassen.
xQaT3pb: Enthlt sieben Zeichen aus drei Zeichenklassen.
xQaT3#: Enthlt sechs Zeichen aus vier Zeichenklassen.
Die folgenden Beispielkennwrter entsprechen nicht den Anforderungen von ESXi.
64
Xqat3hb: Beginnt mit einem Grobuchstaben, sodass nur zwei anstelle von drei Zeichenklassen bercksichtigt werden. Bei Verwendung von zwei Zeichenklassen muss das Kennwort jedoch acht Zeichen enthalten.
xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen bercksichtigt werden.
Bei Verwendung von zwei Zeichenklassen muss das Kennwort jedoch acht Zeichen enthalten.
VMware, Inc.
Zuweisen der Berechtigungen fr ESXi

Fr ESXi werden Berechtigungen als Zugriffsrollen definiert, die aus einem Benutzer und der dem Benutzer
zugewiesenen Rolle fr ein Objekt bestehen, wie z. B. einer virtuellen Maschine oder einem ESXi-Host. Berechtigungen geben Benutzern das Recht, die von der Rolle definierten Aktivitten auf dem Objekt auszufhren, dem die Rolle zugeordnet wurde.
Wenn ein Benutzer beispielsweise Arbeitsspeicher fr den Host konfigurieren mchte, bentigt er eine Rolle,
die das Recht Host.Konfiguration.Arbeitsspeicherkonfiguration enthlt. Indem Sie Benutzern verschiedene
Rollen fr verschiedene Objekte zuweisen, knnen Sie steuern, welche Aufgaben Benutzer in Ihrer vSphereUmgebung ausfhren knnen.
Beim direkten Verbinden mit einem Host unter Verwendung des vSphere-Clients besitzen die Benutzerkonten
root und vpxuser dieselben Zugriffsrechte auf alle Objekte wie jeder Benutzer mit der Rolle Administrator.
Alle anderen Benutzer haben zunchst keine Berechtigungen fr Objekte, d. h., sie knnen weder Objekte
anzeigen noch Vorgnge an ihnen durchfhren. Ein Benutzer mit Administratorrechten muss diesen Benutzern Rechte zuweisen, damit sie Aufgaben durchfhren knnen.
Viele Aufgaben erfordern Berechtigungen fr mehr als ein Objekt. Diese Regeln knnen Ihnen dabei helfen zu
entscheiden, wo Sie Berechtigungen zuweisen mssen, um bestimmte Vorgnge zuzulassen:
n
Jeder Vorgang, der Speicherplatz bentigt, wie z. B. das Erstellen einer virtuellen Festplatte oder eines
Snapshots, erfordert das Recht Datenspeicher.Speicher zuteilen auf dem Zieldatenspeicher und das
Recht, den Vorgang selbst durchzufhren.
Das Verschieben eines Objekts in der Bestandslistenhierarchie erfordert entsprechende Berechtigungen

auf dem Objekt selbst, dem bergeordneten Quellobjekt (z. B. einem Ordner oder Cluster) und dem bergeordneten Zielobjekt.
Jeder Host und Cluster hat seinen eigenen impliziten Ressourcenpool, der alle Ressourcen des Hosts oder
Clusters enthlt. Das direkte Bereitstellen einer virtuellen Maschine auf einen Host oder Cluster erfordert
das Recht Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen.
Die Liste der Rechte ist fr ESXi und vCenter Server identisch.
Sie knnen ber eine direkte Verbindung mit dem ESXi-Host Rollen erstellen und Berechtigungen festlegen.
Zulassen des Zugriffs auf die Benutzerschnittstelle der direkten Konsole (DCUI)
fr Hosts im Sperrmodus
Sie knnen festlegen, welche Benutzer sich bei einem Host anmelden knnen, der sich im Sperrmodus befindet.
Benutzer mit DCUI-Zugriff bentigen keine vollstndigen Administratorrechte auf dem Host. Sie erteilen das
DCUI-Zugriffsrecht in den erweiterten Einstellungen.
Bei Versionen von vSphere vor vSphere 5.1 kann sich der Root-Benutzer bei der DCUI auf einem Host anmelden, der sich im Sperrmodus befindet. In vSphere 5.1 knnen Sie angeben, welche lokalen ESXi-Benutzer sich
bei der DCUI anmelden drfen, wenn sich der Host im Sperrmodus befindet. Diese speziellen Benutzer bentigen keine vollstndigen Administratorrechte auf dem Host. Wenn Sie andere Benutzer als den anonymen
Root-Benutzer angeben, knnen Sie protokollieren, welche Benutzer Vorgnge auf dem Host ausgefhrt haben, whrend sich dieser im Sperrmodus befand.
WICHTIG Wenn Sie den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole deaktivieren, wird
allen Benutzern mit DCUI-Zugriffsrecht die Administratorrolle auf dem Host erteilt.
Vorgehensweise
1
VMware, Inc.
Navigieren Sie zum Host im Objektnavigator von vSphere Web Client.
65
vSphere-Sicherheit
Whlen Sie die Registerkarte [Verwalten] und klicken Sie auf [Einstellungen] .
Klicken Sie auf [Erweiterte Systemeinstellungen] , und whlen Sie die Einstellung [DCUI-Zugriff] .
Klicken Sie auf [Bearbeiten] , um die Benutzernamen durch Kommas getrennt einzugeben.
Standardmig wird der Root-Benutzer angegeben. Sie knnen den Root-Benutzer von der Liste der Benutzer mit DCUI-Zugriff entfernen, vorausgesetzt, Sie legen wenigstens einen weiteren Benutzer fest.
Hierarchische Vererbung von Berechtigungen

Wenn Sie einem Objekt eine Berechtigung zuweisen, knnen Sie auswhlen, ob die Berechtigung ber die
Objekthierarchie nach unten weitergegeben wird. Sie legen die Weitergabe fr jede Berechtigung fest. Die
Weitergabe wird nicht allgemein angewendet. Fr ein untergeordnetes Objekt definierte Berechtigungen setzen immer die von bergeordneten Objekten vererbten Berechtigungen auer Kraft.
In dieser Abbildung werden die vSphere-Bestandslistenhierarchie und die Pfade dargestellt, ber die Berechtigungen weitergegeben werden knnen.
66
VMware, Inc.
Abbildung 6-1. vSphere-Bestandslistenhierarchie

Root-Ordner
Datencenter-Ordner
Datencenter
VM-Ordner
Host-Ordner
Vorlage
Host
Netzwerkordner
StandardSwitch
Ressourcenpool
Cluster
virtuelle
Maschine
Ressourcenpool
vDS
verteilte
Portgruppe
Datenspeicherordner
Datenspeicher
DatenspeicherCluster
virtuelle
Maschine
vApp
vApp
virtuelle
Maschine
vApp
Ressourcenpool
virtuelle
Maschine
Die meisten Bestandslistenobjekte bernehmen Berechtigungen von einem einzelnen bergeordneten Objekt
in der Hierarchie. Beispielweise bernimmt ein Datenspeicher Berechtigungen entweder vom bergeordneten
Datencenter-Ordner oder vom bergeordneten Datencenter. Virtuelle Maschinen bernehmen Berechtigungen sowohl von dem bergeordneten Ordner der virtuellen Maschine als auch vom bergeordneten Host,
Cluster oder Ressourcenpool. Sie mssen zum Einschrnken der Berechtigungen eines Benutzers auf einer
virtuellen Maschine Rechte auf dem bergeordneten Ordner und dem bergeordneten Host, Cluster oder
Ressourcenpool fr die virtuelle Maschine festlegen.
VMware, Inc.
67
vSphere-Sicherheit
Legen Sie zum Festlegen von Berechtigungen fr einen Distributed Switch und seine zugewiesenen verteilten
Portgruppen Berechtigungen auf einem bergeordneten Objekt fest, z. B. auf einem Ordner oder Datencenter.
Sie mssen auch die Option zum Weitergeben dieser Berechtigungen an untergeordnete Objekte whlen.
Berechtigungen nehmen in der Hierarchie verschiedene Formen an:
Verwaltete Instanzen
Globale Instanzen
Sie knnen Berechtigungen auf verwalteten Elemente definieren.

n
Cluster
Datencenter
Datenspeicher
Datenspeicher-Cluster
Ordner
Hosts
Netzwerke (auer vSphere Distributed Switches)
Verteilte Portgruppen
Ressourcenpools
Vorlagen
Virtuelle Maschinen
vSphere-vApps
Globale Elemente erhalten ihre Berechtigungen vom vCenter Server-Root-System.

n
Benutzerdefinierte Felder
Lizenzen
Rollen
Statistikintervalle
Sitzungen
Einstellungen fr Mehrfachberechtigungen
Objekte knnen ber mehrere Berechtigungen verfgen, jedoch nur ber eine Berechtigung fr jeden Benutzer
bzw. jede Gruppe.
Einem untergeordneten Objekt zugewiesene Berechtigungen setzen Berechtigungen, die bergeordneten Objekten zugewiesen wurden, immer auer Kraft. Ordner und Ressourcenpools der virtuellen Maschine sind
gleichwertige Ebenen in der Hierarchie. Wenn einem Benutzer oder einer Gruppe Berechtigungen, die weitergegeben werden, auf einem Ordner der virtuellen Maschine und seinem Ressourcenpool zugewiesen werden, werden dem Benutzer die Berechtigungen vom Ressourcenpool und vom Ordner weitergegeben.
Wenn fr das gleiche Objekt mehrere Gruppenberechtigungen definiert sind und der Benutzer mindestens
zwei dieser Gruppen angehrt, gibt es zwei mgliche Situationen:
68
Wenn dem Benutzer fr dieses Objekt keine Berechtigungen gewhrt wurden, wird dem Benutzer der
Satz an Berechtigungen zugewiesen, der den Gruppen fr dieses Objekt zugewiesen wurden.
Wenn dem Benutzer eine Berechtigung fr das Objekt gewhrt wurde, hat diese Berechtigung Vorrang
vor allen Gruppenberechtigungen.
VMware, Inc.
Beispiel 1: Vererbung von mehreren Berechtigungen

Dieses Beispiel zeigt, wie ein Objekt mehrere Berechtigungen von Gruppen bernehmen kann, die auf einem
bergeordneten Objekt Berechtigungen erhalten haben.
In diesem Beispiel werden zwei verschiedenen Gruppen zwei Berechtigungen fr das gleiche Objekt zugewiesen.
n
Rolle 1 kann virtuelle Maschinen einschalten.
Rolle 2 kann Snapshots von virtuellen Maschinen erstellen.
Gruppe A wird Rolle 1 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Gruppe B wird Rolle 2 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Benutzer 1 wird keine bestimmte Berechtigung zugewiesen.
Benutzer 1, der den Gruppen A und B angehrt, meldet sich an. Benutzer 1 kann sowohl VM A als auch VM
B einschalten und Snapshots erstellen.
Abbildung 6-2. Beispiel 1: Vererbung von mehreren Berechtigungen
Gruppe A + Rolle 1
Gruppe B + Rolle 2
VM-Ordner
VM A
Benutzer 1 hat Berechtigungen

fr Rolle 1 und Rolle 2
VM B
Beispiel 2: Untergeordnete Berechtigungen, die bergeordnete Berechtigungen

auer Kraft setzen
Dieses Beispiel zeigt, wie Berechtigungen, die einem untergeordneten Objekt zugewiesen wurden, die Berechtigungen, die einem bergeordneten Objekt zugewiesen wurden, auer Kraft setzen. Sie knnen dieses
Verhalten dazu verwenden, um den Benutzerzugriff auf bestimmte Bereiche der Bestandsliste einzuschrnken.
In diesem Beispiel werden zwei verschiedenen Gruppen Berechtigungen fr zwei verschiedene Objekte zugewiesen.
n
Rolle 2 kann Snapshots von virtuellen Maschinen erstellen.
Gruppe A wird Rolle 1 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Gruppe B wird die Rolle 2 auf VM B zugeteilt.
Benutzer 1, der den Gruppen A und B angehrt, meldet sich an. Weil Rolle 2 auf einer niedrigeren Hierarchieebene zugewiesen wird wie Rolle 1, setzt sie Rolle 1 auf VM B auer Kraft. Benutzer 1 kann zwar VM A
einschalten, aber keinen Snapshot erstellen. Benutzer 1 kann zwar Snapshots von VM B erstellen, aber sie nicht
einschalten.
VMware, Inc.
69
vSphere-Sicherheit
Abbildung 6-3. Beispiel 2: Untergeordnete Berechtigungen, die bergeordnete Berechtigungen auer Kraft
setzen
Gruppe A + Rolle 1
VM-Ordner

nur fr Rolle 1
VM A
Gruppe B + Rolle 2
VM B

nur fr Rolle 2
Beispiel 3: Benutzerberechtigungen, die Gruppenberechtigungen auer Kraft

setzen
Dieses Beispiel zeigt, wie Berechtigungen, die einem individuellen Benutzer direkt zugewiesen wurden, Berechtigungen auer Kraft setzen, die einer Gruppe zugewiesen wurden, zu der der Benutzer gehrt.
Im vorliegenden Beispiel werden einem Benutzer und einer Gruppe Berechtigungen fr das gleiche Objekt
zugewiesen.
n
Gruppe A wird Rolle 1 auf VM-Ordner zugeteilt.
Benutzer 1 erhlt die Rolle Kein Zugriff auf VM-Ordner.
Benutzer 1, der Mitglied der Gruppe A ist, meldet sich an. Die dem Benutzer 1 zugeteilte Rolle Kein Zugriff
auf VM-Ordner setzt die Gruppenberechtigung auer Kraft. Benutzer 1 kann weder auf VM-Ordner noch auf
VM A oder VM B zugreifen.
Abbildung 6-4. Beispiel 3: Benutzerberechtigungen, die Gruppenberechtigungen auer Kraft setzen
Gruppe A + Rolle 1
Benutzer 1 + kein
Zugriff
VM-Ordner
VM A
Benutzer 1 hat keinen Zugriff auf den

Ordner oder die virtuellen Maschinen
VM B
Root-Benutzerberechtigungen
Root-Benutzer knnen Aktivitten nur auf dem Host durchfhren, an dem sie angemeldet sind.
Aus Sicherheitsgrnden sollten Sie dem Root-Benutzer nicht die Rolle Administrator gewhren. In diesem
Fall knnen Sie die Berechtigungen nach der Installation ndern, sodass der Root-Benutzer keine administrativen Rechte mehr hat. Alternativ dazu knnen Sie die Zugriffsberechtigungen fr den Root-Benutzer entfernen. (Entfernen Sie nicht den Root-Benutzer selbst.)
WICHTIG Wenn Sie die Zugriffsberechtigungen fr den Root-Benutzer entfernen, mssen Sie auf der RootEbene zunchst eine andere Berechtigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators
erhlt.
HINWEIS In vSphere 5.1 ist es nur dem Root-Benutzer und keinem anderen Benutzer mit Administratorrechten
gestattet, vCenter Server einen Host hinzuzufgen.
70
VMware, Inc.
Die Zuweisung der Administratorenrolle auf verschiedene Benutzer gewhrleistet die Nachvollziehbarkeit
und somit die Sicherheit. Der vSphere-Client protokolliert alle Aktionen des Administrators als Ereignisse und
gibt ein berwachungsprotokoll aus. Wenn alle Administratoren sich als Root-Benutzer anmelden, knnen
Sie nicht wissen, welcher Administrator eine Aktion ausgefhrt hat. Wenn Sie mehrere Berechtigungen auf
Root-Ebene anlegen, die jeweils einem anderen Benutzer zugewiesen sind, knnen Sie die Aktionen jedes
Administrators gut nachvollziehen.
vpxuser-Berechtigungen
Die Berechtigung vpxuser wird fr vCenter Server beim Verwalten von Aktivitten fr den Host verwendet.
Der Benutzer vpxuser wird bei der Zuordnung eines Hosts zu vCenter Server angelegt.
vCenter Server hat Administratorberechtigungen auf dem Host, der die Anwendung verwaltet. So kann
vCenter Server zum Beispiel virtuelle Maschinen auf Hosts verschieben und Konfigurationsnderungen vornehmen, die fr die Untersttzung virtueller Maschinen notwendig sind.
Der Administrator von vCenter Server kann viele der Aufgaben des Root-Benutzers auf dem Host durchfhren
und Aufgaben planen, Vorlagen nutzen usw. Der vCenter Server-Administrator kann jedoch Benutzer oder
Gruppen fr Hosts nicht direkt erstellen, lschen oder bearbeiten. Diese Aufgaben knnen nur von einem
Benutzer mit Administratorberechtigungen auf dem jeweiligen Host durchgefhrt werden.
HINWEIS Sie knnen den vpxuser nicht mithilfe von Active Directory verwalten.
VORSICHT Verndern Sie keinerlei Einstellungen des Benutzers vpxuser. ndern Sie nicht das Kennwort.
ndern Sie nicht die Berechtigungen. Falls nderungen vorgenommen werden, knnen Probleme beim Arbeiten mit Hosts in vCenter Server auftreten.
dcui-Benutzerberechtigungen
Der Benutzer dcui wird auf Hosts ausgefhrt und agiert mit Administratorrechten. Der Hauptzweck dieses
Benutzers ist die Konfiguration von Hosts fr den Sperrmodus ber den DCUI-Dienst (Direct Console User
Interface, Benutzerschnittstelle der direkten Konsole).
Dieser Benutzer dient als Agent fr die direkte Konsole und kann von interaktiven Benutzern nicht gendert
bzw. verwendet werden.
Berechtigungsvalidierung
vCenter Server und ESXi-Hosts, die Active Directory verwenden, validieren Benutzer und Gruppen regelmig anhand der Windows Active Directory-Domne. Die Validierung findet jedes Mal statt, wenn das Hostsystem startet, und in regelmigen Abstnden, wie in den vCenter Server-Einstellungen angegeben.
Wenn beispielsweise Benutzer Schmidt Berechtigungen zugewiesen sind und der Benutzername in der Domne in Schmidt2 gendert wird, schliet der Host daraus, dass der Benutzer Schmidt nicht mehr vorhanden ist, und entfernt die Berechtigungen fr diesen Benutzer bei der nchsten Validierung.
Wenn Benutzer Schmidt aus der Domne entfernt wird, werden ebenfalls alle Berechtigungen bei der
nchsten Validierung entfernt. Wenn ein neuer Benutzer Schmidt der Domne vor der nchsten Validierung
hinzugefgt wird, erhlt der neue Benutzer alle Berechtigungen des alten Benutzers mit diesem Namen.
Berechtigungen zuweisen
Sie haben eine Rolle definiert und einen Benutzer angelegt. Um die Rolle und den Benutzer zu verwenden,
mssen Sie den relevanten Bestandslistenobjekten Berechtigungen zuweisen.
Whlen Sie einen Benutzer und eine Rolle fr ein Objekt aus, um Berechtigungen zuzuweisen. Berechtigungen
werden an untergeordnete Objekte weitergegeben. Sie knnen dieselben Berechtigungen mehreren Objekten
gleichzeitig zuweisen, indem Sie die Objekte in einen Ordner verschieben und die Berechtigungen auf den
Ordner anwenden.
VMware, Inc.
71
vSphere-Sicherheit
Vorgehensweise
1
Melden Sie sich beim vSphere Web Client als vCenter Server-Administrator an.
a
Geben Sie in das Textfeld [Benutzername] administrator ein.
Geben Sie in das Textfeld Kennwort My_windows_password ein.

Sie haben vCenter Server konfiguriert, um das Administratorkonto der Windows-Maschine im Szenario Erste Schritte mit vCenter Server zu verwenden.
Whlen Sie das vCenter Server-System im Objektnavigator aus.
Klicken Sie auf die Registerkarte [Verwalten] und dann auf [Berechtigungen] .
Klicken Sie auf das Symbol [Berechtigung hinzufgen] (+).
Weisen Sie im Dialogfeld Berechtigung hinzufgen den Benutzer und die Rolle, die Sie angelegt haben,
hinzu.
a
Klicken Sie auf [Hinzufgen] .
Whlen Sie im Dropdown-Men [Domne] [SYSTEM-DOMNE] .
Whlen Sie den Benutzer [user-deploy] aus und klicken Sie auf [Hinzufgen] .
Whlen Sie im Dropdown-Men [Zugewiesene Rolle] die Option [Bereitstellung der virtuellen
Maschine anhand einer Vorlage] aus.
Die Rollen, die dem Objekt zugewiesen sind, erscheinen im Men. Die Rechte, die dieser Rolle zugewiesen
sind, werden im Bereich unterhalb des Rollennamens aufgelistet.
Der neue Benutzereintrag wird in der Liste der Benutzer und Gruppen angezeigt, die Berechtigungen fr das
System vCenter Server haben.
Weiter
Stellen Sie eine virtuelle Maschine von einer Vorlage als neuen Benutzer bereit.
ndern der Einstellungen fr die Berechtigungsvalidierung

vCenter Server validiert seine Benutzer- und Gruppenlisten regelmig anhand der Benutzer und Gruppen
in der Windows Active Directory-Domne. Er entfernt anschlieend Benutzer oder Gruppen, die nicht mehr
in der Domne vorhanden sind. Sie knnen das Intervall zwischen Validierungen ndern.
Vorgehensweise
1
Whlen Sie auf dem mit dem vCenter Server-System verbundenen vSphere-Client [Verwaltung] >
[vCenter Server-Einstellungen] .
Whlen Sie im Navigationsfenster [Active Directory] .
(Optional) Deaktivieren Sie das Kontrollkstchen [Validierung aktivieren] , um die Validierung zu

deaktivieren.
Die Validierung ist standardmig aktiviert. Benutzer und Gruppen werden validiert, wenn das vCenter Server-System gestartet wird, selbst wenn die Validierung deaktiviert ist.
72
Wenn die Validierung aktiviert ist, geben Sie einen Wert in das Textfeld Validierungszeitraum ein, um
einen Zeitraum (in Minuten) zwischen Validierungen anzugeben.
VMware, Inc.
ndern von Berechtigungen

Wenn eine Kombination aus Benutzer und Rolle fr ein Bestandslistenobjekt festgelegt wurde, knnen Sie
nderungen an der Rolle fr den Benutzer vornehmen oder die Einstellung des Kontrollkstchens [Weitergeben] ndern. Sie knnen auch die Berechtigungseinstellung entfernen.
Vorgehensweise
1
Whlen Sie im vSphere-Client ein Objekt in der Bestandsliste aus.
Klicken Sie auf die Registerkarte [Berechtigungen] .
Klicken Sie mit der rechten Maustaste auf das entsprechende Element, um die Kombination aus Rolle und
Benutzer auszuwhlen.
Whlen Sie [Eigenschaften] .
Whlen Sie aus dem Dropdown-Men die entsprechende Rolle fr den Benutzer oder die Gruppe aus.
Um die Rechte fr die untergeordneten Elemente des zugewiesenen Bestandslistenobjekts zu bernehmen, aktivieren Sie das Kontrollkstchen [Weitergeben] und klicken Sie auf [OK] .
Entfernen von Berechtigungen

Durch das Entfernen einer Berechtigung fr einen Benutzer oder eine Gruppe wird der Benutzer bzw. die
Gruppe nicht aus der Liste der verfgbaren Benutzer oder Gruppen entfernt. Die Rolle wird ebenfalls nicht
aus der Liste der verfgbaren Elemente entfernt. Die Kombination aus Benutzer/Gruppe und Rolle wird jedoch
vom ausgewhlten Bestandslistenobjekt entfernt.
Vorgehensweise
1
Klicken Sie im vSphere-Client auf [Bestandsliste] .
Erweitern Sie die Bestandsliste nach Bedarf, und klicken Sie auf das betreffende Objekt.
Klicken Sie auf die Registerkarte [Berechtigungen] .
Klicken Sie auf das entsprechende Element, um die Kombination aus Rolle und Benutzer oder Gruppe
auszuwhlen.
Whlen Sie [Bestandsliste] > [Berechtigungen] > [Lschen] .
Best Practices fr Rollen und Berechtigungen

Verwenden Sie die empfohlenen Vorgehensweisen fr Rollen und Berechtigungen, um die Sicherheit und
Verwaltungsfreundlichkeit Ihrer vCenter Server-Umgebung zu maximieren.
VMware empfiehlt die folgenden Vorgehensweisen beim Konfigurieren von Rollen und Berechtigungen in
Ihrer vCenter Server-Umgebung:
n
Weisen Sie Berechtigungen nach Mglichkeit Gruppen anstatt individuellen Benutzern zu.
Weisen Sie Berechtigungen nur nach Bedarf zu. Die Vergabe von so wenigen Berechtigungen wie mglich
erleichtert das Verstehen und Verwalten Ihrer Berechtigungsstruktur.
Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, berprfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthlt. Anderenfalls knnten Sie die Rechte eines
Administrators in den Teilen der Bestandslistenhierarchie ungewollt einschrnken, fr die Sie der Gruppe
die restriktive Rolle zugewiesen haben.
Verwenden Sie Ordner zum Gruppieren von Objekten nach den Berechtigungen, die Sie fr den Zugriff
auf sie gewhren mchten.
VMware, Inc.
73
vSphere-Sicherheit
Gehen Sie vorsichtig vor, wenn Sie eine Berechtigung fr vCenter Server auf der Root-Ebene erteilen
mchten. Benutzer mit Berechtigungen auf der Root-Ebene haben Zugriff auf globale Daten auf
vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute, Einstellungen von vCenter Server und Lizenzen. nderungen an Lizenzen und Rollen werden an alle vCenter Server-Systeme einer Gruppe im
verknpften Modus weitergegeben, und zwar auch dann, wenn der Benutzer nicht ber Berechtigungen
fr alle vCenter Server-Systeme in der Gruppe verfgt.
Aktivieren Sie in der Regel die Weitergabe von Berechtigungen. Dadurch wird sichergestellt, dass neue
Objekte beim Einfgen in die Bestandslistenhierarchie die Berechtigungen bernehmen und fr Benutzer
verfgbar sind.
Verwenden Sie die Rolle Kein Zugriff, um bestimmte Bereiche der Hierarchie zu verbergen, auf die
bestimmte Benutzer keinen Zugriff haben sollen.
Erforderliche Berechtigungen fr allgemeine Aufgaben

Viele Aufgaben erfordern Berechtigungen fr mehr als ein Objekt in der Bestandsliste. Sie knnen die Berechtigungen, die zum Durchfhren der Aufgaben erforderlich sind, sowie ggf. die entsprechenden Beispielrollen
berprfen.
In der folgenden Tabelle werden allgemeine Aufgaben aufgelistet, die mehr als eine Berechtigung erfordern.
Sie knnen die gltigen Rollen auf die Bestandslistenobjekte anwenden, um die Berechtigung zum Durchfhren dieser Aufgaben zu erteilen, oder Sie knnen Ihre eigenen Rollen mit den entsprechenden erforderlichen Berechtigungen erstellen.
Tabelle 6-1. Erforderliche Berechtigungen fr allgemeine Aufgaben
Aufgabe
Erforderliche Berechtigungen
Gltige Rolle
Erstellen einer virtuellen Maschine
Auf dem Zielordner oder Datencenter:

n Virtuelle Maschine.Bestandsliste.Neu erstellen
n Virtuelle Maschine.Konfiguration.Neue Festplatte hinzufgen
(beim Erstellen einer neuen virtuellen Festplatte)
n Virtuelle Maschine.Konfiguration.Vorhandene Festplatte hinzufgen (beim Verwenden einer vorhandenen virtuellen Festplatte)
n Virtuelle Maschine.Konfiguration.Raw-Gert (beim Verwenden
einer RDM oder eines SCSI-Passthrough-Gerts)
Administrator
virtueller Maschinen
Auf dem Zielhost, -cluster oder -ressourcenpool:

Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
Administrator
Auf dem Zieldatenspeicher oder -ordner, der einen Datenspeicher enthlt:

Datenspeicher.Speicher zuteilen
Datenspeicherkonsument oder
Administrator
Im Netzwerk, dem die virtuelle Maschine zugewiesen wird:

Netzwerk.Netzwerk zuweisen
Netzwerkkonsument oder Administrator virtueller Maschinen
Auf dem Zielordner oder Datencenter:

n Virtuelle Maschine .Bestandsliste.Aus vorhandener erstellen
n Virtuelle Maschine.Konfiguration.Neue Festplatte hinzufgen
Administrator
In einer Vorlage oder einem Vorlagenordner:

Virtuelle Maschine.Bereitstellen.Vorlage bereitstellen
Administrator
Auf dem Zielhost, -cluster oder -ressourcenpool:

Ressource.Virtuelle Maschine zu .Ressourcenpool zuweisen
Administrator
Virtuelle Maschine aus einer

Vorlage bereitstellen
74
VMware, Inc.
Tabelle 6-1. Erforderliche Berechtigungen fr allgemeine Aufgaben (Fortsetzung)

Aufgabe
Gltige Rolle
Auf dem Zieldatenspeicher oder -datenspeicherordner:
Administrator
Erstellen eines Snapshots der

virtuellen Maschine
Verschieben einer virtuellen

Maschine in einen Ressourcenpool
Installieren eines Gastbetriebssystems auf einer virtuellen Maschine
Migrieren einer virtuellen

Maschine mit vMotion
VMware, Inc.
Im Netzwerk, dem die virtuelle Maschine zugewiesen wird:

Netzwerk.Netzwerk zuweisen
Netzwerkkonsument oder Administrator virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
Virtuelle Maschine.Status.Snapshot erstellen
Hauptbenutzer
virtueller Maschinen oder Administrator virtueller Maschinen
Auf dem Zieldatenspeicher oder -datenspeicherordner:

Administrator
n Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
n Virtuelle Maschine.Bestandsliste.Verschieben
Administrator
Auf dem Zielressourcenpool:

Administrator
n Virtuelle Maschine.Interaktion.Frage beantworten
n Virtuelle Maschine.Interaktion.Konsoleninteraktion
n Virtuelle Maschine.Interaktion.Gerteverbindung
n Virtuelle Maschine.Interaktion.Ausschalten
n Virtuelle Maschine.Interaktion.Einschalten
n Virtuelle Maschine.Interaktion.Zurcksetzen
n Virtuelle Maschine .Interaktion.CD-Medien konfigurieren
(beim Installieren von einer CD)
n Virtuelle Maschine.Interaktion.Diskettenmedien konfigurieren
(beim Installieren von einer Diskette)
n Virtuelle Maschine.Interaktion.Tools installieren
Hauptbenutzer
Auf einem Datenspeicher mit dem Installationsmedium ISO-Image:

Datenspeicher.Datenspeicher durchsuchen (beim Installieren von einem ISO-Image auf einem Datenspeicher)
Hauptbenutzer
n Ressourcen.Migrieren
(wenn das Ziel ein anderer Ressourcenpool als die Quelle ist)
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
75
vSphere-Sicherheit
Tabelle 6-1. Erforderliche Berechtigungen fr allgemeine Aufgaben (Fortsetzung)

Aufgabe
Cold-Migration (Verlagern)
einer virtuellen Maschine
Migrieren einer virtuellen

Maschine mit Storage vMotion
Einen Host in einen Cluster

verschieben
76
Gltige Rolle
Auf dem Zielhost, -cluster oder -ressourcenpool (wenn anders als die
Quelle):
n Ressourcen.Verlagern
(wenn das Ziel ein anderer Ressourcenpool als die Quelle ist)
Auf dem Zielhost, -cluster oder -ressourcenpool (wenn anders als die
Quelle):
Auf dem Zieldatenspeicher (wenn anders als die Quelle):

Administrator
Ressourcen.Migrieren
Auf dem Zieldatenspeicher:

Administrator
Auf dem Host:

Host.Bestandsliste.Host zu Cluster hinzufgen
Administrator
Auf dem Zielcluster:

Host.Bestandsliste.Host zu Cluster hinzufgen
Administrator
VMware, Inc.
Zuweisen von ESXi -Rollen

ESXi gewhrt nur denjenigen Benutzern Zugriff auf Objekte, denen Berechtigungen fr das jeweilige Objekt
zugewiesen wurden. Wenn Sie einem Benutzer Berechtigungen fr das Objekt zuweisen, kombinieren Sie
hierzu den Benutzer mit einer Rolle. Bei einer Rolle handelt es sich um einen vordefinierten Satz an Rechten.
Fr ESXi-Hosts gibt es drei Standardrollen. Es ist nicht mglich, die Berechtigungen fr diese drei Rollen zu
ndern. Jede nachfolgende Standardrolle enthlt die Berechtigungen der vorhergehenden Rolle. So bernimmt
beispielsweise die Rolle Administrator die Rechte der Rolle Nur lesen. Rollen, die Sie selbst anlegen,
bernehmen keine Berechtigungen von den Standardrollen.
Benutzerdefinierte Rollen knnen Sie mit den Rollenbearbeitungsdienstprogrammen auf dem vSphere-Client
erstellen und an Ihre Anforderungen anpassen. Wenn Sie den mit vCenter Server verbundenen vSphere-Client
zur Verwaltung der ESXi-Hosts verwenden, stehen Ihnen in vCenter Server zustzliche Rollen zur Auswahl.
Auf die Rollen, die Sie direkt auf einem ESX-Host erstellen, kann innerhalb von vCenter Server nicht zugegriffen werden. Sie knnen diese Rollen nur verwenden, wenn Sie sich direkt ber den vSphere-Client am
Host anmelden.
HINWEIS Wenn Sie eine benutzerdefinierte Rolle hinzufgen und ihr keine Rechte zuweisen, wird die Rolle
als eine schreibgeschtzte Rolle mit drei systemdefinierten Rechten erstellt: System.Anonymous, System.View
und System.Read.
Wenn Sie ESXi-Hosts ber vCenter Server verwalten, beachten Sie, dass die Verwendung benutzerdefinierter
Rollen auf dem Host und in vCenter Server zu Verwirrung und Missbrauch fhren kann. Verwenden Sie bei
dieser Art der Konfiguration benutzerdefinierte Rollen nur in vCenter Server.
Sie knnen den vSphere-Client verwenden, um ber eine direkte Verbindung mit dem ESXi-Host Hostrollen
zu erstellen und Berechtigungen festzulegen.
Erstellen einer Rolle

VMware empfiehlt, dass Sie Rollen erstellen, die den in Ihrer Umgebung bestehenden Anforderungen hinsichtlich der Zugriffssteuerung entsprechen.
Wenn Sie auf einem vCenter Server-System, das zu einer verbundenen Gruppe im verknpften Modus gehrt,
eine Rolle erstellen oder bearbeiten, werden die vorgenommenen nderungen von allen anderen vCenter
Server-Systemen der Gruppe bernommen. Zuweisungen von Rollen zu bestimmten Benutzern und Objekten
werden innerhalb von verknpften vCenter Server-Systemen jedoch nicht weitergegeben.
Voraussetzungen
Stellen Sie sicher, dass Sie mit Administratorrechten angemeldet sind.
Vorgehensweise
1
Klicken Sie auf der Startseite des vSphere-Clients auf [Rollen] .
Klicken Sie im Informationsfenster mit der rechten Maustaste auf die Registerkarte [Rollen] und klicken
Sie auf [Hinzufgen] .
Geben Sie einen Namen fr die neue Rolle ein.
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
VMware, Inc.
77
vSphere-Sicherheit
Klonen einer Rolle

Sie knnen eine vorhandene Rolle kopieren, sie umbenennen und spter bearbeiten. Wenn Sie eine Kopie
erstellen, wird die neue Rolle nicht auf Benutzer bzw. Gruppen und Objekte angewendet. Sie mssen Benutzern, Gruppen und Objekten die Rolle zuweisen.
eine Rolle erstellen oder ndern, werden die vorgenommenen nderungen von allen anderen vCenter ServerSystemen der Gruppe bernommen. Zuweisungen von Rollen zu bestimmten Benutzern und Objekten werden
innerhalb von verknpften vCenter Server-Systemen jedoch nicht weitergegeben.
Voraussetzungen
Vorgehensweise
1
Klicken Sie zum Auswhlen der zu duplizierenden Rolle in der Liste [Rollen (Roles)] auf das Objekt.
Klicken Sie zum Klonen der ausgewhlten Rolle auf [Verwaltung] > [Rolle] > [Klonen] .
Der Rollenliste wird ein Duplikat der Rolle hinzugefgt. Der Name lautet Klon von role_name.
Bearbeiten einer Rolle

Beim Bearbeiten einer Rolle knnen Sie die fr diese Rolle ausgewhlten Berechtigungen ndern. Anschlieend
werden diese Berechtigungen auf alle Benutzer oder Gruppen angewendet, die der bearbeiteten Rolle zugeordnet sind.
Voraussetzungen
Vorgehensweise
1
Klicken Sie mit der rechten Maustaste auf die zu bearbeitenden Rolle und whlen Sie [Rolle bearbeiten] .
Umbenennen einer Rolle

Es erfolgen keine nderungen an die Zuweisungen einer Rolle, wenn Sie sie umbenennen.
eine Rolle erstellen oder ndern, werden die vorgenommenen nderungen von anderen vCenter Server-Systemen der Gruppe bernommen. Zuweisungen von Rollen zu bestimmten Benutzern und Objekten werden
Voraussetzungen
78
VMware, Inc.
Vorgehensweise
1
Klicken Sie auf das Objekt in der Liste der Rollen, das Sie umbenennen mchten.
Whlen Sie [Verwaltung] > [Rolle] > [Umbenennen] .
Geben Sie den neuen Namen ein.
Entfernen einer Rolle

Wenn Sie eine Rolle entfernen, die keinen Benutzern oder Gruppen zugeordnet ist, wird die Definition dieser
Rolle aus der Liste der Rollen entfernt. Wenn Sie eine Rolle entfernen, die einem Benutzer oder einer Gruppe
zugeordnet ist, knnen Sie alle Zuweisungen entfernen oder sie durch eine Zuweisung zu einer anderen Rolle
ersetzen.
VORSICHT Stellen Sie sicher, dass Ihnen die Auswirkungen auf die Benutzer bekannt sind, bevor Sie alle
Zuweisungen entfernen oder ersetzen. Benutzer, denen keine Berechtigungen zugewiesen wurden, knnen
sich nicht bei vCenter Server anmelden.
Voraussetzungen
Wenn Sie eine Rolle aus einem vCenter Server-System entfernen, das zu einer verbundenen Gruppe im verknpften Modus gehrt, berprfen Sie die Verwendung dieser Rolle auf den anderen vCenter Server-Systemen der Gruppe. Wenn Sie eine Rolle aus einem vCenter Server-System entfernen, wird sie aus allen anderen
vCenter Server-Systemen der Gruppe entfernt, und zwar auch dann, wenn Sie einer anderen Rolle auf dem
aktuellen vCenter Server-System Berechtigungen neu zuweisen.
Vorgehensweise
1
Klicken Sie auf das Objekt, das Sie aus der Liste der Rollen entfernen mchten.
Whlen Sie [Verwaltung] > [Rolle] > [Entfernen] .

Die Rolle wird aus der Liste entfernt.
Wenn die Rolle einem Benutzer oder einer Gruppe zugewiesen ist (If the role is assigned to a user or
group), wird eine Warnmeldung angezeigt.
VMware, Inc.
Whlen Sie eine Neuzuweisungsoption aus und klicken Sie auf [OK] .
Option
Beschreibung
Rollenzuweisungen entfernen
Entfernt auf dem Server konfigurierte Paare aus Rolle und Benutzer oder
Gruppe. Wenn einem Benutzer oder einer Gruppe keine weiteren Berechtigungen zugewiesen wurden, gehen alle Berechtigungen verloren.
Betroffene Benutzer zuweisen zu
Weist allen konfigurierten Paaren aus Rolle und Benutzer oder Gruppe die
ausgewhlte neue Rolle neu zu.
79
vSphere-Sicherheit
Verwenden von Rollen zum Zuweisen von Rechten

Bei einer Rolle handelt es sich um einen vordefinierten Satz an Rechten. Berechtigungen definieren individuelle
Rechte, die ein Benutzer fr das Ausfhren von Aktivitten und das Lesen von Eigenschaften bentigt.
Wenn Sie einem Benutzer oder einer Gruppe Berechtigungen zuweisen, kombinieren Sie den Benutzer oder
die Gruppe mit einer Rolle und verknpfen diese Kombination mit einem Bestandslistenobjekt. Ein einzelner
Benutzer kann verschiedene Rollen fr verschiedene Objekte in der Bestandsliste haben. Wenn Sie z. B. die
beiden Ressourcenpools Pool A und Pool B in Ihrer Bestandsliste haben, knnen Sie einem bestimmten Benutzer die Rolle Benutzer virtueller Maschinen fr Pool A und die Rolle Nur lesen fr Pool B zuweisen.
Dieser Benutzer knnte virtuelle Maschinen in Pool A, aber nicht in Pool B einschalten, er knnte jedoch den
Status der virtuellen Maschinen in Pool B anzeigen.
Die auf einem Host erstellten Rollen sind unabhngig von den Rollen, die auf einem vCenter Server-System
erstellt werden. Wenn Sie einen Host mithilfe vonvCenter Server verwalten, sind die durch vCenter Server
erstellten Rollen verfgbar. Wenn Sie ber den vSphere-Client eine direkte Verbindung mit dem Host herstellen, sind die Rollen verfgbar, die direkt auf dem Host erstellt wurden.
vCenter Server und ESXi-Hosts bieten Standardrollen:
Systemrollen
Systemrollen sind dauerhaft. Sie knnen die Berechtigungen, die diesen Rollen
zugewiesen sind, nicht bearbeiten.
Beispielrollen
VMware stellt Beispielrollen bereit, die als Richtlinien und Vorschlge dienen.
Sie knnen diese Rollen ndern oder entfernen.
Sie knnen darber hinaus auch Rollen erstellen.

Alle Rollen lassen in der Standardeinstellung das Planen von Aufgaben zu. Die Benutzer knnen nur Aufgaben
planen, ber deren Ausfhrungsberechtigungen sie zum Zeitpunkt des Erstellens verfgen.
HINWEIS nderungen an Berechtigungen und Rollen werden sofort wirksam, auch wenn die betroffenen
Benutzer angemeldet sind. Eine Ausnahme bilden nderungen an Suchberechtigungen, denn diese nderungen werden erst wirksam, wenn der Benutzer sich abgemeldet und wieder angemeldet hat.
Verwenden von Active Directory zum Verwalten von Benutzern und

Gruppen
Sie knnen zum Verwalten von Benutzern und Gruppen ESXi fr die Verwendung eines Verzeichnisdiensts,
wie z. B. Active Directory, konfigurieren.
Wenn Sie Active Directory verwenden, geben Benutzer beim Hinzufgen eines Hosts zu einer Domne die
Active Directory-Anmeldedaten und den Domnennamen des Active Directory-Servers an.
Konfigurieren eines Hosts fr die Verwendung von Active Directory

Sie knnen den Host so konfigurieren, dass er Benutzer und Gruppen mithilfe eines Verzeichnisdienstes, wie
z. B. Active Directory, verwaltet.
Voraussetzungen
n
Stellen Sie sicher, dass Sie eine Active Directory-Domne eingerichtet haben. Weitere Informationen finden Sie in der Dokumentation Ihres Verzeichnisservers.
Stellen Sie sicher, dass der Name des ESXi-Hosts mit dem Domnennamen der Active Directory-Gesamtstruktur vollstndig qualifiziert angegeben ist.
Vollstndig qualifizierter Domnenname = Hostname.Domnename
80
VMware, Inc.
Vorgehensweise
1
Synchronisieren Sie mithilfe von NTP die Uhrzeit von ESXi mit der des Verzeichnisdienst-Systems.
ESXi untersttzt das Synchronisieren der Uhrzeit mit einem externen NTPv3- oder NTPv4-Server, der mit
RFC 5905 und RFC 1305 kompatibel ist. Der Microsoft Windows-W32Time-Dienst erfllt diese Anforderungen beim Ausfhren mit den Standardeinstellungen nicht. Unter Konfigurieren eines Windows NTPClients fr die Synchronisierung der Netzwerk-Systemuhr, auf Seite 168 oder in der VMware-Knowledgebase finden Sie Informationen ber das Synchronisieren der ESXi-Uhrzeit mit einem Microsoft-Domnencontroller.
Stellen Sie sicher, dass die DNS-Server, die Sie fr den Host konfiguriert haben, die Hostnamen fr die
Active Directory-Controller auflsen knnen.
a
Whlen Sie im vSphere-Client den gewnschten Host in der Bestandsliste aus.
Klicken Sie auf die Registerkarte [Konfiguration] und anschlieend auf [DNS und Routing] .
Klicken Sie oben rechts im Fenster auf den Link [Eigenschaften] .
Vergewissern Sie sich im Dialogfeld DNS- und Routing-Konfiguration, dass die Informationen zu
Hostnamen und DNS-Server des Hosts korrekt sind.
Weiter
Verwenden Sie den vSphere-Client, um einer Verzeichnisdienst-Domne beizutreten.
Konfigurieren eines Hosts zur Verwendung von Active Directory im

vSphere Web Client
Sie knnen einen Host so konfigurieren, dass er Benutzer und Gruppen mithilfe eines Verzeichnisdienstes,
wie z. B. Active Directory, verwaltet.
Voraussetzungen
n
Stellen Sie sicher, dass Sie eine Active Directory-Domne eingerichtet haben. Weitere Informationen finden Sie in der Dokumentation Ihres Verzeichnisservers.
Stellen Sie sicher, dass der Name des ESXi-Hosts mit dem Domnennamen der Active Directory-Gesamtstruktur vollstndig qualifiziert angegeben ist.
Vollstndig qualifizierter Domnenname = Hostname.Domnename
Vorgehensweise
1
Synchronisieren Sie mithilfe von NTP die Uhrzeit von ESXi mit der des Verzeichnisdienst-Systems.
Unter Konfigurieren eines Windows NTP-Clients fr die Synchronisierung der Netzwerk-Systemuhr,
auf Seite 168 oder in der VMware-Knowledgebase finden Sie Informationen ber das Synchronisieren
der ESXi-Uhrzeit mit einem Microsoft-Domnencontroller.
VMware, Inc.
Stellen Sie sicher, dass die DNS-Server, die Sie fr den Host konfiguriert haben, die Hostnamen fr die
Active Directory-Controller auflsen knnen.
a
Klicken Sie auf die Registerkarte [Verwalten] und klicken Sie unter Netzwerk auf [DNS und
Routing] .
Klicken Sie auf [Bearbeiten] .
Vergewissern Sie sich im Dialogfeld DNS- und Routing-Konfiguration, dass die Informationen zu
Hostnamen und DNS-Server des Hosts korrekt sind.
81
vSphere-Sicherheit
Weiter
Verwenden Sie vSphere Web Client, um einer Verzeichnisdienst-Domne beizutreten.
Hinzufgen eines Hosts zu einer Verzeichnisdienst-Domne

Fr die Verwendung eines Verzeichnisdienstes mssen Sie den Host mit der Verzeichnisdienst-Domne verbinden.
Sie knnen den Domnennamen auf zwei Arten eingeben:
n
name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.
Informationen zur Verwendung des vSphere Authentication Proxy-Diensts (CAM-Dienst) finden Sie unter
Verwenden des vSphere Authentication Proxy zum Hinzufgen eines Hosts zu einer Domne, auf Seite 89.
Voraussetzungen
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server-System oder mit dem Host verbunden
ist.
Vorgehensweise
1
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Klicken Sie auf [Eigenschaften] .
Whlen Sie im Dialogfeld fr die Verzeichnisdienstkonfiguration den Verzeichnisdienst aus dem Dropdown-Men aus.
Geben Sie eine Domne ein.

Verwenden Sie das Fomular name.tld oder name.tld/container/path.
Klicken Sie auf [Domne beitreten] .
Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienstbenutzers ein, der ber die
Berechtigung verfgt, den Host mit der Domne zu verbinden, und klicken Sie auf [OK] .
Klicken Sie auf [OK] um das Dialogfeld fr die Verzeichnisdienstkonfiguration zu schlieen.
Hinzufgen eines Hosts zu einer Verzeichnisdienstdomne im

vSphere Web Client
Fr die Verwendung eines Verzeichnisdienstes mssen Sie den Host mit der Verzeichnisdienst-Domne verbinden.
n
Informationen zur Verwendung des vSphere Authentication Proxy-Diensts finden Sie unter Verwenden des
vSphere Authentication Proxy zum Hinzufgen eines Hosts zu einer Domne, auf Seite 89.
Vorgehensweise
1
82
VMware, Inc.
Whlen Sie unter System die Option [Authentifizierungsdienste] .

Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienstbenutzers ein, der ber die
Berechtigung verfgt, den Host mit der Domne zu verbinden, und klicken Sie auf [OK] .
Klicken Sie auf [OK] um das Dialogfeld fr die Verzeichnisdienstkonfiguration zu schlieen.
Anzeigen der Verzeichnisdiensteinstellungen

Sie knnen (soweit vorhanden) den Typ des Verzeichnisservers, den der Host zum Authentifizieren von Benutzern verwendet, sowie die Verzeichnisservereinstellungen anzeigen.
Vorgehensweise
1
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Whlen Sie unter Software die Option [Authentifizierungsdienste] .

Auf der Seite Authentifizierungsdiensteinstellungen werden der Verzeichnisdienst und die Domneneinstellungen angezeigt.
Anzeigen der Verzeichnisdienst-Einstellungen im vSphere Web Client

Sie knnen (soweit vorhanden) den Typ des Verzeichnisservers, den der Host zum Authentifizieren von Benutzern verwendet, sowie die Verzeichnisservereinstellungen anzeigen.
Vorgehensweise
1
Whlen Sie unter System die Option [Authentifizierungsdienste] .

Auf der Seite Authentifizierungsdienste werden der Verzeichnisdienst und die Domneneinstellungen
angezeigt.
Verwenden des vSphere Authentication Proxy

Wenn Sie den vSphere Authentication Proxy verwenden, mssen Sie die Active Directory-Anmeldeinformationen nicht auf dem Host speichern. Benutzer geben beim Hinzufgen eines Hosts zu einer Domne den
Domnennamen des Active Directory-Servers und die IP-Adresse des Authentication Proxy-Servers an.
Installieren des vSphere Authentication Proxy-Dienstes

Sie mssen zum Verwenden des vSphere Authentication Proxy-Diensts zwecks Authentifizierung den Dienst
auf einer Hostmaschine installieren.
Sie knnen vSphere Authentication Proxy auf derselben Maschine wie den verknpften vCenter Server oder
auf einer anderen Maschine installieren, die ber eine Netzwerkverbindung mit vCenter Server verfgt.
vSphere Authentication Proxy wird nicht von vCenter Server-Versionen vor Version 5.0 untersttzt.
VMware, Inc.
83
vSphere-Sicherheit
Der vSphere Authentication Proxy-Dienst wird fr die Kommunikation zu vCenter Server an eine IPv4-Adresse gebunden und untersttzt IPv6 nicht. vCenter Server kann sich auf einer Hostmaschine befinden, auf
der nur IPv4, IPv4 und IPv6 oder nur IPv6 eingesetzt werden, aber die Maschine, die eine Verbindung zu
vCenter Server ber den vSphere-Client herstellt, muss ber eine IPv4-Adresse verfgen, damit der vSphere
Authentication Proxy-Dienst funktionieren kann.
Voraussetzungen
n
Stellen Sie sicher, dass Sie ber Administratorrechte auf der Hostmaschine verfgen, auf der Sie den
vSphere Authentication Proxy-Dienst installieren.
Stellen Sie sicher, dass die Hostmaschine ber Windows Installer 3.0 oder hher verfgt.
Stellen Sie sicher, dass die Hostmaschine ber einen untersttzten Prozessor und ein untersttztes Betriebssystem verfgt. Der vSphere Authentication Proxy untersttzt die gleichen Prozessoren und Betriebssysteme wie vCenter Server.
Stellen Sie sicher, dass die Hostmaschine ber eine gltige IPv4-Adresse verfgt. Sie knnen vSphere
Authentication Proxy auf einer Hostmaschine installieren, auf der nur IPv4 oder sowohl IPv4 als auch
IPv6 eingesetzt werden. Sie knnen vSphere Authentication Proxy jedoch nicht auf einer Hostmaschine
installieren, auf der nur IPv6 eingesetzt wird.
Wenn Sie vSphere Authentication Proxy auf einer Windows Server 2008 R2-Hostmaschine installieren,
laden Sie den im Windows-KB-Artikel 981506 auf der Website support.microsoft.com beschriebenen
Windows-Hotfix herunter und installieren Sie ihn. Wenn dieser Hotfix nicht installiert ist, kann der Authentication Proxy-Adapter nicht initialisiert werden. Zu diesem Problem werden Fehlermeldungen in
der Datei camadapter.log protokolliert, die den Meldungen CAM-Website konnte nicht mit CTL gebunden
werden und CAMAdapter konnte nicht initialisiert werden hneln.
Sammeln Sie die folgenden Informationen, um die Installation abzuschlieen:

n
Der Installationsspeicherort von vSphere Authentication Proxy, wenn Sie den Standardspeicherort nicht
verwenden.
Die IP-Adresse oder der Hostname, der HTTP-Port und die Anmeldeinformationen fr das vCenter Server-System, zu dem vSphere Authentication Proxy eine Verbindung herstellt.
Der Hostname oder die IP-Adresse, die zum Identifizieren des vSphere Authentication Proxy-Hosts im
Netzwerk verwendet wird.
Vorgehensweise
1
Installieren Sie .NET Framework 3.5 auf der Hostmaschine, auf der Sie den vSphere Authentication ProxyDienst installieren.
Installieren Sie vSphere Auto Deploy.

Sie mssen Auto Deploy nicht auf derselben Hostmaschine installieren, auf der der vSphere Authentication Proxy-Dienst installiert ist.
Fgen Sie die Hostmaschine dort hinzu, wo Sie den Authentication Proxy-Dienst fr die Domne installieren.
Verwenden Sie das Domnenadministratorkonto, um sich bei der Hostmaschine anzumelden.
Doppelklicken Sie im Software-Installationsprogrammverzeichnis auf die Datei autorun.exe, um das Installationsprogramm zu starten.
Whlen Sie [VMware vSphere Authentication Proxy] aus und klicken Sie auf [Installieren] .
Folgen Sie den Eingabeaufforderungen des Assistenten, um die Installation abzuschlieen.

Whrend der Installation registriert sich der Authentifizierungsdienst mit der vCenter Server-Instanz, auf
der Auto Deploy registriert ist.
84
VMware, Inc.
Der Authentication Proxy-Dienst ist auf der Hostmaschine installiert.

HINWEIS Wenn Sie den vSphere Authentication Proxy-Dienst installieren, erstellt das Installationsprogramm
ein Domnenkonto mit den entsprechenden Berechtigungen zum Ausfhren des Authentication ProxyDiensts. Der Name des Kontos beginnt mit dem Prfix CAM- und ihm wird ein 32-stelliges, zufllig generiertes
Kennwort zugeordnet. Das Kennwort ist so konfiguriert, dass es nie abluft. ndern Sie die Kontoeinstellungen nicht.
Weiter
Konfigurieren Sie den Host fr die Verwendung des Authentication Proxy-Diensts zum Beitreten zur Domne.
Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr

die Authentifizierung
Nachdem Sie den vSphere Authentication Proxy-Dienst (CAM-Dienst) installiert haben, mssen Sie den Host
so konfigurieren, dass er zum Authentifizieren von Benutzern den Authentication Proxy-Server verwendet.
Voraussetzungen
Installieren Sie den vSphere Authentication Proxy-Dienst (CAM-Service) auf einem Host, wie unter Installieren des vSphere Authentication Proxy-Dienstes, auf Seite 83 beschrieben.
Vorgehensweise
1
Verwenden Sie den IIS-Manager auf dem Host zum Einrichten des DHCP-Adressbereichs.
Durch das Festlegen des Adressbereichs knnen Hosts, die DHCP im Verwaltungsnetzwerk verwenden,
den Authentication Proxy-Dienst verwenden.
Option
Aktion
Fr IIS 6
a
b
c
Fr IIS 7
a
b
c
VMware, Inc.
Navigieren Sie zur [Computerkontoverwaltung - Website] .

Klicken Sie mit der rechten Maustaste auf das virtuelle Verzeichnis
[CAM ISAPI] .
Whlen Sie [Eigenschaften] > [Verzeichnissicherheit] > [IP-Adressund Domnennameneinschrnkungen bearbeiten] > [Gruppe von
Computern hinzufgen] .
Navigieren Sie zur [Computerkontoverwaltung - Website] .
Klicken Sie auf das virtuelle Verzeichnis [CAM ISAPI] im linken Bereich und ffnen Sie [IPv4-Adress- und Domneneinschrnkungen] .
Whlen Sie [Zulassungseintrag hinzufgen] > [IPv4-Adressbereich] .
85
vSphere-Sicherheit
Wenn ein Host nicht durch Auto Deploy bereitgestellt wird, ndern Sie das Standard-SSL-Zertifikat in
ein selbstsigniertes Zertifikat oder in ein von einer kommerziellen Zertifizierungsstelle (CA) signiertes
Zertifikat.
Option
Beschreibung
Selbstsigniertes Zertifikat
Wenn Sie das Standardzertifikat durch ein selbstsigniertes Zertifikat ersetzen, fgen Sie den Host zu vCenter Server hinzu, damit der Authentication
Proxy-Server dem Host vertraut.
Von einer Zertifizierungsstelle (CA)

signiertes Zertifikat
Fgen Sie das von einer Zertifizierungsstelle (CA) signierte Zertifikat (nur
Windows-Format) zum lokalen vertrauenswrdigen Zertifikatspeicher auf
dem System hinzu, auf dem der Authentication Proxy-Dienst installiert ist,
und starten Sie den vSphere Authentication Proxy Adapter-Dienst neu.
n Windows 2003: Kopieren Sie die Zertifikatsdatei in C:\Dokumente und
Einstellungen\Alle Benutzer\Anwendungsdaten\VMware\vSphere Authentication Proxy\trust.
n
Windows 2008: Kopieren Sie die Zertifikatsdatei in C:\Program Data\VMware\vSphere Authentication Proxy\trust.
Authentifizieren von vSphere Authentication Proxy mit ESXi

Bevor Sie vSphere Authentication Proxy verwenden, um ESXi mit einer Domne zu verbinden, mssen Sie
den vSphere Authentication Proxy-Server mit ESXi authentifizieren. Wenn Sie Hostprofile verwenden, um
eine Domne mit dem vSphere Authentication Proxy-Server zu verbinden, mssen Sie den Server nicht authentifizieren. Das Hostprofil authentifiziert den Proxy-Server mit ESXi.
Um ESXi zu authentifizieren, sodass vSphere Authentication Proxy verwendet wird, exportieren Sie das Serverzertifikat vom vSphere Authentication Proxy-System und importieren Sie es nach ESXi. Sie brauchen den
Server nur ein Mal zu authentifizieren.
HINWEIS Standardmig muss ESXi den vSphere Authentication Proxy-Server authentifizieren, wenn er zum
Beitreten einer Domne verwendet wird. Stellen Sie sicher, dass diese Authentifizierungsfunktionalitt jederzeit aktiviert ist. Wenn Sie die Authentifizierung deaktivieren mssen, knnen Sie im Dialogfeld Erweiterte
Einstellungen das Attribut UserVars.ActiveDirectoryVerifyCAMCertifcate auf 0 setzen.
Exportieren des vSphere Authentication Proxy-Zertifikats

Um den vSphere Authentication Proxy-Server mit ESXi authentifizieren zu knnen, mssen Sie ESXi mit dem
Proxy-Serverzertifikat ausstatten.
Voraussetzungen
Installieren Sie den vSphere Authentication Proxy-Dienst auf einem Host, wie unter Installieren des vSphere
Authentication Proxy-Dienstes, auf Seite 83 beschrieben.
86
VMware, Inc.
Vorgehensweise
1
Verwenden Sie den IIS-Manager auf dem Authentifizierungs-Proxy-Serversystem, um das Zertifikat zu

exportieren.
Option
Aktion
Fr IIS 6
a
b
Fr IIS 7
a
b
c
d
Klicken Sie mit der rechten Maustaste auf [Computerkontoverwaltung

- Website] .
Whlen Sie [Eigenschaften] > [Verzeichnissicherheit] > [Zertifikat
anzeigen] .
Klicken Sie im linken Bereich auf [Computerkontoverwaltung - Website] .
Whlen Sie [Bindungen] , um das Dialogfeld Sitebindungen zu ffnen.
Whlen Sie die Bindung [https] aus.
Whlen Sie [Bearbeiten] > [SSL-Zertifikat anzeigen] .
Whlen Sie [Details] > [In Datei kopieren] .
Whlen Sie die Optionen [Nein, privaten Schlssel nicht exportieren] und [Base-64-codiert X.509
(.CER)] aus.
Weiter
Importieren Sie das Zertifikat in ESXi.
Importieren eines vSphere Authentication Proxy-Serverzertifikats in ESXi

Um den vSphere Authentication Proxy-Server mit ESXi authentifizieren zu knnen, laden Sie das Proxy-Serverzertifikat auf ESXi hoch.
Sie verwenden die Benutzeroberflche des vSphere-Clients, um das vSphere Authentication Proxy-Serverzertifikat auf ESXi hochzuladen.
Voraussetzungen
Exportieren Sie das Zertifikat des vSphere Authentication Proxy-Servers, wie unter Exportieren des vSphere
Authentication Proxy-Zertifikats, auf Seite 86 beschrieben.
Vorgehensweise
1
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [bersicht] .
Laden Sie das Zertifikat fr den Authentication Proxy-Server auf einen temporren Speicherort auf
ESXi hoch.
a
Klicken Sie unter Ressourcen mit der rechten Maustaste auf einen Datenspeicher und whlen Sie
[Datenspeicher durchsuchen] .
Whlen Sie einen Speicherort fr das Zertifikat aus und klicken Sie auf die Schaltflche [Datei hochladen] .
Navigieren Sie zu dem Zertifikat und whlen Sie [ffnen] .
Whlen Sie die Registerkarte [Konfiguration] und klicken Sie auf [Authentifizierungsdienste] .
Klicken Sie auf [Zertifikat importieren] .
VMware, Inc.
87
vSphere-Sicherheit
Geben Sie den vollstndigen Pfad zur Authentication Proxy-Server-Zertifikatsdatei auf dem Host und die
IP-Adresse des Authentication Proxy-Servers ein.
Verwenden Sie das Fomular [Datenspeichername] Dateipfad, um den Pfad des Proxy-Servers einzugeben.
Klicken Sie auf [Import] .
Weiter
Richten Sie den Host zum Verwenden des vSphere Authentication Proxy-Servers ein, um Benutzer zu authentifizieren.
Importieren eines Proxy-Server-Zertifikats nach ESXi im vSphere Web Client

Um den vSphere Authentication Proxy-Server mit ESXi authentifizieren zu knnen, laden Sie das Proxy-Serverzertifikat auf ESXi hoch.
Sie verwenden die Benutzeroberflche des vSphere-Clients, um das vSphere Authentication Proxy-Serverzertifikat auf ESXi hochzuladen.
Voraussetzungen
Exportieren Sie das Zertifikat des vSphere Authentication Proxy-Servers, wie unter Exportieren des vSphere
Authentication Proxy-Zertifikats, auf Seite 86 beschrieben.
Vorgehensweise
1
Laden Sie das Zertifikat fr den Authentication Proxy-Server auf einen temporren Speicherort hoch, der
auf dem Host verfgbar ist.
a
Wechseln Sie im vSphere Web Client zu einem Datenspeicher, der fr den Host verfgbar ist, und
klicken Sie auf die Registerkarte [Verwalten] .
Klicken Sie auf [Dateien] und auf [Datei hochladen] .
Navigieren Sie zu dem Zertifikat und whlen Sie [ffnen] .

Um Dateien aus einem Datenspeicher hochzuladen oder daraus herunterzuladen, muss das Client-Integrations-Plug-In auf dem System installiert sein, auf dem Sie den vSphere Web Client einsetzen.
Wechseln Sie zu dem Host, und klicken Sie auf die Registerkarte [Verwalten] .
Klicken Sie auf [Zertifikat importieren] .
Geben Sie den vollstndigen Pfad zur Authentication Proxy-Server-Zertifikatsdatei auf dem Host und die
IP-Adresse des Authentication Proxy-Servers ein.
Verwenden Sie das Fomular [Datenspeichername] Dateipfad, um den Pfad des Proxy-Servers einzugeben.
Klicken Sie auf [Importieren] .
Weiter
Richten Sie den Host zum Verwenden des vSphere Authentication Proxy-Servers ein, um Benutzer zu authentifizieren.
88
VMware, Inc.
Verwenden des vSphere Authentication Proxy zum Hinzufgen eines Hosts zu

einer Domne
Wenn Sie einen Host zu einer Verzeichnisdienst-Domne hinzufgen, knnen Sie fr die Authentifizierung
das vSphere Authentication Proxy anstelle von benutzerdefinierten Active Directory-Anmeldeinformationen
verwenden.
n
Voraussetzungen
n
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server-System oder mit dem Host verbunden
ist.
Wenn ESXi mit einer DHCP-Adresse konfiguriert ist, legen Sie den DHCP-Bereich fest, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung,
auf Seite 85 beschrieben.
Wenn ESXi mit einer statischen IP-Adresse konfiguriert ist, stellen Sie sicher, dass sein zugehriges Profil
so konfiguriert ist, dass zum Beitreten einer Domne der vSphere Authentication Proxy-Dienst verwendet
wird, damit der Authentifizierungs-Proxy-Server der IP-Adresse von ESXi vertrauen kann.
Wenn ESXi ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass der Host zu vCenter Server
hinzugefgt wurde. Dies ermglicht dem Authentifizierungs-Proxy-Server ESXi zu vertrauen.
Wenn ESXi ein CA-signiertes Zertifikat verwendet und nicht durch Auto Deploy bereitgestellt wird, stellen Sie sicher, dass das CA-Zertifikat zum lokalen Zertifikatspeicher des Authentifizierungs-Proxy-Servers hinzugefgt wurde, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung, auf Seite 85 beschrieben.
Fhren Sie eine Authentifizierung des vSphere Authentication Proxy-Servers mit dem Host durch, wie
unter Authentifizieren von vSphere Authentication Proxy mit ESXi, auf Seite 86 beschrieben.
Vorgehensweise
1
Whlen Sie den Host im Bestandslistenbereich des vSphere-Client aus.
Klicken Sie auf [Eigenschaften] .
Whlen Sie im Dialogfeld Verzeichnisdienstkonfiguration den Verzeichnisserver im Dropdown-Men

aus.

Aktivieren Sie das Kontrollkstchen [vSphere Authentication Proxy verwenden] .
Geben Sie die IP-Adresse des Authentication Proxy-Servers ein.
VMware, Inc.
89
vSphere-Sicherheit
Verwenden des vSphere Authentication Proxy zum Hinzufgen eines Hosts zu

einer Domne im vSphere Web Client
Wenn Sie einen Host zu einer Verzeichnisdienst-Domne hinzufgen, knnen Sie fr die Authentifizierung
den vSphere Authentication Proxy anstelle von benutzerdefinierten Active Directory-Anmeldeinformationen
verwenden.
n
Voraussetzungen
n
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server verbunden ist.
Wenn ESXi mit einer DHCP-Adresse konfiguriert ist, legen Sie den DHCP-Bereich fest.
Wenn ESXi mit einer statischen IP-Adresse konfiguriert ist, stellen Sie sicher, dass sein zugehriges Profil
so konfiguriert ist, dass zum Beitreten einer Domne der vSphere Authentication Proxy-Dienst verwendet
wird, damit der Authentifizierungs-Proxy-Server der IP-Adresse von ESXi vertrauen kann.
Wenn ESXi ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass der Host zu vCenter Server
hinzugefgt wurde. Dies ermglicht dem Authentifizierungs-Proxy-Server ESXi zu vertrauen.
Wenn ESXi ein CA-signiertes Zertifikat verwendet und nicht durch Auto Deploy bereitgestellt wird, stellen Sie sicher, dass das CA-Zertifikat zum lokalen Zertifikatspeicher des Authentifizierungs-Proxy-Servers hinzugefgt wurde, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung, auf Seite 85 beschrieben.
Fhren Sie eine Authentifizierung des vSphere Authentication Proxy-Servers mit dem Host durch.
Vorgehensweise
1
Whlen Sie im vSphere Web Client den Host aus und klicken Sie auf die Registerkarte [Verwalten] .
Klicken Sie auf [Einstellungen] und whlen Sie [Authentifizierungsdienste] aus.

Whlen Sie [Proxy-Server verwenden] aus.
Geben Sie die IP-Adresse des Authentication Proxy-Servers ein.
Anzeigen der vSphere Authentication Proxy-Einstellungen

Sie knnen die IP-Adresse und den Port verifizieren, den der Proxy-Server abhrt.
Nachdem Sie einen vSphere Authentication Proxy-Dienst auf einer Hostmaschine eingerichtet haben, knnen
Sie die Adresse und den Port der Hostmaschine im vSphere-Client anzeigen.
Vorgehensweise
u
Whlen Sie im vSphere-Client [Bestandsliste] > [Verwaltung] > [vSphere Authentication Proxy] .
Die Seite VMware vSphere Authentication Proxy wird angezeigt.
90
VMware, Inc.
vCenter Server-Authentifizierung und

Benutzerverwaltung
vCenter Server-Benutzer und -Gruppen werden vom vCenter Single Sign On-Server authentifiziert.
Wenn in Produktversionen vor vCenter Server 5.1 Benutzer eine Verbindung mit vCenter Server aufnahmen,
wurden sie authentifiziert, wenn vCenter Server ihre Anmeldedaten in einer Active Directory-Domne oder
der Liste der lokalen Betriebssystembenutzer validierte. In vCenter Server 5.1 authentifizieren sich Benutzer
ber vCenter Single Sign On.
Der Single Sign On-Standardadministrator ist admin@Systemdomne mit dem Kennwort, das Sie bei der
Installation angegeben haben. Sie verwenden diese Anmeldedaten, um sich beim Single Sign On-Verwaltungstool im vSphere Web Client anzumelden. Sie knnen dann Benutzern Single Sign On-Administratorberechtigungen zuweisen, die berechtigt sind, den Single Sign On-Server zu verwalten. Diese Benutzer knnen
sich von den Benutzern unterscheiden, die vCenter Server verwalten.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise
root) auch vCenter Single Sign On-Administratorberechtigungen.
Die folgenden Informationen sind fr die Verwaltung von Benutzern und Gruppen wichtig.
n
Das Anmelden bei vSphere Web Client mit Windows-Sitzungsanmeldedaten wird nur fr Active Directory-Benutzer der Domne untersttzt, zu der das Single Sign On-System gehrt.
vSphere Web Client erstellen. Sie mssen ESXi-Benutzer mit dem vSphere-Client erstellen und verwalten.
vCenter Server kennt keine lokalen Benutzer von ESXi. Auerdem erkennt ESXi vCenter Server-Benutzer
nicht. Sie knnen aber Single Sign On so konfigurieren, dass eine Active Directory-Domne als Identittsquelle verwendet wird, und ESXi so einstellen, dass es auf dieselbe Active Directory-Domne zeigt,
um Benutzer- und Gruppeninformationen zu erhalten. Diese Aktion ermglicht es, dass dieselbe Benutzergruppe fr den Host und vCenter Server verfgbar ist.

n
Verwenden von vCenter Single Sign On mit vSphere, auf Seite 92
Auswirkungen von vCenter Single Sign On-Bereitstellungsszenarios auf das Anmeldeverhalten,

auf Seite 92
Konfigurieren von vCenter Single Sign On, auf Seite 95
Verwenden von vCenter Single Sign On fr das Verwalten von Benutzern und Gruppen, auf Seite 105
Einstellungen des vCenter Server-Benutzerverzeichnisses, auf Seite 111
Zuweisen von Berechtigungen fr vCenter Server, auf Seite 113
Zuweisen von Rollen im vSphere Web Client, auf Seite 115
VMware, Inc.
91
vSphere-Sicherheit
Manuelles Replizieren von Daten in einer vCenter Single Sign On-Bereitstellung mit mehreren Standorten, auf Seite 118
Fehlerbehebung fr vCenter Single Sign On, auf Seite 120
Verwenden von vCenter Single Sign On mit vSphere

Sie verwenden vCenter Single Sign On zur Authentifizierung und Verwaltung von vCenter Server-Benutzern.
Wenn in vCenter Server-Versionen vor vCenter Server 5.1 ein Benutzer eine Verbindung zu vCenter Server
herstellt, authentifiziert vCenter Server den Benutzer, indem dieser anhand einer Active Directory-Domne
bzw. der Liste der lokalen Benutzer des Betriebssystems validiert wird. In vCenter Server 5.1 authentifizieren
sich Benutzer ber vCenter Single Sign On.
Die Single Sign On-Verwaltungsoberflche ist Teil des vSphere Web Client. Zur Konfiguration von Single Sign
On und Verwaltung der Single Sign On-Benutzer und -Gruppen melden Sie sich beim vSphere Web Client als
Benutzer mit Single Sign On-Administratorrechten an. Dies ist mglicherweise nicht derselbe Benutzer wie
der vCenter Server-Administrator. Geben Sie die Anmeldedaten auf der vSphere Web Client-Anmeldeseite
ein. Nach der Authentifizierung knnen Sie auf das Single Sign On-Verwaltungstool zugreifen, um Benutzer
zu erstellen und anderen Benutzern Administratorberechtigungen zuzuweisen.
vSphere 5.1-Benutzer haben die Mglichkeit, sich bei vCenter Server ber den vSphere-Client oder den
vSphere Web Client anzumelden.
n
Mit dem vSphere-Client melden Sie sich bei jedem vCenter Server-System separat an. Alle verknpften
vCenter Server-Instanzen werden im linken Bereich des vSphere-Clients angezeigt. Der vSphere-Client
zeigt keine vCenter Server-Systeme an, die nicht mit dem vCenter Server verbunden sind, bei dem sich
der Benutzer angemeldet hat, es sei denn, der Benutzer stellt explizit eine Verbindung zu diesen vCenter Server-Systemen her. Dieses Verhalten hat sich seit den vCenter Server-Versionen vor Version 5.1 nicht
gendert.
Mithilfe des vSphere Web Client authentifizieren Sie sich bei vCenter Single Sign On, indem Sie Ihre
Anmeldedaten auf der Anmeldeseite des vSphere Web Client eingeben. Sie knnen dann alle vCenter
Server-Instanzen sehen, fr die Sie Berechtigungen haben. Nachdem Sie eine Verbindung zu vCenter
Server hergestellt haben, ist keine weitere Authentifizierung erforderlich. Welche Aktionen Sie auf Objekten durchfhren knnen, hngt von Ihren vCenter Server-Berechtigungen fr diese Objekte ab.
Bei Versionen vor vCenter Server 5.1 mssen Sie jedes vCenter Server-System mit dem vSphere Web Client
registrieren. Bei vCenter Server 5.1 werden vCenter Server-Systeme automatisch erkannt und in der
vSphere Web Client-Bestandsliste angezeigt.
Auswirkungen von vCenter Single Sign On-Bereitstellungsszenarios

auf das Anmeldeverhalten
Die Art, wie Sie vCenter Single Sign On bereitstellen, und der Benutzertyp, der vCenter Single Sign On installiert, beeinflussen, welche Administrator-Benutzerkonten ber Berechtigungen auf dem Single Sign OnServer und fr vCenter Server verfgen.
Whrend der vCenter Server-Installation werden einigen Benutzern Berechtigungen zum Anmelden bei
vCenter Server und anderen Benutzern Berechtigungen zum Verwalten von vCenter Single Sign On zugewiesen. Der vCenter Server-Administrator ist mglicherweise nicht der gleiche Benutzer wie der vCenter Single Sign On-Administrator. Das bedeutet: Wenn Sie sich bei vSphere Web Client als standardmiger Single
Sign On-Administrator (admin@Systemdomne) anmelden, sehen Sie mglicherweise keine vCenter ServerSysteme in der Bestandsliste. Die Bestandsliste scheint leer zu sein, weil Sie nur die Systeme sehen, fr die Sie
im vSphere Web Client ber Berechtigungen verfgen.
92
VMware, Inc.
Kapitel 7 vCenter Server-Authentifizierung und Benutzerverwaltung
Das bedeutet auch Folgendes: Wenn Sie sich bei vSphere Web Client als standardmiger vCenter ServerAdministrator anmelden, sehen Sie mglicherweise nicht das Konfigurationstool fr vCenter Single Sign On.
Das Konfigurationstool steht nicht zur Verfgung, weil nur der standardmige vCenter Single Sign OnAdministrator (admin@Systemdomne) berechtigt ist, vCenter Single Sign On nach der Installation zu verwalten. Der Single Sign On-Administrator kann bei Bedarf zustzliche Administrator-Benutzer einrichten.
n
Anmeldeverhalten, wenn Sie vCenter Simple Install verwenden auf Seite 93

Der vCenter Simple Install-Prozess installiert vCenter Single Sign On, Inventory Service und vCenter
Server auf einem System. Das Konto, das Sie benutzen, wenn Sie den Simple Install-Prozess ausfhren,
hat Einfluss darauf, welche Benutzer Berechtigungen fr welche Komponenten erhalten.
Anmeldeverhalten beim Bereitstellen von vCenter Single Sign On als eigenstndiger Server auf Seite 94
vCenter Single Sign On im Basismodus bereitzustellen bedeutet, dass eine eigenstndige Version von
vCenter Single Sign On auf einem System installiert wird. Mehrere vCenter Server-, Inventory Serviceund vSphere Web Client-Instanzen knnen auf diese eigenstndige Version von vCenter Single Sign On
verweisen.
Anmeldeverhalten, wenn Sie einen Cluster von vCenter Single Sign On-Instanzen installieren auf Seite 95
Das Bereitstellen von vCenter Single Sign On als Cluster bedeutet, dass zwei oder mehr vCenter Single
Sign On-Instanzen im Hochverfgbarkeitsmodus installiert werden. Der vCenter Single Sign On-Hochverfgbarkeitsmodus ist nicht dasselbe wie vSphere HA. Alle vCenter Single Sign On-Instanzen verwenden dieselbe Datenbank und verweisen auf dieselben Identittsquellen. Single Sign On-Administratorbenutzer sehen die primre Single Sign On-Instanz, wenn sie eine Verbindung mit vCenter Server
ber vSphere Web Client herstellen.
Anmeldeverhalten, wenn Sie vCenter Simple Install verwenden

Der vCenter Simple Install-Prozess installiert vCenter Single Sign On, Inventory Service und vCenter Server
auf einem System. Das Konto, das Sie benutzen, wenn Sie den Simple Install-Prozess ausfhren, hat Einfluss
darauf, welche Benutzer Berechtigungen fr welche Komponenten erhalten.
Wenn Sie sich als Domnenkontobenutzer oder Benutzer eines lokalen Kontos anmelden, um vCenter Server
mit vCenter Simple Install zu installieren, verhlt sich das System nach der Installation wie folgt:
n
Standardmig knnen sich Benutzer in der Administratorgruppe des lokalen Betriebssystems bei
vSphere Web Client und vCenter Server anmelden. Diese Benutzer knnen Single Sign On nicht konfigurieren und die Single Sign On-Verwaltungsschnittstelle im vSphere Web Client nicht aufrufen.
Der standardmige vCenter Single Sign On-Administratorbenutzer lautet admin@Systemdomne.

Dieser Benutzer kann sich beim vSphere Web Client anmelden, um Single Sign On zu konfigurieren und
gegebenenfalls Konten fr die Verwaltung von Single Sign On hinzuzufgen. Dieser Benutzer kann
vCenter Server nicht anzeigen und nicht konfigurieren.
Wenn Sie als Domnenkontobenutzer angemeldet sind, werden die standardmigen Active DirectoryIdentittsquellen whrend der vCenter Single Sign On-Installation automatisch erkannt. Wenn Sie als
lokaler Kontobenutzer angemeldet sind, werden die Active Directory-Identittsquellen whrend der
vCenter Single Sign On-Installation nicht automatisch erkannt.
Benutzer des lokalen Betriebssystems (localos oder Hostname) werden als Identittsquelle hinzugefgt.
VMware, Inc.
93
vSphere-Sicherheit
Anmeldeverhalten beim Bereitstellen von vCenter Single Sign On als

eigenstndiger Server
vCenter Single Sign On im Basismodus bereitzustellen bedeutet, dass eine eigenstndige Version von vCenter
Single Sign On auf einem System installiert wird. Mehrere vCenter Server-, Inventory Service- und vSphere
Web Client-Instanzen knnen auf diese eigenstndige Version von vCenter Single Sign On verweisen.
In diesem Bereitstellungsszenario gewhrt der Installationsprozess admin@Systemdomne standardmig
vCenter Server-Berechtigungen. Auerdem erstellt der Installationsprozess den Benutzer admin@Systemdomne, der vCenter Single Sign On verwalten kann.
HINWEIS Wenn Sie vCenter Server-Komponenten mit eigenstndigen Installationsprogrammen installieren,
knnen Sie auswhlen, welches Konto oder welche Gruppe sich nach der Installation bei vCenter Server anmelden kann. Legen Sie dieses Konto oder diese Gruppe auf der Seite Single Sign On-Informationen des
Installationsprogramms im folgenden Textfeld fest: [Von vCenter Single Sign On erkannter vCenter ServerAdministrator.] Beispiel: Um einer Gruppe von Domnenadministratoren die Berechtigung zum Anmelden
bei vCenter Server zu gewhren, geben Sie den Namen der Domnenadministratorengruppe ein, beispielsweise Domnenadministratoren@VCADSSO.LOCAL.
In den Modi High Availablity und Single Sign On fr mehrere Standorte gibt es keine Identittsquelle fr das
lokale Betriebssystem. Deshalb funktionieren diese nicht, wenn Sie Administratoren oder Administrator in
das Textfeld [Von vCenter Single Sign On erkannter vCenter Server-Administrator] eingeben.
Administratoren wird als lokale Betriebssystemgruppe Administratoren und Administrator als lokaler Betriebssystemadministrator behandelt.
Installieren im einfachen Modus als Domnenkontobenutzer

Wenn Sie sich als Domnenkontobenutzer anmelden, um vCenter Single Sign On im einfachen Modus auf
einem vom Inventory Service und vCenter Server getrennten System zu installieren, verhlt sich das System
nach der Installation wie folgt.
n
Standardmig kann sich der Benutzer admin@Systemdomne bei vSphere Web Client und vCenter Server anmelden.
Die standardmigen Active Directory-Identittsquellen werden erkannt.
Installieren im einfachen Modus als Benutzer eines lokalen Kontos

Wenn Sie sich als Benutzer eines lokalen Kontos anmelden, um vCenter Single Sign On im einfachen Modus
auf einem vom Inventory Service und vCenter Server getrennten System zu installieren, verhlt sich das System
nach der Installation wie folgt.
94
Active Directory-Identittsquellen werden nicht erkannt.
VMware, Inc.
Anmeldeverhalten, wenn Sie einen Cluster von vCenter Single Sign On-Instanzen
installieren
Das Bereitstellen von vCenter Single Sign On als Cluster bedeutet, dass zwei oder mehr vCenter Single Sign
On-Instanzen im Hochverfgbarkeitsmodus installiert werden. Der vCenter Single Sign On-Hochverfgbarkeitsmodus ist nicht dasselbe wie vSphere HA. Alle vCenter Single Sign On-Instanzen verwenden dieselbe
Datenbank und verweisen auf dieselben Identittsquellen. Single Sign On-Administratorbenutzer sehen die
primre Single Sign On-Instanz, wenn sie eine Verbindung mit vCenter Server ber vSphere Web Client herstellen.
In diesem Bereitstellungsszenario gewhrt der Installationsprozess admin@Systemdomne standardmig
vCenter Server-Berechtigungen. Auerdem erstellt der Installationsprozess den Benutzer admin@Systemdomne, der vCenter Single Sign On verwalten kann.
HINWEIS Wenn Sie vCenter Server-Komponenten mit eigenstndigen Installationsprogrammen installieren,
knnen Sie auswhlen, welches Konto oder welche Gruppe sich nach der Installation bei vCenter Server anmelden kann. Legen Sie dieses Konto oder diese Gruppe auf der Seite Single Sign On-Informationen des
Installationsprogramms im folgenden Textfeld fest: [Von vCenter Single Sign On erkannter vCenter ServerAdministrator.] Beispiel: Um einer Gruppe von Domnenadministratoren die Berechtigung zum Anmelden
bei vCenter Server zu gewhren, geben Sie den Namen der Domnenadministratorengruppe ein, beispielsweise Domnenadministratoren@VCADSSO.LOCAL.
In den Modi High Availablity und Single Sign On fr mehrere Standorte gibt es keine Identittsquelle fr das
lokale Betriebssystem. Deshalb funktionieren diese nicht, wenn Sie Administratoren oder Administrator in
das Textfeld [Von vCenter Single Sign On erkannter vCenter Server-Administrator] eingeben.
Administratoren wird als lokale Betriebssystemgruppe Administratoren und Administrator als lokaler Betriebssystemadministrator behandelt.
Wenn Sie sich als Domnenkontobenutzer oder Benutzer eines lokalen Kontos anmelden, um vCenter Single
Sign On im Clustermodus auf einem vom Inventory Service und vCenter Server getrennten System zu installieren, verhlt sich das System nach der Installation wie folgt.
n
Wenn Sie als Domnenkontobenutzer angemeldet sind, werden die standardmigen Active DirectoryIdentittsquellen erkannt. Wenn Sie als Benutzer eines lokalen Kontos angemeldet sind, werden die Active
Directory-Identittsquellen nicht erkannt.
Konfigurieren von vCenter Single Sign On

Mit vCenter Single Sign On knnen Sie Identittsquellen hinzufgen, Standarddomnen verwalten, eine
Kennwortrichtlinie konfigurieren und die Sperrrichtlinie bearbeiten.
Machen Sie sich vor der Konfiguration von vCenter Single Sign On mit den folgenden Elementen vertraut.
Identittsquelle
VMware, Inc.
Eine Identittsquelle ist eine Sammlung von Benutzer- und Gruppendaten. Die
Benutzer- und Gruppendaten werden in einem Repository, z. B. Active Directory, LDAP oder einer Datenbank, gespeichert, die fr Single Sign On intern
oder fr ein Betriebssystem lokal ist. Bei der Installation hat jede Single Sign
95
vSphere-Sicherheit
On-Instanz die Identittsquelle System-Domain. Diese Identittsquelle ist

intern fr Single Sign On. Administratoren knnen Single Sign On-Benutzer
und -Gruppen erstellen. Single Sign On-Benutzer haben eine der folgenden
Rollen:
n
Die in der vCenter Single Sign On-Konfigurationsanwendung definierte

Kennwortrichtlinie legt fest, wann das Kennwort abluft. Standardmig
laufen Single Sign On-Kennwrter nach einem Jahr ab, aber Ihr Systemadministrator kann dies je nach den fr Ihre Organisation geltenden
Richtlinien ndern.
WICHTIG Der vSphere Web Client erinnert Sie nicht, wenn Ihr Kennwort
dabei ist, abzulaufen. Wenn Ihr Kennwort abluft und Sie sich beim
vSphere Web Client nicht anmelden knnen, kann es von einem Single
Sign On-Benutzer mit Administratorrechten zurckgesetzt werden.
Benutzer mit normalem Zugriff haben die Berechtigung fr begrenzte

Selbstverwaltungsfunktionen, beispielsweise Aktualisieren einer E-MailAdresse oder eines Kennworts. Normale Benutzer knnen nach Single
Sign On-Benutzern und -Gruppen suchen. Sie knnen Single Sign OnKonfigurationsoptionen anzeigen, aber nicht bearbeiten.
Mit dem Administratorzugriff erhlt ein Benutzer vollstndige SuperuserBerechtigungen fr das Single Sign On-System, einschlielich der Mglichkeit, Benutzer und Gruppen zu erstellen, Berechtigungen zu erteilen,
Identittsquellen hinzuzufgen und Richtlinien zu ndern (Sperren und
Kennwort). Nach der Installation hat nur ein Benutzer (admin@Systemdomne) diese Rolle.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise root) auch vCenter Single Sign
On-Administratorberechtigungen.
Standarddomne
Jede Identittsquelle ist mit einer Domne verknpft und Sie knnen eine oder
mehrere Domnen als Standard festlegen. Beim Versuch, einen Benutzer zu
authentifizieren, durchsucht Single Sign On die Standarddomnen in der angegebenen Reihenfolge.
Kennwortrichtlinie
Eine Single Sign On-Kennwortrichtlinie ist ein Satz von Regeln und Beschrnkungen fr das Format und das Alter von Single Sign On-Benutzerkennwrtern. Kennwortrichtlinien gelten nur fr Single Sign On-Benutzer. Sie gelten
nicht fr Benutzer, die Teil einer Active Directory- oder OpenLDAP-Domne
sind, und sie gelten auch nicht fr Benutzer des lokalen Betriebssystems.
Sperrrichtlinie
Eine Sperrrichtlinie legt die Bedingungen fest, unter denen ein Single Sign OnBenutzerkonto gesperrt wird. In vSphere 5.1 melden Sie sich bei Single Sign
On statt bei einzelnen vCenter Server-Systemen an. Die Sperrrichtlinie gilt fr
Benutzer, die auf vCenter Server zugreifen, indem sie sich beim
vSphere Web Client anmelden.
Ein Konto kann gesperrt werden, wenn ein Benutzer die zulssige Anzahl
fehlgeschlagener Anmeldeversuche berschreitet. ber die Sperrrichtlinie
knnen Sie die maximale Anzahl von fehlgeschlagenen Anmeldeversuchen
festlegen und angeben, wie viel Zeit zwischen den Fehlversuchen verstreichen
kann. Mit der Richtlinie wird auch festgelegt, wie viel Zeit vergehen muss,
bevor das Konto automatisch entsperrt wird.
96
VMware, Inc.
Um vCenter Single Sign On einzurichten, mssen Sie ber Single Sign On-Administratorberechtigungen verfgen. Single Sign On-Administratorberechtigungen unterscheiden sich von der Administratorrolle in vCenter
Server oder ESXi.
Grundlegendes zu Identittsquellen
Eine Identittsquelle ist eine Sammlung von Benutzer- und Gruppendaten. Die Benutzer- und Gruppendaten
werden in einem Repository, z. B. Active Directory, LDAP oder einer fr vCenter Single Sign On internen bzw.
fr ein Betriebssystem lokalen Datenbank gespeichert.
vCenter Server-Versionen vor Version 5.1 haben Active Directory und lokale Betriebssystembenutzer als Benutzer-Repositorys untersttzt. vCenter Server 5.1 untersttzt die folgenden Typen von Benutzer-Repositorys
als Identittsquellen.
n
OpenLDAP-Versionen 2.4 und spter.
Active Directory-Versionen 2003 und spter.
Benutzer des lokalen Betriebssystems.

Benutzer des lokalen Betriebssystems sind lokale Benutzer im Betriebssystem, in dem der Single Sign OnServer luft (beispielsweise Windows). Nur eine Identittsquelle des lokalen Betriebssystems ist gestattet.
Die Identittsquelle des lokalen Betriebssystems existiert nur in einfachen Single Sign On-Serverbereitstellungen.
Ein vierter Typ von Benutzer-Repository sind Single Sign On-Systembenutzer (System-Domne). Genau eine
Systemidentittsquelle ist immer mit der Installation von Single Sign On verbunden. Diese Benutzer werden
in einer Datenbank gespeichert, die sich intern auf dem Single Sign On-Server befindet. Systembenutzer sind
nicht identisch mit den lokalen Betriebssystembenutzern.
Sie knnen einem Single Sign On-Server mehrere Identittsquellen eines jeden Typs zuweisen.
Verwalten von Standarddomnen fr vCenter Single Sign On

Jede von vCenter Single Sign On bekannte Identittsquelle ist mit einer Domne verknpft. Sie knnen eine
oder mehrere Standarddomnen angeben. vCenter Single Sign On verwendet Standarddomnen, um Benutzer
zu authentifizieren, wenn ein Benutzername ohne Domnenname angegeben wird.
Wenn ein Benutzername in mehr als einer der angegebenen Standarddomnen vorhanden ist, versucht Single
Sign On, den Benutzer anhand jeder Domne in der aufgefhrten Reihenfolge zu authentifizieren. Die Authentifizierung gelingt bei der ersten Domne, die die vom Benutzer bereitgestellten Anmeldeinformationen
annimmt. Standardmig validiert Single Sign On den Benutzer zuerst anhand der Identittsquelle des lokalen
Betriebssystems.
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Anmeldung und Erkennung] > [Konfiguration] im

vSphere Web Client.
Whlen Sie auf der Registerkarte [Identittsquellen] eine Domne aus und klicken Sie auf [Zu Standarddomnen hinzufgen] .
Klicken Sie auf das Symbol [Speichern] .

Die Domne wird zur Liste der Standarddomnen hinzugefgt.
(Optional) Um die Reihenfolge der Standarddomnen zu ndern, verwenden Sie die Pfeile [Nach oben]
und [Nach unten] und klicken Sie auf [Speichern] .
Um eine Domne aus der Liste zu entfernen, whlen Sie die Domne aus und klicken Sie auf [Entfernen] .
VMware, Inc.
97
vSphere-Sicherheit
Klicken Sie auf das Symbol [Speichern] .

Die Domne wird aus der Liste der Standarddomnen entfernt, verbleibt jedoch in der Liste der Identittsquellen.
Erstellen von vCenter Single Sign On-Administratoren

Sie knnen Benutzern Single Sign On-Administratorrechte zuweisen, die berechtigt sind, den Single Sign OnServer zu verwalten. Diese Benutzer knnen sich von den Benutzern unterscheiden, die vCenter Server verwalten.
Voraussetzungen
Stellen Sie sicher, dass Sie ber Administratorrechte fr vCenter Single Sign On verfgen.
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Zugriff] > [SSO-Benutzer und -Gruppen] im

vSphere Web Client.
Klicken Sie auf die Registerkarte [Gruppen] und dann auf die Gruppe [Administratoren] .
Klicken Sie auf [Prinzipal hinzufgen] .

Ein Prinzipal ist das Mitglied einer Gruppe.
Whlen Sie die Identittsquelle aus, die den Benutzer enthlt, der zur Administratorgruppe hinzugefgt
werden soll.
(Optional) Geben Sie einen Suchbegriff ein und klicken Sie auf [Suchen] .
Whlen Sie den Benutzer aus und klicken Sie auf [Hinzufgen] .
Sie knnen einer Gruppe gleichzeitig mehrere Benutzer hinzufgen.
Der Benutzer mit Single Sign On-Administratorrechten wird im unteren Bereich der Registerkarte [Gruppen]
angezeigt.
Hinzufgen einer vCenter Single Sign On-Identittsquelle

vSphere-Benutzer werden in einer Identittsquelle definiert. Bei einer Identittsquelle kann es sich um einen
Verzeichnisdienst, wie Active Directory und Open LDAP, eine interne Datenbank auf dem System, auf dem
vCenter Single Sign On installiert ist, oder um Betriebssystembenutzer handeln, die sich lokal auf dem System
befinden, auf dem Single Sign On installiert ist. Sie knnen mehr als eine Identittsquelle mit dem
vSphere Web Client registrieren.
Voraussetzungen
Ein Verzeichnisdienst, wie Active Directory, wird eingerichtet und in Ihrer Umgebung konfiguriert.
Stellen Sie sicher, dass Sie ber Administratorrechte fr vCenter Single Sign On verfgen.
Vorgehensweise
98

vSphere Web Client.
Klicken Sie auf der Registerkarte [Identittsquelle] auf das Symbol [Identittsquelle hinzufgen] .
VMware, Inc.
Whlen Sie den Typ der Identittsquelle aus.

Option
Beschreibung
OpenLDAP
Die Identittsquelle ist ein OpenLDAP-Server. OpenLDAP-Versionen 2.4

und spter werden untersttzt.
Active Directory
Die Identittsquelle ist ein Microsoft Active Directory-Server. Active Directory-Versionen 2003 und spter werden untersttzt.
Lokales Betriebssystem
Lokale Benutzer des Betriebssystems, auf dem Single Sign On installiert ist
(beispielsweise Windows). Es kann nur eine Identittsquelle des lokalen Betriebssystems geben.
Geben Sie die Einstellungen fr die Identittsquelle ein.

Option
Beschreibung
Name
Name der Identittsquelle
URL des primren Servers
Fr Open LDAP und Active Directory verwenden Sie das Format

ldap://Hostname:Port oder ldaps://Hostname:Port
Ein Zertifikat, das das Vertrauen fr den LDAPS-Endpunkt des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primren
oder sekundren LDAP-URL verwenden.
Fr OpenLDAP und Active Directory ist der Port in der Regel 389 fr ldap:
Verbindungen und 636 fr ldaps: Verbindungen.
Fr Active Directory-Bereitstellungen ber mehrere Domnencontroller ist
der Port in der Regel 3268 fr ldap: Verbindungen und 3269 fr ldaps: Verbindungen.
URL des sekundren Servers
(Optional) Adresse eines sekundren LDAP-Servers, der fr das Failover

verwendet wird.
Basis-DN fr Benutzer
(Optional) Basisdomnenname fr Benutzer.
Domnenname
DNS-Name der Domne.
Domnen-Alias
(Optional) NetBIOS-Name der Domne.
Basis-DN fr Gruppen
(Optional) Basisdomnenname fr Gruppen.
Authentifizierungstyp
n
n
n
Anonym: Der Identittsquellenserver verwendet keine Authentifizierung.

Kennwort: Der Identittsquellenserver benutzt eine Kombination aus
Benutzername und Kennwort zur Authentifizierung.
Sitzung wiederverwenden: Der Single Sign On-Server verwendet die
Prozesssitzungsanmeldedaten zur Authentifizierung im externen Server.
Dieser Authentifizierungstyp wird nur untersttzt, wenn die Identittsquelle ein Active Directory-Server ist und der Single Sign On-Server als
Benutzer luft, der in der Windows-Domne authentifiziert wurde, zu
der der Active Directory-Server gehrt.
VMware, Inc.
99
vSphere-Sicherheit
Option
Beschreibung
Benutzername
Die ID eines Active Directory-Benutzers mit einem Minimum an Nur-LesenZugriff fr Benutzer und Gruppen auf BaseDN.
Kennwort
Das Kennwort des Active Directory-Benutzers mit einem Minimum an NurLesen-Zugriff fr Benutzer und Gruppen auf BaseDN.
HINWEIS Wenn Sie den Authentifizierungstyp Kennwort fr eine Identittsquelle verwenden, mssen
Sie die Identittsquellendetails aktualisieren, sobald sich das Kennwort fr den konfigurierten Benutzer
ndert. Sie aktualisieren das Kennwort im Dialogfeld Identittsquelle bearbeiten".
Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen die Authentifizierungs- und Gruppensowie Gruppen- und Benutzersuchvorgnge in der Active Directory-Domne fehl. Das Benutzerkonto
muss ber Nur-Lesen-Zugriff auf die Organisationseinheit (OU) Benutzer und Gruppe verfgen und
in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Dies ist die Standardkonfiguration der Active
Directory-Domne fr Benutzerberechtigungen. VMware empfiehlt die Verwendung eines speziellen
Dienstbenutzers, um sicherzustellen, dass das Kennwort nicht abluft und das Benutzerkonto nicht gesperrt oder deaktiviert wird.
5
Klicken Sie auf [Testverbindung] , um sicherzustellen, dass Sie eine Verbindung zur Identittsquelle
herstellen knnen.
Bearbeiten einer vCenter Single Sign On-Identittsquelle

vSphere-Benutzer werden in einer Identittsquelle definiert. Sie knnen die Details einer Identittsquelle bearbeiten, die vCenter Single Sign On zugewiesen ist.
Vorgehensweise
100

vSphere Web Client.
Klicken Sie auf die Registerkarte [Identittsquellen] .
Klicken Sie mit der rechten Maustaste auf die Identittsquelle in der Tabelle und whlen Sie [Identittsquelle bearbeiten] .
Bearbeiten Sie die Einstellungen fr die Identittsquelle.

Option
Beschreibung
Name
Name der Identittsquelle
URL des primren Servers
Fr Open LDAP und Active Directory verwenden Sie das Format

ldap://Hostname:Port oder ldaps://Hostname:Port
Ein Zertifikat, das das Vertrauen fr den LDAPS-Endpunkt des Active Directory-Servers festlegt, ist erforderlich, wenn Sie ldaps:// in der primren
oder sekundren LDAP-URL verwenden.
Fr OpenLDAP und Active Directory ist der Port in der Regel 389 fr ldap:
Verbindungen und 636 fr ldaps: Verbindungen.
Fr Active Directory-Bereitstellungen ber mehrere Domnencontroller ist
der Port in der Regel 3268 fr ldap: Verbindungen und 3269 fr ldaps: Verbindungen.
URL des sekundren Servers
(Optional) Adresse eines sekundren LDAP-Servers, der fr das Failover

verwendet wird.
Basis-DN fr Benutzer
(Optional) Basisdomnenname fr Benutzer.
Domnenname
DNS-Name der Domne.
Domnen-Alias
(Optional) NetBIOS-Name der Domne.
Basis-DN fr Gruppen
(Optional) Basisdomnenname fr Gruppen.
VMware, Inc.
Option
Beschreibung
Authentifizierungstyp
n
n
n
Anonym: Der Identittsquellenserver verwendet keine Authentifizierung.

Kennwort: Der Identittsquellenserver benutzt eine Kombination aus
Benutzername und Kennwort zur Authentifizierung.
Sitzung wiederverwenden: Der Single Sign On-Server verwendet die
Prozesssitzungsanmeldedaten zur Authentifizierung im externen Server.
Dieser Authentifizierungstyp wird nur untersttzt, wenn die Identittsquelle ein Active Directory-Server ist und der Single Sign On-Server als
Benutzer luft, der in der Windows-Domne authentifiziert wurde, zu
der der Active Directory-Server gehrt.
Benutzername
Die ID eines Active Directory-Benutzers mit einem Minimum an Nur-LesenZugriff fr Benutzer und Gruppen auf BaseDN.
Kennwort
Das Kennwort des Active Directory-Benutzers mit einem Minimum an NurLesen-Zugriff fr Benutzer und Gruppen auf BaseDN.
HINWEIS Wenn Sie den Authentifizierungstyp Kennwort fr eine Identittsquelle verwenden, mssen
Sie die Identittsquellendetails aktualisieren, sobald sich das Kennwort fr den konfigurierten Benutzer
ndert. Sie aktualisieren das Kennwort im Dialogfeld Identittsquelle bearbeiten".
5
Klicken Sie auf [Testverbindung] , um sicherzustellen, dass Sie eine Verbindung zur Identittsquelle
herstellen knnen.
Bearbeiten einer vCenter Single Sign On-Kennwortrichtlinie

Eine Single Sign On-Kennwortrichtline ist ein Satz von Regeln und Beschrnkungen fr das Format und das
Alter von Single Sign On-Benutzerkennwrtern. Die Kennwortrichtlinie gilt nur fr Single Sign On-Benutzer
(System-Domain).
Standardmig laufen Single Sign On-Kennwrter nach einem Jahr ab.
WICHTIG Der vSphere Web Client erinnert Sie nicht, wenn Ihr Kennwort dabei ist, abzulaufen. Wenn Ihr
Kennwort abluft und Sie sich beim vSphere Web Client nicht anmelden knnen, kann es von einem Single
Sign On-Benutzer mit Administratorrechten zurckgesetzt werden. Wenn das Administratorkennwort abluft, kann jeder Single Sign On-Administrator es fr Sie zurcksetzen. Sie knnen es aber auch ber die
Befehlszeile unter Verwendung des abgelaufenen Kennworts selbst zurcksetzen.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Richtlinien] und whlen Sie [Kennwortrichtlinien] .
Bearbeiten Sie die Parameter Lebensdauer und Format.
VMware, Inc.
Option
Beschreibung
Maximale Lebensdauer
Maximale Gltigkeitsdauer in Tagen fr ein Kennwort, bevor der Benutzer

es ndern muss.
Wiederverwendung einschrnken
Anzahl der vorhergehenden Passwrter, die der Benutzer nicht auswhlen

kann. Beispiel: Falls ein Benutzer eines der letzten fnf Passwrter nicht
wiederverwenden darf, geben Sie 5 ein.
Maximallnge
Maximal zulssige Zeichenanzahl fr das Kennwort.
101
vSphere-Sicherheit
Option
Beschreibung
Mindestlnge
Mindestens erforderliche Zeichenanzahl fr das Kennwort. Die Mindestlnge darf nicht unter der Summe der erforderlichen Mindestanzahl von alphabetischen und numerischen Zeichen sowie Sonderzeichen liegen.
Zeichenanforderungen
Mindestens erforderliche Anzahl verschiedener Zeichenarten fr das Kennwort.

n Sonderzeichen: & # % usw.
n Alphabetisch: A b c D
n Grobuchstaben: A B C
n Kleinbuchstaben: a b c
n Numerisch: 1 2 3
Die Mindestanzahl alphabetischer Zeichen muss mindestens der Summe der
Anforderungen fr Gro- und Kleinbuchstaben entsprechen.
Identische benachbarte Zeichen
Maximal zulssige Anzahl identischer benachbarter Zeichen fr das Kennwort. Muss grer als 0 sein. Beispiel: Wenn Sie 1 eingeben, ist das folgende
Kennwort nicht zulssig: p@$$word.
Zurcksetzen eines abgelaufenen vCenter Single Sign OnAdministratorkennworts unter Windows

Die Standard-Kennwortrichtlinie fr Single Sign On-Kennwrter legt fest, dass Kennwrter nach einem Jahr
ablaufen. Der vSphere Web Client gibt keine Warnmeldung aus, wenn ein Kennwort vor dem Ablauf steht.
Wenn das Administratorkennwort fr das Single Sign On-System abluft und Sie nicht in der Lage sind, sich
beim vSphere Web Client anzumelden, muss es ein Benutzer mit Single Sign On-Administratorrechten zurcksetzen.
Problem
Das Kennwort fr den vCenter Single Sign On-Administratorbenutzer ist abgelaufen und der Administrator
kann sich beim vSphere Web Client nicht anmelden, um das Kennwort zu ndern.
Lsung
n
ndern Sie das Kennwort im vSphere Web Client.

a
Melden Sie sich beim vSphere Web Client als Benutzer mit vCenter Single Sign On-Administratorrechten an.
Navigieren Sie zu [Verwaltung] > [Zugriff] > [SSO-Benutzer und -Gruppen] und klicken Sie auf
die Registerkarte [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Benutzer bearbeiten] .
Geben Sie ein neues Kennwort ein und besttigen Sie es.
ndern Sie das Kennwort in der Befehlszeile.

a
ffnen Sie ein Terminalfenster und navigieren Sie zu C:\Programme\VMware\Infrastructure\SSOServer\ssolscli.
Fhren Sie den folgenden Befehl aus.

ssopass Benutzername
102
VMware, Inc.
Geben Sie das aktuelle Kennwort fr den Benutzer ein, auch wenn es abgelaufen ist.
Geben Sie das neue Kennwort ein und besttigen Sie es durch nochmalige Eingabe.
Das Administratorkennwort wird zurckgesetzt und der Benutzer kann sich beim
vSphere Web Client mit den neuen Anmeldedaten anmelden.
Zurcksetzen eines abgelaufenen vCenter Single Sign OnAdministratorkennworts unter Linux

Die Standard-Kennwortrichtlinie fr Single Sign On-Kennwrter legt fest, dass Kennwrter nach einem Jahr
ablaufen. Der vSphere Web Client gibt keine Warnmeldung aus, wenn ein Kennwort vor dem Ablauf steht.
Wenn das Administratorkennwort fr das Single Sign On-System abluft und Sie nicht in der Lage sind, sich
beim vSphere Web Client anzumelden, muss es ein Benutzer mit Single Sign On-Administratorrechten zurcksetzen.
Problem
Das Kennwort fr den vCenter Single Sign On-Administratorbenutzer ist abgelaufen und der Administrator
kann sich beim vSphere Web Client nicht anmelden, um das Kennwort zu ndern.
Lsung
n
ndern Sie das Kennwort im vSphere Web Client.

a
Melden Sie sich beim vSphere Web Client als System-Root-Benutzer an.
Auf Linux-Systemen ist das Root-Konto immer ein Single Sign On-Administrator. Sie knnen das
Kennwort eines Single Sign On-Benutzers aktualisieren, indem Sie sich beim vSphere Web Client mit
den Anmeldedaten des Root-Benutzers anmelden.
Navigieren Sie zu [Verwaltung] > [Zugriff] > [SSO-Benutzer und -Gruppen] und klicken Sie auf
die Registerkarte [Benutzer] .
ndern Sie das Kennwort in der Befehlszeile.

a
ffnen Sie ein Terminal-Fenster und navigieren Sie zum Verzeichnis /usr/lib/vmware-sso/bin.
Fhren Sie den folgenden Befehl aus.

./ssopass Benutzername
Geben Sie das aktuelle Kennwort fr den Benutzer ein, auch wenn es abgelaufen ist.
Geben Sie das neue Kennwort ein und besttigen Sie es durch nochmalige Eingabe.
Das Administratorkennwort wird zurckgesetzt und der Benutzer kann sich beim
vSphere Web Client mit den neuen Anmeldedaten anmelden.
ssopass [-d lookup-service] [-t thumbprint] username [password] [new-password]

Parameter
Beschreibung
-d, --ls-url arg
(Optional) Adresse des Lookup Service (in der Regel https://SSO-Server-URL:7444/lookupservice/sdk). Wenn Sie die Adresse nicht angeben, versucht der Server, einen Single Sign OnServer zu kontaktieren, der auf dem lokalen System luft.
-t, --thumbprint arg
(Optional) Fingerabdruck, der zum berprfen des Lookup Service SSL-Zertifikats verwendet
wird.
Benutzername
Benutzername des Administrators, dessen Kennwort abgelaufen ist.
VMware, Inc.
103
vSphere-Sicherheit
Parameter
Beschreibung
Kennwort
Aktuelles Kennwort des Administrators, auch wenn es abgelaufen ist.
Neues Kennwort
Neues Kennwort fr den Administrator.
Bearbeiten einer vCenter Single Sign On-Sperrrichtlinie

Eine Sperrrichtlinie legt die Bedingungen fest, unter denen ein vCenter Single Sign On-Benutzerkonto gesperrt
wird. Melden Sie sich in vSphere 5.1 beim Single Sign On-Server und nicht bei einzelnen vCenter ServerSystemen an. Dies bedeutet, dass die Sperrrichtlinie fr Benutzer gilt, die auf vCenter Server zugreifen, indem
sie sich beim vSphere Web Client anmelden. Sie knnen die Sperrrichtlinie bearbeiten.
Ein vCenter Single Sign On-Benutzerkonto kann gesperrt werden, wenn ein Benutzer die zulssige Anzahl
fehlgeschlagener Anmeldeversuche berschreitet. ber die Sperrrichtlinie knnen Sie die maximale Anzahl
von fehlgeschlagenen Anmeldeversuchen festlegen und wie viel Zeit zwischen den Fehlversuchen verstreichen kann. Mit der Richtlinie wird auch festgelegt, wie viel Zeit vergehen muss, bevor das Konto automatisch
entsperrt wird.
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Anmeldung und Erkennung] > [Konfiguration] .
Klicken Sie auf die Registerkarte [Richtlinien] und whlen Sie [Sperrrichtlinie] aus.
Bearbeiten Sie die allgemeinen und Konfigurationsparameter fr die Sperrrichtlinie.
Option
Beschreibung
Beschreibung
Beschreibung der Sperrrichtlinie (z. B. Standard).
Maximale Anzahl der fehlgeschlagen

Anmeldeversuche
Maximal zulssige Anzahl fehlgeschlagener Anmeldeversuche, bevor das

Konto gesperrt wird.
Zeitintervall zwischen fehlgeschlagenen Versuchen (Sekunden)
Zeitraum, in dem fehlgeschlagene Anmeldeversuche vorkommen mssen,

damit eine Sperrung ausgelst wird.
Entsperrzeit (Sekunden)
Die Zeitdauer, die das Konto gesperrt bleibt. Wenn Sie 0 eingeben, muss der
Administrator das Konto explizit entsperren.
Aktualisieren des Rootzertifikats des Security Token Service (STS)

vCenter Single Sign On bietet einen Security Token Service (STS). Der Security Token Service ist ein Webservice,
der Sicherheitstoken ausstellt, validiert und erneuert. Sie knnen das vorhandene Security Token ServiceZertifikat manuell aktualisieren, wenn es abluft oder gendert wird.
Wenn Sie vCenter Single Sign On mit vSphere verwenden, erwgen Sie folgende Zertifikattypen.
n
SSL-Zertifikate, die verwendet werden, um eine sichere Verbindung mit dem Single Sign On-Server einzurichten. Diese Zertifikate werden nicht verwendet, um Token zu validieren oder Lsungen zu authentifizieren. Es sind nicht dieselben SSL-Zertifikate, die vCenter Server verwendet.
STS-Zertifikate, die fr die Single Sign On-Tokenvalidierung verwendet werden.
STS-Zertifikate verfallen oder ndern sich in regelmigen Abstnden. Sie mssen sie daher aktualisieren. In
einigen Umgebungen kann Ihr Systemadministrator die automatische Aktualisierung des Zertifikats implementieren. Sonst knnen Sie das Zertifikat manuell mit dem Single Sign On-Verwaltungstool aktualisieren.
HINWEIS Sie mssen den vSphere Web Client-Dienst neu starten, nachdem Sie das Security Token ServiceZertifikat aktualisiert haben.
104
VMware, Inc.
Vorgehensweise
1

vSphere Web Client.
Whlen Sie die Registerkarte [STS-Zertifikat] aus und klicken Sie auf [Bearbeiten] .
Klicken Sie auf [Durchsuchen] , um zur Keystore-Datei (JKS) zu navigieren, die das neue Zertifikat enthlt, und klicken Sie auf [ffnen] .
Wenn die Keystore-Datei gltig ist, wird das STS-Zertifikat mit den Zertifikatdaten gefllt.
Die neuen Zertifikatinformationen erscheinen auf der Registerkarte [STS-Zertifikat] .

Weiter
Starten Sie den vSphere Web Client-Dienst neu.
Verwenden von vCenter Single Sign On fr das Verwalten von

Benutzern und Gruppen
vCenter Server verwendet vCenter Single Sign On zur Authentifizierung von Benutzern.
Wenn in Produktversionen vor vCenter Server 5.1 Benutzer eine Verbindung mit vCenter Server aufnahmen,
wurden sie authentifiziert, wenn vCenter Server ihre Anmeldedaten in einer Active Directory-Domne oder
der Liste der lokalen Betriebssystembenutzer validierte. In vCenter Server 5.1 authentifizieren sich Benutzer
ber vCenter Single Sign On.
Der Single Sign On-Standardadministrator ist admin@Systemdomne mit dem Kennwort, das Sie bei der
Installation angegeben haben. Sie verwenden diese Anmeldedaten, um sich beim Single Sign On-Verwaltungstool im vSphere Web Client anzumelden. Sie knnen dann Benutzern Single Sign On-Administratorberechtigungen zuweisen, die berechtigt sind, den Single Sign On-Server zu verwalten. Diese Benutzer knnen
sich von den Benutzern unterscheiden, die vCenter Server verwalten.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise
root) auch vCenter Single Sign On-Administratorberechtigungen.
Die folgenden Informationen sind fr die Verwaltung von Benutzern und Gruppen wichtig.
n
Das Anmelden bei vSphere Web Client mit Windows-Sitzungsanmeldedaten wird nur fr Active Directory-Benutzer der Domne untersttzt, zu der das Single Sign On-System gehrt.
vSphere Web Client erstellen. Sie mssen ESXi-Benutzer mit dem vSphere-Client erstellen und verwalten.
vCenter Server kennt keine lokalen Benutzer von ESXi. Auerdem erkennt ESXi vCenter Server-Benutzer
nicht. Sie knnen aber Single Sign On so konfigurieren, dass eine Active Directory-Domne als Identittsquelle verwendet wird, und ESXi so einstellen, dass es auf dieselbe Active Directory-Domne zeigt,
um Benutzer- und Gruppeninformationen zu erhalten. Diese Aktion ermglicht es, dass dieselbe Benutzergruppe fr den Host und vCenter Server verfgbar ist.
Wenn mehr als ein in vCenter Single Sign On bekannter Benutzer denselben Benutzernamen hat, authentifiziert
Single Sign On den Benutzer anhand der Standarddomnen in der Reihenfolge, die auf der Registerkarte
[Identittsquellen] im Single Sign On-Verwaltungstool festgelegt ist. Beispiel: Ein Benutzer namens VMadmin ist in der Domne Systemdomne vorhanden, der internen Identittsquelle von Single Sign On. Ein
zweiter Benutzer, ebenfalls VMadmin genannt, ist in der Domne localos vorhanden, der lokalen Identittsquelle des Betriebssystems (Beispiel: Linux). Standardmig validiert Single Sign On den Benutzer anhand
VMware, Inc.
105
vSphere-Sicherheit
des lokalen Betriebssystems. Der Benutzer VMadmin wird authentifiziert und meldet sich als VMadmin@localos an. Wenn VMadmin@localos die Single Sign On-Administratorberechtigungen nicht erhalten hat, kann
der Benutzer nicht auf das Single Sign On-Verwaltungstool zugreifen bzw. Single Sign On-Verwaltungsaufgaben durchfhren.
Um das ungewollte Anmelden als Benutzer von einer anderen Domne zu verhindern, legen Sie die Domne
fest, wenn Sie sich beim vSphere Web Client anmelden. Beispiel: Melden Sie sich als admin@Systemdomne
und nicht als Administrator an.
Hinzufgen eines vCenter Single Sign On-Benutzers mit dem

vSphere Web Client
Im vSphere Web Client sind Benutzer, die auf der Registerkarte [Benutzer] aufgefhrt werden, aus der Perspektive von vCenter Single Sign On interne Benutzer. Diese Benutzer sind nicht identisch mit den Benutzern
des lokalen Betriebssystems, bei denen es sich um die lokalen Benutzer des Betriebssystems des Computers
handelt, auf dem Single Sign On installiert ist (z. B. Windows).
Wenn Sie mit dem Verwaltungstool fr Single Sign On einen Single Sign On-Benutzer hinzufgen, wird dieser
Benutzer in der Single Sign On-Datenbank gespeichert, die auf dem System ausgefhrt wird, auf dem Single
Sign On installiert ist. Diese Benutzer sind Teil der Domnensystem-Domne. Genau eine Systemidentittsquelle ist mit der Installation von Single Sign On verbunden.
Voraussetzungen
Lesen und verstehen Sie die Kennwortanforderungen fr vCenter Single Sign On, die auf der Registerkarte
[Richtlinien] im Verwaltungstool fr Single Sign On definiert sind.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf der Registerkarte [Benutzer] auf das Symbol [Neuer Benutzer] .
Geben Sie einen Benutzernamen und ein Kennwort fr den neuen Benutzer ein.
Sie knnen den Benutzernamen nicht ndern, nachdem Sie einen Benutzer angelegt haben.
Das Kennwort muss die Anforderungen der Kennwortrichtlinie fr das System erfllen.
106
(Optional) Geben Sie den Vornamen und den Nachnamen des neuen Benutzers ein.
Geben Sie die E-Mail-Adresse fr den neuen Benutzer ein.
VMware, Inc.
Whlen Sie den Typ von Berechtigungen, der dem Benutzer gewhrt wird.
Benutzerrollen sind inkrementell. Leistungsfhigere Rollen sind Obermengen von schwcheren Rollen.
Option
Beschreibung
Gastbenutzer
(Standard) Benutzer mit Gastzugriff drfen ihre eigenen Kennwrter ndern. Gastbenutzer knnen Single Sign On-Benutzer und -Gruppen nicht
suchen und Single Sign On-Konfigurationsoptionen nicht anzeigen oder bearbeiten.
Normaler Benutzer
Benutzer mit normalem Zugriff haben die Berechtigung fr begrenzte Selbstverwaltungsfunktionen, beispielsweise Aktualisieren einer E-Mail-Adresse
oder eines Kennworts. Normale Benutzer knnen nach Single Sign On-Benutzern und -Gruppen suchen. Sie knnen Single Sign On-Konfigurationsoptionen anzeigen, aber nicht bearbeiten.
Administrator
Mit dem Administratorzugriff erhlt ein Benutzer vollstndige SuperuserBerechtigungen fr das Single Sign On-System, einschlielich der Mglichkeit, Benutzer und Gruppen zu erstellen, Berechtigungen zu erteilen, Identittsquellen hinzuzufgen und Richtlinien zu ndern (Sperren und Kennwort). Nach der Installation hat nur ein Benutzer (admin@Systemdomne)
diese Rolle.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise root) auch vCenter Single Sign OnAdministratorberechtigungen.
(Optional) Geben Sie eine Beschreibung fr den Benutzer ein.
Bearbeiten eines vCenter Single Sign On-Benutzers mit dem

vSphere Web Client
Sie knnen das Kennwort oder andere Details eines vCenter Single Sign On-Benutzers im
vSphere Web Client ndern. Sie knnen den Benutzernamen eines Benutzers nicht ndern.
Single Sign On-Benutzer werden in der Single Sign On-Datenbank gespeichert, die auf dem System ausgefhrt
wird, auf dem Single Sign On installiert ist. Diese Benutzer sind Teil der Domnensystem-Domne.
Voraussetzungen
Machen Sie sich mit den Anforderungen an Single Sign On-Kennwrter vertraut, die auf der Registerkarte
[Richtlinien] des Single Sign On-Verwaltungstools definiert sind.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Benutzer] .
Nehmen Sie nderungen am Benutzer vor.

Sie knnen den Benutzernamen des Benutzers nicht ndern.
Das Kennwort muss die Anforderungen der Kennwortrichtlinie fr das System erfllen.
VMware, Inc.
107
vSphere-Sicherheit
ndern des Kennworts im vSphere Web Client

Je nach Ihren vCenter Single Sign On-Rechten sind Sie mglicherweise nicht in der Lage, Ihr Single Sign OnBenutzerprofil anzuzeigen oder zu bearbeiten. Allerdings knnen alle Benutzer ihre Single Sign On-Kennwrter im vSphere Web Client ndern.
Die in der vCenter Single Sign On-Konfigurationsanwendung definierte Kennwortrichtlinie legt fest, wann
das Kennwort abluft. Standardmig laufen Single Sign On-Kennwrter nach einem Jahr ab, aber Ihr Systemadministrator kann dies je nach den fr Ihre Organisation geltenden Richtlinien ndern.
WICHTIG Der vSphere Web Client erinnert Sie nicht, wenn Ihr Kennwort dabei ist, abzulaufen. Wenn Ihr
Kennwort abluft und Sie sich beim vSphere Web Client nicht anmelden knnen, kann es von einem Single
Sign On-Benutzer mit Administratorrechten zurckgesetzt werden.
Vorgehensweise
1
Melden Sie sich beim vSphere Web Client mit Ihren vCenter Single Sign On-Anmeldedaten an.
Klicken Sie im oberen Navigationsbereich auf Ihren Benutzernamen, um das Pulldown-Men zu ffnen.
Whlen Sie die Option [Kennwort ndern] und geben Sie Ihr aktuelles Kennwort ein.
Hinzufgen einer vCenter Single Sign On-Gruppe mit dem vSphere Web Client
Im vSphere Web Client sind Gruppen, die auf der Registerkarte [Gruppen] aufgefhrt werden, von vCenter
Single Sign On als interne Gruppen eingestuft. Mit einer Gruppe knnen Sie einen Container fr eine Sammlung von Gruppenmitgliedern erstellen, die Prinzipale genannt werden.
Wenn Sie eine Single Sign On-Gruppe mit dem Single Sign On-Verwaltungstool hinzufgen, wird die Gruppe
in der Single Sign On-Datenbank gespeichert. Die Datenbank wird auf dem System ausgefhrt, auf dem Single
Sign On installiert ist. Diese Gruppen sind Teil der Identittsquelle System-Domne.
Bei Gruppenmitgliedern kann es sich um Benutzer oder andere Gruppen handeln und eine Gruppe kann
Mitglieder aus mehreren Identittsquellen enthalten. Nachdem Sie eine Gruppe erstellt und Prinzipale hinzugefgt haben, knnen Sie Berechtigungen auf die Gruppe anwenden. Mitglieder der Gruppe bernehmen
die Berechtigungen der Gruppe.
Vorgehensweise
1
Navigieren Sie zu [Administration] > [Zugriff] > [SSO-Benutzer und -Gruppen] im

vSphere Web Client.
Whlen Sie die Registerkarte [Gruppen] aus und klicken Sie auf das Symbol [Neue Gruppe] .
Geben Sie einen Namen und eine Beschreibung fr die Gruppe ein.
Sie knnen den Gruppennamen nicht ndern, nachdem Sie die Gruppe angelegt haben.
Weiter
108
Fgen Sie der Gruppe Prinzipale (Mitglieder) hinzu.
Weisen Sie der Gruppe Berechtigungen zu.
VMware, Inc.
Bearbeiten einer vCenter Single Sign On-Gruppe im vSphere Web Client

Sie knnen die Beschreibung einer Single Sign On-Gruppe im vSphere Web Client ndern. Sie knnen den
Namen der Gruppe nicht ndern.
Single Sign On-Gruppen werden in der Single Sign On-Datenbank gespeichert, die auf dem System ausgefhrt
wird, auf dem Single Sign On installiert ist. Diese Gruppen sind Teil der Identittsquelle System-Domne.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Gruppen] .
Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Gruppe und whlen Sie [Gruppe bearbeiten] .
Bearbeiten Sie die Beschreibung fr die Gruppe.

Sie knnen den Gruppennamen nicht ndern, nachdem Sie die Gruppe angelegt haben.
Hinzufgen von Mitgliedern zu einer vCenter Single Sign On-Gruppe im

vSphere Web Client
Bei den Mitgliedern einer vCenter Single Sign On-Gruppe kann es sich um Benutzer oder andere Gruppen aus
einer oder mehreren Identittsquellen handeln. Die Mitglieder einer Gruppe werden Prinzipale genannt.
Gruppen, die auf der Registerkarte [Gruppen] im vSphere Web Client aufgefhrt werden, befinden sich intern
auf dem System, auf dem Single Sign On installiert ist, und sind Teil der Identittsquelle System-Domne.
Sie knnen Gruppenmitglieder von anderen Domnen einer lokalen Gruppe hinzufgen. Sie knnen Gruppen
auch verschachteln.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Gruppen] und klicken Sie auf die Gruppe (z. B. Administratoren).
Klicken Sie auf [Prinzipale hinzufgen] .
Whlen Sie die Identittsquelle, die den Prinzipal enthlt, der zur Gruppe hinzugefgt werden soll.
(Optional) Geben Sie einen Suchbegriff ein und klicken Sie auf [Suchen] .
Whlen Sie den Prinzipal aus und klicken Sie auf [Hinzufgen] .
Sie knnen gleichzeitig mehrere Prinzipale hinzufgen.
Der Prinzipal (Benutzer oder Gruppe) ist ein Mitglied der Gruppe und wird im unteren Bereich der Registerkarte Gruppen angezeigt.
VMware, Inc.
109
vSphere-Sicherheit
Entfernen von Mitgliedern aus einer lokalen Gruppe mit dem

vSphere Web Client
Wenn Sie ein Mitglied (Benutzer oder Gruppe) aus einer lokalen Gruppe entfernen, wird das Mitglied nicht
aus dem System gelscht. Die Mitglieder einer Gruppe werden Prinzipale genannt.
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Zugriff] > [Benutzer und Gruppen] im vSphere Web Client.
Whlen Sie die Registerkarte [Gruppen] aus und klicken Sie auf die Gruppe.
Whlen Sie in der Liste der Gruppenmitglieder den Benutzer oder die Gruppe aus und klicken Sie auf das
Symbol [Prinzipal entfernen] .
Der Prinzipal (Benutzer oder Gruppe) wird aus der Gruppe entfernt, ist aber noch im System vorhanden.
Verwalten gesperrter vCenter Single Sign On-Benutzer im vSphere Web Client

Ein vCenter Single Sign On-Benutzerkonto wird mglicherweise gesperrt, wenn ein Benutzer die zulssige
Anzahl von fehlgeschlagenen Anmeldungen berschreitet. Wenn ein Benutzerkonto gesperrt ist, kann sich
der Benutzer beim Single Sign On-System erst dann anmelden, wenn die Sperrung des Kontos aufgehoben
wurde (entweder manuell oder nach Ablauf einer bestimmten Frist).
Sie legen in der Single Sign On-Sperrrichtlinie die Bedingungen fest, unter denen ein Benutzerkonto gesperrt
wird. Gesperrte Benutzerkonten erscheinen auf der Verwaltungsseite Benutzer und Gruppen. Benutzer mit
entsprechenden Rechten knnen Sperrungen von Single Sign On-Benutzerkonten aufheben, bevor die Frist
abgelaufen ist.
Voraussetzungen
Sie mssen Mitglied der Single Sign On-Administratorengruppe sein, um die Sperrung eines Single Sign OnBenutzers aufzuheben.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Gesperrte Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Entsperren] .
Die Sperrung des Single Sign On-Benutzerkontos wird aufgehoben und der Benutzer kann sich sofort beim
Single Sign On-Server anmelden.
Verwalten deaktivierter vCenter Single Sign On-Benutzer im

vSphere Web Client
Wenn ein vCenter Single Sign On-Benutzerkonto deaktiviert ist, kann sich der Benutzer beim Single Sign OnServer nur anmelden, wenn das Konto von einem Administrator aktiviert wird.
Deaktivierte Benutzerkonten bleiben im Single Sign On-System verfgbar, aber der Benutzer kann sich nicht
anmelden und keine Vorgnge auf dem Server durchfhren. Benutzer mit den angemessenen Berechtigungen
knnen Konten auf der Administrationsseite deaktivieren und aktivieren.
110
VMware, Inc.
Voraussetzungen
Sie mssen Mitglied der Single Sign On-Administratorengruppe sein, um deaktivierte Single Sign On-Benutzer
verwalten zu knnen.
Vorgehensweise
1

vSphere Web Client.
Klicken Sie auf die Registerkarte [Deaktivierte Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Aktivieren] .
Das Single Sign On-Benutzerkonto wird aktiviert und der Benutzer kann sich anmelden und sofort arbeiten.
Verwalten von Anwendungsbenutzern im vSphere Web Client

Wenn Sie vCenter Single Sign On installieren, werden vCenter Server-Instanzen und -Erweiterungen als Anwendungsbenutzer (oder Lsungsbenutzer) erkannt und sie erhalten Berechtigungen fr das System. Sie
knnen Anwendungsbenutzer entfernen.
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Zugriff] > [Benutzer und -Gruppen] im vSphere Web Client.
Klicken Sie auf die Registerkarte [Anwendungsbenutzer] und klicken Sie auf den Anwendungsbenutzernamen.
Klicken Sie auf [Anwendungsbenutzer lschen] .
Klicken Sie auf [Ja] .
Die Anwendung (oder Lsung) hat nun keinen Zugriff mehr auf vSphere.
Einstellungen des vCenter Server-Benutzerverzeichnisses

Sie knnen bei der Suche nach Benutzern und Gruppen die Anzahl der zurckgegebenen Ergebnisse einschrnken und fr vCenter Server einen Zeitberschreitungswert fr das Benutzerverzeichnis festlegen.
vCenter Server-Systeme, die einen Verzeichnisdienst verwenden, validieren Benutzer und Gruppen regelmig anhand der Verzeichnisdomne des Benutzers. Die Validierung wird in regelmigen Zeitabstnden
durchgefhrt, die in den vCenter Server-Einstellungen angegeben sind. Wenn beispielsweise Benutzer
Schmidt Berechtigungen zugewiesen sind und der Benutzername in der Domne in Schmidt2 gendert
wird, schliet der Host daraus, dass der Benutzer Schmidt nicht mehr vorhanden ist, und entfernt die Berechtigungen fr diesen Benutzer bei der nchsten Validierung.
Wenn Benutzer Schmidt aus der Domne entfernt wird, werden ebenfalls alle Berechtigungen bei der
nchsten Validierung entfernt. Wenn ein neuer Benutzer Schmidt der Domne vor der nchsten Validierung
hinzugefgt wird, erhlt der neue Benutzer alle Berechtigungen des alten Benutzers mit diesem Namen.
Anpassen der Suchliste in groen Domnen

Wenn Sie ber Domnen mit Tausenden von Benutzern oder Gruppen verfgen oder wenn Suchvorgnge
viel Zeit in Anspruch nehmen, passen Sie die Sucheinstellungen im Dialogfeld Benutzer oder Gruppen auswhlen an.
HINWEIS Die beschriebene Vorgehensweise bezieht sich nur auf vCenter Server-Benutzerlisten. ESXi-HostBenutzerlisten knnen auf diese Weise nicht durchsucht werden.
VMware, Inc.
111
vSphere-Sicherheit
Voraussetzungen
Zum Konfigurieren von Active Directory-Einstellungen muss der vSphere-Client mit dem vCenter ServerSystem verbunden sein.
Vorgehensweise
1
Whlen Sie auf dem mit dem vCenter Server-System verbundenen vSphere-Client, [Verwaltung] >
[vCenter Server-Einstellungen] .
Whlen Sie im Navigationsfenster [Active Directory] .
ndern Sie die Werte wie gewnscht.
Option
Beschreibung
Active Directory-Zeitberschreitung
Zeitberschreitungsintervall in Sekunden fr das Herstellen einer Verbindung mit dem Active Directory-Server. Dieser Wert gibt an, wie lange die
Suche auf der ausgewhlten Domne in vCenter Server hchstens dauern
darf. Das Suchen in groen Domnen kann sehr lange dauern.
Abfragegrenze aktivieren
Aktivieren Sie das Kontrollkstchen, um die Anzahl der Benutzer und Gruppen, die vCenter Server im Dialogfeld Berechtigungen hinzufgen fr die
ausgewhlte Domne anzeigt, einzuschrnken.
Wert Benutzer & Gruppen
Legt die maximale Anzahl von Benutzern und Gruppen fest, die vCenter Server von der ausgewhlten Domne im Dialogfeld Benutzer und Gruppen auswhlen anzeigt. Bei Eingabe des Werts 0 (Null) werden alle Benutzer
und Gruppen angezeigt.
Anpassen der Suchliste in groen Domnen im vSphere Web Client

Wenn Sie ber Domnen mit Tausenden von Benutzern oder Gruppen verfgen oder wenn Suchvorgnge
viel Zeit in Anspruch nehmen, passen Sie die Sucheinstellungen an.
HINWEIS Die beschriebene Vorgehensweise bezieht sich nur auf vCenter Server-Benutzerlisten. ESXi-HostBenutzerlisten knnen auf diese Weise nicht durchsucht werden.
Vorgehensweise
112
Navigieren Sie zum vCenter Server-System im Objektnavigator von vSphere Web Client.
Klicken Sie auf [Allgemein] und anschlieend auf [Bearbeiten] .
Whlen Sie [Benutzerverzeichnis] aus.
ndern Sie die Werte wie gewnscht.

Option
Beschreibung
Benutzerverzeichnis - Zeitberschreitung
Zeitberschreitungsintervall in Sekunden fr das Herstellen einer Verbindung mit dem Active Directory-Server. Dieser Wert gibt an, wie lange die
Suche auf der ausgewhlten Domne in vCenter Server hchstens dauern
darf. Das Suchen in groen Domnen kann sehr lange dauern.
Abfragegrenze
Aktivieren Sie das Kontrollkstchen, um die maximale Anzahl von Benutzern und Gruppen festzulegen, die vCenter Server anzeigt.
Gre der Abfragegrenze
Legt die maximale Anzahl von Benutzern und Gruppen fest, die vCenter Server von der ausgewhlten Domne im Dialogfeld Benutzer und
Gruppen auswhlen anzeigt. Bei Eingabe des Werts 0 (Null) werden alle
Benutzer und Gruppen angezeigt.
VMware, Inc.
Zuweisen von Berechtigungen fr vCenter Server

Berechtigungen sind Zugriffsrollen, die aus einem Benutzer und der dem Benutzer zugewiesenen Rolle fr
ein Objekt bestehen, wie z. B. einer virtuellen Maschine oder einem ESXi-Host. Berechtigungen geben Benutzern das Recht, die von der Rolle definierten Aktivitten auf dem Objekt auszufhren, dem die Rolle zugeordnet wurde.
Wenn ein Benutzer beispielsweise Arbeitsspeicher fr den Host konfigurieren mchte, mssen Sie diesem
Benutzer eine Rolle zuteilen, die die Rechte Host.Konfiguration.Arbeitsspeicherkonfiguration umfasst. Indem Sie Benutzern verschiedene Rollen fr verschiedene Objekte zuweisen, knnen Sie steuern, welche Aufgaben Benutzer in Ihrer vSphere-Umgebung ausfhren knnen.
Andere Benutzer als root und vpxuser haben zunchst keine Berechtigungen fr Objekte, d. h., sie knnen
weder Objekte anzeigen noch Vorgnge an ihnen durchfhren. Ein Benutzer mit Administratorrechten muss
diesen Benutzern Rechte zuweisen, damit sie Aufgaben durchfhren knnen.
Viele Aufgaben erfordern Berechtigungen fr mehr als ein Objekt. Diese Regeln knnen Ihnen dabei helfen zu
entscheiden, wo Sie Berechtigungen zuweisen mssen, um bestimmte Vorgnge zuzulassen:
n
Jeder Vorgang, der Speicherplatz bentigt, wie z. B. das Erstellen einer virtuellen Festplatte oder eines
Snapshots, erfordert das Recht Datenspeicher.Speicher zuteilen auf dem Zieldatenspeicher und das
Recht, den Vorgang selbst durchzufhren.
Das Verschieben eines Objekts in der Bestandslistenhierarchie erfordert entsprechende Berechtigungen

auf dem Objekt selbst, dem bergeordneten Quellobjekt (z. B. einem Ordner oder Cluster) und dem bergeordneten Zielobjekt.
Jeder Host und Cluster hat seinen eigenen impliziten Ressourcenpool, der alle Ressourcen des Hosts oder
Clusters enthlt. Das direkte Bereitstellen einer virtuellen Maschine auf einen Host oder Cluster erfordert
das Recht Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen.
Die Liste der Rechte ist fr ESXi und vCenter Server identisch.
Zuweisen von Berechtigungen im vSphere Web Client

Nachdem Sie Benutzer und Gruppen erstellen und Rollen festlegen, mssen Sie die Benutzer und Gruppen
und ihre Rollen den relevanten Bestandslistenobjekten zuordnen. Sie knnen dieselben Berechtigungen mehreren Objekten gleichzeitig zuweisen, indem Sie die Objekte in einen Ordner verschieben und die Berechtigungen auf den Ordner anwenden.
Voraussetzungen
Berechtigungen.Berechtigung ndern fr das bergeordnete Objekt des Objekts, dessen Berechtigungen Sie
ndern mchten.
Vorgehensweise
1
Navigieren Sie zum Objekt im Objektnavigator von vSphere Web Client.
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Berechtigungen] .
Klicken Sie auf [Berechtigung hinzufgen] .
Klicken Sie auf [Hinzufgen] .
Identifizieren Sie den Benutzer oder die Gruppe, der oder die dieser Rolle zugeordnet werden soll.
a
Whlen Sie die Domne des Benutzers oder der Gruppe im Dropdown-Men [Domne] aus.
Geben Sie einen Namen im Feld Suchen ein oder whlen Sie einen Namen aus der Liste aus.
Das System such nach Benutzernamen, Gruppennamen und Beschreibungen.
VMware, Inc.
113
vSphere-Sicherheit
Whlen Sie den Benutzer aus und klicken Sie auf [Hinzufgen] .
Der Name wird der Liste [Benutzer] bzw. [Gruppen] hinzugefgt.
(Optional) Klicken Sie auf [Namen prfen] , um zu berprfen, ob der Benutzer oder die Gruppe in
der Datenbank vorhanden ist.
Whlen Sie eine Rolle aus dem Dropdown-Men [Zugewiesene Rolle] aus.
Die Rollen, die dem Objekt zugewiesen sind, erscheinen im Men. Die Berechtigungen, die dieser Rolle
zugewiesen sind, werden im Bereich unterhalb des Rollennamens aufgelistet.
(Optional) Deaktivieren Sie das Kontrollkstchen [An untergeordnete Objekte weitergeben] .

Die Rolle wird nur auf das ausgewhlte Objekt angewendet und nicht an die untergeordneten Objekte
weitergegeben.
Stellen Sie sicher, dass den Benutzern und Gruppen die gewnschten Berechtigungen zugewiesen wurden, und klicken Sie auf [OK] .
Der Server fgt die Berechtigung zur Liste der Berechtigungen fr das Objekt hinzu.
In der Liste der Berechtigungen werden alle Benutzer und Gruppen aufgefhrt, denen Rollen fr das
Objekt zugewiesen wurden. Auerdem wird angegeben, an welcher Position in der vCenter Server-Hierarchie die Rolle zugewiesen wurde.
ndern der Einstellungen fr die Berechtigungsvalidierung im

vSphere Web Client
vCenter Server validiert seine Benutzer- und Gruppenlisten regelmig anhand der Benutzer und Gruppen
im Benutzerverzeichnis. Er entfernt anschlieend Benutzer oder Gruppen, die nicht mehr in der Domne vorhanden sind. Sie knnen das Validieren deaktivieren oder das Intervall zwischen Validierungen ndern.
Vorgehensweise
1
Klicken Sie auf [Allgemein] und anschlieend auf [Bearbeiten] .
Whlen Sie [Benutzerverzeichnis] aus.
(Optional) Deaktivieren Sie das Kontrollkstchen [Validierung] , um die Validierung zu deaktivieren.

Die Validierung ist standardmig aktiviert. Benutzer und Gruppen werden validiert, wenn das vCenter Server-System gestartet wird, selbst wenn die Validierung deaktiviert ist.
(Optional) Wenn die Validierung aktiviert ist, geben Sie einen Validierungszeitraum ein, um einen Zeitraum (in Minuten) zwischen Validierungen anzugeben.
ndern von Berechtigungen im vSphere Web Client

Wenn eine Kombination aus Rolle und Benutzer oder Gruppe fr ein Bestandslistenobjekt festgelegt wurde,
knnen Sie nderungen an der Rolle fr den Benutzer oder die Gruppe vornehmen oder die Einstellung des
Kontrollkstchens [Weitergeben] ndern. Sie knnen auch die Berechtigungseinstellung entfernen.
Vorgehensweise
114
VMware, Inc.
auszuwhlen.
Klicken Sie auf [Rolle fr Berechtigung ndern] .
Whlen Sie aus dem Dropdown-Men [Zugewiesene Rolle] die entsprechende Rolle fr den Benutzer
oder die Gruppe aus.
Um die Rechte fr die untergeordneten Elemente des zugewiesenen Bestandslistenobjekts zu bernehmen, aktivieren Sie das Kontrollkstchen [Weitergeben] und klicken Sie auf [OK] .
Entfernen von Berechtigungen im vSphere Web Client

Durch das Entfernen einer Berechtigung fr einen Benutzer oder eine Gruppe wird der Benutzer bzw. die
Gruppe nicht aus der Liste der verfgbaren Benutzer oder Gruppen entfernt. Die Rolle wird ebenfalls nicht
aus der Liste der verfgbaren Elemente entfernt. Die Kombination aus Benutzer/Gruppe und Rolle wird jedoch
vom ausgewhlten Bestandslistenobjekt entfernt.
Vorgehensweise
1
auszuwhlen.
Klicken Sie auf [Berechtigung entfernen] .
vCenter Server entfernt die Berechtigungseinstellung.
Zuweisen von Rollen im vSphere Web Client

vCenter Server gewhrt nur denjenigen Benutzern Zugriff auf Objekte, denen Berechtigungen fr das jeweilige
Objekt zugewiesen wurden. Wenn Sie einem Benutzer Berechtigungen fr das Objekt zuweisen, kombinieren
Sie hierzu den Benutzer mit einer Rolle. Bei einer Rolle handelt es sich um einen vordefinierten Satz an Rechten.
Fr vCenter Server gibt es drei Standardrollen. Es ist nicht mglich, die Berechtigungen fr diese drei Rollen
zu ndern. Jede nachfolgende Standardrolle enthlt die Berechtigungen der vorhergehenden Rolle. So bernimmt beispielsweise die Rolle Administrator die Rechte der Rolle Nur lesen. Rollen, die Sie erstellen,
bernehmen keine Berechtigungen von den Standardrollen.
Benutzerdefinierte Rollen knnen Sie mit den Rollenbearbeitungsdienstprogrammen auf dem
vSphere Web Client erstellen und an Ihre Anforderungen anpassen. Auf die Rollen, die Sie direkt auf einem
Host erstellen, kann innerhalb von vCenter Server nicht zugegriffen werden. Sie knnen diese Rollen nur
verwenden, wenn Sie sich direkt ber den vSphere-Client am Host anmelden.
HINWEIS Wenn Sie eine benutzerdefinierte Rolle hinzufgen und ihr keine Rechte zuweisen, wird die Rolle
als eine schreibgeschtzte Rolle mit drei systemdefinierten Rechten erstellt: System.Anonymous, System.View
und System.Read.
Wenn Sie ESXi-Hosts ber vCenter Server verwalten, beachten Sie, dass die Verwendung benutzerdefinierter
Rollen auf dem Host und in vCenter Server zu Verwirrung und Missbrauch fhren kann. Verwenden Sie bei
dieser Art der Konfiguration benutzerdefinierte Rollen nur in vCenter Server.
VMware, Inc.
115
vSphere-Sicherheit
Erstellen einer Rolle in vSphere Web Client

VMware empfiehlt, dass Sie Rollen erstellen, die den in Ihrer Umgebung bestehenden Anforderungen hinsichtlich der Zugriffssteuerung entsprechen.
Voraussetzungen
Vorgehensweise
1
Navigieren Sie zu [Verwaltung] > [Rollen-Manager] im vSphere Web Client.
Whlen Sie ein vCenter Server-System aus dem Dropdown-Men aus.
Klicken Sie auf [Rollenaktion erstellen] .
Geben Sie einen Namen fr die neue Rolle ein.
Bearbeiten einer Rolle im vSphere Web Client

Beim Bearbeiten einer Rolle knnen Sie die fr diese Rolle ausgewhlten Berechtigungen ndern. Anschlieend
werden diese Berechtigungen auf alle Benutzer oder Gruppen angewendet, die der bearbeiteten Rolle zugeordnet sind.
Voraussetzungen
Vorgehensweise
1
Whlen Sie die Rolle aus und klicken Sie auf [Rollenaktion bearbeiten] .
Klonen einer Rolle im vSphere Web Client

Sie knnen eine vorhandene Rolle kopieren, sie umbenennen und bearbeiten. Wenn Sie eine Kopie erstellen,
wird die neue Rolle nicht auf Benutzer bzw. Gruppen und Objekte angewendet. Sie mssen Benutzern, Gruppen und Objekten die Rolle zuweisen.
116
VMware, Inc.
Voraussetzungen
Vorgehensweise
1
Klicken Sie auf [Rollenaktion klonen] .
Geben Sie einen Namen fr die geklonte Rolle ein.
Umbenennen einer Rolle im vSphere Web Client

Sie knnen eine Rolle umbenennen, wenn sich der Zweck der Rolle gendert hat. Es erfolgen keine nderungen
an die Zuweisungen einer Rolle, wenn Sie sie umbenennen.
eine Rolle erstellen oder ndern, werden die vorgenommenen nderungen von anderen vCenter Server-Systemen der Gruppe bernommen. Rollen, die bestimmten Benutzern und Objekten zugewiesen sind, werden
Voraussetzungen
Vorgehensweise
1
Whlen Sie die Rolle aus und klicken Sie auf [Rollenaktion bearbeiten] .
Geben Sie einen neuen Namen fr die Rolle ein.
Entfernen einer Rolle im vSphere Web Client

Wenn Sie eine Rolle entfernen, die keinen Benutzern oder Gruppen zugeordnet ist, wird die Definition der
Rolle aus der Liste der Rollen entfernt. Wenn Sie eine Rolle entfernen, die einem Benutzer oder einer Gruppe
zugeordnet ist, knnen Sie alle Zuweisungen entfernen oder sie durch eine Zuweisung zu einer anderen Rolle
ersetzen.
VORSICHT Stellen Sie sicher, dass Ihnen die Auswirkungen auf die Benutzer bekannt sind, bevor Sie alle
Zuweisungen entfernen oder ersetzen. Benutzer, denen keine Berechtigungen zugewiesen wurden, knnen
sich nicht bei vCenter Server anmelden.
Voraussetzungen
Wenn Sie eine Rolle aus einem vCenter Server-System entfernen, das zu einer verbundenen Gruppe im verknpften Modus gehrt, berprfen Sie die Verwendung dieser Rolle auf den anderen vCenter Server-Systemen der Gruppe. Wenn Sie eine Rolle aus einem vCenter Server-System entfernen, wird sie aus allen anderen
vCenter Server-Systemen der Gruppe entfernt, und zwar auch dann, wenn Sie einer anderen Rolle auf dem
aktuellen vCenter Server-System Berechtigungen neu zuweisen.
VMware, Inc.
117
vSphere-Sicherheit
Vorgehensweise
1
Whlen Sie eine Rolle aus und klicken Sie auf [Rolle lschen] .
Klicken Sie auf [Ja] .

Die Rolle wird aus der Liste entfernt.
Wenn die Rolle einem Benutzer oder einer Gruppe zugewiesen ist (If the role is assigned to a user or
group), wird eine Warnmeldung angezeigt.
Whlen Sie eine Neuzuweisungsoption aus und klicken Sie auf [OK] .
Option
Beschreibung
Rollenzuweisungen entfernen
Entfernt auf dem Server konfigurierte Paare aus Rolle und Benutzer oder
Gruppe. Wenn einem Benutzer oder einer Gruppe keine Berechtigungen zugewiesen sind, verliert der Benutzer oder die Gruppe alle Berechtigungen.
Betroffene Benutzer zuweisen zu
Weist allen konfigurierten Paaren aus Rolle und Benutzer oder Gruppe die
ausgewhlte neue Rolle neu zu.
Manuelles Replizieren von Daten in einer vCenter Single Sign OnBereitstellung mit mehreren Standorten
Wenn Sie in einer vCenter Single Sign On-Bereitstellung mit mehreren Standorten eine nderung an einem
Knoten vornehmen, knnen Sie die nderung auf andere Knoten replizieren. Installieren Sie die einzelnen
Knoten im Modus fr mehrere Standorte, um die Replizierungsdaten zwischen den vCenter Single Sign OnKnoten in einer Bereitstellung mit mehreren Standorten zu bertragen. Dieser Vorgang wird manuell durchgefhrt.
Die replizierten Daten enthalten Informationen, die das Verhalten von Diensten bestimmen, und Informationen, die ber die Single Sign On-Verwaltungsschnittstelle verwaltet werden. Die folgende Liste enthlt Beispiele solcher Informationen:
n
Identittsquellenkonfiguration
Kennwortrichtlinien
Sperrrichtlinie
STS-Richtlinien (Token-Lebensdauer, Takttoleranz, Delegation und Kontoerneuerung)
Benutzer der Systemidentittsquelle, etwa Zertifikate von Lsungsbenutzern
Gruppen von der Systemidentittsquelle
Kennwortablaufkonfiguration
Truststores fr Zertifikate
Benutzer-Sperrungsstatus fr Benutzer von der Systemidentittsquelle
nderungen (einstellen oder aktualisieren) an einem dieser Elemente lst den Replizierungsstatus aus. Wenn
auerdem ein Benutzer erfolglos versucht, sich anzumelden, und die Sperrrichtlinie aufruft, wird ein Replizierungsstatus ausgelst. Nur Benutzer, die in der Systemidentittsquelle definiert sind, knnen die Sperrrichtlinie aufrufen.
WICHTIG Um sicherzustellen, dass die Daten whrend der manuellen Replizierung synchron bleiben, drfen
Sie keine nderungen an den zu replizierenden Daten vornehmen, beispielsweise Identittsquellen oder lokale
Benutzer hinzufgen oder lschen.
118
VMware, Inc.
Der manuelle Transport von Replizierungsdaten muss nacheinander ausgefhrt werden. Dies bedeutet, dass
die nderungen an einem Knoten an alle anderen Knoten in der Bereitstellung weitergegeben werden, bevor
nderungen an weiteren Knoten auftreten. Dieses Modell erfordert einen Export und (N-1) Importe fr jeden
aktualisierten Knoten.
Exportieren von vCenter Single Sign On-Replizierungsdaten von mehreren

Standorten
Wenn Sie eine nderung an einem vCenter Single Sign On-System vornehmen und das System Teil einer
vCenter Single Sign On-Bereitstellung mit mehreren Standorten ist, knnen Sie die nderung manuell per
Broadcast-bertragung an die anderen Systeme in der Bereitstellung weitergeben. Fr die Broadcast-bertragung einer nderung exportieren Sie den Replizierungszustand von dem System, auf dem die nderung
vorgenommen wurde.
Sie mssen die Replizierungsdaten nacheinander manuell transportieren. Die nderungen an einem Knoten
werden an alle anderen Knoten in der Bereitstellung weitergegeben, bevor nderungen an weiteren Knoten
auftreten.
Voraussetzungen
berprfen Sie, ob Sie auf dem vCenter Single Sign On-System, von dem Sie die Replizierungsdaten exportieren, ber vCenter Single Sign On-Administratorberechtigungen verfgen.
Vorgehensweise
1
Melden Sie sich beim vCenter Single Sign On-System an, von dem die nderung stammt.
Navigieren Sie zum folgenden Verzeichnis: SSO-Installationsverzeichnissso-replication-cli
Fhren Sie repl_tool.cmd mit den folgenden Parametern aus, damit die Replizierungszustandsdatei exportiert wird.
export -f Datei -u Admin_Benutzername [-p Kennwort]
Geben Sie die folgenden Befehlszeilenparameter in der angegebenen Reihenfolge an.

Parameter
Wert
Modus
Export
Datei
Relativer oder absoluter Pfad zu einer Datei, in die die Daten exportiert werden sollen.
Admin_Benutzername
Name eines gltigen vCenter Single Sign On-Administrator-Benutzers.
Kennwort
Optional. Wenn Sie kein Kennwort eingeben, werden Sie dazu bei der Ausfhrung des Befehls aufgefordert.
Die Datei wird in das angegebene Verzeichnis exportiert.

4
Kopieren Sie die exportierte Datei zum vCenter Single Sign On-Zielsystem oder an einen Speicherort, auf
den die anderen Systeme in der Bereitstellung zugreifen knnen.
Weiter
Importieren Sie die Replizierungsdaten in die Zielsysteme.
VMware, Inc.
119
vSphere-Sicherheit
Importieren von vCenter Single Sign On-Replizierungsdaten von mehreren

Standorten
Nach einer nderung an einem vCenter Single Sign On-System mit mehreren Standorten knnen Sie die nderung per Broadcast-bertragung an andere vCenter Single Sign On-Systeme in der Bereitstellung weitergeben. Fr die Broadcast-bertragung einer nderung importieren Sie den Replizierungszustand des Systems, an dem Sie die nderung vorgenommen haben, in die anderen Knoten der Bereitstellung mit mehreren
Standorten.
WICHTIG Diese Verfahrensweise setzt den Status des Zielknotens vollstndig auer Kraft. Sie mssen die
Replizierungsdaten nacheinander manuell transportieren. Dies bedeutet, dass die nderungen an einem Knoten an alle anderen Knoten in der Bereitstellung weitergegeben werden, bevor nderungen an weiteren Knoten
auftreten.
Voraussetzungen
Exportieren Sie die Replizierungsdaten von dem System, in dem die nderung vorgenommen wurde.
berprfen Sie, ob Sie auf dem vCenter Single Sign On-Zielsystem, in das Sie die Replizierungsdaten importieren mchten, ber vCenter Single Sign On-Administratorberechtigungen verfgen.
Vorgehensweise
1
Melden Sie sich beim vCenter Single Sign On-System an, bei dem Sie die nderung anwenden mchten.
Navigieren Sie zum SSO-Installationsverzeichnis sso-replication-cli
Fhren Sie repl_tool.cmd mit den folgenden Parametern aus, damit die Replizierungszustandsdatei importiert wird.
import -f Datei -u Admin_Benutzername [-p Kennwort]
Geben Sie die folgenden Befehlszeilenparameter in der angegebenen Reihenfolge an.

Parameter
Wert
Modus
Importieren.
Datei
Relativer oder absoluter Pfad zu einer Datei, aus der die Daten importiert werden sollen.
Admin_Benutzername
Name eines gltigen vCenter Single Sign On-Administrator-Benutzers.
Kennwort
Optional. Wenn Sie kein Kennwort eingeben, werden Sie dazu bei der Ausfhrung des Befehls aufgefordert.
Die Replizierungsdaten werden importiert und der Status des Zielknotens wird auer Kraft gesetzt.
Fehlerbehebung fr vCenter Single Sign On

Ermitteln der Ursache eines Lookup Service-Fehlers
Bei der Installation von vCenter Single Sign On wird ein Fehler angezeigt, der sich auf vCenter Server oder
vSphere Web Client bezieht.
Problem
Die Installationsprogramme von vCenter Server und Web Client zeigen folgenden Fehler an: Der Lookup Service konnte nicht kontaktiert werden. Einzelheiten hierzu finden Sie in der Datei 'VM_ssoreg.log'
im temporren Systemordner.
120
VMware, Inc.
Ursache
Dieses Problem kann mehrere Ursachen haben. Dazu zhlen nicht synchronisierte Uhren auf den Hostmaschinen, Firewall-Blockierung und nicht gestartete Dienste.
Lsung
1
Vergewissern Sie sich, dass die Uhren auf den Hostmaschinen synchronisiert sind, auf denen vCenter
Single Sign On, vCenter Server und Web Client ausgefhrt werden.
Zeigen Sie die in der Fehlermeldung angegebene Protokolldatei an.

Temporrer Systemordner in der Meldung bezieht sich auf %TEMP%.
Suchen Sie in der Protokolldatei nach den folgenden Meldungen.

Die Protokolldatei enthlt die Ausgaben aller Installationsversuche. Suchen Sie die letzte Meldung mit
folgendem Inhalt Registrierungsprovider wird initialisiert...
VMware, Inc.
Meldung
Ursache und Lsung
java.net.ConnectException: Connection timed out: connect
Die IP-Adresse ist falsch, eine Firewall blockiert den Zugriff auf vCenter
Single Sign On oder vCenter Single Sign On ist berlastet.
Stellen Sie sicher, dass der vCenter Single Sign On-Port (standardmig
7444) nicht von einer Firewall blockiert wird und die Maschine, auf der
vCenter Single Sign On installiert ist, ber entsprechende freie CPU-, E/Aund RAM-Kapazitten verfgt.
java.net.ConnectException: Connection refused: connect
Die IP-Adresse oder der FQDN ist falsch und vCenter Single Sign On wurde
nicht oder innerhalb der letzten Minute gestartet.
Vergewissern Sie sich, dass vCenter Single Sign On ausgefhrt wird, indem
Sie den Status des vCenter Single Sign On-Diensts (Windows) bzw. des
vmware-sso-Daemons (Linux) prfen.
Starten Sie den Dienst neu. Wenn das Problem dadurch nicht behoben wird,
finden Sie weitere Informationen im Handbuch fr vSphere-Fehlerbehebung
im Abschnitt zur Wiederherstellung.
Unerwarteter Statuscode: 404. Fehler bei der Initialisierung des SSOServers
Starten Sie vCenter Single Sign On neu. Wenn das Problem dadurch nicht
behoben wird, finden Sie weitere Informationen im Handbuch fr vSphereFehlerbehebung im Abschnitt zur Wiederherstellung.
Die auf der Benutzeroberflche angezeigte Fehlermeldung beginnt mit

Es konnte keine Verbindung zu
vCenter Single Sign On hergestellt werden.
Auerdem wird der Rckgabecode SslHandshakeFailed angezeigt. Es

handelt sich hierbei um einen ungewhnlichen Fehler. Er gibt an, dass die
bereitgestellte IP-Adresse oder der bereitgestellte FQDN, die bzw. der in den
vCenter Single Sign On-Host aufgelst wird, nicht mit der Angabe bei der
Installation von vCenter Single Sign On bereinstimmt.
Suchen Sie in %TEMP%\VM_ssoreg.log die Zeile, die die folgende Meldung
enthlt.
Hostname im Zertifikat stimmt nicht berein: <Bei der Installation konfigurierter FQDN bzw. konfigurierte IP-Adresse> !=
<A> oder <B> oder <C>. Dabei ist A der whrend der Installation von
vCenter Single Sign On eingegebene FQDN, und B und C sind systemgenerierte zulssige Alternativen.
Korrigieren Sie die Konfiguration so, dass der auf der rechten Seite des Ungleichheitszeichens (!=) in der Protokolldatei angegebene FQDN verwendet
wird. In den meisten Fllen knnen Sie den whrend der Installation von
vCenter Single Sign On angegebenen FQDN verwenden.
Wenn keine der Alternativen in Ihrer Netzwerkkonfiguration verwendet
werden kann, stellen Sie Ihre SSL-Konfiguration von vCenter Single Sign On
wieder her.
121
vSphere-Sicherheit
Anmeldung unter Verwendung der Active Directory-Domnenauthentifizierung

mit vCenter Server Appliance nicht mglich
Wenn vCenter Single Sign On das Active Domain-Verzeichnis nicht automatisch erkennt, knnen Sie sich nicht
bei vCenter anmelden.
Problem
Nach dem Aktivieren der Active Directory-Domnenauthentifizierung auf der Registerkarte [Authentifizierung] der Webkonsole knnen Sie sich unter Verwendung eines Active Directory-Domnenbenutzers nicht
bei vCenter anmelden.
Ursache
Die Active Directory-Domne wurde von vCenter Single Sign On nicht automatisch erkannt. Falls Single Sign
On die Active Directory-Domne automatische erkannt hat, wird die Active Directory-Domne in der Liste
der Identittsquellen angezeigt.
Falls die Domne in der Liste der Identittsquellen vorhanden ist, melden Sie sich mit einem qualifizierten
Namen an. Melden Sie sich beispielsweise mit Benutzer@Domne oder DOMNE\Benutzer an. Wenn
Sie sich aufgrund der Erfordernisse Ihrer Organisation mit einem unqualifizierten Namen anmelden mssen,
fgen Sie die Domne zu der Liste der Standarddomnen hinzu.
Lsung
1
ffnen Sie /var/log/vmware/vpx/sso_cfg.log.
Stellen Sie sicher, dass in den Zeilen die Active Directory-Domne, der DNS-Name, der NetBIOS-Name,
der primre Controller und, falls vorhanden, der sekundre Controller angezeigt werden.
In einem spteren Schritt bentigen Sie die Namen der Controller.
Synchronisieren Sie die Uhren zwischen der vCenter Server Appliance und den Active Directory-Domnencontrollern.
Geben Sie in der Befehlszeile den folgenden Code ein, um sicherzustellen, dass jeder Domnencontroller
ber einen Pointer Record (PTR) im DNS-Dienst der Active Directory-Domne verfgt und dass die PTRInformationen mit dem DNS-Namen des Controllers bereinstimmen.
# dig my-controller.my-ad.com
...
;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
# dig -x <controller IP address>
...
;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR

my-controller.my-ad.com
...
122
Wenn die Controller-LDAP-Dienste SSL-fhig sind, stellen Sie sicher, dass das SSL-Zertifikat gltig ist.
(Optional) Wenn das Problem durch die Schritte 1 bis 5 nicht behoben wurde, entfernen Sie die vCenter
Server Appliance von der Active Directory-Domne und treten Sie anschlieend der Domne wieder bei.
Starten Sie vCenter Single Sign On neu.
VMware, Inc.
vSphere Web Client kann die vCenter Single Sign On-Anmeldung nicht erkennen
Wenn Sie vCenter Single Sign On verwenden, knnen bei der Anmeldung beim vSphere Web Client die Anmeldedaten nicht validiert werden.
Problem
Wenn Sie sich beim vSphere Web Client mit vCenter Single Sign On anmelden, knnen die Anmeldedaten
nicht validiert werden.
Ursache
Die hufigste Ursache ist eine falsche Eingabe der Anmeldedaten oder ein abgelaufenes Kennwort.
Lsung
n
Stellen Sie sicher, dass Sie den Benutzernamen und das Kennwort korrekt eingegeben und dabei die
Gro-/Kleinschreibung beachtet haben.
Geben Sie einen vollqualifizierten Domnennamen im Format Benutzername@Domnenname oder NETBIOSDomnenname/Benutzername an.
Stellen Sie sicher, dass Ihr Kennwort gltig ist. Ein abgelaufenes Kennwort hat denselben Fehler wie die
Angabe ungltiger Anmeldedaten zur Folge.
Wenn Sie sicher sind, dass der Benutzername und das Kennwort korrekt sind, knnen Sie die folgenden
Lsungsschritte durchfhren.
n
Wenn Sie sich mit einem Benutzernamen von der Systemdomne anmelden, bitten Sie den Single
Sign On-Administrator, Ihr Kennwort ber den vSphere Web Client zurckzusetzen. Standardmig
luft das Kennwort fr alle Benutzer in der Systemdomne nach einem Jahr ab.
Wenn Sie der Single Sign On-Administrator sind, setzen Sie Ihr Kennwort ber die Single Sign OnServerkonsole zurck.
Wenn Sie sich mit einem Benutzernamen von Active Directory oder der LDAP-Domne anmelden,
folgen Sie der Unternehmensrichtlinie zum Zurcksetzen abgelaufener Kennwrter.
Wenn das Problem durch keinen dieser Schritte behoben wird, berprfen Sie zum Ermitteln der
Ursache die Protokolle und fhren Sie anschlieend die passende Aktion durch.
Sie finden die Protokolle fr den vSphere Web Client-Dienst an dem fr Ihr Betriebssystem angegebenen Speicherort.
n
Windows: C:\Programme\VMware\Infrastructure\vSphere Web

Client\DMServer\serviceability\
Linux: /usr/lib/vmware-vsphere-client/server/serviceability/
vSphere Web Client mit vCenter Single Sign On-Anmeldung schlgt fehl, weil das
Benutzerkonto gesperrt ist
Wenn Sie vCenter Single Sign On verwenden und sich beim vSphere Web Client anzumelden versuchen,
schlgt die Anmeldung fehl, wenn das Benutzerkonto gesperrt ist.
Problem
Nach mehreren fehlgeschlagenen Versuchen knnen Sie sich mithilfe von vCenter Single Sign On nicht mehr
beim vSphere Web Client anmelden. Sie erhalten die Meldung, dass Ihr Konto gesperrt ist.
VMware, Inc.
123
vSphere-Sicherheit
Ursache
Sie haben die maximale Anzahl an fehlgeschlagenen Anmeldeversuchen (standardmig drei) berschritten.
Aus Sicherheitsgrnden sperrt vCenter Single Sign On Ihr Konto.
Lsung
n
Wenn Sie sich mit einem Benutzernamen von der Systemdomne anmelden, bitten Sie Ihren vCenter
Single Sign On-Administrator, Ihr Konto zu entsperren.
Wenn Sie sich mit einem Benutzernamen von Active Directory oder der LDAP-Domne anmelden, bitten
Sie Ihren Active Directory- bzw. LDAP-Administrator, Ihr Konto zu entsperren.
Warten Sie, bis Ihr Konto entsperrt wird. Standardmig wird das Konto fr Benutzer in der Systemdomne nach 15 Minuten entsperrt.
Keine Antwort von vCenter Single Sign On-Server auf eine vSphere Web ClientAnmeldung
Wenn vCenter Single Sign On nicht auf eine vSphere Web Client-Anmeldung antwortet, besteht mglicherweise ein Problem mit der Konnektivitt.
Problem
Der vCenter Single Sign On-Server zeigt folgende Fehlermeldung an: Kommunikation mit dem VMware-SSOServer <Serveradresse> fehlgeschlagen. Der Server konnte mglicherweise nicht antworten oder hat
auf unerwartete Art geantwortet.
Ursache
Die Konnektivitt mit dem vCenter Single Sign On-Server ist verloren gegangen. Die hufigsten Ursachen
bestehen darin, dass es keine Konnektivitt zu dem Single Sign On-Server gibt oder dass das Single Sign On
nicht ausgefhrt wird.
1
Der vCenter Single Sign On-Server funktioniert ordnungsgem, aber es besteht keine Netzwerkkonnektivitt zu ihm.
Der vCenter Single Sign On-Server wird nicht ausgefhrt.
Lsung
1
Stellen Sie sicher, dass der vCenter Single Sign On-Server funktioniert, indem Sie den Status der Dienste
vCenter Single Sign On (Windows) und vmware-sso (Linux) berprfen.
Starten Sie vCenter Single Sign On neu.
vCenter Server Appliance kann den Admin-Benutzer von einem externen vCenter
Single Sign On-Server nicht authentifizieren
Wenn Sie eine vCenter Server Appliance so konfigurieren, dass sie mit einem externen vCenter Single Sign
On-Server funktioniert, knnen Probleme auftreten, wenn Sie die Benutzer nicht ordnungsgem einrichten.
Problem
Sie erhalten den Fehler Die Authentifizierung des Single Sign On-Administratorbenutzers ist fehlgeschlagen.
Ursache
Dieser Fehler tritt aus mehreren Grnden auf.
124
VMware, Inc.
Lsung
1
Geben Sie den Benutzernamen im E-Mail-Stil erneut ein, z. B. Benutzer@Domne.

Wenn Sie sich als root anmelden, geben Sie den Benutzernamen root@localos ein.
Stellen Sie sicher, dass das Benutzerkonto nicht gesperrt oder deaktiviert ist.
Melden Sie sich beim Web Client mit dem Benutzernamen an, der die Fehlermeldung generiert hat. Wenn
das Benutzerkonto gesperrt bzw. deaktiviert ist, kann jeder andere vCenter Single Sign On-Administrator
das Benutzerkonto entsperren bzw. reaktivieren. Erstellen Sie bei Bedarf zustzliche vCenter Single Sign
On-Administratorkonten.
berprfen Sie die Datei /var/log/vmware/sso/utils/sso_servicecfg.log, um die ursprngliche Fehlermeldung zu suchen.

Dieses Protokoll enthlt Details zur Ursache des Fehlers und zur fehlerbehebenden Aktion.
VMware, Inc.
125
vSphere-Sicherheit
126
VMware, Inc.
Verschlsselungs- und
Sicherheitszertifikate
ESXi und vCenter Server untersttzen X.509 Version 3- (X.509v3-)Standardzertifikate fr das Verschlsseln
von Sitzungsinformationen, die ber SSL-Verbindungen zwischen den Komponenten bertragen werden. Bei
aktiviertem SSL sind die Daten vertraulich, geschtzt und knnen nicht unbemerkt bei der bertragung gendert werden.
Smtlicher Netzwerkdatenverkehr wird verschlsselt, solange die folgenden Bedingungen gelten:
n
Der Web-Proxy-Dienst wurde nicht so gendert, dass er unverschlsselten Datenverkehr fr den Port
durchlsst.
Bei der Firewall wurde die mittlere oder hohe Sicherheit eingestellt.
Die Hostzertifikatsberprfung ist standardmig aktiviert. Fr die Verschlsselung des Netzwerkverkehrs

werden SSL-Zertifikate verwendet. Allerdings verwenden ESXi und vCenter Server automatisch generierte
Zertifikate, die im Rahmen des Installationsprozesses erstellt und auf dem Serversystem gespeichert werden.
Zwar sind diese Zertifikate eindeutig und ermglichen die Verwendung des Servers, sie knnen jedoch nicht
verifiziert werden und wurden nicht von einer bekannten, vertrauenswrdigen Zertifizierungsstelle (CA)
signiert. Diese Standardzertifikate sind anfllig fr mgliche Man-in-the-Middle-Angriffe.
Um die Vorteile der Zertifikatsberprfung voll nutzen zu knnen, insbesondere, wenn Sie vorhaben, verschlsselte Remoteverbindungen extern zu verwenden, installieren Sie neue Zertifikate, die von einer gltigen
internen Zertifizierungsstelle (CA) signiert wurden, oder erwerben Sie ein Zertifikat von einer vertrauenswrdigen Zertifizierungsstelle. Weitere Informationen finden Sie unter Ersetzen der vCenter- und ESXi-Standardzertifikate.
n
Generieren neuer Zertifikate fr den ESXi-Host, auf Seite 128
Aktivieren der Validierung von SSL-Zertifikaten ber NFC, auf Seite 128
Hochladen eines SSL-Zertifikats und Schlssels anhand von HTTPS PUT, auf Seite 129
Ersetzen eines ESXi-Standardzertifikats durch ein CA-signiertes Zertifikat, auf Seite 129
Ersetzen eines ESXi-Standardzertifikats durch ein CA-signiertes Zertifikat unter Verwendung des vifsBefehls, auf Seite 130
Hochladen eines SSH-Schlssels anhand von HTTPS PUT, auf Seite 131
Hochladen eines SSH-Schlssels mithilfe eines vifs-Befehls, auf Seite 132
Konfigurieren von SSL-Zeitberschreitungen, auf Seite 132
ndern von ESXi-Web-Proxy-Einstellungen, auf Seite 133
Aktivieren der berprfung von Zertifikaten und Host-Fingerabdrcken, auf Seite 137
VMware, Inc.
127
vSphere-Sicherheit
Aktivieren der Zertifikatsberprfung und berprfen der Host-Fingerabdrcke im vSphere Web Client, auf Seite 137
Generieren neuer Zertifikate fr den ESXi -Host

Normalerweise werden neue Zertifikate nur dann erstellt, wenn der Hostname gendert oder das Zertifikat
versehentlich gelscht wird. Unter gewissen Umstnden mssen Sie den Host zwingen, neue Zertifikate zu
erzeugen.
Vorgehensweise
1
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an. []
Sichern Sie im Verzeichnis /etc/vmware/ssl alle vorhandenen Zertifikate, indem Sie sie mit folgenden
Befehlen umbenennen.
mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
HINWEIS Wenn Sie Zertifikate neu generieren, da Sie sie gelscht haben, ist dieser Schritt nicht erforderlich.
3
Fhren Sie den Befehl /sbin/generate-certificates aus, um neue Zertifikate zu generieren.
Starten Sie den Host nach der Installation des neuen Zertifikats neu.
Alternativ knnen Sie den Host in den Wartungsmodus versetzen, das neue Zertifikat installieren und
anschlieend die Verwaltungs-Agenten ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) neu starten.
Besttigen Sie, dass der Host neue Zertifikate erfolgreich erstellt hat, indem Sie den folgenden Befehl
verwenden und die Zeitstempel der neuen Zertifikatsdateien mit orig.rui.crt und orig.rui.key vergleichen.
ls -la
Aktivieren der Validierung von SSL-Zertifikaten ber NFC

Network File Copy (NFC) umfasst einen FTP-Dienst fr vSphere-Komponenten, bei dem der Dateityp beachtet
wird. NFC wird unter ESXi fr Vorgnge wie das Kopieren und Verschieben von Daten zwischen Datenspeichern verwendet. Sie knnen fr NFC-Vorgnge die Validierung von SSL-Zertifikaten aktivieren.
Die anfngliche Authentifizierung fr eine NFC-bertragung wird unter Verwendung von SSL durchgefhrt,
aber standardmig erfolgt die tatschliche Datenbertragung aus Leistungsgrnden im normalen Textformat. Da diese Dateibertragung ber das Verwaltungsnetzwerk durchgefhrt wird, ist das Risiko von Datenlecks mit der Isolierung des Verwaltungsnetzwerks verknpft.
Wenn Sie SSL ber NFC aktivieren, sind Verbindungen zwischen vSphere-Komponenten ber NFC sicher.
Mit dieser Verbindung knnen Man-in-the-Middle-Angriffe innerhalb eines Datencenters verhindert werden.
HINWEIS Die Aktivierung von SSL ber NFC fhrt zu einem gewissen Leistungsabfall.
Voraussetzungen
Schalten Sie die virtuelle Maschine aus.
128
VMware, Inc.
Kapitel 8 Verschlsselungs- und Sicherheitszertifikate
Vorgehensweise
1
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Whlen Sie [VM-Optionen] .
Klicken Sie auf [Erweitert] und anschlieend auf [Konfiguration bearbeiten] .
Fgen Sie den Parameter nfc.useSSL hinzu bzw. bearbeiten Sie ihn, und legen Sie den Wert auf true fest.
Hochladen eines SSL-Zertifikats und Schlssels anhand von HTTPS

PUT
Mit Drittanbieteranwendungen knnen Sie Zertifikate hochladen. Anwendungen mit Untersttzung fr
HTTPS PUT-Operationen knnen mit der HTTPS-Schnittstelle verwendet werden, die im Lieferumfang von
ESXi enthalten ist.
Vorgehensweise
1
ffnen Sie die Datei in der Anwendung, die Sie fr das Hochladen verwenden.
Verffentlichen Sie die Datei an einem der folgenden Speicherorte.
Option
Beschreibung
Zertifikate
https://hostname/host/ssl_crt
Schlssel
https://hostname/host/ssl_key
Verwenden Sie in der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI)
den Vorgang Verwaltungs-Agenten neu starten, um die Einstellungen zu initiieren.
Ersetzen eines ESXi -Standardzertifikats durch ein CA-signiertes

Zertifikat
ESXi verwendet automatisch generierte Zertifikate, die als Teil des Installationsprozesses erstellt wurden.
signiert.
Die Verwendung von selbst signierten Zertifikaten widerspricht mglicherweise der Sicherheitsrichtlinie Ihrer
Organisation. Wenn Sie ein Zertifikat von einer vertrauenswrdigen Zertifizierungsstelle anfordern, knnen
Sie das Standardzertifikat ersetzen.
HINWEIS Wenn auf dem Host die Option zum Verifizieren von Zertifikaten aktiviert ist, beendet vCenter Server
mglicherweise die Verwaltung des Hosts, wenn das Standardzertifikat ersetzt wird. Falls das neue Zertifikat
von vCenter Server nicht verifiziert werden kann, mssen Sie den Host mithilfe des vSphere-Clients neu verbinden.
ESXi untersttzt nur X.509-Zertifikate zum Verschlsseln von Sitzungsinformationen, die ber SSL-Verbindungen zwischen Server- und Clientkomponenten gesendet werden.
VMware, Inc.
129
vSphere-Sicherheit
Voraussetzungen
Alle Dateibertragungen und andere Kommunikationsvorgnge erfolgen ber eine sichere HTTPS-Sitzung.
Der zum Authentifizieren der Sitzung verwendete Benutzer muss ber die Berechtigung Host.Config.AdvancedConfig auf dem Host verfgen. Weitere Informationen ber ESXi-Berechtigungen finden Sie unter
Kapitel 6, ESXi-Authentifizierung und Benutzerverwaltung, auf Seite 61.
Vorgehensweise
1
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an.
Benennen Sie im Verzeichnis /etc/vmware/ssl die vorhandenen Zertifikate mit folgenden Befehlen um.
mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
Kopieren Sie das neue Zertifikat und den neuen Schlssel in das Verzeichnis /etc/vmware/ssl.
Benennen Sie das neue Zertifikat und den Schlssel um in rui.crt und rui.key.
Starten Sie den Host nach der Installation des neuen Zertifikats neu.
Ersetzen eines ESXi -Standardzertifikats durch ein CA-signiertes

Zertifikat unter Verwendung des vifs-Befehls
ESXi verwendet automatisch generierte Zertifikate, die als Teil des Installationsprozesses erstellt wurden.
signiert.
Die Verwendung von selbst signierten Zertifikaten widerspricht mglicherweise der Sicherheitsrichtlinie Ihrer
Organisation. Wenn Sie ein Zertifikat von einer vertrauenswrdigen Zertifizierungsstelle anfordern, knnen
Sie das Standardzertifikat ersetzen.
HINWEIS Wenn auf dem Host die Option zum Verifizieren von Zertifikaten aktiviert ist, beendet vCenter Server
mglicherweise die Verwaltung des Hosts, wenn das Standardzertifikat ersetzt wird. Falls das neue Zertifikat
von vCenter Server nicht verifiziert werden kann, mssen Sie den Host mithilfe des vSphere-Clients neu verbinden.
ESXi untersttzt nur X.509-Zertifikate zum Verschlsseln von Sitzungsinformationen, die ber SSL-Verbindungen zwischen Server- und Clientkomponenten gesendet werden.
Voraussetzungen
Alle Dateibertragungen und andere Kommunikationsvorgnge erfolgen ber eine sichere HTTPS-Sitzung.
Der zum Authentifizieren der Sitzung verwendete Benutzer muss ber die Berechtigung Host.Config.AdvancedConfig auf dem Host verfgen. Weitere Informationen ber ESXi-Berechtigungen finden Sie unter
Kapitel 6, ESXi-Authentifizierung und Benutzerverwaltung, auf Seite 61.
Vorgehensweise
1
130
Sichern Sie die vorhandenen Zertifikate.
VMware, Inc.
Verwenden Sie in der Befehlszeile den vifs-Befehl, um das Zertifikat an die entsprechende Position auf
dem Host hochzuladen.
vifs --server Hostname --username Benutzername --put rui.crt /host/ssl_cert
vifs --server Hostname --username Benutzername --put rui.key /host/ssl_key
Starten Sie den Host neu.

Hochladen eines SSH-Schlssels anhand von HTTPS PUT

Sie knnen autorisierte Schlssel zum Anmelden bei einem Host mit SSH verwenden. Sie knnen autorisierte
Schlssel mit HTTPS PUT hochladen.
Autorisierte Schlssel ermglichen Ihnen die Authentifizierung des Remotezugriffs auf einen Host. Wenn
Benutzer oder Skripts versuchen, mit SSH auf einen Host zuzugreifen, bietet der Schlssel eine Authentifizierung ohne Kennwort. Mit autorisierten Schlsseln knnen Sie die Authentifizierung automatisieren, was
ntzlich ist, wenn Sie Skripts zum Ausfhren von Routinettigkeiten schreiben.
Sie knnen unter Verwendung von HTTPS PUT die folgenden Typen von SSH-Schlsseln auf einen Host
hochladen:
n
Autorisierte Schlsseldatei fr Root-Benutzer
DSA-Schlssel
ffentlicher DSA-Schlssel
RSA-Schlssel
ffentlicher RSA-Schlssel
WICHTIG ndern Sie die Datei /etc/ssh/sshd_config nicht.

Vorgehensweise
1
ffnen Sie die Schlsseldatei in der Anwendung, die Sie fr das Hochladen verwenden.
Verffentlichen Sie die Datei an einem der folgenden Speicherorte.
VMware, Inc.
Schlsseltyp
Speicherort
Autorisierte Schlsseldateien fr
den Root-Benutzer
https://Hostname oder IP-Adresse/host/ssh_root_authorized

keys
Sie bentigen zum Hochladen dieser Datei vollstndige Administratorrechte
auf dem Host.
DSA-Schlssel
https://Hostname oder IP-Adresse/host/ssh_host_dsa_key
ffentliche DSA-Schlssel
https://Hostname oder IP-Adresse/host/ssh_host_dsa_key_pub
RSA-Schlssel
https://Hostname oder IP-Adresse/host/ssh_host_rsa_key
ffentliche RSA-Schlssel
https://Hostname oder IP-Adresse/host/ssh_host_rsa_key_pub
131
vSphere-Sicherheit
Hochladen eines SSH-Schlssels mithilfe eines vifs-Befehls

Sie knnen autorisierte Schlssel zum Anmelden bei einem Host mit SSH verwenden. Sie knnen autorisierte
Schlssel mit einem vifs-Befehl hochladen.
Autorisierte Schlssel ermglichen Ihnen die Authentifizierung des Remotezugriffs auf einen Host. Wenn
Benutzer oder Skripts versuchen, mit SSH auf einen Host zuzugreifen, bietet der Schlssel eine Authentifizierung ohne Kennwort. Mit autorisierten Schlsseln knnen Sie die Authentifizierung automatisieren, was
ntzlich ist, wenn Sie Skripts zum Ausfhren von Routinettigkeiten schreiben.
Sie knnen die folgenden Typen von SSH-Schlsseln auf einen Host hochladen:
n
Autorisierte Schlsseldatei fr Root-Benutzer
DSA-Schlssel
ffentlicher DSA-Schlssel
RSA-Schlssel
ffentlicher RSA-Schlssel
WICHTIG ndern Sie die Datei /etc/ssh/sshd_config nicht.

Vorgehensweise
u
Verwenden Sie in der Befehlszeile den vifs-Befehl, um den SSH-Schlssel an die entsprechende Position
hochzuladen.
vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub
Schlsseltyp
Speicherort
Autorisierte Schlsseldateien fr
den Root-Benutzer
/host/ssh_root_authorized keys
Sie bentigen zum Hochladen dieser Datei vollstndige Administratorrechte.
DSA-Schlssel
/host/ssh_host_dsa_key
ffentliche DSA-Schlssel
/host/ssh_host_dsa_key_pub
RSA-Schlssel
/host/ssh_host_rsa_key
ffentliche RSA-Schlssel
/host/ssh_host_rsa_key_pub
Konfigurieren von SSL-Zeitberschreitungen

Sie knnen SSL-Zeitberschreitungen fr ESXi konfigurieren.
Zeitberschreitungsperioden knnen fr zwei Typen von Leerlaufverbindungen festgelegt werden:
n
Die Einstellung fr Zeitberschreitung beim Lesen wird fr Verbindungen verwendet, die den SSLHandshake-Prozess mit Port 443 von ESXi abgeschlossen haben.
Die Einstellung fr Handshake-Zeitberschreitung wird fr Verbindungen verwendet, die den SSLHandshake-Prozess mit Port 443 von ESXi noch nicht abgeschlossen haben.
Beide Verbindungszeitberschreitungen werden in Millisekunden angegeben.

Leerlaufverbindungen werden nach Ablauf der Zeitberschreitungsperiode getrennt. Bei vollstndig eingerichteten SSL-Verbindungen ist die Zeitberschreitung auf unendlich gesetzt.
Vorgehensweise
1
132
VMware, Inc.
ndern Sie das Verzeichnis in /etc/vmware/rhttpproxy/.
Bearbeiten Sie die Datei config.xml mithilfe eines Texteditors.
Geben Sie den Wert fr <readTimeoutMs> in Millisekunden an.

Wenn Sie die Zeitberschreitung beim Lesen beispielsweise auf 20 Sekunden festlegen, geben Sie folgenden Befehl ein.
<readTimeoutMs>20000</readTimeoutMs>
Geben Sie den Wert <handshakeTimeoutMs> in Millisekunden ein.

Geben Sie folgenden Befehl ein, um die Handshake-Zeitberschreitung beispielsweise auf 20 Sekunden
festzulegen.
<handshakeTimeoutMs>20000</handshakeTimeoutMs>
Speichern Sie die nderungen, und schlieen Sie die Datei.
Starten Sie den rhttpproxy-Prozess neu:

/etc/init.d/rhttpproxy restart
Beispiel: Konfigurationsdatei
Der folgende Abschnitt der Datei /etc/vmware/rhttpproxy/config.xml zeigt, an welcher Stelle die Einstellungen fr die SSL-Zeitberschreitung eingegeben werden mssen.
<vmacore>
...
<http>
...
<readTimeoutMs>20000</readTimeoutMs>
...
</http>
...
<ssl>
...
<handshakeTimeoutMs>20000</handshakeTimeoutMs>
...
</ssl>
</vmacore>
ndern von ESXi -Web-Proxy-Einstellungen

Beim ndern von Web-Proxy-Einstellungen mssen mehrere Richtlinien fr Verschlsselung und Benutzersicherheit bercksichtigt werden.
HINWEIS Starten Sie den Hostprozess neu, nachdem Sie nderungen an den Hostverzeichnissen oder den
Authentifizierungsmechanismen vorgenommen haben.
n
VMware, Inc.
Richten Sie Zertifikate nicht mithilfe von Kennwortstzen ein. ESXi untersttzt keine Kennwortstze
(verschlsselte Schlssel). Wenn Sie einen Kennwortsatz einrichten, knnen ESXi-Prozesse nicht ordnungsgem starten.
133
vSphere-Sicherheit
Sie knnen den Web-Proxy so konfigurieren, dass er an einer anderen Stelle als am Standardspeicherort
nach Zertifikaten sucht. Dies ist hilfreich, wenn die Zertifikate zentral auf einem Computer gespeichert
werden sollen, damit mehrere Hosts die Zertifikate verwenden knnen.
VORSICHT Wenn Zertifikate nicht lokal auf dem Host gespeichert werden, sondern z. B. auf einer NFSFreigabe, kann der Host nicht auf diese Zertifikate zugreifen, wenn ESXi keine Netzwerkkonnektivitt
hat. Aus diesem Grund ist bei einem Client, der eine Verbindung zum Host herstellt, kein sicherer SSLHandshake mit dem Host mglich.
Zur Untersttzung von Verschlsselung fr Benutzernamen, Kennwrter und Pakete wird SSL standardmig fr vSphere Web Services SDK-Verbindungen aktiviert. Wenn Sie diese Verbindungen so
konfigurieren mchten, dass bertragungen nicht verschlsselt werden, deaktivieren Sie SSL fr Ihre
vSphere Web Services SDK-Verbindung, indem Sie die Verbindung von HTTPS auf HTTP umstellen.
Deaktivieren Sie SSL nur dann, wenn Sie eine vollstndig vertrauenswrdige Umgebung fr die Clients
geschaffen haben, d. h. Firewalls wurden installiert und die bertragungen zum und vom Host sind
vollstndig isoliert. Die Deaktivierung von SSL kann die Leistung verbessern, da der fr die Verschlsselung notwendige Verarbeitungsaufwand nicht anfllt.
Um den Missbrauch von ESXi-Diensten zu verhindern, kann auf die meisten internen ESXi-Dienste nur
ber Port 443, den fr HTTPS-bertragungen verwendeten Port, zugegriffen werden. Port 443 dient als
Reverse-Proxy fr ESXi. Sie knnen eine Liste der Dienste auf dem ESXi-Host auf einer HTTP-Begrungsseite sehen. Sie knnen direkt aber nur auf die Speicheradapterdienste zugreifen, wenn Sie ber die
entsprechenden Berechtigungen verfgen.
Sie knnen diese Einstellung ndern, sodass auf bestimmte Dienste direkt ber HTTP-Verbindungen zugegriffen werden kann. Nehmen diese nderung nur vor, wenn Sie ESXi in einer vertrauenswrdigen
Umgebung verwenden.
Wenn Sie vCenter Server aktualisieren, wird das Zertifikat beibehalten.
Konfigurieren des Web-Proxy zur Suche nach Zertifikaten an anderen

Speicherorten
Sie knnen den Web-Proxy so konfigurieren, dass er an einer anderen Stelle als am Standardspeicherort nach
Zertifikaten sucht. Dies ist eine ntzliche Funktion fr Unternehmen, die ihre Zertifikate auf einer Maschine
zentralisieren, sodass mehrere Hosts diese Zertifikate nutzen knnen.
Vorgehensweise
1
ndern Sie das Verzeichnis in /etc/vmware/rhttpproxy/.
ffnen Sie die Datei config.xml in einem Texteditor, und bearbeiten Sie das folgende XML-Segment.
<ssl>

<privateKey>/etc/vmware/ssl/rui.key</privateKey>

<certificate>/etc/vmware/ssl/rui.crt</certificate>
</ssl>
Ersetzen Sie /etc/vmware/ssl/rui.key durch den absoluten Pfad zur persnlichen Schlsseldatei, die Sie
von der vertrauenswrdigen Zertifizierungsstelle erhalten haben.
Dieser Pfad kann sich auf dem Host oder auf einem zentralen Computer befinden, auf dem die Zertifikate
und Schlssel fr Ihr Unternehmen gespeichert sind.
HINWEIS Belassen Sie die XML-Tags <privateKey> und </privateKey> an ihrem Platz.
134
VMware, Inc.
Ersetzen Sie /etc/vmware/ssl/rui.crt durch den absoluten Pfad zur Zertifikatsdatei, die Sie von der vertrauenswrdigen Zertifizierungsstelle erhalten haben.
VORSICHT Lschen Sie die ursprnglichen Dateien rui.key und rui.crt nicht. Der Host verwendet diese
Dateien.
Starten Sie den rhttpproxy-Prozess neu:

/etc/init.d/rhttpproxy restart
ndern der Sicherheitseinstellungen fr einen Web-Proxy-Dienst

Sie knnen die Sicherheitskonfiguration ndern, sodass auf bestimmte Dienste direkt ber HTTP-Verbindungen zugegriffen werden kann.
Vorgehensweise
1
Wechseln Sie in das Verzeichnis /etc/vmware/hostd/.
Bearbeiten Sie die Datei proxy.xml mithilfe eines Texteditors.

Der Inhalt der Datei wird standardmig wie folgt angezeigt.
<ConfigRoot>
<EndpointList>
<_length>10</_length>
<_type>vim.ProxyService.EndpointSpec[]</_type>
<e id="0">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8309</port>
<serverNamespace>/</serverNamespace>
</e>
<e id="1">
<accessMode>httpAndHttps</accessMode>
<port>8309</port>
<serverNamespace>/client/clients.xml</serverNamespace>
</e>
<e id="2">
<port>12001</port>
<serverNamespace>/ha-nfc</serverNamespace>
</e>
<e id="3">
<_type>vim.ProxyService.NamedPipeServiceSpec</_type>
<pipeName>/var/run/vmware/proxy-mob</pipeName>
<serverNamespace>/mob</serverNamespace>
</e>
<e id="4">
<port>12000</port>
VMware, Inc.
135
vSphere-Sicherheit
<serverNamespace>/nfc</serverNamespace>
</e>
<e id="5">
<port>8307</port>
<serverNamespace>/sdk</serverNamespace>
</e>
<e id="6">
<_type>vim.ProxyService.NamedPipeTunnelSpec</_type>
<accessMode>httpOnly</accessMode>
<pipeName>/var/run/vmware/proxy-sdk-tunnel</pipeName>
<serverNamespace>/sdkTunnel</serverNamespace>
</e>
<e id="7">
<port>8308</port>
<serverNamespace>/ui</serverNamespace>
</e>
<e id="8">
<accessMode>httpsOnly</accessMode>
<port>8089</port>
<serverNamespace>/vpxa</serverNamespace>
</e>
<e id="9">
<port>8889</port>
<serverNamespace>/wsman</serverNamespace>
</e>
</EndpointList>
</ConfigRoot>
ndern Sie die Sicherheitseinstellungen den Anforderungen entsprechend.

Sie knnen beispielsweise die Eintrge fr Dienste ndern, die HTTPS verwenden, um den HTTP-Zugriff
ergnzen.
136
Option
Beschreibung
e id
ID-Nummer fr das XML-Tag mit der Server-ID. ID-Nummern mssen im

HTTP-Bereich eindeutig sein.
_type
Name des Diensts, den Sie verschieben.
accessmode
Form der Kommunikation, die der Dienst zulsst. Zu den zulssigen Werten
gehren u. a.:
n httpOnly Auf den Dienst kann nur ber unverschlsselte HTTP-Verbindungen zugegriffen werden.
n httpsOnly Auf den Dienst kann nur ber HTTPS-Verbindungen zugegriffen werden.
n httpsWithRedirect Auf den Dienst kann nur ber HTTPS-Verbindungen zugegriffen werden. Anforderungen ber HTTP werden an den
entsprechenden HTTPS-URL weitergeleitet.
n httpAndHttps Auf den Dienst kann sowohl ber HTTP- als auch ber
HTTPS-Verbindungen zugegriffen werden.
VMware, Inc.
Option
Beschreibung
port
Portnummer, die dem Dienst zugewiesen ist. Sie knnen dem Dienst eine
andere Portnummer zuweisen.
serverNamespace
Namespace des Servers, der diesen Dienst anbietet, z. B. /sdk oder /mob.
Starten Sie den Prozess hostd neu:

/etc/init.d/hostd restart
Aktivieren der berprfung von Zertifikaten und Host-Fingerabdrcken

Die Zertifikatberprfung ist standardmig aktiviert, um Man-in-the-Middle-Angriffe zu verhindern und
smtliche Sicherheitsfunktionen der Zertifikate zu verwenden. Sie knnen prfen, ob die Zertifikatberprfung im vSphere-Client aktiviert ist.
HINWEIS vCenter Server-Zertifikate bleiben bei Upgrades erhalten.
Vorgehensweise
1
Whlen Sie [Verwaltung] > [vCenter Server-Einstellungen] .
Klicken Sie im linken Bildschirmbereich auf [SSL-Einstellungen] und berprfen Sie, dass [Hostzertifikate prfen] ausgewhlt ist.
Falls Hosts vorhanden sind, die eine manuelle Validierung erfordern, vergleichen Sie die fr die Hosts
aufgefhrten Fingerabdrcke mit den Fingerabdrcken in der Hostkonsole.
Verwenden Sie die Benutzerschnittstelle der direkten Konsole (DCUI), um den Fingerabdruck des Hosts
abzurufen.
a
Melden Sie sich bei der direkten Konsole an und drcken Sie F2, um das Men fr die Systemanpassung aufzurufen.
Whlen Sie [Support-Informationen anzeigen] .

Der Fingerabdruck des Hosts wird in der Spalte auf der rechten Seite angezeigt.
Stimmen die Fingerabdrcke berein, whlen Sie das Kontrollkstchen [berprfen] neben dem Host
aus.
Hosts, die nicht ausgewhlt sind, werden getrennt, nachdem Sie auf [OK] klicken.
Aktivieren der Zertifikatsberprfung und berprfen der HostFingerabdrcke im vSphere Web Client
Die Zertifikatberprfung ist standardmig aktiviert, um Man-in-the-Middle-Angriffe zu verhindern und
smtliche Sicherheitsfunktionen der Zertifikate zu verwenden. Sie knnen prfen, ob die Zertifikatsberprfung im vSphere Web Client aktiviert ist.
HINWEIS vCenter Server-Zertifikate bleiben bei Upgrades erhalten.
Vorgehensweise
1
VMware, Inc.
137
vSphere-Sicherheit
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Einstellungen] und anschlieend
auf [Allgemein] .
Klicken Sie auf [SSL-Einstellungen] und stellen Sie sicher, dass die Option [vCenter bentigt verifizierte
Host-SSL-Zertifikate] ausgewhlt ist.
Falls Hosts vorhanden sind, die eine manuelle Validierung erfordern, vergleichen Sie die fr die Hosts
aufgefhrten Fingerabdrcke mit den Fingerabdrcken in der Hostkonsole.
Verwenden Sie die Benutzerschnittstelle der direkten Konsole (DCUI), um den Fingerabdruck des Hosts
abzurufen.
a
Melden Sie sich bei der direkten Konsole an und drcken Sie F2, um das Men fr die Systemanpassung aufzurufen.
Whlen Sie [Support-Informationen anzeigen] .

Der Fingerabdruck des Hosts wird in der Spalte auf der rechten Seite angezeigt.
Stimmen die Fingerabdrcke berein, whlen Sie das Kontrollkstchen [berprfen] neben dem Host
aus.
Hosts, die nicht ausgewhlt sind, werden getrennt, nachdem Sie auf [OK] klicken.
138
VMware, Inc.
Sichern von virtuellen Maschinen
Das Gastbetriebssystem, das in der virtuellen Maschine luft, ist denselben Sicherheitsrisiken ausgesetzt wie
ein physisches System. Sichern Sie virtuelle Maschinen so, wie Sie physische Maschinen sichern wrden.
n
Allgemeiner Schutz fr virtuelle Maschinen, auf Seite 139
Konfigurieren der Protokollierungsebenen fr das Gastbetriebssystem, auf Seite 144
Begrenzen der Offenlegung vertraulicher Daten, die in die Zwischenablage kopiert wurden, auf Seite 147
Deaktivieren nicht freigelegter Funktionen, auf Seite 148
Beschrnken von Schreibvorgngen des Gastbetriebssystems in den Hostspeicher, auf Seite 149
Entfernung berflssiger Hardwaregerte, auf Seite 151
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen Maschine die Verbindung zu Gerten
trennt, auf Seite 152
Verhindern, dass ein Benutzer bzw. ein Vorgang einer virtuellen Maschine Gerte im vSphere Web
Client trennt, auf Seite 153
Allgemeiner Schutz fr virtuelle Maschinen

Eine virtuelle Maschine ist nahezu mit einem physischen Server quivalent. Wenden Sie in virtuellen Maschinen die gleichen Sicherheitsmanahmen wie fr physische Systeme an.
Stellen Sie beispielsweise sicher, dass Schutzmechanismen wie Antivirus, Anti-Spyware, Erkennung von Eindringversuchen usw. fr jede virtuelle Maschine der virtuellen Infrastruktur aktiviert sind. Halten Sie alle
Sicherheitsmanahmen immer auf dem neuesten Stand, und wenden Sie immer die entsprechenden Patches
an. Es ist besonders wichtig, auch die Updates fr inaktive virtuelle Maschinen zu beachten, die ausgeschaltet
sind, weil diese leicht vergessen werden knnen.
Deaktivieren unntiger Funktionen innerhalb von virtuellen Maschinen

Jeder Dienst, der in einer virtuellen Maschine ausgefhrt wird, ist ein potenzielles Angriffsziel. Indem Sie
Systemkomponenten deaktivieren, die zur Ausfhrung der Anwendung bzw. des Dienstes nicht bentigt
werden, verringern Sie die Anzahl angreifbarer Komponenten.
Fr virtuelle Maschinen werden in der Regel weniger Dienste bzw. Funktionen bentigt als fr physische
Server. Wenn Sie ein System virtualisieren, prfen Sie, ob bestimmte Dienste oder Funktionen erforderlich
sind.
VMware, Inc.
139
vSphere-Sicherheit
Vorgehensweise
n
Deaktivieren Sie nicht verwendete Dienste im Betriebssystem.

Wenn auf dem System beispielsweise ein Dateiserver ausgefhrt wird, deaktivieren Sie die Webdienste.
Trennen Sie nicht verwendete physische Gerte wie CD/DVD-Laufwerke, Diskettenlaufwerke und USBAdapter.
Siehe Entfernung berflssiger Hardwaregerte, auf Seite 151.
Deaktivieren Sie Bildschirmschoner.
Fhren Sie das X Window-System auf Linux-, BSD- oder Solaris-Gastbetriebssystemen nur aus, wenn es
erforderlich ist.
Verwendung von Vorlagen zum Bereitstellen von virtuellen Maschinen

Wenn Sie Gastbetriebssysteme und Anwendungen auf einer virtuellen Maschine manuell installieren, besteht
das Risiko einer fehlerhaften Konfiguration. Durch Einsatz einer Vorlage zum Erfassen eines abgesicherten
Basisbetriebssystem-Images ohne installierte Anwendungen knnen Sie sicherstellen, dass alle virtuellen Maschinen mit einem bekannten grundlagenenden Sicherheitsniveau erstellt werden.
Sie knnen diese Vorlagen verwenden, um andere, anwendungsspezifische Vorlagen zu erstellen, oder mithilfe der Anwendungsvorlage virtuelle Maschinen bereitstellen.
Vorgehensweise
u
Stellen Sie Vorlagen fr die Erstellung von virtuellen Maschinen bereit, die abgesicherte, gepatchte und
korrekt konfigurierte Betriebssystembereitstellungen enthalten.
Wenn mglich, stellen Sie auch Anwendungen in Vorlagen bereit. Achten Sie darauf, dass die Anwendungen nicht von Informationen abhngen, die spezifisch fr eine virtuelle Maschine sind, die bereitgestellt werden soll.
Weiter
Sie knnen im vSphere-Client eine Vorlage in eine virtuelle Maschine und wieder zurck in eine Vorlage
umwandeln und damit die Aktualisierung von Vorlagen stark vereinfachen. Weitere Hinweise zu Vorlagen
finden Sie in der Dokumentation vSphere-Administratorhandbuch fr virtuelle Maschinen.
Verhindern, dass virtuelle Maschinen Ressourcen in Besitz nehmen

Wenn eine virtuelle Maschine so viele Hostressourcen verbraucht, dass andere virtuelle Maschinen auf dem
Host ihre Funktionen nicht mehr erfllen knnen, kann es zur Dienstverweigerung (Denial of Service, DoS)
kommen. Um zu verhindern, dass eine virtuelle Maschine DoS verursacht, verwenden Sie Funktionen der
Hostressourcenverwaltung, beispielsweise die Einrichtung von Anteilen und Grenzen, um die Serverressourcen zu kontrollieren, die eine virtuelle Maschine verbraucht.
Standardmig haben alle virtuellen Maschinen auf einem Host gleiche Anteile an den Ressourcen.
Vorgehensweise
u
Verwenden Sie Anteile oder Reservierungen, um Ressourcen fr kritische virtuelle Maschinen zu garantieren.
Grenzen schrnken den Ressourcenverbrauch durch virtuelle Maschinen ein, bei denen ein greres Risiko besteht, dass sie ausgenutzt oder angegriffen werden knnen, oder auf denen Anwendungen laufen,
von denen bekannt ist, dass sie potenziell sehr viele Ressourcen verbrauchen.
140
VMware, Inc.
Kapitel 9 Sichern von virtuellen Maschinen
Weiter
Informationen ber Ressourcenanteile und Grenzwerte finden Sie in der Dokumentation Handbuch zur vSphereRessourcenverwaltung.
Beschrnken der Ausfhrung von Befehlen durch nicht autorisierte Benutzer

innerhalb einer virtuellen Maschine
Standardmig ermglicht die vCenter Server-Administratorrolle Benutzern die Interaktion mit Dateien und
Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine. Erstellen Sie eine Rolle ohne Rechte
fr Gastvorgnge, um das Risiko fr die Vertraulichkeit, Verfgbarkeit und Integritt des Gastbetriebssystems
zu verringern.
Wenden Sie die Rolle auf Benutzer an, die Administratorrechte bentigen, aber nicht zur Interaktion mit Dateien und Programmen innerhalb eines Gastbetriebssystems autorisiert sind.
Voraussetzungen
Stellen Sie sicher, dass Sie im vCenter Server-System, auf dem Sie die Rolle erstellen, ber vCenter ServerAdministratorrechte verfgen.
Vorgehensweise
1
Melden Sie sich beim vSphere Web Client als Benutzer an, der in dem System, auf dem Sie die Rolle
erstellen mchten, ber vCenter Server-Administratorrechte verfgt.
Klicken Sie erst auf [Verwaltung] und dann auf [Zugriff] > [Rollen-Manager] .
Klicken Sie auf das Symbol [Rolle erstellen] und geben Sie einen Namen fr die Rolle ein.
Geben Sie beispielsweise Administrator ohne Gastzugriff ein.
Whlen Sie [Alle Rechte] aus.
Entfernen Sie die Gastvorgangsrechte durch Deaktivieren der folgenden Option: Alle Rechte.Virtuelle
Maschine.Gastvorgnge.
Weiter
Weisen Sie Benutzern, die Administratorrechte ohne Gastzugriffsrechte bentigen, die neu erstellte Rolle zu
und stellen Sie sicher, dass diesen Benutzern die standardmige Administratorrolle entzogen wird.
Beschrnken informativer Meldungen von virtuellen Maschinen auf VMX-Dateien

Begrenzen Sie informelle Meldungen der virtuellen Maschine auf die VMX-Datei, um zu vermeiden, dass der
Datenspeicher voll wird und einen Denial of Service (DoS) bewirkt. Ein Denial of Service kann auftreten, wenn
Sie die Gre der VMX-Datei einer virtuellen Maschine nicht kontrollieren und die Informationsmenge die
Kapazitt des Datenspeichers berschreitet.
Die Konfigurationsdatei, die diese Name/Wert-Paare enthlt, ist auf 1 MB beschrnkt. Diese Kapazitt reicht
fr die meisten Flle aus, aber Sie knnen den Wert erforderlichenfalls ndern. Beispiel: Sie knnen die Grenze
erhhen, wenn groe Mengen benutzerdefinierter Informationen in der Konfigurationsdatei gespeichert werden.
Die Standardgrenze von 1 MB wird auch angewendet, wenn der sizeLimit-Parameter in der VMX-Datei nicht
verzeichnet ist.
VMware, Inc.
141
vSphere-Sicherheit
Vorgehensweise
1
Navigieren Sie auf dem ESXi-System, das die virtuelle Maschine hostet, zur VMX-Datei.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem sich die
Dateien der virtuellen Maschine befinden. Beispiel: /vmfs/volumes/vol1/vm-finance/.
Verwenden Sie einen Texteditor, um die folgende Zeile in die .vmx-Datei einzufgen und darin zu bearbeiten:
tools.setInfo.sizeLimit=104857
Speichern und schlieen Sie die Datei.
Verhindern des Verkleinerns von virtuellen Festplatten

Benutzer ohne Administratorberechtigung im Gastbetriebssystem knnen virtuelle Festplatten verkleinern.
Durch das Verkleinern einer virtuellen Festplatte wird nicht verwendeter Speicherplatz wieder verfgbar
gemacht. Wenn Sie eine Festplatte allerdings wiederholt verkleinern, wird sie mglicherweise nicht mehr
verfgbar und kann eine Dienstverweigerung (Denial of Service, DoS) verursachen. Um dies zu verhindern,
sperren Sie die Mglichkeit, Festplatten zu verkleinern.
Voraussetzungen
Vorgehensweise
1
Whlen Sie in der Bestandsliste die gewnschte virtuelle Maschine aus.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.tools.diskWiper.disable
Wahr
isolation.tools.diskShrink.disable
Wahr
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
Wenn Sie diese Funktion deaktivieren, knnen Sie Festplatten einer virtuellen Maschine nicht verkleinern,
wenn ein Datenspeicher keinen Speicherplatz mehr hat.
Verhindern des Verkleinerns von virtuellen Festplatten im vSphere Web Client

Benutzer ohne Administratorberechtigung im Gastbetriebssystem knnen virtuelle Festplatten verkleinern.
Durch das Verkleinern einer virtuellen Festplatte wird nicht verwendeter Speicherplatz wieder verfgbar
gemacht. Wenn Sie eine virtuelle Festplatte allerdings wiederholt verkleinern, wird die Festplatte mglicherweise nicht mehr verfgbar und kann eine Dienstverweigerung (Denial of Service) verursachen. Um dies zu
verhindern, sperren Sie die Mglichkeit, Festplatten zu verkleinern.
Voraussetzungen
142
VMware, Inc.
Vorgehensweise
1
a
bearbeiten] .
Name
Wert
isolation.tools.diskWiper.disable
Wahr
isolation.tools.diskShrink.disable
Wahr
Wenn Sie diese Funktion deaktivieren, knnen Sie Festplatten einer virtuellen Maschine nicht verkleinern,
wenn ein Datenspeicher keinen Speicherplatz mehr hat.
Verhindern des Spionierens von Benutzern an Remotekonsolensitzungen

Um das Aussphen von Remotekonsolensitzungen zu verhindern, begrenzen Sie die Anzahl der zulssigen
Remotekonsolensitzungen.
Standardmig knnen sich mehrere Benutzer gleichzeitig mit einer Remotekonsolensitzung einer virtuellen
Maschine verbinden. Wenn mehrere Benutzer mit einer Remotekonsole verbunden sind, knnen die Benutzer
die Vorgnge sehen, die von anderen Remotekonsolenbenutzern durchgefhrt werden. Beispiel: Wenn sich
ein Administrator einer virtuellen Maschine ber eine Remotekonsole anmeldet, kann sich ein Benutzer ohne
Administratorberechtigungen gleichzeitig mit der Konsole der virtuellen Maschine verbinden und die Aktionen des Administrators beobachten.
Voraussetzungen
Vorgehensweise
1
a
bearbeiten] .
Fgen Sie den Parameter RemoteDisplay.maxConnections hinzu oder bearbeiten Sie ihn und legen Sie
den Wert mit 1 fest.
VMware, Inc.
143
vSphere-Sicherheit
Nur eine Remotekonsolenverbindung zur virtuellen Maschine ist zulssig. Andere Versuche zum Starten einer
Remotekonsole werden abgelehnt, bis die erste Sitzung getrennt wird.
Konfigurieren der Protokollierungsebenen fr das Gastbetriebssystem

Virtuelle Maschinen knnen Informationen zur Fehlerbehebung in eine Protokolldatei der virtuellen Maschine
schreiben, die auf dem VMFS-Volume gespeichert wird. Benutzer und Prozesse virtueller Maschinen knnen
die Protokollierung entweder absichtlich oder unabsichtlich missbrauchen, sodass groe Datenmengen die
Protokolldatei berfluten. Mit der Zeit kann die Protokolldatei so genug Speicherplatz im Dateisystem der
Servicekonsole belegen, um einen Ausfall zu verursachen.
Um dieses Problem zu verhindern, knnen Sie die Protokollierung fr die Gastbetriebssysteme virtueller Maschinen deaktivieren. Mit diesen Einstellungen knnen die Gesamtgre und die Anzahl der Protokolldateien
begrenzt werden. Normalerweise wird bei jedem Neustart eines Hosts eine neue Protokolldatei erstellt, sodass
die Datei relativ gro werden kann. Sie knnen jedoch sicherstellen, dass die Erstellung neuer Protokolldateien
hufiger erfolgt, indem Sie die maximale Gre der Protokolldateien begrenzen. VMware empfiehlt das Speichern von zehn Protokolldateien mit maximal jeweils 100 KB. Diese Werte sind gro genug, um ausreichend
Daten zu erfassen, die zum Beheben der meisten ggf. auftretenden Probleme erforderlich sind.
Immer wenn ein Eintrag in das Protokoll geschrieben wird, erfolgt eine berprfung der Protokollgre. Ist
der Grenzwert berschritten, wird der nchste Eintrag in ein neues Protokoll geschrieben. Wenn die maximale
Anzahl an Protokolldateien erreicht ist, wird die lteste gelscht. Ein Denial-of-Service-Angriff, der diese
Grenzwerte umgeht, knnte versucht werden, indem ein riesiger Protokolleintrag geschrieben wird, doch jeder
Protokolleintrag ist auf 4 KB begrenzt, sodass keine Protokolldatei jemals mehr als 4KB grer als der konfigurierte Grenzwert ist.
Begrenzen von Anzahl und Gre von Protokolldateien

Sie knnen die Anzahl und die Gre der von ESXi generierten Protokolldateien begrenzen, um zu verhindern,
dass Benutzer und Prozesse von virtuellen Maschinen die Protokolldatei berfluten und damit einen Denialof-Service verursachen knnen.
ESXi erstellt eine neue Protokolldatei nur, wenn Sie den Host erneut hochfahren. Die Protokolldateien auf dem
Host werden daher aufgrund ihrer Gre kaum mehr verarbeitbar, wenn Sie den Host hufig erneut starten.
Um sicherzustellen, dass ESXi regelmig neue Protokolldateien anlegt, knnen Sie die Maximalgre der
Protokolldateien beschrnken. Um die Gesamtgre der Protokollierungsdaten zu beschrnken, speichern Sie
zehn Protokolldateien und begrenzen Sie jede Datei auf 1000 KB.
Vorgehensweise
1
Whlen Sie [Optionen] > [Allgemeine Optionen] aus und notieren Sie den Pfad, der im Textfeld
[Konfigurationsdatei der virtuellen Maschine] angezeigt wird.
Melden Sie sich bei der ESXi Shell als Benutzer mit Administratorrechten an.
Wechseln Sie in das Verzeichnis, um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen,
deren Pfad Sie sich bei dem Schritt Schritt 3 notiert haben.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem sich die
Dateien der virtuellen Maschine befinden. Wenn beispielsweise die Konfigurationsdatei der virtuellen
Maschine, die Sie im Dialogfeld Eigenschaften der virtuellen Maschine abgerufen haben, [vol1]vmfinance/vm-finance.vmx ist, wechseln Sie zu folgendem Verzeichnis:
/vmfs/volumes/vol1/vm-finance/
144
VMware, Inc.
Verwenden Sie einen Texteditor, um die Protokollgre zu begrenzen, indem Sie die .vmx-Datei um die
folgende Zeile ergnzen, wobei Maximalgre die Maximalgre der Datei in Byte ist:
log.rotateSize=maximum_size
Um beispielsweise die Datei auf 100 KB zu begrenzen, geben Sie 100000 ein.
7
Verwenden Sie einen Texteditor, um die Anzahl der Protokolldateien zu begrenzen, indem Sie die .vmxDatei um die folgende Zeile ergnzen, wobei Gewnschte_Anzahl_an_Dateien die Anzahl der Dateien ist,
die auf dem Server gespeichert bleiben:
log.keepOld=number_of_files_to_keep
Um beispielsweise zehn Protokolldateien zu speichern und anschlieend mit dem Lschen der ltesten
und Erstellen neuer Dateien zu beginnen, geben Sie 10 ein.
8
Protokolle von virtuellen Maschinen sind fr die Fehlersuche und den Support nicht verfgbar.
Begrenzen von Anzahl und Gre von Protokolldateien im vSphere Web Client
Sie knnen die Anzahl und die Gre der von ESXi generierten Protokolldateien begrenzen, um zu verhindern,
dass Benutzer und Prozesse von virtuellen Maschinen die Protokolldatei berfluten und damit einen Denialof-Service verursachen knnen.
Voraussetzungen
Vorgehensweise
1
a
bearbeiten] .
VMware, Inc.
Name
Wert
log.rotateSize
Maximale Gre der Protokolldatei in Byte. Um beispielsweise die Datei auf

100 KB zu begrenzen, geben Sie 100000 ein.
log.keepOld
Anzahl der Dateien, die aufbewahrt werden sollen: Um beispielsweise zehn

Protokolldateien zu speichern und anschlieend mit dem Lschen der ltesten und Erstellen neuer Dateien zu beginnen, geben Sie 10 ein.
145
vSphere-Sicherheit
Deaktivieren der Protokollierung fr das Gastbetriebssystem

Wenn Sie Informationen zur Fehlerbehebung nicht in eine Protokolldatei der virtuellen Maschine aufzeichnen
mchten, die auf dem VMFS-Volume gespeichert wird, knnen Sie die Protokollierung vollstndig deaktivieren.
Wenn Sie die Protokollierung fr das Gastbetriebssystem deaktivieren, sind Sie ggf. nicht in der Lage, entsprechende Protokolle fr die Fehlerbehebung zu sammeln. Auerdem leistet VMware keine technische Untersttzung fr virtuelle Maschinen, bei denen die Protokollierung deaktiviert wurde.
Vorgehensweise
1
Melden Sie sich ber den vSphere-Client am vCenter Server-System an und klicken Sie im Bestandslistenfenster auf die virtuelle Maschine.
Klicken Sie auf die Registerkarte [Optionen] und whlen Sie in der Optionsliste unter Erweitert die
Option [Allgemein] aus.
Deaktivieren Sie unter Einstellungen die Option [Protokollierung aktivieren] .
Klicken Sie auf [OK] , um das Eigenschaftendialogfeld der virtuellen Maschine zu schlieen.
Deaktivieren der Protokollierung fr das Gastbetriebssystem im

vSphere Web Client
Wenn Sie Informationen zur Fehlerbehebung nicht in eine Protokolldatei der virtuellen Maschine aufzeichnen
mchten, die auf dem VMFS-Volume gespeichert wird, knnen Sie die Protokollierung vollstndig deaktivieren.
Wenn Sie die Protokollierung fr das Gastbetriebssystem deaktivieren, sind Sie ggf. nicht in der Lage, entsprechende Protokolle fr die Fehlerbehebung zu sammeln. Auerdem leistet VMware keine technische Untersttzung fr virtuelle Maschinen, bei denen die Protokollierung deaktiviert wurde.
Vorgehensweise
1
146
a
bearbeiten] .
Whlen Sie [VM-Optionen] > [Erweitert] aus.
Deaktivieren Sie unter Einstellungen die Option [Protokollierung aktivieren] .
VMware, Inc.
Begrenzen der Offenlegung vertraulicher Daten, die in die

Zwischenablage kopiert wurden
Kopier- und Einfgevorgnge sind fr Hosts standardmig deaktiviert, um die Offenlegung vertraulicher
Daten durch das Kopieren in die Zwischenablage zu verhindern.
Wenn Kopier- und Einfgevorgnge auf einer virtuellen Maschine aktiviert sind, auf der VMware Tools ausgefhrt wird, knnen Sie Kopier- und Einfgevorgnge zwischen dem Gastbetriebssystem und der Remotekonsole ausfhren. Sobald das Konsolenfenster den Eingabefokus hat, knnen unbefugte Benutzer und Prozesse in der virtuellen Maschine auf die Zwischenablage der Konsole der virtuellen Maschine zugreifen. Wenn
ein Benutzer vor der Verwendung der Konsole vertrauliche Informationen in die Zwischenablage kopiert,
macht der Benutzer der virtuellen Maschine, ggf. unwissentlich, vertrauliche Daten zugnglich. Um dies zu
verhindern, sind Kopier- und Einfgevorgnge fr das Gastbetriebssystem standardmig deaktiviert.
Bei Bedarf ist es mglich, Kopier- und Einfgevorgnge fr virtuelle Maschinen zu aktivieren.
Sicherstellen, dass Kopier- und Einfgevorgnge zwischen Gastbetriebssystem

und Remotekonsole deaktiviert sind
Kopier- und Einfgevorgnge zwischen dem Gastbetriebssystem und der Remotekonsole sind standardmig
deaktiviert. Behalten Sie aus Grnden der Umgebungssicherheit die Standardeinstellung bei. Falls Sie Kopierund Einfgevorgnge bentigen, mssen Sie diese mit dem vSphere Web Client aktivieren.
Voraussetzungen
Vorgehensweise
1
Melden Sie sich ber den vSphere-Client bei einem vCenter Server-System an und whlen Sie die virtuelle
Maschine aus.
Stellen Sie sicher, dass in den Spalten Name und Wert die folgenden Werte enthalten sind, oder
klicken Sie auf [Zeile hinzufgen] , um Werte hinzuzufgen.
Name
Wert
isolation.tools.copy.disable
Wahr
isolation.tools.paste.disable
Wahr
Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf.
5
(Optional) Starten Sie die virtuelle Maschine neu, wenn Sie nderungen an den Konfigurationsparametern vornehmen.
VMware, Inc.
147
vSphere-Sicherheit
Sicherstellen, dass Kopier- und Einfgevorgnge zwischen Gastbetriebssystem

und Remotekonsole im vSphere Web Client deaktiviert sind
Kopier- und Einfgevorgnge zwischen dem Gastbetriebssystem und der Remotekonsole sind standardmig
deaktiviert. Behalten Sie aus Grnden der Umgebungssicherheit die Standardeinstellung bei. Falls Sie Kopierund Einfgevorgnge bentigen, mssen Sie diese mit dem vSphere Web Client aktivieren.
Voraussetzungen
Vorgehensweise
1
a
bearbeiten] .
Name
Wert
isolation.tools.copy.disable
Wahr
isolation.tools.paste.disable
Wahr
6
Deaktivieren nicht freigelegter Funktionen

Virtuelle VMware-Maschinen sind dafr ausgelegt, sowohl auf vSphere-Systemen als auch auf gehosteten
Virtualisierungsplattformen wie Workstation und Fusion zu funktionieren. Bestimmte VMX-Parameter mssen nicht aktiviert werden, wenn eine virtuelle Maschine auf einem vSphere-System ausgefhrt wird. Deaktivieren Sie diese Parameter, um potenzielle Schwachstellen zu vermeiden.
Voraussetzungen
Vorgehensweise
1
148
a
bearbeiten] .
VMware, Inc.
Name
Wert
isolation.tools.unity.push.update.disable
Wahr
isolation.tools.ghi.launchmenu.change
Wahr
isolation.tools.memSchedFakeSampleStats.disable
Wahr
isolation.tools.getCreds.disable
Wahr
isolation.tools.ghi.autologon.disable
Wahr
isolation.bios.bbs.disable
Wahr
isolation.tools.hgfsServerSet.disable
Wahr
Indem isolation.tools.hgfsServerSet.disable auf true gesetzt wird, wird die Registrierung des HGFSServers beim Host deaktiviert. APIs, die HGFS verwenden, um Dateien zum und vom Gastbetriebssystem zu
bertragen (z. B. manche VIX-Befehle oder das Dienstprogramm fr automatische Upgrades von VMware
Tools), funktionieren dann nicht mehr.
Beschrnken von Schreibvorgngen des Gastbetriebssystems in den

Hostspeicher
Die Prozesse des Gastbetriebssystems senden ber VMware Tools informative Meldungen an den Host. Wenn
die Datenmenge, die als Folge dieser Meldungen auf dem Host gespeichert wird, unbegrenzt wre, wrde
eine unbeschrnkte Datenbertragung einem Angreifer eine Gelegenheit zum Starten eines Denial-of-ServiceAngriffs (DoS) bieten.
Diese von Prozessen des Gastbetriebssystems gesendeten Informationen, die setinfo-Meldungen genannt
werden, enthalten normalerweise Name/Wert-Paare zu Merkmalen virtueller Maschinen oder Bezeichner, die
der Host speichert, zum Beispiel ipaddress=10.17.87.224. Die Konfigurationsdatei mit diesen Name/WertPaaren ist auf eine maximale Gre von 1 MB beschrnkt, womit verhindert wird, dass Angreifer einen DoSAngriff starten knnen. Dazu msste Code geschrieben werden, der VMware Tools imitiert und den Speicher
des Hosts mit willkrlichen Konfigurationsdaten auffllt, wodurch Speicherplatz belegt wird, der von den
virtuellen Maschinen bentigt wird.
Wenn Sie mehr als 1 MB fr die Speicherung der Name/Wert-Paare bentigen, knnen Sie den Wert bei Bedarf
ndern. Sie knnen auch vermeiden, dass Prozesse des Gastbetriebssystems Name/Wert-Paare in die Konfigurationsdatei schreiben.
ndern des variablen Speicherlimits des Gastbetriebssystems

Sie knnen das variable Speicherlimit des Gastbetriebssystems erhhen, wenn groe Mengen von benutzerdefinierten Informationen in der Konfigurationsdatei gespeichert werden.
Vorgehensweise
1
Whlen Sie die virtuelle Maschine im Bestandslistenfenster aus.
VMware, Inc.
149
vSphere-Sicherheit
Wenn das Attribut zur Grenbegrenzung nicht vorhanden ist, mssen Sie es hinzufgen.
a
Klicken Sie auf [Zeile hinzufgen] .
Geben Sie tools.setInfo.sizeLimit in der Spalte Name ein.
Geben Sie Anzahl der Bytes in der Spalte Wert ein.
Wenn das Grenlimitattribut vorhanden ist, passen Sie es wie gewnscht an.
6
ndern des variablen Arbeitsspeichergrenzwerts des Gastbetriebssystems im

vSphere Web Client
Sie knnen das variable Speicherlimit des Gastbetriebssystems erhhen, wenn groe Mengen von benutzerdefinierten Informationen in der Konfigurationsdatei gespeichert werden.
Vorgehensweise
1
a
bearbeiten] .
Whlen Sie [VM-Optionen] > [Erweitert] aus und klicken Sie auf [Konfiguration bearbeiten] .
Fgen Sie den Parameter tools.setInfo.sizeLimit hinzu oder bearbeiten Sie ihn und legen Sie den Wert
mit einer Anzahl von Byte fest.
Verhindern, dass Gastbetriebssystemprozesse Konfigurationsnachrichten an

den Host senden
Sie knnen Gste daran hindern, Name/Wert-Paare in die Konfigurationsdatei zu schreiben. Dies bietet sich
an, wenn Gastbetriebssysteme am ndern von Konfigurationseinstellungen gehindert werden mssen.
Vorgehensweise
1
Whlen Sie die virtuelle Maschine im Bestandslistenfenster aus.
Klicken Sie auf [Zeile hinzufgen] und geben Sie die folgenden Wert in den Spalten Name und Werte
ein:
n
150
In der Spalte Name: isolation.tools.setinfo.disable
VMware, Inc.
In der Spalte Wert: Wahr
Verhindern, dass Gastbetriebssystemprozesse Konfigurationsnachrichten an

den Host im vSphere Web Client senden
Sie knnen Gste daran hindern, Name/Wert-Paare in die Konfigurationsdatei zu schreiben. Dies bietet sich
an, wenn Gastbetriebssysteme am ndern von Konfigurationseinstellungen gehindert werden mssen.
Voraussetzungen
Vorgehensweise
1
a
bearbeiten] .
Fgen Sie den Parameter isolation.tools.setinfo.disable hinzu, oder bearbeiten Sie ihn und legen Sie
den Wert mit TRUE fest.
Entfernung berflssiger Hardwaregerte

Ein aktiviertes oder verbundenes Gert stellt einen potenziellen Kanal fr einen Angriff dar. Benutzer und
Prozesse ohne Berechtigungen fr die virtuelle Maschine knnen Hardwaregerte wie Netzwerkadapter oder
CD-ROM-Laufwerke einbinden oder trennen. Angreifer knnen diese Fhigkeit nutzen, um die Sicherheit
einer virtuellen Maschine zu gefhrden. Das Entfernen berflssiger Hardwaregerte kann Angriffe verhindern.
Halten Sie sich an die folgenden Richtlinien, um die Sicherheit der virtuellen Maschine zu erhhen.
n
Vergewissern Sie sich, dass nicht autorisierte Gerte nicht verbunden sind, und entfernen Sie nicht bentigte oder nicht benutzte Hardwaregerte.
Deaktivieren Sie nicht bentigte virtuelle Gerte in einer virtuellen Maschine. Ein Angreifer mit Zugang
zu einer virtuellen Maschine kann ein nicht verbundenes CD-ROM-Laufwerk einbinden und auf vertrauliche Informationen auf dem Medium zugreifen, das sich im Laufwerk befindet, oder einen Netzwerkadapter trennen, um die virtuelle Maschine vom Netzwerk zu isolieren, was zu einem Denial-OfService fhrt.
Vergewissern Sie sich, dass kein Gert an einer virtuellen Maschine angeschlossen ist, das nicht bentigt
wird. Serielle und parallele Ports werden selten fr virtuelle Maschinen in einer Datencenterumgebung
benutzt und CD/DVD-Laufwerke werden in der Regel nur kurzfristig whrend der Softwareinstallation
angeschlossen.
VMware, Inc.
151
vSphere-Sicherheit
Fr seltener benutzte Gerte, die nicht bentigt werden, sollte entweder der Parameter nicht vorhanden
sein, oder sein Wert ist auf False zu setzen. Vergewissern Sie sich, dass die folgenden Parameter entweder nicht vorhanden oder auf False eingestellt sind, auer wenn das Gert bentigt wird.
Parameter
Wert
Gert
floppyX.present
Falsch
Diskettenlaufwerke
serialX.present
Falsch
Serielle Schnittstellen
parallelX.present
Falsch
Parallele Schnittstellen
usb.present
Falsch
USB-Controller
ideX:Y.present
Falsch
CD-ROM
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen

Maschine die Verbindung zu Gerten trennt
Benutzer und Prozesse ohne Root- oder Administratorberechtigungen in virtuellen Maschinen haben die
Mglichkeit, Gerte zu verbinden oder zu trennen, beispielsweise Netzwerkadapter und CD-ROM-Laufwerke.
Sie knnen auch Gerteinstellungen verndern. Entfernen Sie diese Gerte, um die Sicherheit der virtuellen
Maschinen zu verstrken. Wenn Sie ein Gert nicht dauerhaft entfernen mchten, knnen Sie verhindern, dass
ein Benutzer oder Prozess einer virtuellen Maschine das Gert aus dem Gastbetriebssystem heraus einbindet
oder trennt.
Voraussetzungen
Vorgehensweise
1
Melden Sie sich ber den vSphere-Client bei einem vCenter Server-System an und whlen Sie die virtuelle
Maschine aus.
Name
Wert
isolation.device.connectable.disable
Wahr
isolation.device.edit.disable
Wahr
152
(Optional) Starten Sie die virtuelle Maschine neu, wenn Sie nderungen an den Konfigurationsparametern vornehmen.
VMware, Inc.
Verhindern, dass ein Benutzer bzw. ein Vorgang einer virtuellen

Maschine Gerte im vSphere Web Client trennt
Benutzer und Prozesse ohne Root- oder Administratorberechtigungen in virtuellen Maschinen haben die
Mglichkeit, Gerte zu verbinden oder zu trennen, beispielsweise Netzwerkadapter und CD-ROM-Laufwerke.
Sie knnen auch Gerteinstellungen verndern. Entfernen Sie diese Gerte, um die Sicherheit der virtuellen
Maschinen zu verstrken. Wenn Sie ein Gert nicht dauerhaft entfernen mchten, knnen Sie verhindern, dass
ein Benutzer oder Prozess einer virtuellen Maschine das Gert aus dem Gastbetriebssystem heraus einbindet
oder trennt.
Voraussetzungen
Vorgehensweise
1
a
bearbeiten] .
Whlen Sie [VM-Optionen] > [Erweitert] aus und klicken Sie auf [Konfiguration bearbeiten] .
berprfen Sie, dass die folgenden Werte in den Spalten Name und Wert vorhanden sind, oder
klicken Sie auf [Zeile hinzufgen] , um sie hinzuzufgen.
Name
Wert
isolation.device.connectable.disable
Wahr
isolation.device.edit.disable
Wahr
5
VMware, Inc.
153
vSphere-Sicherheit
154
VMware, Inc.
Sichern von vCenter Server-Systemen
10
Fr die vCenter Server-Sicherung muss gewhrleistet werden, dass der Host gesichert wird, auf dem vCenter
Server luft, indem Best Practices fr die Zuweisung von Berechtigungen und Rollen verwendet werden und
die Integritt der Clients berprft wird, die sich mit vCenter Server verbinden.
n
Absichern des vCenter Server-Hostbetriebssystems, auf Seite 155
Best Practices fr vCenter Server-Rechte, auf Seite 156
Begrenzen der vCenter Server-Netzwerkkonnektivitt, auf Seite 157
Beschrnken der Verwendung von Linux-basierten Clients, auf Seite 158
berprfen der Integritt des vSphere-Clients, auf Seite 158
Einrichten einer Zeitberschreitung bei Inaktivitt fr den vSphere-Client, auf Seite 159
Deaktivieren des Sendens von Host-Leistungsdaten an Gastbetriebssysteme, auf Seite 159
Absichern des vCenter Server-Hostbetriebssystems

Schtzen Sie den Host, auf dem vCenter Server luft, gegen Bedrohungen und Angriffe, indem Sie sicherstellen, dass das Betriebssystem des Hosts (Windows oder Linux) so sicher wie mglich ist.
n
Achten Sie darauf, dass das Betriebssystem, die Datenbank und die Hardware fr das vCenter ServerSystem auf dem aktuellen Stand sind. Wenn vCenter Server nicht mit einem Betriebssystem auf dem
letzten Stand luft, kann es zu Strungen kommen und vCenter Server wird dadurch gegebenenfalls
Angriffen ausgesetzt.
Achten Sie darauf, dass das vCenter Server-System mit den aktuellsten Patches versehen ist. Wenn Sie
immer die letzten Betriebssystem-Patches einlesen, besteht fr den Server ein geringeres Angriffsrisiko.
Sorgen Sie fr den Schutz des Betriebssystems auf dem vCenter Server-Host. Der Schutz umfasst Antivirus- und Antimalware-Software.
Hinweise zur Kompatibilitt von Betriebssystem und Datenbank finden Sie unter vSphere-Kompatibilittstabellen.
VMware, Inc.
155
vSphere-Sicherheit
Best Practices fr vCenter Server-Rechte

Achten Sie auf eine strikte Kontrolle der vCenter Server-Administratorrechte, um die Sicherheit fr das System
zu erhhen.
n
Die vollstndigen Administratorrechte fr vCenter Server sollten vom lokalen Windows-Administratorkonto entfernt und einem speziellen lokalen vCenter Server-Administratorkonto gewhrt werden. Gewhren Sie nur den Administratoren vollstndige vSphere-Administratorrechte, die diese Rechte bentigen. Gewhren Sie diese Rechte keiner Gruppe, deren Mitgliedschaft nicht streng kontrolliert wird.
Sorgen Sie dafr, dass sich keine Benutzer direkt am vCenter Server-System anmelden knnen. Erlauben
Sie nur Benutzern mit legitimen Aufgaben, sich am System anzumelden, und vergewissern Sie sich, dass
diese Ereignisse berprft werden.
Installieren Sie vCenter Server mit einem Dienstkonto und nicht mit einem Windows-Konto. Sie knnen
vCenter Server ber ein Dienstkonto oder ein Windows-Konto ausfhren. Bei Verwendung eines Dienstkontos knnen Sie die Windows-Authentifizierung fr SQL Server aktivieren, die mehr Sicherheit bietet.
Das Dienstkonto muss ein Konto mit Administratorrechten fr die lokale Maschine sein.
berprfen Sie die erneute Zuweisung von Rechten, wenn Sie vCenter Server neu starten. Wenn der
Benutzer oder die Benutzergruppe, der die Administratorrolle im Root-Ordner des Servers zugewiesen
ist, nicht als ein gltiger Benutzer oder eine gltige Gruppe verifiziert werden kann, werden die Administratorrechte entfernt und der lokalen Windows-Administratorengruppe zugewiesen.
Gewhren Sie dem vCenter Server-Datenbankbenutzer nur minimale Rechte. Der Datenbankbenutzer
bentigt nur bestimmte Rechte fr den Datenbankzugriff. Auerdem sind einige Rechte nur fr die Installation und das Upgrade erforderlich. Diese knnen entfernt werden, nachdem das Produkt installiert
oder aktualisiert wurde.
Beschrnken der Verwendung von Administratorrechten

Standardmig erteilt vCenter Server vollstndige Administratorberechtigungen an den Administrator des
lokalen Systems, auf das Domnenadministratoren zugreifen knnen. Um das Risiko zu vermindern, dass
diese Berechtigung missbraucht wird, entfernen Sie die Administratorberechtigungen aus dem Administratorkonto des lokalen Systems und weisen Sie diese Rechte einem speziellen lokalen vSphere-Administratorkonto zu. Verwenden Sie das lokale vSphere-Konto, um einzelne Benutzerkonten zu erstellen.
Erteilen Sie die Administratorberechtigung nur Administratoren, die diese bentigen. Erteilen Sie die Berechtigung keiner Gruppe, deren Mitgliedschaft nicht streng kontrolliert wird.
Vorgehensweise
1
Erstellen Sie ein Benutzerkonto, das Sie verwenden, um vCenter Server zu verwalten (beispielsweise viadmin).
Vergewissern Sie sich, dass der Benutzer nicht zu einer lokalen Gruppe wie z. B. der Administratorengruppe gehrt.
156
Melden Sie sich beim vCenter Server-System als lokaler Betriebssystemadministrator an, und erteilen Sie
dem Benutzerkonto, das Sie erstellt haben (beispielsweise vi-admin), die Rolle des vCenter Server-Administrators.
Melden Sie sich vom vCenter Server ab, und melden Sie sich mit dem erstellten Benutzerkonto (vi-admin)
an.
berprfen Sie, dass der Benutzer alle Aufgaben durchfhren kann, die einem vCenter Server-Administrator zur Verfgung stehen.
Entfernen Sie die Administratorberechtigungen, die dem lokalen Betriebssystemadministrator oder der
lokalen Administratorengruppe zugewiesen sind.
VMware, Inc.
Kapitel 10 Sichern von vCenter Server-Systemen
Beschrnken der Verwendung der Administratorrolle

Sichern Sie die vCenter Server Administratorrolle und weisen Sie sie nur bestimmten Benutzern zu.
Schtzen Sie den vCenter Server-Administratorbenutzer vor der regelmigen Nutzung, indem Sie sich auf
Benutzerkonten sttzen, die mit bestimmten Personen verbunden sind.
Voraussetzungen
n
Erstellen Sie ein Benutzerkonto, um vCenter Server zu verwalten, und weisen Sie dem Benutzer vollstndige vCenter Server-Administratorberechtigungen zu. Weitere Informationen hierzu finden Sie unter
Zuweisen von Berechtigungen fr vCenter Server, auf Seite 113.
Entziehen Sie dem lokalen Betriebssystemadministrator die vCenter Server-Administratorberechtigungen.
Vorgehensweise
1
Melden Sie sich im vCenter Server-System als der vCenter Server-Administrator an, den Sie erstellt haben
(beispielsweise vi-admin).
Erteilen Sie vollstndige Administratorberechtigungen an eine mglichst geringe Anzahl von Personen.
Melden Sie sich als vCenter Server-Administrator ab.
Weiter
Schtzen Sie das vCenter Server-Administratorkontokennwort. Beispiel: Erstellen Sie ein Kennwort mit zwei
Hlften, wobei eine Person jeweils nur eine Person kennt, oder sperren Sie eine Niederschrift des Kennworts
in einen Safe.
Begrenzen der vCenter Server-Netzwerkkonnektivitt

Bringen Sie vCenter Server mglichst auf dem Verwaltungsnetzwerk unter. Durch die Begrenzung der Netzwerkkonnektivitt begrenzen Sie bestimmte Angriffsarten.
vCenter Server bentigt den Zugang nur zum Verwaltungsnetzwerk. Bringen Sie das vCenter Server-System
mglichst nicht auf Netzwerken wie Ihrem Produktionsnetzwerk oder Speichernetzwerk bzw. einem Netzwerk mit Zugang zum ffentlichen Internet unter. vCenter Server bentigt keinen Zugriff auf das Netzwerk,
in dem vMotion luft.
vCenter Server bentigt Netzwerkkonnektivitt zu den folgenden Systemen:
n
Allen ESXi-Hosts
Der vCenter Server-Datenbank
Anderen vCenter Server-Systemen (nur verknpfter Modus)
Systemen, die Verwaltungsclients ausfhren drfen. Beispiel: der vSphere-Client, ein Windows-System,
in dem Sie PowerCLI verwenden, oder ein anderer SDK-basierter Client.
Systemen, auf denen Add-On-Komponenten wie VMware vSphere Update Manager laufen
Infrastrukturdiensten wie DNS, Active Directory und NTP
Anderen Systemen, auf denen Komponenten laufen, die fr die Funktionen des vCenter Server-Systems
wesentlich sind
Verwenden Sie eine lokale Firewall auf dem Windows-System, auf dem vCenter Server luft, oder eine Netzwerk-Firewall. Beziehen Sie IP-basierte Zugriffsbeschrnkungen ein, damit nur notwendige Komponenten mit
dem vCenter Server-System kommunizieren knnen.
VMware, Inc.
157
vSphere-Sicherheit
Sperren Sie den Zugriff auf Ports, die von vCenter Server nicht verwendet werden, ber die lokale Firewall
auf dem Windows-System, auf dem vCenter Server installiert ist, oder ber eine Netzwerk-Firewall.
Beschrnken der Verwendung von Linux-basierten Clients

Die Kommunikation zwischen Clientkomponenten und vCenter Server oder ESXi wird durch SSL-basierte
Verschlsselung geschtzt. Linux-Versionen dieser Komponenten fhren keine Zertifikatvalidierung durch.
Daher sollten Sie den Einsatz dieser Clients beschrnken.
Auch wenn die Verwaltungsschnittstellen von vCenter Server und ESXi nur ber vertrauenswrdige Netzwerke verfgbar sind, fgen die Verschlsselung und die Zertifikatvalidierung zustzliche Verteidigungsebenen gegen Angriffe hinzu. Die folgenden Komponenten sind anfllig, wenn sie auf einem Linux-Betriebssystem laufen.
n
vCLI-Befehle
vSphere SDK fr Perl-Skripts
Mit dem vSphere SDK geschriebene Programme
Sie knnen die Einschrnkungen bei Linux-basierten Clients lockern, wenn Sie geeignete Kontrollen erzwingen.
n
Beschrnken Sie den Zugriff zum Verwaltungsnetzwerk auf autorisierte Systeme.
Verwenden Sie Firewalls, um sicherzustellen, dass nur autorisierte Hosts die Berechtigung haben, auf
vCenter Server zuzugreifen.
Verwenden Sie Jump-Box-Systeme, um sicherzustellen, dass Linux-Clients sich hinter dem Jump befinden.
berprfen der Integritt des vSphere-Clients

vSphere-Client-Erweiterungen werden auf der Berechtigungsstufe ausgefhrt, mit der der Benutzer angemeldet ist. Eine bsartige Erweiterung kann als ntzliches Plug-In maskiert sein und schdliche Vorgnge
ausfhren, etwa Anmeldedaten stehlen oder die Systemkonfiguration ndern. Verwenden Sie zur Erhhung
der Sicherheit eine vSphere-Client-Installation, die ausschlielich autorisierte Erweiterungen vertrauenswrdiger Quellen enthlt.
Der vCenter-Server enthlt eim vSphere-Client-Extensibilittsframework, das die Erweiterung des vSphereClients um Menauswahlpunkte oder Symbole der Symbolleiste ermglicht, ber die auf vCenter-Add-OnKomponenten oder externe, webbasierte Funktionalitten zugegriffen werden kann. Diese Flexibilitt bringt
das Risiko mit sich, dass unbeabsichtigte Funktionen eingefhrt werden. So ist es mglich, dass ein Administrator in einer Instanz des vSphere-Clients ein Plug-In installiert. Das Plug-In kann dann auf der Berechtigungsstufe dieses Administrators beliebige Befehle ausfhren.
Installieren Sie zur Vermeidung potenzieller Schdigungen keine vSphere-Client-Plug-Ins, die nicht aus vertrauenswrdiger Quelle stammen. Um zu kontrollieren, welche Plug-Ins im vSphere-Client installiert sind,
whlen Sie [Plug-Ins] > [Plug-Ins verwalten] und klicken Sie auf die Registerkarte [Installierte Plug-Ins] .
158
VMware, Inc.
Kapitel 10 Sichern von vCenter Server-Systemen
Einrichten einer Zeitberschreitung bei Inaktivitt fr den vSphereClient

Sie knnen eine Zeitberschreitung fr die Leerlauf-vSphere-Client-Sitzungen festlegen. Dadurch knnen Sie
Sitzungen automatisch schlieen. Die Mglichkeiten eines Zugriffs auf vCenter Server durch unbefugte Benutzer werden dadurch eingeschrnkt.
Vorgehensweise
u
Prfen Sie auf jedem Windows-System, auf dem der vSphere-Client installiert ist, ob eine Zeitberschreitung eingestellt wurde.
n
Sie knnen die Leerlauf-Zeitberschreitung als Parameter in der vpxClient.exe.config-Datei (meist

C:\Programme\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe.config) festlegen.
Als Alternative knnen Sie Benutzer anweisen, die ausfhrbare vSphere-Client-Datei mit einem Parameter fr den Zeitberschreitungswert zu starten (Beispiel: vpxClient.exe -inactivityTimeout
5, wobei die Eingabe 5 einen Wert von fnf Minuten festlegt).
Weiter
Diese clientseitige Einstellung kann vom Benutzer gendert werden. Prfen Sie die Konfigurationsdatei in
regelmigen Abstnden, nachdem Sie den Standard-Zeitberschreitungswert eingestellt haben.
Deaktivieren des Sendens von Host-Leistungsdaten an

Gastbetriebssysteme
vSphere umfasst Leistungsindikatoren fr virtuelle Maschinen auf Windows-Betriebssystemen, bei denen
VMware Tools installiert ist. Leistungsindikatoren ermglichen den Besitzern virtueller Maschinen eine exakte
Leistungsanalyse innerhalb des Gastbetriebssystems. Standardmig legt vSphere gegenber der virtuellen
Gastmaschine keine Hostinformationen offen. Ein Widersacher knnte diese Informationen dazu benutzen,
weitere Angriffe auf den Host durchzufhren.
Die Fhigkeit, Host-Leistungsdaten an eine virtuelle Gastmaschine zu senden, ist standardmig deaktiviert.
Durch diese Standardeinstellung wird verhindert, dass eine virtuelle Maschine detaillierte Informationen ber
den physischen Host erhlt.
Vorgehensweise
1
Navigieren Sie auf dem ESXi-System, das die virtuelle Maschine hostet, zur VMX-Datei.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem die Dateien
der virtuellen Maschine gespeichert sind.
Stellen Sie sicher, dass in der VMX-Datei der folgende Parameter gesetzt ist.
tools.guestlib.enableHostInfo=FALSE
Speichern und schlieen Sie die Datei.
Aus der virtuellen Gastmaschine knnen keine Leistungsinformationen abgerufen werden, obwohl dies fr
die Fehlerbehebung ntzlich sein knnte.
VMware, Inc.
159
vSphere-Sicherheit
160
VMware, Inc.
Best Practices fr die Sicherheit von

virtuellen Maschinen und Hosts
11
Beachten Sie beim Erstellen und Konfigurieren von Hosts und virtuellen Maschinen grundlegende Sicherheitsempfehlungen.
n
Installieren von Antivirensoftware., auf Seite 161
Verwalten der ESXi-Protokolldateien, auf Seite 162
Sichern des Fault Tolerance-Protokollierungsdatenverkehrs, auf Seite 164
Auto Deploy-Sicherheitsberlegungen, auf Seite 164
berlegungen zur Sicherheit von Image Builder, auf Seite 165
Kennwortqualitt und -komplexitt bei Hosts, auf Seite 165
Synchronisieren der Systemuhren im vSphere-Netzwerk, auf Seite 167
Deaktivieren des Shell-Zugriffs fr anonyme Benutzer, auf Seite 169
Begrenzen des DCUI-Zugriffs im Sperrmodus, auf Seite 169
Deaktivieren des Browsers fr verwaltete Objekte (MOB), auf Seite 169
Deaktivieren autorisierter Schlssel (SSH), auf Seite 170
Herstellen und Aufrechterhalten der Integritt der Konfigurationsdatei, auf Seite 171
berwachen und Beschrnken des Zugriffs auf SSL-Zertifikate, auf Seite 171
Sicheres Lschen der VMDK-Dateien, auf Seite 172
Installieren von Antivirensoftware.

Da auf jeder virtuellen Maschine ein Standardbetriebssystem ausgefhrt wird, sollten Sie es durch die Installation von Antivirensoftware gegen Viren schtzen. Je nach Verwendungszweck der virtuellen Maschine sollte
ggf. auch eine Firewall installiert werden.
Planen Sie die Virenprfungen zeitlich versetzt, insbesondere in Implementierungen mit vielen virtuellen
Maschinen. Die Leistung der Systeme in Ihrer Umgebung wird entscheidend verringert, wenn alle virtuellen
Maschinen gleichzeitig geprft werden.
Softwarefirewalls und Antivirensoftware knnen die Virtualisierungsleistung beeinflussen. Sie knnen die
beiden Sicherheitsmanahmen gegen Leistungsvorteile abwgen, insbesondere wenn Sie sich sicher sind, dass
sich die virtuellen Maschinen in einer vollstndig vertrauenswrdigen Umgebung befinden.
VMware, Inc.
161
vSphere-Sicherheit
Verwalten der ESXi-Protokolldateien

Protokolldateien sind eine wichtige Komponente bei der Fehlersuche nach Angriffen und fr die Suche nach
Informationen ber Verletzungen der Hostsicherheit. Das Protokollieren auf einem zentralen Protokollserver
kann eine Verflschung von Protokollen verhindern. Die Remoteprotokollierung bietet auch eine Mglichkeit
zur Fhrung langfristiger Prfungsaufzeichnungen.
Treffen Sie folgende Manahmen, um die Sicherheit des Hosts zu erhhen.
n
Konfigurieren Sie die dauerhafte Protokollierung in einem Datenspeicher. Standardmig werden die
Protokolldateien auf ESXi-Hosts im speicherresidenten Dateisystem gespeichert. Sie gehen daher verloren, wenn Sie den Host neu starten, und Protokolldaten werden nur fr 24 Stunden gespeichert. Wenn
Sie die dauerhafte Protokollierung aktivieren, verfgen Sie ber eine dedizierte Aufzeichnung der fr den
Host verfgbaren Serveraktivitt.
Die Remoteprotokollierung auf einem zentralen Host ermglicht Ihnen die Sammlung von Protokolldateien auf einem zentralen Host, auf dem Sie alle Hosts mit einem einzigen Tool berwachen knnen. Sie
knnen auch eine kumulierte Analyse und Suche in den Protokolldaten durchfhren und damit Informationen ber bestimmte Ereignisse wie koordinierte Angriffe auf mehrere Hosts erfassen.
Konfigurieren Sie das sichere Remote-Syslog auf ESXi-Hosts mit einer Remote-Befehlszeile wie vCLI oder
PowerCLI oder mit einem API-Client.
Fragen Sie die Syslog-Konfiguration ab, um sicherzustellen, dass ein gltiger Syslog-Server konfiguriert
wurde, einschlielich des richtigen Ports.
Konfiguration von Syslog auf ESXi -Hosts

Auf allen ESXi-Hosts wird ein syslog-Dienst (vmsyslogd) ausgefhrt, der Meldungen vom VMkernel und anderen Systemkomponenten in Protokolldateien ablegt.
Sie knnen den vSphere-Client oder den vCLI-Befehl esxcli system syslog zum Konfigurieren des syslogDiensts verwenden.
Weitere Informationen zur Verwendung von vCLI-Befehlen finden Sie unter Erste Schritte mit vSphere-Befehlszeilenschnittstellen.
Vorgehensweise
162
Whlen Sie den Host im Bestandslistenbereich des vSphere-Clients aus.
Klicken Sie auf die Registerkarte [Konfiguration] .
Klicken Sie im Bereich Software auf [Erweiterte Einstellungen] .
Whlen Sie in der Strukturansicht [Syslog] .
Klicken Sie zum Einrichten der globalen Protokollierung auf [Global] und nehmen Sie die entsprechenden nderungen in den rechten Feldern vor.
Option
Beschreibung
Syslog.global.defaultRotate
Legt die maximale Anzahl der beizubehaltenden Archive fest. Sie knnen
diese Anzahl global und fr einzelne Unterprotokollierer festlegen.
Syslog.global.defaultSize
Legt die Standardgre des Protokolls in KB fest, bevor das System eine Rotation der Protokolle durchfhrt. Sie knnen diese Anzahl global und fr
einzelne Unterprotokollierer festlegen.
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
Option
Beschreibung
Syslog.global.LogDir
Verzeichnis, in dem Protokolle gespeichert werden. Das Verzeichnis kann

sich auf gemounteten NFS- oder VMFS-Volumes befinden. Nur das Verzeichnis /scratch auf dem lokalen Dateisystem bleibt nach einem Neustart
konsistent. Das Verzeichnis sollte das Format [Datenspeichername]
Pfad_zur_Datei aufweisen, wobei sich der Pfad auf das Stammverzeichnis des
Volumes bezieht, in dem sich das Backing fr den Datenspeicher befindet.
Beispielsweise ist der Pfad [storage1] /systemlogs dem Pfad /vmfs/volumes/storage1/systemlogs zuzuordnen.
Syslog.global.logDirUnique
Durch die Auswahl dieser Option wird ein Unterverzeichnis mit dem Namen des ESXi-Hosts im von [Syslog.global.LogDir] angegebenen Verzeichnis erstellt. Ein eindeutiges Verzeichnis ist ntzlich, wenn dasselbe
NFS-Verzeichnis von mehreren ESXi-Hosts verwendet wird.
Syslog.global.LogHost
Remotehost, mit dem Syslog-Meldungen weitergeleitet werden, und Port,

auf dem der Remotehost Syslog-Meldungen empfngt. Sie knnen das Protokoll und den Port einbeziehen, z. B. ssl://Hostname1:514. UDP (Standard), TCP und SSL werden untersttzt. Beim Remotehost muss syslog installiert und ordnungsgem konfiguriert sein, damit die weitergeleiteten
Syslog-Meldungen empfangen werden. Weitere Informationen zur Konfiguration finden Sie in der Dokumentation zum auf dem Remotehost installierten syslog-Dienst.
(Optional) So berschreiben Sie die Standardprotokollgre und die Rotationsangaben fr ein Protokoll.
a
Klicken Sie auf [loggers] .
Klicken Sie auf den Namen des Protokolls, das Sie anpassen mchten, und geben Sie die gewnschte
Anzahl der Rotationen und die gewnschte Protokollgre ein.
nderungen an der syslog-Option werden sofort wirksam.
Speicherorte der ESXi -Protokolldateien

ESXi zeichnet die Hostaktivitt in Protokolldateien mithilfe eines syslog-Hilfsprogramms auf.
Komponente
Speicherort
Zweck
VMkernel
/var/log/vmkernel.log
Zeichnet Aktivitten in Verbindung mit

virtuellen Maschinen und ESXi auf.
VMkernel-Warnungen
/var/log/vmkwarning.log
Zeichnet Aktivitten in Verbindung mit

virtuellen Maschinen auf.
VMkernel-bersicht
/var/log/vmksummary.log
Wird verwendet, um die Betriebszeit

und die Verfgbarkeitsstatistiken fr
ESXi (kommagetrennt) zu bestimmen.
ESXi-Hostagenten-Protokoll
/var/log/hostd.log
Enthlt Informationen zum Agenten,

mit dem der ESXi-Host und seine virtuellen Maschinen verwaltet und konfiguriert werden.
vCenter-Agent-Protokoll
/var/log/vpxa.log
Enthlt Informationen zum Agenten,

der mit vCenter Server kommuniziert
(wenn der Host von vCenter Server verwaltet wird).
Shell-Protokoll
/var/log/vpxa.log
Enthlt einen Datensatz mit allen Befehlen, die in die ESXi-Shell eingegeben
wurden, und die Shell-Ereignisse (z. B.
bei Aktivierung der Shell).
VMware, Inc.
163
vSphere-Sicherheit
Komponente
Speicherort
Zweck
Authentifizierung
/var/log/auth.log
Enthlt alle Ereignisse, die sich auf die

Authentifizierung fr das lokale System
beziehen.
Systemmeldungen
/var/log/syslog.log
Enthlt alle allgemeinen Protokollmeldungen und kann zur Fehlerbehebung

verwendet werden. Diese Informationen befanden sich vorher in der Protokolldatei messages.
Virtuelle Maschinen
Dies ist dasselbe Verzeichnis wie fr

die Konfigurationsdateien der jeweiligen virtuellen Maschine mit dem Namen vmware.log und vmware*.log. Beispiel: /vmfs/volumes/Datenspeicher/virtuelle
Maschine/vwmare.log
Enthlt Ereignisse der virtuellen Maschine, Informationen zum Systemausfall, den Status und die Aktivitten von
Tools, die Uhrzeitsynchronisierung,
nderungen an der virtuellen Hardware, vMotion-Migrationen, Maschinen-Klonvorgnge usw.
Sichern des Fault Tolerance-Protokollierungsdatenverkehrs

Wenn Sie Fault Tolerance (FT) aktivieren, erfasst VMware vLockstep Eingaben und Ereignisse einer primren
virtuellen Maschine und sendet sie an die sekundre virtuelle Maschine, die auf einem anderen Host ausgefhrt wird.
Dieser Protokollierungsdatenverkehr zwischen der primren und der sekundren virtuellen Maschine erfolgt
unverschlsselt und enthlt Gastnetzwerk- und Storage I/O-Daten sowie die Speicherinhalte des Gastbetriebssystems. Dieser Datenverkehr kann vertrauliche Daten enthalten, wie z. B. Kennwrter im Klartext. Um
zu verhindern, dass solche Daten preisgegeben werden, stellen Sie sicher, dass dieses Netzwerk gesichert ist,
insbesondere gegen sogenante Man-in-the-middle-Angriffe. Verwenden Sie z. B. ein privates Netzwerk fr
den Fault Tolerance-Protokollierungsdatenverkehr.
Auto Deploy-Sicherheitsberlegungen
Um Ihrer Umgebung einen optimalen Schutz zu bieten, sollen Sie sich ber die Sicherheitsrisiken im Klaren
sein, die es gibt, wenn Sie Auto Deploy mit Hostprofilen verwenden.
In den meisten Fllen richten Administratoren Auto Deploy fr die Bereitstellung von Zielhosts nicht nur mit
einem Image, sondern auch mit einem Hostprofil ein. Das Hostprofil enthlt Konfigurationsinformationen,
wie z. B. Authentifizierungs- oder Netzwerkeinstellungen. Hostprofile knnen so eingerichtet werden, dass
der Benutzer beim ersten Start zur Eingabe aufgefordert wird. Die vom Benutzer eingegebenen Informationen
werden in einer Antwortdatei gespeichert. Die Hostprofil- und Antwortdateien (falls zutreffend) sind im StartImage enthalten, das Auto Deploy auf eine Maschine herunterldt.
n
Das Administratorkennwort und die im Hostprofil und der Antwortdatei enthaltenen Benutzerkennwrter sind MD5-verschlsselt. Alle weiteren Kennwrter im Zusammenhang mit Hostprofilen sind im
Klartext gespeichert.
Verwenden Sie den vSphere-Authentifizierungsdienst zum Einrichten von Active Directory, um zu verhindern, dass die Active Directory-Kennwrter freigelegt werden. Wenn Sie Active Directory mithilfe von
Hostprofilen einrichten, werden die Kennwrter nicht geschtzt.
Weitere Informationen ber Auto Deploy finden Sie in der Dokumentation Installations- und Einrichtungshandbuch fr vSphere. Weitere Informationen zu Hostprofilen und Antwortdateien finden Sie in der Dokumentation vSphere-Hostprofile.
164
VMware, Inc.
berlegungen zur Sicherheit von Image Builder

Um die Integritt des ESXi-Hosts zu schtzen, lassen Sie es nicht zu, dass VIBs ohne Signatur (von der Community untersttzt) installiert werden. Ein VIB enthlt nicht getesteten Programmcode, der von VMware oder
seinen Partnern nicht zertifiziert ist, akzeptiert oder untersttzt wird. Von der Community untersttzte VIBs
haben keine digitale Signatur.
Mit dem ESXi-Image-Profil knnen Sie eine Akzeptanzebene fr den Typ von VIBs festlegen, der auf dem Host
zulssig ist. Die Akzeptanzebene umfasst Folgendes.
n
VMware Certified. VIBs, die VMware Certified sind, wurden von VMware erstellt, getestet und signiert.
VMware Accepted. VIBs, die von einem VMware-Partner erstellt, aber von VMware getestet und signiert
wurden.
Partner Supported. VIBs, die von einem zertifizierten VMware-Partner erstellt, getestet und signiert wurden.
Community Supported. VIBs, die von VMware oder einem VMware-Partner nicht getestet wurden.
Weitere Informationen zu Image Builder finden Sie in der Dokumentation Installations- und Einrichtungshandbuch fr vSphere.
Kennwortqualitt und -komplexitt bei Hosts

Standardmig verwendet ESXi das Plug-In pam_passwdqc.so zur Festlegung der Regeln, die Benutzer bei der
Erstellung von Kennwrtern beachten mssen, und zur berprfung der Kennwortqualitt.
Das Plug-In pam_passwdqc.so ermglicht es Ihnen, Standards festzulegen, die alle Kennwrter erfllen mssen.
In der Standardeinstellung wendet ESXi keine Beschrnkungen auf das Root-Kennwort an. Wenn jedoch andere Benutzer als der Root-Benutzer versuchen, ihr Kennwort zu ndern, mssen die Kennwrter, die sie
auswhlen, die Standards von pam_passwdqc.so erfllen.
Ein gltiges Kennwort sollte eine Kombination aus mglichst vielen verschiedenen Zeichenklassen sein. Zu
den Zeichenklassen gehren Kleinbuchstaben, Grobuchstaben, Zahlen und Sonderzeichen, wie z. B. Unteroder Schrgstriche.
HINWEIS Beim Zhlen der Zeichenklassen-Anzahl werden Grobuchstaben, die als erstes Zeichen des Kennworts verwendet werden, und Zahlen, die als letztes Zeichen eines Kennworts verwendet werden, vom PlugIn nicht gezhlt.
Zum Konfigurieren der Kennwortkomplexitt knnen Sie den Standardwert der folgenden Parameter ndern.
n
retry gibt an, wie oft ein Benutzer zur Eingabe eines neuen Kennworts aufgefordert wird, wenn das Kennwort nicht sicher genug ist.
N0 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das nur aus Zeichen einer Zeichenklasse gebildet wird. Beispielsweise enthlt das Kennwort nur Kleinbuchstaben.
N1 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von zwei Zeichenklassen gebildet wird.
N2 wird fr Kennwortstze verwendet wird. Fr ESXi sind mindestens drei Wrter notwendig, um einen
Kennwortsatz zu bilden. Jedes Wort des Kennwortsatzes muss 8 bis 40 Zeichen lang sein.
N3 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von drei Zeichenklassen gebildet wird.
N4 ist.die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von allen vier Zeichenklassen gebildet wird.
VMware, Inc.
165
vSphere-Sicherheit
bereinstimmung ist die Anzahl an Zeichen, die in einer Zeichenfolge wiederverwendet wird, die aus dem
alten Kennwort stammt. Wenn pam_passwdqc.so eine wiederverwendete Zeichenfolge mit mindestens
dieser Lnge findet, schliet es diese Zeichenfolge aus dem Qualittstest aus und verwendet zur Prfung
nur die brigen Zeichen.
Wenn eine dieser Optionen auf -1 gesetzt wird, ignoriert pam_passwdqc.so diese Anforderung.
Wenn eine dieser Optionen auf disabled gesetzt wird, lehnt pam_passwdqc.so das Kennwort mit einem entsprechenden Merkmal ab. Die Werte mssen in absteigender Reihenfolge verwendet werden. Ausgenommen
hiervon sind -1 und disabled.
HINWEIS Das Linux-Plug-In pam_passwdqc.so bietet nicht nur die in ESXi untersttzten Parameter.
Weitere Informationen zum Plug-In pam_passwdqc.so finden Sie in der Linux-Dokumentation.
ndern der Standardkomplexitt von Kennwrtern fr das Plug-In

pam_passwdqc.so
Konfigurieren Sie das Plug-In pam_passwdqc.so, um die Standards festzulegen, die alle Kennwrter erfllen
mssen.
Vorgehensweise
1
ffnen Sie die passwd-Datei mit einem Texteditor.

Beispiel: vi /etc/pam.d/passwd
Bearbeiten Sie die folgende Zeile.

password requisite /lib/security/$ISA/pam_passwdqc.so retry=N min=N0,N1,N2,N3,N4
Speichern Sie die Datei.
Beispiel: Bearbeiten von /etc/pam.d/passwd

password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=12,9,8,7,6
Diese Einstellung hat Kennwortanforderungen:
166
retry=3: Ein Benutzer darf drei Mal versuchen, ein Kennwort einzugeben.
N0=12: Kennwrter mit Zeichen aus einer Zeichenklasse mssen mindestens 12 Zeichen lang sein.
N1=9: Kennwrter mit Zeichen aus zwei Zeichenklassen mssen mindestens neun Zeichen lang sein.
N2=8: Kennwortstze mssen Wrter enthalten, die jeweils mindestens acht Zeichen lang sind.
N3=7: Kennwrter mit Zeichen aus drei Zeichenklassen mssen mindestens sieben Zeichen lang sein.
N4=6: Kennwrter mit Zeichen aus allen vier Zeichenklassen mssen mindestens sechs Zeichen lang sein.
VMware, Inc.
Sicherstellen, dass das Kennwort von vpxuser der Richtlinie entspricht

Wenn Sie der vCenter Server-Bestandsliste einen Host hinzufgen, erstellt vCenter Server auf dem Host ein
spezielles Benutzerkonto mit dem Namen vpxuser. vpxuser ist ein Konto mit Rechten, das als Proxy fr alle
ber vCenter Server initiierten Aktionen dient. Stellen Sie sicher, dass die Standardeinstellungen fr das
Kennwort von vpxuser die Anforderungen der Kennwortrichtlinie Ihrer Organisation erfllen.
Standardmig generiert vCenter Server alle 30 Tage ein neues Kennwort fr vpxuser, indem OpenSSL-Verschlsselungsbibliotheken als Zuflligkeitsquelle verwendet werden. Das Kennwort ist 32 Zeichen lang und
enthlt immer jeweils mindestens ein Symbol aus den folgenden vier Zeichenklassen: Symbole
(-./:=@[\\]^_{}~), Ziffern (1-9), Grobuchstaben und Kleinbuchstaben. Indem Sie sicherstellen, dass das Kennwort regelmig abluft, knnen Angreifer das Kennwort fr vpxuser im Falle einer Manipulierung nur ber
einen begrenzten Zeitraum nutzen.
Sie knnen den Standardwert fr den Ablauf und die Lnge des Kennworts an Ihre Kennwortrichtlinie anpassen.
WICHTIG Um auszuschlieen, dass vCenter Server aus dem ESXi-Host ausgeschlossen wird, darf die Verwendungsdauer von Kennwrtern nicht krzer als das Intervall sein, das fr die automatische nderung des
Kennworts fr vpxuser festgelegt wird.
Vorgehensweise
1
Um die Richtlinie zur Kennwortlnge zu ndern, bearbeiten Sie den Parameter vpxd.hostPasswordLength in der vCenter Server-Konfigurationsdatei auf dem System, auf dem vCenter Server ausgefhrt
wird.
Betriebssystem
Standardspeicherort
Windows
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware VirtualCenter\vpxd.cfg
Linux
/etc/vmware-vpx/vpxd.cfg
Um die Verwendungsdauer von Kennwrtern zu ndern, verwenden Sie im vSphere Web Client das
Dialogfeld Erweiterte Einstellungen.
a
Navigieren Sie in der vSphere Web Client-Bestandsliste zum vCenter Server-System.
Whlen Sie [Erweiterte Einstellungen] aus, und suchen Sie nach dem Parameter VirtualCenter.VimPasswordExpirationInDays.
Starten Sie vCenter Server neu.
Synchronisieren der Systemuhren im vSphere-Netzwerk

Bevor Sie vCenter Single Sign On installieren, den vSphere Web Client installieren oder die vCenter ServerAppliance bereitstellen, sollten Sie sicherstellen, dass die Systemuhren aller Maschinen im vSphere-Netzwerk
synchronisiert sind.
Wenn die Systemuhren der vCenter Server-Netzwerkmaschinen nicht synchronisiert sind, werden SSL-Zertifikate, die zeitabhngig sind, bei der Kommunikation zwischen Netzwerkmaschinen mglicherweise nicht
als gltig erkannt. Nicht synchronisierte Systemuhren knnen Authentifizierungsprobleme verursachen, was
zu einem Fehlschlag beim Installieren des vSphere Web Client fhren bzw. verhindern kann, dass der vpxdDienst der vCenter Server-Appliance gestartet wird.
VMware, Inc.
167
vSphere-Sicherheit
Synchronisieren der ESX- und ESXi-Systemuhren mit einem NTP-Server

Bevor Sie vCenter Single Sign On, den vSphere Web Client oder vCenter Server Appliance installieren, sollten
Sie sicherstellen, dass die Systemuhren aller Maschinen im vSphere-Netzwerk synchronisiert sind.
Vorgehensweise
1
Stellen Sie vom vSphere Web Client aus eine Verbindung zu vCenter Server her.
Whlen Sie den Host in der Bestandsliste aus.
Whlen Sie die Registerkarte [Verwalten] aus.
Whlen Sie [Einstellungen] .
Whlen Sie [Uhrzeitkonfiguration] .
Whlen Sie [NTP (Network Time Protocol) verwenden (NTP-Client aktivieren)] .
Legen Sie den NTP-Dienststatus und die Startrichtlinie fr den NTP-Dienst fest.
Geben Sie die IP-Adressen der NTP-Server ein, mit denen synchronisiert werden soll.
Der Host synchronisiert mit den NTP-Servern, wie in Ihren Einstellungen angegeben.
Konfigurieren eines Windows NTP-Clients fr die Synchronisierung der

Netzwerk-Systemuhr
Die Systemuhren aller Server im vSphere-Netzwerk mssen synchronisiert sein. Sie knnen einen WindowsNTP-Client als Quelle fr die Synchronisierung der Systemuhren auf Windows-Servern konfigurieren.
Verwenden Sie den Registrierungseditor auf dem Windows-Server, um die Konfigurationsnderungen vorzunehmen.
Vorgehensweise
1
NTP-Modus aktivieren.
a
Navigieren Sie zur Registrierungseinstellung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters.
Legen Sie den Wert des Typs auf NTP fest.
Aktivieren Sie den NTP-Client.

a
Navigieren Sie zur Registrierungseinstellung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config.
Legen Sie den Wert von AnnounceFlags auf 5 fest.
Geben Sie die Upstream-NTP-Server ein, die als Synchronisierungsquelle dienen sollen.
a
Navigieren Sie zur Registrierungseinstellung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders.
Legen Sie den Wert NtpServer auf eine Liste von mindestens drei NTP-Servern fest.
Beispiel: 0x1 1.pool.ntp.org,0x1 2.pool.ntp.org,0x1 3.pool.ntp.org.

4
168
Geben Sie als Aktualisierungsintervall 150 Minuten an.

a
Navigieren Sie zur Registrierungseinstellung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient.
Legen Sie den Wert von SpecialPollInterval auf 900 fest.
VMware, Inc.
Starten Sie den W32time-Dienst neu, damit die nderungen wirksam werden.
Deaktivieren des Shell-Zugriffs fr anonyme Benutzer

Damit anonyme Benutzern wie root nicht ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) oder die ESXi Shell auf den Host zugreifen knnen, entfernen Sie die Administratorrechte des Benutzers vom Root-Ordner des Hosts. Dies gilt sowohl fr lokale Benutzer als auch fr Active
Directory-Benutzer und -Gruppen.
Vorgehensweise
1
Klicken Sie mit der rechten Maustaste auf den anonymen Benutzer (z. B. root) in der Tabelle Benutzer
und klicken Sie auf [Eigenschaften] .
Whlen Sie eine Zugriffsrolle in der Dropdown-Liste aus.
Weiter
Standardmig sind folgende Rollen verfgbar: Kein Zugriff, Administrator und Nur Lesen. Sie knnen
neue Rollen erstellen und auf den Benutzer anwenden, wie in Zuweisen von ESXi-Rollen, auf Seite 77 beschrieben.
Begrenzen des DCUI-Zugriffs im Sperrmodus

In Versionen von vSphere vor vSphere 5.1 kann sich der Root-Benutzer in die Direct Console User Interface
(DCUI) auf einem Host anmelden, der sich im Sperrmodus befindet. In vSphere 5.1 knnen Sie angeben, welche
lokalen ESXi-Benutzer sich bei der DCUI anmelden drfen, wenn sich der Host im Sperrmodus befindet. Wenn
Sie andere Benutzer als den anonymen Root-Benutzer angeben, knnen Sie protokollieren, welche Benutzer
Vorgnge auf dem Host ausgefhrt haben, whrend sich dieser im Sperrmodus befand.
Vorgehensweise
1
Klicken Sie auf [Erweiterte Systemeinstellungen] , und whlen Sie die Einstellung [DCUI.Access] .
Klicken Sie auf [Bearbeiten] , um die Benutzernamen durch Kommas getrennt einzugeben.
Standardmig wird der Root-Benutzer angegeben. Sie knnen den Root-Benutzer von der Liste der Benutzer mit DCUI-Zugriff entfernen, vorausgesetzt, Sie legen wenigstens einen weiteren Benutzer fest.
Deaktivieren des Browsers fr verwaltete Objekte (MOB)

Mit dem Browser fr verwaltete Objekte kann das VMkernel-Objektmodell durchsucht werden. Allerdings
knnen Angreifer diese Schnittstelle in bswilliger Absicht verwenden, um Konfigurationsnderungen oder
andere Aktionen durchzufhren. Mit dem Browser fr verwaltete Objekte knnen Sie die Hostkonfiguration
ndern. Diese Schnittstelle wird vor allem zum Debuggen des vSphere SDK verwendet.
Vorgehensweise
1
VMware, Inc.
Stellen Sie mit der ESXi Shell eine direkte Verbindung mit dem Host her.
169
vSphere-Sicherheit
(Optional) Fhren Sie den folgenden Befehl aus, um zu ermitteln, ob der Browser fr verwaltete Objekte
(MOB) aktiviert ist.
vim-cmd proxysvc/service_list
Wenn der Dienst ausgefhrt wird, wird der folgende Text in der Liste der Dienste angezeigt:
...
serverNamespace = '/mob',
accessMode = "httpsWithRedirect",
pipeName = "/var/run/vmware/proxy-mod",
...
Deaktivieren Sie den Dienst, indem Sie den folgenden Befehl ausfhren.
vim-cmd proxysvc/remove_service "/mob" "httpsWithRedirect"
nderungen an Berechtigungen werden sofort wirksam und ber Neustarts hinaus beibehalten.
Der Browser fr verwaltete Objekte ist nicht mehr fr Diagnosezwecke verfgbar. Einige Drittanbieter-Tools
verwenden diese Schnittstelle zum Sammeln von Informationen.
Weiter
Fhren Sie nach dem Deaktivieren des Browsers fr verwaltete Objekte Tests durch, um sicherzustellen, dass
Drittanbieteranwendungen nach wie vor erwartungsgem funktionieren.
Fhren Sie den folgenden Befehl aus, um den Dienst wieder zu aktivieren.
vim-cmd proxysvc/add_np_service "/mob" httpsWithRedirect /var/run/vmware/proxy-mob
Deaktivieren autorisierter Schlssel (SSH)

Mit autorisierten Schlsseln knnen Sie den Zugriff auf einen ESXi-Host ber SSH ohne Benutzerauthentifizierung ermglichen. Um die Hostsicherheit zu erhhen, sollten Sie nicht zulassen, dass Benutzer mit autorisierten Schlsseln auf Hosts zugreifen.
Ein Benutzer wird als vertrauenswrdig betrachtet, wenn sich sein ffentlicher Schlssel in der Datei /etc/ssh/keys-root/authorized_keys auf einem Host befindet. Vertrauenswrdige Remotebenutzer drfen auf den Host zugreifen, ohne ein Kennwort anzugeben.
Vorgehensweise
n
Fr alltgliche Vorgnge deaktivieren Sie SSH auf ESXi-Hosts.
Wenn SSH vorbergehend oder dauerhaft aktiviert ist, berwachen Sie den Inhalt der Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass kein Benutzer ohne ordnungsgeme
Authentifizierung auf den Host zugreifen kann.
berwachen Sie die Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass sie leer ist und
dass ihr keine SSH-Schlssel hinzugefgt wurden.
Wenn Sie feststellen, dass die Datei /etc/ssh/keys-root/authorized_keys nicht leer ist, entfernen Sie die
Schlssel.
Wenn Sie den Remotezugriff mit autorisierten Schlsseln deaktivieren, kann Ihre Fhigkeit eingeschrnkt
werden, Befehle auf einem Host ohne Angabe gltiger Anmeldedaten remote auszufhren. Dies kann beispielsweise bedeuten, dass ein automatisches Remoteskript nicht ausgefhrt werden kann.
170
VMware, Inc.
Herstellen und Aufrechterhalten der Integritt der Konfigurationsdatei

Obwohl die meisten Konfigurationen unter ESXi per API gesteuert werden, ist eine begrenzte Gruppe von
Konfigurationsdateien vorhanden, die direkt zum Steuern des Hostverhaltens verwendet werden. Diese speziellen Dateien werden mit der HTTPS-basierten API fr die Dateibermittlung von vShere offengelegt. Eine
Manipulation dieser Dateien kann dazu fhren, dass der nicht autorisierte Zugriff auf die Hostkonfiguration
und die virtuellen Maschinen ermglicht wird.
Alle nderungen an diesen Dateien sollten mit einer genehmigten administrativen Aktion korreliert werden,
z. B. einer autorisierten Konfigurationsnderung.
WICHTIG Wenn versucht wird, Dateien zu berwachen, die nicht von der API fr die Dateibermittlung
offengelegt werden, kann dies zu einer Destabilisierung des Systems fhren.
Zeigen Sie Konfigurationsdateien an oder rufen Sie diese ab, indem Sie den MOB (Managed Object Browser)
oder einen API-Client verwenden, z. B. vCLI oder PowerCLI. Mit diesen Methoden knnen Sie die Dateien
und ihren Inhalt berwachen und sicherstellen, dass diese nicht manipuliert werden. berwachen Sie keine
Protokolldateien und anderen Dateien, deren Inhalt sich voraussichtlich regelmig ndert. Bercksichtigen
Sie auerdem nderungen von Konfigurationsdateien, die aufgrund von blichen Verwaltungsaktivitten
vorgenommen werden.
HINWEIS Nicht alle aufgefhrten Dateien knnen gendert werden.
Vorgehensweise
u
Navigieren Sie zu https://<hostname>/host, um die Konfigurationsdateien anzuzeigen, auf die zugegriffen

werden kann.
Sie knnen nicht auf diese URL zugreifen, wenn der MOB (Managed Object Browser) deaktiviert ist.
Zeigen Sie in diesem Fall Dateien mit einem API-Client wie vCLI oder PowerCLI an bzw. rufen Sie die
Dateien damit ab.
berwachen und Beschrnken des Zugriffs auf SSL-Zertifikate

Angreifer knnen SSL-Zertifikate verwenden, um die Identitt von vCenter Server zu bernehmen und das
vCenter Server-Datenbankkennwort zu entschlsseln. Sie mssen den Zugriff auf das Zertifikat berwachen
und streng kontrollieren.
Nur der Dienstkontobenutzer bentigt regelmigen Zugriff auf das Verzeichnis, das vCenter Server SSLZertifikate enthlt. Gelegentlich bentigt auch der vCenter Server-Systemadministrator Zugriff auf das Verzeichnis. Da das SSL-Zertifikat verwendet werden kann, um die Identitt von vCenter Server zu bernehmen
und das Datenbankkennwort zu entschlsseln, berwachen Sie das Ereignisprotokoll, und legen Sie einen
Alarm fest, der ausgelst werden soll, wenn ein anderes Konto als das Dienstkonto auf das Verzeichnis zugreift.
Um einen Besucher, der nicht der Dienstkontobenutzer ist, daran zu hindern, auf das Verzeichnis zuzugreifen,
ndern Sie die Berechtigungen fr das Verzeichnis, sodass nur das vCenter Server-Dienstkonto darauf zugreifen darf. Durch diese Beschrnkung wird verhindert, dass Sie ein komplettes Supportprotokoll sammeln
mssen, wenn Sie ein vc-support-Skript erstellen. Die Beschrnkung verhindert auch, dass der Administrator
das vCenter Server-Datenbankkennwort ndert.
VMware, Inc.
171
vSphere-Sicherheit
Sicheres Lschen der VMDK-Dateien

Um zu verhindern, dass vertrauliche Daten in VMDK-Dateien von der physischen Festplatte ausgelesen werden, nachdem diese gelscht wurde, berschreiben Sie den gesamten Inhalt der VMDK-Datei vor dem Lschen
mit Nullen. So werden die vertraulichen Daten berschrieben. Wenn Sie eine Datei mit Nullen berschreiben,
wird die Rekonstruktion des Inhalts erschwert.
Vorgehensweise
1
Fahren Sie die virtuelle Maschine herunter oder halten Sie sie an.
Fhren Sie fr die zu lschende VMDK-Datei den Befehl vmkfstools -writezeroes aus.
Lschen Sie die Datei aus dem Datenspeicher.
Weiter
Weitere Informationen zum Initialisieren einer virtuellen Festplatte mit vmkfstools finden Sie in der Dokumentation zu vSphere-Speicher.
172
VMware, Inc.
Index
A
Abgelaufene Kennwrter, zurcksetzen 102,
103
Absichern des vCenter Server-Host-Betriebssystems 155
Active Directory
vCenter Server 105
vCenter Single Sign On 105
Active Directory-Domne, Authentifizierung mit
vCenter Server Appliance 122
Active Directory-Zeitberschreitung 111
Administrator, Rolle, beschrnken 156, 157
Administratoren, vCenter Single Sign On 98
Aktualisierte Informationen 9
ndern von Host-Proxy-Diensten 135
Angriffe
802.1q- und ISL-Kennzeichnung 30
Doppelt eingekapselt 30
MAC-Flooding 30
Multicast-Brute-Force 30
Spanning-Tree 30
Zufallsdatenblock 30
Angriffe durch 802.1q- und ISL-Kennzeichnung 30
anmelden, vCenter Server 105
Anmelden bei vCenter Server 9295
Anmeldungsverhalten, vCenter Single Sign
On 9395
Antivirensoftware, Installieren 161
Anwendungsbenutzer 111
Authentication Proxy 80, 83, 85, 89, 90
Authentication Proxy-Server 8688
Authentifizieren, vSphere Authentication Proxy 86
Authentifizierung
Benutzer 61
ESXi 61
ESXi-Benutzer 61
iSCSI-Speicher 37
Mit Active Directory-Domne 122
Auto Deploy, Sicherheit 164
Autorisierte Schlssel, deaktivieren 170
B
Benutzer
ndern auf Hosts 62
Anwendung 111
VMware, Inc.
Anzeigen der Benutzerliste 63

Aus Gruppe entfernen 110
Authentifizierung 61
Bearbeiten von Single Sign On 107
Deaktivieren von Single Sign On 110
Direktzugriff 61
durchsuchen 111, 112
entfernen 71, 111
Entfernen von Hosts 63
Entsperren 110
Exportieren einer Benutzerliste 63
Hinzufgen von lokalen Benutzern 106
Hinzufgen zu ESXi 62
Sicherheit 61
Sperrung 110
Benutzer bearbeiten, Single Sign On 107
Benutzer deaktivieren, Single Sign On 110
Benutzer entsperren 110
Benutzer sperren 110
Benutzer und Gruppen, vCenter Server 105
Benutzerberechtigungen
dcui 71
vpxuser 71
Benutzerkonto gesperrt, SSO schlgt fehl 123
Benutzerverwaltung, ESXi 61
Benutzerverzeichnis - Zeitberschreitung 112
Berechtigungen
Administrator 65, 113
ndern 73, 114
Auer Kraft setzen 69, 70
Benutzer 70, 71
Best Practices 73
Einstellungen 68
entfernen 73, 115
Erforderlich fr allgemeine Aufgaben 74
Root-Benutzer 65, 113
berblick 65, 113
und Rechte 65, 113
Validierung 71, 72, 111, 114
vCenter Server 156
Vererbung 66, 69, 70
Verteilte Switches 66
vpxuser 65, 113
zuweisen 71, 80, 113
173
vSphere-Sicherheit
Bereitstellungsszenarien, vCenter Single Sign

On 92
Best Practices
Berechtigungen 73
Rollen 73
Sicherheit 161
Browser fr verwaltete Objekte, deaktivieren 169
C
CAM-Dienst 85
CAM-Server 86, 87, 89
CHAP-Authentifizierung 37, 38
Clusterinstallation, vCenter Single Sign On 95
D
dcui 71
DCUI, Beschrnkung des Zugriffs 169
DCUI-Zugriff 65
deaktivieren
iSCSI-SAN-Authentifizierung 38
Protokollierung fr Gastbetriebssysteme 146,
150, 151
SSL fr vSphere SDK 133
Variable Informationsgre 149, 150
Dienste
Automatisieren 46
syslogd 162
Direct Console User Interface (DCUI), Beschrnkung des Zugriffs 169
Direktzugriff 61
DMZ 16
Domne beitreten 85
Domnen, Standard-vCenter Single Sign On 95,
105
Doppelt eingekapselte Angriffe 30
E
Einfache Installation, vCenter Single Sign On 93
Entfernen von Benutzern aus Gruppen 110
Erforderliche Berechtigungen, Fr allgemeine
Aufgaben 74
Ersetzen, Standardzertifikate 129, 130
ESXi
Benutzer 61
Hinzufgen von Benutzern 62
Protokolldateien 163
syslog-Dienst 162
ESXi Shell
aktivieren 51, 55
Aktivieren mit dem vSphere-Client 51
anmelden 56
Direkte Verbindungen 56
174
konfigurieren 51
Remoteverbindungen 56
SSH-Verbindungen 39
Zeitberschreitung festlegen 55
Zeitberschreitung fr den Leerlauf festlegen 51
Zeitberschreitung fr die Verfgbarkeit festlegen 51
ESXi-Protokolldateien 162
ESXi-Shell
aktivieren 53
Aktivieren mit vSphere Web Client 53
Zeitberschreitung fr den Leerlauf festlegen 53
Zeitberschreitung fr die Verfgbarkeit festlegen 53
Zeitberschreitungen 52, 54, 55
Exportieren, Hostbenutzer 63
F
Fault Tolerance (FT)
Protokollierung 164
Sicherheit 164
Fingerabdrcke, Hosts 137
Firewall
Befehle 48
Host 42
Konfigurationsdatei 43
konfigurieren 48
NFS-Client 46
Firewalleinstellungen 45
Firewallports
Automatisieren von Diensten 46
Herstellen einer Verbindung mit der Konsole fr
virtuelle Maschinen 23
Host zu Host 25
Konfiguration mit vCenter Server 22
Konfiguration ohne vCenter Server 23
Mit vCenter Server verbinden 23
SDK und Konsole fr virtuelle Maschinen 23
berblick 21
Verschlsselung 127
vSphere-Client und Konsole fr virtuelle Maschinen 23
vSphere-Client und vCenter Server 22
vSphere-Clientdirektverbindung 23
Firewalls
Zugriff fr Dienste 44
Zugriff fr Verwaltungs-Agenten 44
G
Gastbetriebssysteme
Aktivieren von Kopier- und Einfgevorgngen 147
VMware, Inc.
Index
Begrenzen der variablen Informationsgre 149, 150

Deaktivieren der Protokollierung 146, 150,
151
Kopieren und Einfgen 147
Kopieren und Einfgen deaktivieren 148
Protokollierungsebenen 144
Geflschte bertragungen 31, 32
Generieren von Zertifikaten 128
Gertetrennung
Verhindern 152
verhindern im vSphere Web Client 153
Grenzen fr Anteile, Sicherheit von Hosts 140
Grundlegende Einzelknoten-Installation, vCenter
Single Sign On 94
Gruppen
bearbeiten 109
durchsuchen 111, 112
hinzufgen 108
Lokal 108
Mitglieder hinzufgen 109
H
Hardwaregerte, entfernen 151
Host-zu-Host-Firewallports 25
Hostname, konfigurieren 80, 81
Hosts
Arbeitsspeicher 149
Fingerabdrcke 137
Hinzufgen von ESXi-Benutzern 62
Hostzertifikats-Suchvorgnge 134
HTTPS PUT, Hochladen von Zertifikaten und
Schlsseln 129, 131
I
Identittsquelle
Bearbeiten fr vCenter Single Sign On 100
Hinzufgen zu vCenter Single Sign On 98
Identittsquellen
Active Directory 105
vCenter Single Sign On 95, 97, 105
Informative Meldungen, Begrenzen 141
Internet Protocol Security (IPsec) 33
IP-Adressen, Zulssige hinzufgen 45
IPsec, , siehe Internet Protocol Security (IPsec)
iSCSI
Ports schtzen 38
QLogic-iSCSI-Adapter 36
Schtzen bertragener Daten 38
Sicherheit 36
iSCSI-SAN-Authentifizierung, deaktivieren 38
Isolierung
Standard-Switches 14
VMware, Inc.
virtuelle Netzwerkebene 14
VLANs 14
K
Kein Zugriff, Rolle 77, 115
Kennwrter
ndern von vCenter Single Sign On 108
Anforderungen 64
Einschrnkungen 165
Host 165, 166
Komplexitt 165, 166
Kriterien 165
Lnge 165
pam_passwdqc.so-Plug-In 165
Plug-Ins 165
vCenter Single Sign On-Richtlinien 101
Zeichenklassen 64
Zurcksetzen bei Single Sign On 102, 103
Zurcksetzen von abgelaufenen 102, 103
Kennwortrichtlinien, vCenter Single Sign On 101
Kennwortsatz 64
Konfigurationsdateien, Sicherheit von Hosts 171
Konnektivitt verloren gegangen 124
Kopieren und Einfgen
Deaktiviert fr Gastbetriebssysteme 147, 148
Gastbetriebssysteme 147
L
Leistungsdaten, Deaktivieren des Sendens 159
Linux-basierte Clients, Nutzung mit vCenter Server beschrnken 158
Listen durchsuchen, Anpassen fr groe Domnen 111, 112
Lookup Service-Fehler 120
M
MAC-Adressennderungen 31, 32
MAC-Flooding 30
Mehrere Standorte replizieren 118120
Multicast-Brute-Force-Angriffe 30
N
network file copy (NFC) 128
Netzwerke, Sicherheit 27
Netzwerkkonnektivitt, Begrenzen 157
NFC, SSL aktivieren 128
NFS-Client, Firewall-Regelstze 46
Nicht freigelegte Funktionen, deaktivieren 148
NTP 46, 80, 81
NTP-Client, konfigurieren 168
Nur lesen, Rolle 77, 115
175
vSphere-Sicherheit
Nutzungsbeschrnkung von Linux-basierten

Clients mit vCenter Server 158
O
Optionen fr das Starten von Clients
einstellen 47
Einstellung 48
Optionen fr das Starten von Diensten
einstellen 47
Einstellung 48
P
pam_passwdqc.so-Plug-In 165
Plug-Ins, pam_passwdqc.so 165
Prinzipale, Aus Gruppe entfernen 110
Promiscuous-Modus 31, 33
Protokolldateien
Begrenzen der Anzahl 144, 145
Begrenzen der Gre 144, 145
ESXi 162, 163
Suchen 163
Protokollierung
Deaktivieren fr Gastbetriebssysteme 146,
150, 151
Sicherheit von Hosts 162
Protokollierungsebenen, Gastbetriebssysteme 144
Proxy-Dienste
ndern 135
Verschlsselung 127
R
Rechte und Berechtigungen 65, 113
Remotekonsole, Beschrnken von Sitzungen 143
Remotevorgnge, Deaktivieren in virtueller Maschine 141
Replizierung
Export 119
Import 120
Mehrere Standorte 118120
Ressourceneinschrnkungen und -garantien, Sicherheit 13
Richtlinie zur Untersttzung von DrittanbieterSoftware 18
Richtlinien
Kennwort, vCenter Single Sign On 95
Sicherheit 35
Sperre in vCenter Single Sign On 104
Sperre, vCenter Single Sign On 95
vCenter Single Sign On-Passwrter 101
Rollen
Administrator 77, 115
bearbeiten 78
Best Practices 73
176
entfernen 73, 79, 115, 117

erstellen 77, 116
Kein Zugriff 77, 115
klonen 78
Kopie 78
Nur Lesen 77, 115
Sicherheit 77, 115
Standard 77, 115
umbenennen 78, 117
und Berechtigungen 77, 115
Root-Anmeldung, Berechtigungen 65, 70, 113
Root-Benutzer, DCUI-Zugriff 169
S
Schlssel
Autorisiert 131, 132
hochladen 129, 131, 132
SSH 131, 132
Schlsselqualitt, Verbindungen 39
SDK, Firewallports und Konsole fr virtuelle Maschinen 23
Security Token Service (STS), vCenter Single
Sign On 104
setinfo 149
Shell-Zugriff, deaktivieren 169
Sicherheit
Architektur 11
Berechtigungen 65, 113
Best Practices 161
DMZ auf einem einzelnen Host 15, 16
Funktionen 11
Host 41
Hosts 21
iSCSI-Speicher 36
Ressourcengarantien und -einschrnkungen 13
Schlsselqualitt 39
Standard-Switch-Ports 31
berblick 11
Virtualisierungsebene 12
Virtuelle Maschinen mit VLANs 27
virtuelle Netzwerkebene 14
VLAN-Hopping 29
VMkernel 12
VMware-Richtlinie 18
Zertifizierung 18
Sicherheit virtueller Maschinen
Deaktivieren von Funktionen 148
Remotekonsole 143
VMX-Parameter 148
Sicherheit von Hosts
Autorisierte Schlssel 170
Browser fr verwaltete Objekte 169
VMware, Inc.
Index
CIM-Tools 39
Konfigurationsdateien 171
Leistungsdaten 159
MOB deaktivieren 169
Protokollierung 162
Ressourcenverwaltung 140
Verkleinern von virtuellen Festplatten 142
Verwenden von Vorlagen 140
VIBs ohne Signatur 165
VMDK-Dateien 172
vpxuser 167
Sicherheit von Image Builder 165
Sicherheit von Standard-Switches 29
Sicherheitsempfehlungen 57
Sicherheitsrichtlinien
entfernen 36
erstellen 35
Liste 36
Verfgbar 36
Sicherheitsverbindungen
entfernen 34
hinzufgen 33
Liste 34
Verfgbar 34
Single Sign On
Anmeldung schlgt fehl, weil das Benutzerkonto gesperrt ist 123
Anmeldung unter Verwendung der Active Directory-Domne nicht mglich 122
Bearbeiten von Benutzern 107
Deaktivieren von Benutzern 110
Fehlerbehebung 120
Gesperrte Benutzer 110
Keine Antwort auf eine Anmeldung 124
Lookup Service-Fehler 120
Ungltige Anmeldedaten 123
Zurcksetzen von Kennwrtern 102, 103
Single Sign On-Server
Benutzerverwaltung 91
Single-Sign On, Fehlerbehebung bei Benutzern 124
Spanning-Tree-Angriffe 30
Speicher, absichern mit VLANs und virtuellen
Switches 29
Sperrmodus
aktivieren 59, 60
Benutzerschnittstelle der direkten Konsole 60
DCUI-Zugriff 65
Konfigurationen 58
Verhalten 58
vSphere Client 59
vSphere-Client 59
VMware, Inc.
Sperrrichtlinie, vCenter Single Sign On 104

SSH
ESXi Shell 39
Sicherheitseinstellungen 39
SSL
Aktivieren und Deaktivieren 127
ber NFC aktivieren 128
Verschlsselung und Zertifikate 127
Zeitberschreitungen 132
SSL-Zertifikate, berwachen 171
SSO, , siehe Single Sign On
Standard-Switch-Ports, Sicherheit 31
Standard-Switches
Angriffe durch 802.1q- und ISL-Kennzeichnung 30
Doppelt eingekapselte Angriffe 30
Geflschte bertragungen 31
MAC-Adressennderungen 31
MAC-Flooding 30
Multicast-Brute-Force-Angriffe 30
Promiscuous-Modus 31
Sicherheit 30
Spanning-Tree-Angriffe 30
und iSCSI 38
Zufallsdatenblock-Angriffe 30
Standarddomnen, vCenter Single Sign On 95,
97
Standardzertifikate, Ersetzen durch Zertifikate einer Zertifizierungsstelle 129, 130
Start des Diensts
ndern der Richtlinie 47, 48
Festlegen der Optionen 47, 48
STS, , siehe security token service (STS)
Synchronisieren der ESX/ESXi-Systemuhren im
vSphere-Netzwerk 168
Synchronisieren der Systemuhren im vSphereNetzwerk 167
Synchronisierung von vSphere-Netzwerksynstemuhren 168
syslog 162
T
TCP-Ports 25
Trusted Platform Module (TPM) 12
U
UDP-Ports 25
V
Variable Informationsgre fr Gastbetriebssystem
Begrenzen 149, 150
deaktivieren 149, 150
vCenter Server
anmelden 9295, 98
177
vSphere-Sicherheit
Berechtigungen 156
Firewallports 22
Verbinden ber Firewall 23
vCenter Server Appliance
Anmeldung nicht mglich 122
Fehlerbehebung 124
Single Sign On, Fehlerbehebung 124
vCenter Server-Host-Betriebssystem, Absichern 155
vCenter Server-Sicherheit, SSL-Zertifikate 171
vCenter Server, Benutzerverwaltung 91
vCenter Single Sign On
Active Directory 98, 100, 105
Administratoren 98
ndern des Kennworts 108
Benutzer und Gruppen 105
Bereitstellungsszenarien 92
Clusterinstallation 95
Domnen 97
Einfache Installation 93
Gesperrte Benutzer 104
Grundlegende Einzelknoten-Installation 94
Grundlegendes 92
Identittsquellen 97, 98, 100, 105
Kennwortrichtlinie 101
LDAP 98, 100
OpenLDAP 98, 100
Replizierung 118120
Security Token Service (STS) 104
Standarddomnen 105
Verschlsselung
Aktivieren und Deaktivieren von SSL 127
Fr Benutzernamen, Kennwrter und Pakete 127
Zertifikate 127
Verteilte Switches, Berechtigung 66
Verwaltete Instanzen, Berechtigungen 66
Verwaltungsschnittstelle
Absichern 41
absichern mit VLANs und virtuellen Switches 29
Verwaltungszugriff
Firewalls 44
TCP- und UDP-Ports 25
Verzeichnisdienst
Active Directory 80, 81
Konfigurieren eines Hosts 80, 81
Verzeichnisserver, anzeigen 83
vifs, Hochladen von Zertifikaten und Schlsseln 132
Virtualisierungsebene, Sicherheit 12
Virtuelle Festplatten, Verkleinern 142
virtuelle Maschinen
Absichern 141
178
Begrenzen der variablen Informationsgre 149, 150

Deaktivieren der Protokollierung 146, 150,
151
Gerttrennung im vSphere Web Client verhindern 153
Isolierung 15, 16
Kopieren und Einfgen 147
Kopieren und Einfgen deaktivieren 147, 148
Ressourcenreservierung und -einschrnkungen 13
Sicherheit 13
Verhindern der Gertetrennung 152
Virtuelle Netzwerkebene und Sicherheit 14
virtuelles Netzwerk, Sicherheit 27
VLAN-Sicherheit 29
VLANs
Schicht 2-Sicherheit 29
Sicherheit 27, 29
Sicherheitskonfigurierung 29
und iSCSI 38
VLAN-Hopping 29
VMDK-Dateien
lschen 172
Sicherheit von Hosts 172
VMkernel, Sicherheit 12
vMotion, absichern mit VLANs und virtuellen Switches 29
VMX-Dateien, bearbeiten 141
Vorlagen, Sicherheit von Hosts 140
vpxuser, Kennwort 167
vSphere Authentication Proxy
anzeigen 90
Authentifizieren 86
Installieren 83
vSphere Authentication Proxy-Server 8688
vSphere Web Client
Anmeldung schlgt fehl 124
Fehler beim Erkennen von SSO 123
vSphere-Client
Absichern 158
Firewallports fr Direktverbindung 23
Firewallports mit vCenter Server 22
Herstellen einer Verbindung mit der Konsole fr
virtuelle Maschinen ber Firewallports 23
vSphere-Client-Sicherheit
Plug-Ins 158
Zeitberschreitung bei Leerlauf 159
W
W32time-Dienst 168
VMware, Inc.
Index
Z
Zeichenklassen, Kennwrter 64
Zeitberschreitung
ESXi-Shell 52, 54, 55
Leerlauf fr vSphere-Client 159
Zeitberschreitung bei Leerlauf, vSphere-Client 159
Zeitberschreitung bei Sitzung im Leerlauf 52, 54,
55
Zeitberschreitung fr die ESXi Shell-Verfgbarkeit 56
Zeitberschreitungen
Einstellung 53
ESXi-Shell 53
SSL 132
Zeitberschreitungswert fr die Verfgbarkeit fr
die ESXi Shell 56
Zertifikate
Aktualisieren des STS fr vCenter Single Sign
On 104
Deaktivieren von SSL fr vSphere SDK 133
Erstellen neuer Zertifikate 128
hochladen 129
Konfigurieren der Hostsuchvorgnge 134
Schlsseldatei 127
Speicherort 127
SSL 127
Standard 127
berprfen 137
vCenter Server 127
Zertifikatsdatei 127
Zertifikate einer Zertifizierungsstelle 129, 130
Zufallsdatenblock-Angriffe 30
Zugriff auf CIM-Tools, Begrenzen 39
zulssige IP-Adressen, Firewall 45
Zurcksetzen von Kennwrtern, Single Sign
On 102, 103
VMware, Inc.
179
vSphere-Sicherheit
180
VMware, Inc.

Vsphere Esxi Vcenter Server 51 Security Guide

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Vsphere Esxi Vcenter Server 51 Security Guide

Hochgeladen von

Copyright:

Verfügbare Formate

vSphere-Sicherheit

Dieses Dokument untersttzt die aufgefhrten Produktversionen

VMware Global, Inc.

Info zu vSphere Security 7

1 Sicherheit fr ESXi -Systeme 11

Architektur und Sicherheitsfunktionen von ESXi 11

2 Absichern von ESXi -Konfigurationen 21

Absichern des Netzwerks mit Firewalls 21

3 Absichern der Verwaltungsschnittstelle 41

4 Verwenden der ESXi-Shell 51

6 ESXi -Authentifizierung und Benutzerverwaltung 61

7 vCenter Server-Authentifizierung und Benutzerverwaltung 91

Verwenden von vCenter Single Sign On mit vSphere 92

8 Verschlsselungs- und Sicherheitszertifikate 127

Generieren neuer Zertifikate fr den ESXi -Host 128

9 Sichern von virtuellen Maschinen 139

Allgemeiner Schutz fr virtuelle Maschinen 139

10 Sichern von vCenter Server-Systemen 155

Absichern des vCenter Server-Hostbetriebssystems 155

Einrichten einer Zeitberschreitung bei Inaktivitt fr den vSphere-Client 159

Info zu vSphere Security

Sicherheit fr ESXi -Systeme

Architektur und Sicherheitsfunktionen von ESXi, auf Seite 11

Sonstige Quellen und Informationen zur Sicherheit, auf Seite 18

Architektur und Sicherheitsfunktionen von ESXi

Sicherheit und die Virtualisierungsebene

Integritt des Kernelmoduls

Trusted Platform Module

ESXi-Software (Hypervisor) in VIB-Format (Paket)

VIBs von Drittanbietern

Treiber von Drittanbietern

Kapitel 1 Sicherheit fr ESXi -Systeme

Sicherheit und virtuelle Maschinen

Die Leistung der anderen virtuellen Maschinen

Festplatte Netzwerk und

Abbildung 1-3. Virtuelle Netzwerkanbindung ber virtuelle Switches

Fr die Isolierung virtueller Maschinen in einem Netzwerk gelten folgende Merkmale:

Sicherheit und die virtuelle Netzwerkebene

Kapitel 1 Sicherheit fr ESXi -Systeme

Erstellen einer Netzwerk-DMZ auf einem einzelnen ESXi -Host

Erstellen mehrerer Netzwerke auf einem einzelnen ESXi -Host

Kapitel 1 Sicherheit fr ESXi -Systeme

Da sich die virtuelle Maschine 1 keinen virtuellen Switch oder physischen

Die virtuellen Maschinen 2 bis 5 sind der internen Verwendung vorbehalten.

Sonstige Quellen und Informationen zur Sicherheit

Sicherheitsrichtlinien von VMware, aktuelle Sicherheitswarnungen, Sicherheitsdownloads

Richtlinie zur Sicherheitsantwort

Richtlinie zur Untersttzung von DrittanbieterSoftware

Allgemeine Informationen zu Virtualisierung

VMware Virtual Security Technical Resource Center

Kapitel 1 Sicherheit fr ESXi -Systeme

Tabelle 1-1. Sicherheitsressourcen von VMware im Internet (Fortsetzung)

bereinstimmungs- und Sicherheitsstandards

Informationen zu VMsafe-Technologie zum

Absichern von ESXi -Konfigurationen

Absichern des Netzwerks mit Firewalls, auf Seite 21

Absichern virtueller Maschinen durch VLANs, auf Seite 27

Absichern der Standard-Switch-Ports, auf Seite 31

Internet Protocol Security (IPsec), auf Seite 33

Absichern von iSCSI-Speicher, auf Seite 36

Schlsselqualitt, auf Seite 39

Steuern des Zugriffs auf das CIM-basierte Hardwareberwachungs-Tool, auf Seite 39

Absichern des Netzwerks mit Firewalls

Physische Maschinen, z. B. vCenter Server-Systeme und ESXi-Hosts.