Beruflich Dokumente
Kultur Dokumente
ESXi 5.1
vCenter Server 5.1
DE-000792-01
vSphere-Sicherheit
Die neueste technische Dokumentation finden Sie auf der VMware-Website unter:
http://www.vmware.com/de/support/
Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates.
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschlge an:
docfeedback@vmware.com
Copyright 20092012 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale
Vertrge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgefhrten Patente geschtzt.
VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Lndern. Alle anderen in diesem
Dokument erwhnten Bezeichnungen und Namen sind unter Umstnden markenrechtlich geschtzt.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
Inhalt
Verwenden des vSphere-Clients zum Aktivieren des Zugriffs auf die ESXi-Shell 51
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die ESXi-Shell 53
Verwenden der Benutzerschnittstelle der direkten Konsole (DCUI) fr den Zugriff auf die
ESXi-Shell 55
Anmelden bei der ESXi Shell zur Fehlerbehebung 56
5 Sperrmodus 57
Verhalten im Sperrmodus 58
Sperrmodus-Konfigurationen 58
Aktivieren des Sperrmodus ber den vSphere-Client 59
Aktivieren des Sperrmodus ber vSphere Web Client 59
Aktivieren des Sperrmodus ber die Benutzerschnittstelle der direkten Konsole 60
VMware, Inc.
vSphere-Sicherheit
Verwenden von Active Directory zum Verwalten von Benutzern und Gruppen
Verwenden des vSphere Authentication Proxy 83
80
VMware, Inc.
Inhalt
11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts 161
Installieren von Antivirensoftware. 161
Verwalten der ESXi-Protokolldateien 162
Sichern des Fault Tolerance-Protokollierungsdatenverkehrs 164
Auto Deploy-Sicherheitsberlegungen 164
berlegungen zur Sicherheit von Image Builder 165
Kennwortqualitt und -komplexitt bei Hosts 165
Synchronisieren der Systemuhren im vSphere-Netzwerk 167
Deaktivieren des Shell-Zugriffs fr anonyme Benutzer 169
Begrenzen des DCUI-Zugriffs im Sperrmodus 169
Deaktivieren des Browsers fr verwaltete Objekte (MOB) 169
Deaktivieren autorisierter Schlssel (SSH) 170
Herstellen und Aufrechterhalten der Integritt der Konfigurationsdatei
berwachen und Beschrnken des Zugriffs auf SSL-Zertifikate 171
Sicheres Lschen der VMDK-Dateien 172
171
Index 173
VMware, Inc.
vSphere-Sicherheit
VMware, Inc.
vSphere Security bietet Informationen ber das Sichern Ihrer vSphere -Umgebung fr VMware vCenter
Server und VMware ESXi.
Zum Schutz Ihrer ESXi -Installation beschreibt diese Dokumentation die in ESXi integrierten Sicherheitsfunktionen sowie die Manahmen, die Sie ergreifen knnen, um sie vor Angriffen zu schtzen.
Zielgruppe
Diese Informationen sind fr alle Benutzer hilfreich, die ihre ESXi-Konfiguration sichern mchten. Die Informationen sind fr erfahrene Systemadministratoren bestimmt, die mit der Windows- oder Linux-VM-Technologie und Datencenteroperationen vertraut sind.
VMware, Inc.
vSphere-Sicherheit
VMware, Inc.
Aktualisierte Informationen
Diese Dokumentation zur vSphere-Sicherheit wird in jeder Version des Produkts oder bei Bedarf aktualisiert.
Diese Tabelle enthlt den Update-Verlauf fr die Dokumentation vSphere-Sicherheit.
Revision
Beschreibung
EN- 000792-01
n
n
n
n
n
EN- 000792-00
VMware, Inc.
Der Abschnitt zur Fehlerbehebung fr Single Sign On wurde unter Fehlerbehebung fr vCenter Single
Sign On, auf Seite 120 hinzugefgt.
Die Liste der TCP- und UDP-Ports, die fr vCenter Virtual Appliance bentigt werden, wurde unter
TCP- und UDP-Ports fr den Verwaltungszugriff, auf Seite 25 aktualisiert.
Es wurde ein Hinweis hinzugefgt, dass sich der Vorgang zum Konfigurieren und Ersetzen der Zertifikate fr die vCenter Server Virtual Appliance unterscheidet.
Text des Hinweises, Beschreibung des Benutzernamens und des Kennworts in Schritt 4 von Hinzufgen einer vCenter Single Sign On-Identittsquelle, auf Seite 98 wurden gendert.
Geringfgige nderungen.
Erstversion.
vSphere-Sicherheit
10
VMware, Inc.
Bei der Entwicklung von ESXi war hohe Sicherheit einer der Schwerpunkte. VMware sorgt fr Sicherheit in
der ESXi-Umgebung und geht das Thema Systemarchitektur vom Standpunkt der Sicherheit aus an.
Dieses Kapitel behandelt die folgenden Themen:
n
VMwareVirtualisierungsebene (VMkernel)
CPU
VMware, Inc.
Virtuelle
Maschine
Virtuelle
Maschine
Virtuelle
Maschine
Virtuelle
Netzwerkebene
Arbeitsspeicher
Hardware-Netzwerkadapter
Speicher
11
vSphere-Sicherheit
Der ESXi-Kernel, Anwendungen im Benutzermodus und ausfhrbare Komponenten, z. B. Treiber und Bibliotheken, befinden sich an zufllig zugeteilten,
nicht vorhersehbaren Speicheradressen. In Kombination mit dem von Mikroprozessoren bereitgestellten Schutz fr nicht ausfhrbaren Arbeitsspeicher
bietet dies Schutz gegen bsartigen Code, dem es dadurch erschwert wird,
Arbeitsspeicherexploits zu verwenden, um Schwachstellen auszunutzen.
Digitale Signaturen berprfen die Integritt und Echtheit von Modulen, Treibern und Anwendungen, wenn sie vom VMkernel geladen werden. Das Signieren von Modulen hilft ESXi, die Anbieter von Modulen, Treibern oder Anwendungen zu identifizieren und festzustellen, ob sie fr VMware zertifiziert
sind. VMware-Software und bestimmte Treiber von Drittanbieter haben eine
VMware-Signatur.
vSphere verwendet Intel Trusted Platform Module/Trusted Execution Technology (TPM/TXT), um einen Remote-Nachweis des Hypervisor-Images basierend auf Hardware Root of Trust zu erhalten. Das Hypervisor-Image enthlt
folgende Elemente:
n
Um diese Funktionen zu nutzen, mssen auf Ihrem ESXi-System TPM und TXT
aktiviert sein.
Wenn TPM und TXT aktiviert sind, misst ESXi den kompletten HypervisorStapel, wenn das System hochfhrt, und speichert diese Messungen in den
Plattformkonfigurations-Registern (Platform Configuration Register, PCR) des
TPM. Die Messungen umfassen VMkernel, Kernelmodule, Treiber, native Verwaltungssoftware, die auf ESXi luft, sowie Konfigurationsoptionen fr den
Neustart. Alle VIBs, die im System installiert sind, werden gemessen.
Drittanbieterlsungen knnen diese Funktion verwenden, um ein Prfprogramm zu erstellen, das eine Manipulation des Hypervisor-Images erkennt,
indem das Image einem Image der erwarteten korrekten Werte verglichen
wird. vSphere stellt keine Benutzeroberflche zur Anzeige dieser Messungen
bereit.
Die Messungen werden in einer vSphere-API angeboten. Ein Ereignisprotokoll
wird gem den Spezifikationen des Trusted Computing Group-Standards
(TCG) fr TXT als Teil der API bereitgestellt.
12
VMware, Inc.
Den uneingeschrnkten Zugriff der Benutzer auf die anderen virtuellen Maschinen
Den uneingeschrnkten Zugriff der anderen virtuellen Maschinen auf die Ressourcen, die sie bentigen
Jede virtuelle Maschine ist von den anderen virtuellen Maschinen, die auf der gleichen Hardware ausgefhrt
werden, isoliert. Obwohl sich die virtuellen Maschinen die physischen Ressourcen wie CPU, Arbeitsspeicher
und E/A-Gerte teilen, kann das Gastbetriebssystem einer einzelnen virtuellen Maschine nur die virtuellen
Gerte sehen, die ihm zur Verfgung gestellt wurden.
Abbildung 1-2. Isolierung virtueller Maschinen
Virtuelle Maschine
Anw.
Anw.
Anw.
Anw.
Anw.
Betriebssystem
VM-Ressourcen
CPU
SCSIController
Arbeitsspeicher
Maus
CD/DVD
Tastatur
Da VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware ber
VMkernel erfolgt, knnen die virtuellen Maschinen diese Isolierungsebene nicht umgehen.
So wie ein Computer mit anderen Computern in einem Netzwerk ber eine Netzwerkkarte kommuniziert,
kann eine virtuelle Maschine mit anderen virtuellen Maschinen auf dem gleichen Host ber einen virtuellen
Switch kommunizieren. Auerdem kann die virtuelle Maschine mit einem physischen Netzwerk, einschlielich virtueller Maschinen auf anderen ESXi-Hosts, ber einen physischen Netzwerkadapter kommunizieren.
VMware, Inc.
13
vSphere-Sicherheit
Virtuelle Maschine
Virtueller
Netzwerkadapter
Virtueller
Netzwerkadapter
VMkernel
Virtuelle
Netzwerkebene
Virtueller Switch
verbindet virtuelle
Maschinen miteinander
Hardware-Netzwerkadapter
verknpft virtuelle Maschinen
mit dem physischen Netzwerk
Physisches Netzwerk
Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt, ist sie
von den virtuellen Netzwerken auf dem Host vollstndig getrennt.
Wenn einer virtuellen Maschine kein physischer Netzwerkadapter zugewiesen wurde, ist die virtuelle
Maschine vollstndig von physischen Netzwerken getrennt.
Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsmanahmen
wie fr normale Computer verwenden (Firewalls, Antiviren-Software usw.), ist die virtuelle Maschine
genau so sicher, wie es ein Computer wre.
Sie knnen die virtuelle Maschine auerdem durch die Einrichtung von Ressourcenreservierungen und -begrenzungen auf dem Host schtzen. So knnen Sie zum Beispiel eine virtuelle Maschine mit den detaillierten
Werkzeugen zur Ressourcensteuerung, die Ihnen in ESXi zur Verfgung stehen, so konfigurieren, dass sie
immer mindestens 10 Prozent der CPU-Ressourcen des Hosts erhlt, nie jedoch mehr als 20 Prozent.
Ressourcenreservierungen und -einschrnkungen schtzen die virtuellen Maschinen vor Leistungsabfllen,
wenn eine andere virtuelle Maschine versucht, zu viele Ressourcen der gemeinsam genutzten Hardware zu
verwenden. Wenn zum Beispiel eine virtuelle Maschine auf einem Host durch eine Denial-Of-Service (DoS)Angriff auer Gefecht gesetzt wird, verhindert eine Einschrnkung, dass der Angriff so viele Hardware-Ressourcen einnimmt, dass die anderen virtuellen Maschinen ebenfalls betroffen werden. Ebenso stellt eine Ressourcenreservierung fr jede virtuelle Maschine sicher, dass bei hohen Ressourcenanforderungen durch den
DoS-Angriff alle anderen virtuellen Maschinen immer noch ber gengend Kapazitten verfgen.
Standardmig schreibt ESXi eine Art der Ressourcenreservierung vor, indem ein Verteilungsalgorithmus
verwendet wird, der die verfgbaren Hostressourcen zu gleichen Teilen auf die virtuellen Maschinen verteilt
und gleichzeitig einen bestimmten Prozentsatz der Ressourcen fr einen Einsatz durch andere Systemkomponenten bereithlt. Dieses Standardverhalten bietet einen natrlichen Schutz gegen DoS- und DDoS-Angriffe.
Geben Sie die spezifischen Ressourcenreservierungen und Grenzwerte individuell ein, wenn Sie das Standardverhalten auf Ihre Bedrfnisse so zuschneiden wollen, dass die Verteilung ber die gesamte Konfiguration
der virtuellen Maschine nicht einheitlich ist.
14
VMware, Inc.
ESXi untersttzt auch VLANs nach IEEE 802.1q, die zum weiteren Schutz des Netzwerkes der virtuellen Maschinen oder der Speicherkonfiguration verwendet werden knnen. Mit VLANs knnen Sie ein physisches
Netzwerk in Segmente aufteilen, sodass zwei Computer im gleichen physischen Netzwerk nur dann Pakete
untereinander versenden knnen, wenn sie sich im gleichen VLAN befinden.
Virtuelle Maschine 2
Virtuelle Maschine 3
Virtuelle Maschine 4
Firewallserver
Webserver
Anwendungsserver
Firewallserver
Standard-Switch
Hardware-Netzwerkadapter 1
Externes Netzwerk
Standard-Switch
Standard-Switch
Hardware-Netzwerkadapter 2
Internes Netzwerk
In diesem Beispiel sind vier virtuelle Maschinen so konfiguriert, dass sie eine virtuelle DMZ auf dem StandardSwitch 2 bilden:
n
Die virtuelle Maschine 1 und die virtuelle Maschine 4 fhren Firewalls aus und sind ber Standard-Switches an virtuelle Adapter angeschlossen. Diese beiden virtuellen Maschinen sind mehrfach vernetzt.
Auf der virtuellen Maschine 2 wird ein Webserver ausgefhrt, auf der virtuellen Maschine 3 ein Anwendungsserver. Diese beiden Maschinen sind einfach vernetzt.
Der Webserver und der Anwendungsserver befinden sich in der DMZ zwischen den zwei Firewalls. Die Verbindung zwischen diesen Elementen ist der Standard-Switch2, der die Firewalls mit den Servern verbindet.
Dieser Switch ist nicht direkt mit Elementen auerhalb der DMZ verbunden und wird durch die beiden Firewalls vom externen Datenverkehr abgeschirmt.
Whrend des Betriebs der DMZ betritt externer Datenverkehr aus dem Internet die virtuelle Maschine 1 ber
den Hardware-Netzwerkadapter 1 (weitergeleitet vom Standard-Switch 1) und wird von der auf dieser virtuellen Maschine installierten Firewall berprft. Wenn die Firewall den Datenverkehr autorisiert, wird er an
den Standard-Switch in der DMZ, den Standard-Switch 2, weitergeleitet. Da der Webserver und der Anwendungsserver ebenfalls an diesen Switch angeschlossen sind, knnen sie die externen Anforderungen bearbeiten.
Der Standard-Switch 2 ist auch an die virtuelle Maschine 4 angeschlossen. Auf dieser virtuellen Maschine
schirmt eine Firewall die DMZ vom internen Firmennetzwerk ab. Diese Firewall filtert Pakete vom Web- und
Anwendungsserver. Wenn ein Paket berprft wurde, wird es ber den Standard-Switch 3 an den HardwareNetzwerkadapter 2 weitergeleitet. Der Hardware-Netzwerkadapter 2 ist an das interne Firmennetzwerk angeschlossen.
VMware, Inc.
15
vSphere-Sicherheit
Bei der Implementierung einer DMZ auf einem einzelnen Host knnen Sie relativ einfache Firewalls verwenden. Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle ber eine andere virtuelle
Maschine ausben oder auf ihren Arbeitsspeicher zugreifen kann, sind die virtuellen Maschinen dennoch ber
ein virtuelles Netzwerk verbunden. Dieses Netzwerk kann fr die Verbreitung von Viren oder fr andere
Angriffe missbraucht werden. Die virtuellen Maschinen in der DMZ sind ebenso sicher wie getrennte physische Computer, die an dasselbe Netzwerk angeschlossen sind.
Internes Netzwerk
DMZ
VM 2
Interner
Benutzer
VM 3
VM 6
Interner
Benutzer
FirewallServer
VM 4
VM 7
Interner
Benutzer
WebServer
VM 1
VM 5
VM 8
FTPServer
Interner
Benutzer
FirewallServer
Physische Netzwerkadapter
Externes
Netzwerk 1
Internes
Netzwerk 2
Externes
Netzwerk 2
Internes
Netzwerk 1
In der Abbildung wurde ein Host vom Systemadministrator in drei eigenstndige virtuelle Maschinenzonen
eingeteilt: FTP-Server, interne virtuelle Maschinen und DMZ. Jede Zone erfllt eine bestimmte Funktion.
FTP-Server
Die virtuelle Maschine 1 wurde mit FTP-Software konfiguriert und dient als
Speicherbereich fr Daten von und an externe Ressourcen, z. B. fr von einem
Dienstleister lokalisierte Formulare und Begleitmaterialien.
Diese virtuelle Maschine ist nur mit dem externen Netzwerk verbunden. Sie
verfgt ber einen eigenen virtuellen Switch und physischen Netzwerkadapter, die sie mit dem externen Netzwerk 1 verbinden. Dieses Netzwerk ist auf
Server beschrnkt, die vom Unternehmen zum Empfang von Daten aus externen Quellen verwendet werden. Das Unternehmen verwendet beispielsweise
das externe Netzwerk 1, um FTP-Daten von Dienstleistern zu empfangen und
den Dienstleistern FTP-Zugriff auf Daten zu gewhren, die auf extern verfgbaren Servern gespeichert sind. Zustzlich zur Verarbeitung der Daten fr die
virtuelle Maschine 1 verarbeitet das externe Netzwerk 1 auch Daten fr FTPServer auf anderen ESXi-Hosts am Standort.
16
VMware, Inc.
DMZ
Die virtuellen Maschinen 6 bis 8 wurden als DMZ konfiguriert, die von der
Marketingabteilung dazu verwendet wird, die externe Website des Unternehmens bereitzustellen.
Diese Gruppe virtueller Maschinen ist dem externen Netzwerk 2 und dem internen Netzwerk 1 zugeordnet. Das Unternehmen nutzt das externe Netzwerk
2 zur Untersttzung der Webserver, die von der Marketing- und der Finanzabteilung zur Bereitstellung der Unternehmenswebsite und anderer webbasierter Anwendungen fr externe Nutzer verwendet werden. Das interne
Netzwerk1 ist der Verbindungskanal, den die Marketingabteilung zur Verffentlichung des Inhalts von der Unternehmenswebsite, zur Bereitstellung von
Downloads und Diensten wie Benutzerforen verwendet.
Da diese Netzwerke vom externen Netzwerk 1 und vom internen Netzwerk 2
getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte (Switches oder Adapter) aufweisen, besteht kein Angriffsrisiko fr den FTPServer oder die Gruppe interner virtueller Maschinen (weder als Ausgangspunkt noch als Ziel).
Wenn die Isolierung der virtuellen Maschinen genau beachtet wird, die virtuellen Switches ordnungsgem
konfiguriert werden und die Netzwerktrennung eingehalten wird, knnen alle drei Zonen der virtuellen Maschinen auf dem gleichen ESXi-Host untergebracht werden, ohne dass Datenverluste oder Ressourcenmissbruche befrchtet werden mssen.
Das Unternehmen erzwingt die Isolierung der virtuellen Maschinengruppen durch die Verwendung mehrerer
interner und externer Netzwerke und die Sicherstellung, dass die virtuellen Switches und physischen Netzwerkadapter jeder Gruppe von denen anderer Gruppen vollstndig getrennt sind.
VMware, Inc.
17
vSphere-Sicherheit
Da keiner der virtuellen Switches sich ber mehrere Zonen erstreckt, wird das Risiko des Durchsickerns von
Daten von einer Zone in eine andere ausgeschaltet. Ein virtueller Switch kann aufbaubedingt keine Datenpakete direkt an einen anderen virtuellen Switch weitergeben. Datenpakete knnen nur unter folgenden Umstnden von einem virtuellen Switch zu einem anderen gelangen:
n
Wenn die virtuellen Switches an das gleiche physische LAN angeschlossen sind
Wenn die virtuellen Switches an eine gemeinsame virtuelle Maschine angeschlossen sind, die dann dazu
verwendet werden kann, Datenpakete zu bertragen.
In der Beispielkonfiguration wird keine dieser Bedingungen erfllt. Wenn die Systemadministratoren sicherstellen mchten, dass es keine gemeinsamen virtuellen Switch-Pfade gibt, knnen sie mgliche gemeinsame
Kontaktpunkte suchen, indem sie den Netzwerk-Switch-Plan im vSphere-Client berprfen.
Zum Schutz der Hardwareressourcen der virtuellen Maschinen kann der Systemadministrator eine Reservierung und Einschrnkung der Ressourcen fr jede virtuelle Maschine vornehmen, um das Risiko von DoS- und
DDoS-Angriffen einzudmmen. Der Systemadministrator kann den ESXi-Host und die virtuellen Maschinen
auerdem durch die Installation von Softwarefirewalls im Front-End und Back-End der DMZ, durch Positionierung des ESXi-Hosts hinter einer physischen Firewall und der an das Netzwerk angeschlossenen Speicherressourcen an jeweils einen eigenen virtuellen Switch schtzen.
18
Thema
Ressourcen
http://www.vmware.com/security/
http://www.vmware.com/support/policies/security_response.html
VMware hat es sich zur Aufgabe gemacht, Sie bei der Absicherung Ihrer
virtuellen Umgebung zu untersttzen. Sicherheitslcken werden so
schnell wie mglich beseitigt. Die VMware-Richtlinie zur Sicherheitsantwort dokumentiert unseren Einsatz fr die Behebung mglicher
Schwachstellen in unseren Produkten.
http://www.vmware.com/support/policies/
VMware untersttzt viele Speichersysteme und Software-Agenten wie
Sicherungs-Agenten, Systemverwaltungs-Agenten usw. Ein Verzeichnis
der Agenten, Werkzeuge und anderer Software, die ESXi untersttzen,
finden Sie, indem Sie unter http://www.vmware.com/vmtn/resources/
nach ESXi-Kompatibilittshandbchern suchen.
Die Branche bietet mehr Produkte und Konfigurationen an, als VMware
testen kann. Wenn VMware ein Produkt oder eine Konfiguration nicht
in einem Kompatibilittshandbuch nennt, wird der technische Support
versuchen, Ihnen bei Problemen zu helfen, kann jedoch nicht garantieren, dass das Produkt oder die Konfiguration verwendet werden kann.
Testen Sie die Sicherheitsrisiken fr nicht untersttzte Produkte oder
Konfigurationen immer sorgfltig.
VMware, Inc.
Ressourcen
http://www.vmware.com/go/compliance/
http://www.vmware.com/go/vmsafe/
VMware, Inc.
19
vSphere-Sicherheit
20
VMware, Inc.
Sie knnen mithilfe von bestimmten Manahmen die Umgebung fr Ihre ESXi-Hosts, virtuellen Maschinen
und iSCSI-SANs absichern. Beachten Sie den sicherheitsbezogenen Netzwerkkonfigurationsaufbau und die
Manahmen, mit denen Sie die Komponenten in Ihrer Konfiguration vor Angriffen schtzen knnen.
Dieses Kapitel behandelt die folgenden Themen:
n
Zwischen zwei virtuelle Maschinen beispielsweise zwischen einer virtuellen Maschine, die als externer
Webserver dient, und einer virtuellen Maschine, die an das interne Firmennetzwerk angeschlossen ist.
Zwischen einem physischen Computer und einer virtuellen Maschine, wenn Sie eine Firewall zwischen
einen physischen Netzwerkadapter und eine virtuelle Maschine schalten.
VMware, Inc.
21
vSphere-Sicherheit
Die Nutzung von Firewalls in einer ESXi-Konfiguration hngt davon ab, wie Sie das Netzwerk nutzen mchten
und wie sicher die einzelnen Komponenten sein mssen. Wenn Sie zum Beispiel ein virtuelles Netzwerk erstellen, in dem jede virtuelle Maschine eine andere Benchmark-Testsuite fr die gleiche Abteilung ausfhrt,
ist das Risiko ungewollten Zugriffs von einer virtuellen Maschine auf eine andere minimal. Eine Konfiguration,
bei der Firewalls zwischen den virtuelle Maschinen vorhanden sind, ist daher nicht erforderlich. Um jedoch
eine Strung der Testlufe durch einen externen Host zu verhindern, kann die Konfiguration so eingerichtet
werden, dass sich eine Firewall am Eingang zum virtuellen Netzwerk befindet, um alle virtuelle Maschinen
zu schtzen.
Zwischen dem vSphere-Client oder einem Netzwerkverwaltungs-Client eines Drittanbieters und vCenter
Server.
Wenn die Benutzer ber einen Webbrowser auf virtuelle Maschinen zugreifen, zwischen dem Webbrowser und dem ESXi-Host.
Wenn die Benutzer ber den vSphere-Client auf virtuelle Maschinen zugreifen, zwischen dem vSphereClient und dem ESXi-Host. Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem vSphereClient und vCenter Server und bentigt einen anderen Port.
Zwischen den ESXi-Hosts in Ihrem Netzwerk. Zwar ist der Datenverkehr zwischen Hosts normalerweise
vertrauenswrdig, aber Sie knnen bei befrchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den Hosts installieren.
Wenn Sie Firewalls zwischen ESXi-Hosts hinzufgen und virtuelle Maschinen auf einen anderen Server
verschieben, klonen oder vMotion verwenden mchten, mssen Sie auch Ports in allen Firewalls zwischen
Quell- und Zielhost ffnen, damit Quelle und Ziel miteinander kommunizieren knnen.
22
Zwischen ESXi-Hosts und Netzwerkspeicher, z. B. NFS- oder iSCSI-Speicher. Diese Ports sind nicht
VMware-spezifisch und werden anhand der Spezifikationen fr das jeweilige Netzwerk konfiguriert.
VMware, Inc.
Wie bei Konfigurationen mit vCenter Server sollten Sie sicherstellen, dass Ihre ESXi-Ebene oder, je nach
Konfiguration, Ihre Clients und die ESXi-Ebene geschtzt sind. Diese Firewall bietet einen Grundschutz
fr das Netzwerk. Die verwendeten Firewallports sind die gleichen wie bei der Verwendung von vCenter
Server.
Die Lizenzierung gehrt in dieser Konfiguration zu dem ESXi-Paket, das Sie auf allen Hosts installieren.
Da die Lizenzierung ber den Server abgewickelt wird, ist kein getrennter Lizenzserver erforderlich. Dadurch entfllt die Firewall zwischen dem Lizenzserver und dem ESXi-Netzwerk.
Herstellen einer Verbindung mit einem vCenter Server ber eine Firewall
Der von vCenter Server zum berwachen der von seinen Clients ausgehenden Datenbertragung verwendete
Standardport ist Port 443. Wenn zwischen vCenter Server und seinen Clients eine Firewall vorhanden ist,
mssen Sie eine Verbindung konfigurieren, ber die vCenter Server Daten von seinen Clients empfangen kann.
Geben Sie in der Firewall Port 443 frei, damit der vCenter Server Daten von dem vSphere-Client empfangen
kann. Bei weiteren Fragen zum Konfigurieren der Ports in der Firewall wenden Sie sich an Ihren FirewallAdministrator.
Wenn Sie den vSphere-Client verwenden und nicht Port 443 als Port fr den Datenverkehr zwischen vSphereClient und vCenter Server verwenden mchten, knnen Sie den Port ber die vCenter Server-Einstellungen
auf dem vSphere-Client ndern. Weitere Informationen ber das ndern dieser Einstellungen finden Sie unter
vCenter Server und Hostverwaltung.
VMware, Inc.
Dies ist der Port, den vCenter Server fr den Empfang von Daten vom ESXiHost als verfgbar erachtet. Der vSphere-Client nutzt diesen Port fr Verbindungen der Maus-/Tastatur-/Bildschirmaktivitten des Gastbetriebssystems
auf virtuelle Maschinen. Die Benutzer interagieren ber diesen Port mit dem
Gastbetriebssystem und den Anwendungen der virtuellen Maschine. Port 902
ist der Port, den der vSphere-Client fr verfgbar hlt, wenn mit virtuellen
Maschinen kommuniziert wird.
23
vSphere-Sicherheit
Port 902 verbindet vCenter Server mit dem Host ber den VMware Authorization Daemon (vmware-authd). Dieser Daemon bertrgt anschlieend Daten
von Port 902 zur Verarbeitung an die entsprechenden Empfnger. VMware
untersttzt fr diese Verbindung nur diesen Port.
Port 443
Der vSphere-Client und die SDK verwenden diesen Port, um Daten an die von
vCenter Server verwalteten Hosts zu senden. Auch das vSphere-SDK verwendet diesen Port, wenn es direkt mit dem ESXi-Host verbunden ist, um Verwaltungsfunktionen fr den Server und seine virtuelle Maschinen durchzufhren.
Port 443 ist der Port, den die Clients fr verfgbar halten, wenn Daten an den
ESXi-Host gesendet werden. VMware untersttzt fr diese Verbindungen nur
diesen Port.
Port 443 verbindet Clients mit dem ESXi-Host ber den Webservice Tomcat
oder das SDK. Der Host bertrgt anschlieend Daten von Port 443 zur Verarbeitung an die entsprechenden Empfnger.
Der vSphere-Client verwendet diesen Port fr Verbindungen der MKS-Aktivitten des Gastbetriebssystems auf virtuelle Maschinen. Die Benutzer interagieren ber diesen Port mit dem Gastbetriebssystem und den Anwendungen
der virtuellen Maschine. Port 903 ist der Port, den der vSphere-Client fr verfgbar hlt, wenn mit virtuellen Maschinen kommuniziert wird. Fr diese
Aufgabe untersttzt VMware nur diesen Port.
Port 903
Port 903 verbindet den vSphere-Client mit einer bestimmten virtuellen Maschine, die auf dem ESXi-Host konfiguriert wurde.
In der folgenden Abbildung werden die Beziehungen zwischen den vSphere-Clientfunktionen, Ports und
Prozessen dargestellt.
Abbildung 2-1. Port-Verwendung fr vSphere-Clientdatenverkehr mit ESXi
vSphere-Client
Virtuelle Maschine Managementfunktionen
Port 443
Firewall
Port 903
ESXi
vmware-hostd
vmware-authd
Wenn Sie zwischen dem vCenter Server-System und dem von vCenter Server verwalteten Host eine Firewall
installiert haben, mssen Sie die Ports 443 und 903 der Firewall ffnen, um Datenverkehr von vCenter Server
zu den ESXi-Hosts zuzulassen.
Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewalladministrator.
24
VMware, Inc.
Zweck
22
SSH-Server
Eingehendes TCP
53 (Standard)
DNS-Client
68 (Standard)
DHCP-Client
161 (Standard)
SNMP-Server
Eingehendes UDP
80 (Standard)
Eingehendes TCP
Ausgehendes TCP,
UDP
111 (Standard)
123
NTP-Client
Ausgehendes UDP
135 (Standard)
Wird zum Beitreten der vCenter Virtual Appliance zur Active Directory-Domne
verwendet
427 (Standard)
Der CIM-Client verwendet das Service Location Protocol, Version 2 (SLPv2), zum
Ermitteln von CIM-Servern.
VMware, Inc.
25
vSphere-Sicherheit
Port
Zweck
443 (Standard)
HTTPS-Zugriff
vCenter Server-Zugriff auf ESXi-Hosts
Standard-SSL-Webport.
vSphere-Client-Zugriff auf vCenter Server
vSphere-Client-Zugriff auf ESXi-Hosts
WS-Verwaltung
vSphere-Client-Zugriff auf vSphere Update Manager
Verbindungen von Netzwerkverwaltungs-Clients von Drittanbietern mit vCenter Server
Zugriff von Netzwerkverwaltungs-Client von Drittanbietern auf Hosts
Eingehendes TCP
513 (Standard)
Eingehendes UDP
902 (Standard)
Eingehendes und
ausgehendes TCP,
ausgehendes UDP
Datenverkehr der Remotesteuerung, der durch Zugriffe der Benutzer auf virtuelle Maschinen auf einem bestimmten Host entsteht.
vSphere-Client-Zugriff auf die Konsolen virtueller Maschinen
MKS-Transaktionen (xinetd/vmware-authd-mks)
Eingehendes TCP
1234, 1235
(Standard)
vSphere Replication
Ausgehendes TCP
2049
3260
Ausgehendes TCP
5900-5964
5988 (Standard)
Eingehendes TCP
5989 (Standard)
8000 (Standard)
8009
Ausgehendes TCP
8100, 8200
(Standard)
Eingehendes und
ausgehendes TCP,
UDP
8182
Eingehendes und
ausgehendes TCP,
eingehendes und
ausgehendes UDP
9009
Zustzlich zu den aufgefhrten TCP- und UDP-Ports knnen Sie andere Ports je nach Bedarf konfigurieren.
26
VMware, Inc.
Hinzufgen von Firewallschutz fr das virtuelle Netzwerk durch Installation und Konfiguration von
hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk.
Aus Effizienzgrnden knnen Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen
Maschine am Eingang des virtuellen Netzwerks. Diese dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den brigen virtuellen Maschinen im virtuellen Netzwerk.
Die Installation einer hostbasierten Firewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerks ist eine bewhrte Sicherheitsmanahme. Da hostbasierte Firewalls jedoch die Leistung beeintrchtigen knnen, sollten Sie Sicherheitsbedrfnisse und Leistungsanforderungen abwgen, bevor Sie hostbasierte Firewalls in anderen virtuellen Maschinen im Netzwerk installieren.
Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen
Netzwerksegmenten. Wenn Sie virtuelle Maschinenzonen in deren eigenen Netzwerksegmenten isolieren, minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone in die nchste. Die
Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehrt auch die Manipulation des Adressauflsungsprotokolls (ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und
IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum
Host mglich ist. Angreifer verwenden diese ARP-Manipulierung fr Man-in-the-Middle-Angriffe, fr
Denial of Service-Angriffe (DOS), zur bernahme des Zielsystems und zur anderweitigen Beeintrchtigung des virtuellen Netzwerks.
Eine sorgfltige Planung der Segmentierung senkt das Risiko von Paketbertragungen zwischen virtuellen Maschinenzonen und somit von Spionageangriffen, die voraussetzen, dass dem Opfer Netzwerkdatenverkehr zugestellt wird. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Sie knnen die
Segmentierung mit einer der beiden folgenden Methoden herstellen, von denen jede andere Vorteile bietet.
n
VMware, Inc.
Verwenden Sie getrennte physische Netzwerkadapter fr Zonen virtueller Maschinen, damit die Zonen auch tatschlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter fr die virtuellen Maschinenzonen stellt unter Umstnden die sicherste Methode dar, und
gleichzeitig ist sie am wenigsten anfllig fr Konfigurationsfehler nach dem Anlegen des ersten Segments.
27
vSphere-Sicherheit
Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. Da VLANs fast alle Sicherheitsvorteile bieten, die auch die Implementierung physisch getrennter Netzwerke aufweist, ohne
dass dafr der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist, stellen sie
eine rentable Lsung zur Verfgung, die die Kosten fr die Bereitstellung und Wartung zustzlicher
Gerte, Kabel usw. einsparen kann.
VLANs sind eine Netzwerkarchitektur nach dem IEEE-Standard und verfgen ber spezifische Kennzeichnungsmethoden, durch die Datenpakete nur an die Ports weitergeleitet werden, die zum VLAN gehren.
Wenn das VLAN ordnungsgem konfiguriert ist, ist es ein zuverlssiges Mittel zum Schutz einer Gruppe
virtueller Maschinen vor zuflligem und bswilligem Eindringen.
Mit VLANs knnen Sie ein physisches Netzwerk so in Segmente aufteilen, dass zwei Computer oder virtuelle
Maschinen im Netzwerk nur dann Pakete untereinander austauschen knnen, wenn sie zum gleichen VLAN
gehren. So gehren zum Beispiel Buchhaltungsunterlagen und -transaktionen zu den wichtigsten vertraulichen internen Informationen eines Unternehmens. Wenn in einem Unternehmen die virtuellen Maschinen der
Verkaufs-, Logistik- und Buchhaltungsmitarbeiter an das gleiche physische Netzwerk angeschlossen sind,
knnen Sie die virtuellen Maschinen fr die Buchhaltungsabteilung schtzen, indem Sie VLANs einrichten.
Abbildung 2-2. Beispielplan eines VLAN
Host 1
Standard-Switch
Router
Host 2
VM0
VM1
VM2
VM3
VM4
VM5
VLAN A
BroadcastDomne A
Standard-Switch
Standard-Switch
Switch 1
VM6
Host 3
VM8
Standard-Switch
VM9
Switch 2
VM7
VM10
Standard-Switch
VM13
VLAN
A
BroadcastDomne B
VM11
Host 4
VM12
VLAN
B
VLAN B
VM14
VLAN
B
Mehrere VLANs
auf demselben
virtuellen Switch
BroadcastDomnen A und B
Bei dieser Konfiguration verwenden alle Mitarbeiter der Buchhaltungsabteilung virtuelle Maschinen im VLAN
A, die Mitarbeiter der Vertriebsabteilung verwenden die virtuellen Maschinen im VLAN B.
Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter. Diese Pakete sind so gekennzeichnet, dass sie nur an VLAN A weitergeleitet werden drfen. Daher sind die Daten auf die BroadcastDomne A beschrnkt und knnen nur an die Broadcast-Domne B weitergeleitet werden, wenn der Router
entsprechend konfiguriert wurde.
Bei dieser VLAN-Konfiguration wird verhindert, dass Mitarbeiter des Vertriebs Datenpakete abfangen knnen, die fr die Buchhaltungsabteilung bestimmt sind. Die Buchhaltungsabteilung kann zudem auch keine
Datenpakete empfangen, die fr den Vertrieb bestimmt sind. Virtuelle Maschinen, die an einen gemeinsamen
virtuellen Switch angebunden sind, knnen sich dennoch in unterschiedlichen VLANs befinden.
28
VMware, Inc.
Sicherheitsempfehlungen fr VLANs
Wie Sie die VLANs einrichten, um Teile eines Netzwerks abzusichern, hngt von Faktoren wie dem Gastbetriebssystem und der Konfiguration der Netzwerkgerte ab.
ESXi ist mit einer vollstndigen VLAN-Implementierung nach IEEE 802.1q ausgestattet. Zwar kann VMware
keine spezifischen Empfehlungen aussprechen, wie die VLANs eingerichtet werden sollten, es sollten jedoch
bestimmte Faktoren bercksichtigt werden, wenn ein VLAN ein Bestandteil Ihrer Sicherheitsrichtlinien ist.
VMware, Inc.
29
vSphere-Sicherheit
Diese Angriffe berschwemmen den Switch mit Datenpaketen, die MAC-Adressen enthalten, die als von verschiedenen Quellen stammend gekennzeichnet
wurden. Viele Switches verwenden eine assoziative Speichertabelle, um die
Quelladresse fr jedes Datenpaket zu speichern. Wenn die Tabelle voll ist,
schaltet der Switch ggf. in einen vollstndig geffneten Status um, in dem alle
eingehenden Pakete auf allen Ports bertragen werden, sodass der Angreifer
den gesamten Datenverkehr des Switches verfolgen kann. In diesem Fall kann
es auch zu Paketlecks in andere VLANs kommen.
Zwar speichern die Standard-Switches von VMware eine MAC-Adressentabelle, aber sie erhalten die MAC-Adressen nicht von erkennbarem Datenverkehr und sind daher gegen diese Art von Angriffen immun.
Bei diesem Angriff werden die Datenblcke durch den Switch an ein anderes
VLAN weitergeleitet, indem der Switch durch einen Trick dazu gebracht wird,
als Verbindungsleitung zu fungieren und den Datenverkehr an andere VLANs
weiterzuleiten.
Die Standard-Switches von VMware fhren das dynamische Trunking, das fr
diese Art des Angriffs notwendig ist, nicht aus, und sind daher immun.
Bei dieser Art von Angriffen erstellt der Angreifer ein doppelt gekapseltes Paket, in dem sich der VLAN-Bezeichner im inneren Tag vom VLAN-Bezeichner
im ueren Tag unterscheidet. Um Rckwrtskompatibilitt zu gewhrleisten,
entfernen native VLANs standardmig das uere Tag von bertragenen Paketen. Wenn ein nativer VLAN-Switch das uere Tag entfernt, bleibt nur das
innere Tag brig, welches das Paket zu einem anderen VLAN weiterleitet, als
im jetzt fehlenden ueren Tag angegeben war.
Die Standard-Switches von VMware verwerfen alle doppelt eingekapselten
Datenblcke, die eine virtuelle Maschine auf einem fr ein bestimmtes VLAN
konfigurierten Port senden mchte. Daher sind sie immun gegen diese Art von
Angriffen.
Multicast-Brute-ForceAngriffe
Bei diesen Angriffen wird eine groe Anzahl von Multicast-Datenblcken fast
zeitgleich an ein bekanntes VLAN gesendet, um den Switch zu berlasten, damit er versehentlich einige Datenblcke in andere VLANs bertrgt.
Die Standard-Switches von VMware erlauben es Datenblcken nicht, ihren
richtigen bertragungsbereich (VLAN) zu verlassen und sind daher gegen
diese Art von Angriffen immun.
30
VMware, Inc.
Spanning-Tree-Angriffe
Diese Angriffe zielen auf das Spanning-Tree-Protokoll (STP), das zur Steuerung der berbrckung verschiedener Teile des LANs verwendet wird. Der
Angreifer sendet Pakete der Bridge Protocol Data Unit (BPDU) in dem Versuch,
die Netzwerktopologie zu ndern und sich selbst als Root-Bridge einzusetzen.
Als Root-Bridge kann der Angreifer dann die Inhalte bertragener Datenblcke mitschneiden.
Die Standard-Switches von VMware untersttzen STP nicht und sind daher
gegen diese Art von Angriffen immun.
Zufallsdatenblock-Angriffe
Bei diesen Angriffen wird eine groe Anzahl Pakete gesendet, bei denen die
Quell- und Zieladressen gleich sind, diese jedoch Felder unterschiedlicher
Lnge, Art und mit verschiedenem Inhalt enthalten. Ziel des Angriffes ist es
zu erzwingen, dass Pakete versehentlich in ein anderes VLAN fehlgeleitet
werden.
Die Standard-Switches von VMware sind gegen diese Art von Angriffen immun.
Da mit der Zeit immer neue Sicherheitsgefahren auftreten, kann diese Liste mglicher Angriffe nicht vollstndig sein. Rufen Sie regelmig die VMware-Sicherheitsressourcen im Internet ab, um mehr ber Sicherheit,
neue Sicherheitswarnungen und die Sicherheitstaktiken von VMware zu erfahren.
VMware, Inc.
31
vSphere-Sicherheit
Bei der Erstellung stimmen die geltende und die ursprnglich zugewiesene MAC-Adresse berein. Das Betriebssystem der virtuellen Maschine kann die geltenden MAC-Adresse jedoch jederzeit auf einen anderen
Wert setzen. Wenn ein Betriebssystem die geltenden MAC-Adresse ndert, empfngt der Netzwerkadapter
Netzwerkdatenverkehr, der fr die neue MAC-Adresse bestimmt ist. Das Betriebssystem kann jederzeit Frames mit einer imitierten Quell-MAC-Adresse senden. Daher kann ein Betriebssystem bswillige Angriffe auf
die Gerte in einem Netzwerk durchfhren, indem es einen Netzwerkadapter imitiert, der vom Empfngernetzwerk autorisiert wurde.
Mit den Sicherheitsprofilen fr den Standard-Switch auf den Hosts knnen Sie sich gegen diese Art von Angriffen schtzen, indem Sie drei Optionen einstellen. Wenn Sie eine Standardeinstellung fr einen Port ndern
mchten, mssen Sie das Sicherheitsprofil in den Einstellungen des Standard-Switches im vSphere-Client ndern.
MAC-Adressennderungen
Die Einstellung der Option [MAC-Adressennderungen] beeinflusst den Datenverkehr, den eine virtuelle
Maschine empfngt.
Wenn die Option auf [Akzeptieren] festgelegt ist, akzeptiert ESXi Anforderungen, die geltende MAC-Adresse
in eine andere als die ursprnglich zugewiesene Adresse zu ndern.
Wenn die Option auf [Ablehnen] festgelegt ist, lehnt ESXi Anforderungen ab, die geltende MAC-Adresse in
eine andere als die ursprnglich zugewiesene Adresse zu ndern. Damit wird der Host vor MAC-Imitationen
geschtzt. Der Port, der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird, ist deaktiviert, und der virtuelle Adapter erhlt keine weiteren Frames mehr, bis er die geltende MAC-Adresse ndert,
sodass sie mit der ursprnglichen MAC-Adresse bereinstimmt. Das Gastbetriebssystem erkennt nicht, dass
die nderung der MAC-Adresse nicht angenommen wurde.
HINWEIS Der iSCSI-Initiator basiert darauf, dass er MAC-Adressnderungen von bestimmten Speichertypen
erhalten kann. Wenn Sie ESXi-iSCSI verwenden und ber einen iSCSI-Speicher verfgen, legen Sie die Option [MAC-Adressennderungen] auf [Akzeptieren] fest.
In bestimmten Situationen ist es tatschlich notwendig, dass mehrere Adapter in einem Netzwerk die gleiche
MAC-Adresse haben, zum Beispiel wenn Sie den Microsoft-NetzwerkLastausgleich im Unicast-Modus verwenden. Bei Verwendung des Microsoft-NetzwerkLastausgleichs im Standard-Multicast-Modus haben die
Adapter nicht die gleiche MAC-Adresse.
MAC-Adressennderungen beeinflussen den Datenverkehr, der eine virtuelle Maschine verlsst. MAC-Adressnderungen treten ein, wenn der Absender diese vornehmen darf, selbst wenn Standard-Switches oder
eine empfangende virtuelle Maschine keine MAC-Adressnderungen zulassen.
Geflschte bertragungen
Die Einstellung der Option [Geflschte bertragungen] beeinflusst den Datenverkehr, der von einer virtuellen Maschine versendet wird.
Wenn die Option auf [Akzeptieren] festgelegt ist, vergleicht ESXi die Quell- und die geltende MAC-Adresse
nicht.
Zum Schutz gegen MAC-Imitation knnen Sie diese Option auf [Ablehnen (Reject)] einstellen. In diesem
Fall vergleicht der Host die Quell-MAC-Adresse, die vom Betriebssystem bertragen wird, mit der geltenden
MAC-Adresse des Adapters, um festzustellen, ob sie bereinstimmen. Wenn die Adressen nicht bereinstimmen, verwirft ESXi das Paket.
Das Gastbetriebssystem erkennt nicht, dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MACAdresse nicht senden kann. Der ESXi-Host fngt alle Pakete mit imitierten Adressen vor der bermittlung ab.
Das Gastbetriebssystem geht ggf. davon aus, dass die Pakete verworfen wurden.
32
VMware, Inc.
Betrieb im Promiscuous-Modus
Der Promiscuous-Modus deaktiviert jegliche Empfangsfilterung, die der virtuelle Netzwerkadapter normalerweise ausfhren wrde, sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk
empfngt. Standardmig kann der virtuelle Netzwerkadapter nicht im Promiscuous-Modus betrieben werden.
Zwar kann der Promiscuous-Modus fr die Nachverfolgung von Netzwerkaktivitten ntzlich sein, aber er
ist ein unsicherer Betriebsmodus, da jeder Adapter im Promiscuous-Modus Zugriff auf alle Pakete hat, auch
wenn manche Pakete nur fr einen spezifischen Netzwerkadapter bestimmt sind. Das bedeutet, dass ein Administrator oder Root-Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr, der fr andere
Gast- oder Hostbetriebssysteme bestimmt ist, einsehen kann.
HINWEIS Unter bestimmten Umstnden ist es notwendig, einen Standard-Switch in den Promiscuous-Modus
zu setzen, zum Beispiel wenn Sie eine Software zur Netzwerkeinbruchserkennung oder einen Paket-Sniffer
verwenden.
VMware, Inc.
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa add zusammen mit einer
oder mehreren der nachfolgenden Optionen ein.
Option
Beschreibung
--sa-source= Quelladresse
--sa-destination= Zieladresse
--sa-mode= Modus
Erforderlich. Geben Sie als Modus entweder transport oder tunnel an.
--sa-spi= Sicherheitsparameter-Index
Erforderlich. Geben Sie den Sicherheitsparameter-Index an. Der Sicherheitsparameter-Index identifiziert die Sicherheitsverbindung dem Host gegenber. Er muss eine Hexadezimalzahl mit dem Prfix 0x sein. Jede von Ihnen
erstellte Sicherheitsverbindung muss eine eindeutige Kombination aus Protokoll und Sicherheitsparameter-Index besitzen.
33
vSphere-Sicherheit
Option
Beschreibung
--encryption-algorithm= Verschlsselungsalgorithmus
Erforderlich. Verwenden Sie einen der folgenden Parameter, um den Verschlsselungsalgorithmus anzugeben.
n 3des-cbc
n aes128-cbc
n Null
Null bietet keine Verschlsselung.
--encryption-key= Verschlsselungsschlssel
--integrity-algorithm= Authentifizierungsalgorithmus
--integrity-key= Authentifizierungsschlssel
--sa-name=Name
34
VMware, Inc.
Vorgehensweise
u
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa list ein.
VMware, Inc.
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp add zusammen mit einer
oder mehreren der nachfolgenden Optionen ein.
Option
Beschreibung
--sp-source= Quelladresse
--sp-destination= Zieladresse
--source-port= Port
Erforderlich. Geben Sie den Quellport an. Der Quellport muss eine Zahl
zwischen 0 und 65535 sein.
--destination-port= Port
Erforderlich. Geben Sie den Zielport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
--upper-layer-protocol= Protokoll
--flow-direction= Richtung
Whlen Sie als Richtung, in der Sie den Datenverkehr berwachen mchten,
entweder in oder out aus.
--action= Aktion
Geben Sie mithilfe eines der folgenden Parameters die Aktion an, die ausgefhrt werden soll, wenn auf Datenverkehr mit den angegebenen Parametern gestoen wird.
n Keine: Keine Aktion ausfhren
n
ipsec: Die in der Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlsselungsinformationen verwenden, um zu ermitteln, ob die Daten aus einer vertrauenswrdigen Quelle stammen.
--sp-mode= Modus
Erforderlich. Geben Sie den Namen der Sicherheitsverbindung an, die die
Sicherheitsrichtlinie verwenden soll.
--sp-name=Name
35
vSphere-Sicherheit
Geben Sie den Befehl esxcli network ip ipsec sp remove --sa-nameName der Sicherheitsrichtlinie
in die Eingabeaufforderung ein.
Um alle Sicherheitsrichtlinien zu entfernen, geben Sie den Befehl
esxcli network ip ipsec sp remove --remove-all ein.
Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp list ein.
36
VMware, Inc.
iSCSI-SANs ermglichen die effiziente Verwendung bestehender Ethernet-Infrastrukturen zum Zugriff auf
Speicherressourcen durch Hosts, die diese Ressourcen dynamisch teilen knnen. Deshalb bieten iSCSI-SANs
eine wirtschaftliche Speicherlsung fr Umgebungen, die auf einem gemeinsamen Speicherpool fr verschiedene Benutzer basieren. Wie in allen vernetzten Systemen sind auch iSCSI-SANs anfllig fr Sicherheitsverletzungen.
HINWEIS Die Anforderungen und Vorgehensweisen fr die Absicherung von iSCSI-SANs hneln denen fr
Hardware-iSCSI-Adapter, die Sie fr Hosts und fr iSCSI verwenden, die direkt ber den Host konfiguriert
werden.
VMware, Inc.
37
vSphere-Sicherheit
38
VMware, Inc.
Schlsselqualitt
Die bertragung von Daten ber unsichere Verbindungen stellt ein Sicherheitsrisiko dar, da bswillige Benutzer Daten scannen knnen, whrend sie im Netzwerk bertragen werden. Als Schutz dagegen verschlsseln die Netzwerkkomponenten meistens die Daten, sodass diese nicht so einfach gelesen werden knnen.
Zur Verschlsselung verwendet die sendende Komponente, zum Beispiel ein Gateway oder ein Redirector,
kryptographische Algorithmen (sog. Schlssel), um die Daten zu ndern, bevor sie bertragen werden. Die
Zielkomponente verwendet dann einen Schlssel, um die Daten zu entschlsseln und sie in ihre ursprngliche
Form zu bringen. Mehrere Schlssel werden verwendet. Die Sicherheitsebene jedes dieser Schlssel ist unterschiedlich. Ein Ma zur Bestimmung der Datenschutzfhigkeit eines Schlssels ist die Schlsselqualitt, d. h.
die Anzahl der Bits im Verschlsselungsschlssel. Je hher diese Anzahl ist, desto sicherer ist der Schlssel.
Damit die aus und zu externen Netzwerken gesendeten Daten geschtzt werden, verwendet ESXi einen der
aktuell verfgbaren sichersten Blockschlssel: die 256-Bit-AES-Blockverschlsselung. ESXi verwendet auerdem 1024-Bit-RSA fr den Schlsselaustausch. Diese Verschlsselungsalgorithmen sind fr folgende Verbindungen Standard.
n
SSH-Sicherheit
Sie knnen SSH verwenden, um sich remote an die ESXi-Shell anzumelden und Fehlerbehebungsaufgaben fr
den Host durchzufhren.
Die SSH-Konfiguration in ESXi wurde zwecks Erweiterung der Sicherheitsstufe verbessert.
Version 1 SSH-Protokoll
deaktiviert
Verbesserte Schlsselqualitt
Diese Einstellungen wurden so entworfen, dass die Daten, die Sie ber SSH an die Verwaltungsschnittstelle
bertragen, gut geschtzt werden. Wenn diese Konfiguration fr Ihre Bedrfnisse zu streng ist, knnen Sie
die Sicherheitsparameter senken.
VMware, Inc.
39
vSphere-Sicherheit
CIM-Anbieter werden als Mechanismus zum Bereitstellen des Verwaltungszugriffs auf Gertetreiber und die
zugrunde liegende Hardware verwendet. Hardwareanbieter einschlielich Serverhersteller und Anbieter spezieller Hardwaregerte knnen Anbieter fr die berwachung und Verwaltung ihrer speziellen Gerte entwickeln. Auch VMware schreibt Anbieter, mit denen die berwachung von Serverhardware, ESXi-Speicherinfrastruktur und virtualisierungsspezifischen Ressourcen implementiert wird. Diese Anbieter werden im
ESXi-System ausgefhrt. Aus diesem Grund sind sie sehr leichtgewichtig und auf spezifische Verwaltungsaufgaben ausgerichtet. Der CIM-Broker erfasst Informationen von allen CIM-Anbietern und stellt sie der Auenwelt ber Standard-APIs bereit, wobei WS-MAN der gelufigste ist.
Stellen Sie Remoteanwendungen keine Root-Anmeldedaten fr den Zugriff auf die CIM-Schnittstelle bereit.
Erstellen Sie stattdessen ein fr diese Anwendungen bestimmtes Dienstkonto und gewhren Sie jedem auf
dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff
auf CIM-Informationen.
Vorgehensweise
1
Gewhren Sie jedem auf dem ESXi-System festgelegten lokalen Konto sowie jeder in vCenter Server definierten Rolle Nur-Lesezugriff auf CIM-Informationen.
(Optional) Wenn die Anwendung Schreibzugriff auf die CIM-Schnittstelle erfordert, erstellen Sie eine auf
das Dienstkonto anzuwendende Rolle mit nur zwei Rechten:
n
Host.Config.SystemManagement
Host.CIM.CIMInteraction
Diese Rolle kann je nach Funktionsweise der berwachungsanwendung lokal auf dem Host oder auf
vCenter Server zentral definiert sein.
Wenn sich ein Benutzer am Host mit dem Dienstkonto anmeldet (z. B. mit dem vSphere-Client), verfgt er nur
ber die zwei Rechte SystemManagement und CIMInteraction oder hat nur Lesezugriff.
40
VMware, Inc.
Absichern der
Verwaltungsschnittstelle
Die Sicherheit der ESXi-Verwaltungsschnittstelle ist ausschlaggebend fr den Schutz vor unbefugtem Zugriff
und Missbrauch.
Wenn ein Host auf bestimmte Weise gefhrdet wird, ist auch die von ihm gesteuerte virtuelle Maschine gefhrdet. Um das Risiko eines Angriffs ber die Verwaltungsschnittstelle zu minimieren, wird ESXi durch eine
Firewall geschtzt.
Dieses Kapitel behandelt die folgenden Themen:
n
Allgemeine Sicherheitsempfehlungen
Um den Host gegen unbefugten Zugriff und Missbrauch abzusichern, werden von VMware Beschrnkungen
fr mehrere Parameter, Einstellungen und Aktivitten auferlegt. Sie knnen diese Beschrnkungen lockern,
um Ihre Konfigurationsbedrfnisse zu erfllen. In diesem Fall mssen Sie aber tatschlich in einer vertrauenswrdigen Umgebung arbeiten und gengend andere Sicherheitsmanahmen ergriffen haben, um das
Netzwerk als Ganzes und die an den Host angeschlossenen Gerte zu schtzen.
Bercksichtigen Sie bei der Bewertung der Hostsicherheit und -verwaltung die folgenden Empfehlungen.
n
VMware, Inc.
41
vSphere-Sicherheit
Der Host fhrt eine Vielzahl von Drittanbieterpaketen aus, um Verwaltungsschnittstellen oder von Ihnen
durchzufhrende Aufgaben zu untersttzen. Bei VMware drfen diese Pakete nur ber eine VMwareQuelle aktualisiert werden. Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden,
knnen die Sicherheit und die Funktionen der Verwaltungsschnittstelle gefhrdet werden. berprfen
Sie die Internetseiten von Drittanbietern und die VMware-Wissensdatenbank regelmig auf Sicherheitswarnungen.
Neben der Implementierung der Firewall knnen auch andere Methoden zur Reduzierung von Hostrisiken
verwendet werden.
n
ESXi fhrt nur Dienste aus, die zur Verwaltung seiner Funktionen unabdingbar sind. Die Distribution
beschrnkt sich auf die Funktionen, die zum Betrieb von ESXi erforderlich sind.
Standardmig sind alle Ports, die nicht speziell fr den Verwaltungszugriff auf den Host notwendig
sind, geschlossen. Wenn Sie zustzliche Dienste bentigen, mssen Sie die jeweiligen Ports ffnen.
Standardmig sind schwache Schlssel deaktiviert und smtliche Kommunikation der Clients wird
durch SSL gesichert. Die genauen Algorithmen, die zum Sichern des Kanals verwendet werden, hngen
vom SSL-Handshake ab. Auf ESXi erstellte Standardzertifikate verwenden SHA-1 mit RSA-Verschlsselung als Signaturalgorithmus.
Der Webservice Tomcat, der intern von ESXi verwendet wird, um den Zugriff von Webclients zu untersttzen, wurde so angepasst, dass nur diejenigen Funktionen ausgefhrt werden, die fr die Verwaltung
und berwachung von einem Webclient erforderlich sind. Daher ist ESXi nicht von den Sicherheitslcken
betroffen, die fr Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden.
VMware berwacht alle Sicherheitswarnungen, die die Sicherheit von ESXi beeintrchtigen knnten, und
gibt, falls erforderlich, einen Sicherheits-Patch aus.
Unsichere Dienste, wie z. B. FTP und Telnet sind nicht installiert, und die Ports fr diese Dienste sind
standardmig geschlossen. Da sicherere Dienste wie SSH und SFTP leicht verfgbar sind, sollten Sie stets
auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten. Wenn Sie die
unsicheren Dienste verwenden mssen und fr den Host einen ausreichenden Schutz hergestellt haben,
mssen Sie explizit Ports ffnen, um sie zu untersttzen.
ESXi -Firewall-Konfiguration
ESXi enthlt eine Firewall zwischen der Verwaltungsschnittstelle und dem Netzwerk. Die Firewall ist standardmig aktiviert.
Whrend der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme der unter TCP- und
UDP-Ports fr den Verwaltungszugriff, auf Seite 25 aufgefhrten Standarddienste der eingehende und ausgehende Datenverkehr blockiert wird.
HINWEIS Die Firewall lsst auch Internet Control Message Protocol (ICMP)-Pings und Kommunikation mit
DHCP- und DNS- Clients (nur UDP) zu.
Untersttzte Dienste und Verwaltungs-Agenten, die zum Ausfhren des Hosts erforderlich sind, werden in
einer Regelsatz-Konfigurationsdatei im ESXi-Firewallverzeichnis /etc/vmware/firewall/ beschrieben. Die
Datei enthlt Firewallregeln und listet die Beziehung einer jeden Regel zu Ports und Protokollen auf.
42
VMware, Inc.
Sie knnen zur ESXi-Firewall nur dann eine Regel hinzufgen, wenn Sie ein VIB erstellen und installieren, das
die Regelsatz-Konfigurationsdatei enthlt. Das VIB-Authoring-Tool steht VMware-Partnern zur Verfgung.
HINWEIS Das Verhalten des NFS-Client-Regelsatzes (nfsClient) unterscheidet sich von dem Verhalten anderer
Regelstze. Wenn der NFS-Client-Regelsatz aktiviert ist, sind alle ausgehenden TCP-Ports fr die Zielhosts in
der Liste der zulssigen IP-Adressen offen. Weitere Informationen hierzu finden Sie unter Verhalten des NFSClient-Regelsatzes, auf Seite 46.
Regelsatz-Konfigurationsdateien
Eine Regelsatz-Konfigurationsdatei enthlt Firewallregeln und beschreibt die Beziehung einer jeden Regel zu
Ports und Protokollen. Die Regelsatz-Konfigurationsdatei kann Regelstze fr mehrere Dienste enthalten.
Regelsatz-Konfigurationsdateien befinden sich im Verzeichnis /etc/vmware/firewall/. Um einen Dienst zum
Sicherheitsprofil des Hosts hinzuzufgen, knnen VMware-Partner ein VIB erstellen, das die Portregeln fr
den Dienst in einer Konfigurationsdatei enthlt. Die VIB-Authoring-Tools stehen VMware-Partnern zur Verfgung.
Das ruleset.xml-Format fr ESXi 5.x ist das gleiche wie in der Version 4.x von ESX und ESXi, weist aber zwei
zustzliche Tags auf: enabled und required. Die ESXi 5.x-Firewall untersttzt weiterhin das ruleset.xmlFormat fr 4.x.
Jeder Satz von Regeln fr einen Dienst in der Regelsatz-Konfigurationsdatei enthlt die folgenden Informationen.
n
Ein numerischer Bezeichner fr den Dienst, falls die Konfigurationsdatei mehr als einen Dienst enthlt.
Ein eindeutiger Bezeichner fr den Regelsatz, in der Regel der Name des Dienstes.
Fr jede Regel enthlt die Datei eine oder mehrere Portregeln, die jeweils eine Definition fr die Richtung,
das Protokoll, den Porttyp und die Portnummer oder einen Bereich von Portnummern enthalten.
Ein Flag, das angibt, ob der Dienst aktiviert oder deaktiviert ist, wenn der Regelsatz angewendet wird.
Ein Hinweis darauf, ob der Regelsatz erforderlich ist und nicht deaktiviert werden kann.
Beispiel: Regelsatz-Konfigurationsdatei
<ConfigRoot>
<service id='0000'>
<id>serviceName</id>
<rule id = '0000'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>80</port>
</rule>
<rule id='0001'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>src</porttype>
<port>
<begin>1020</begin>
<end>1050</end>
</port>
</rule>
<enabled>true</enabled>
<required>false</required>
</service>
</ConfigRoot>
VMware, Inc.
43
vSphere-Sicherheit
Zulassen oder Verweigern des Zugriffs auf einen ESXi -Dienst oder ManagementAgenten
Sie knnen die Eigenschaften der Firewall konfigurieren, um einem Dienst oder Verwaltungs-Agenten den
Zugriff zu ermglichen oder zu verweigern.
Sie fgen Informationen ber zulssige Dienste und Management-Agenten zur Hostkonfigurationsdatei hinzu. Sie knnen diese Dienste und Agenten mithilfe des vSphere-Clients oder der Befehlszeile aktivieren bzw.
deaktivieren.
HINWEIS Wenn sich die Portregeln verschiedener Dienste berschneiden, kann das Aktivieren eines Diensts
mglicherweise dazu fhren, dass weitere berschneidende Dienste implizit aktiviert werden. Zum Minimieren der Auswirkungen dieses Verhaltens knnen Sie angeben, welche IP-Adressen auf jeden Dienst auf dem
Host zugreifen drfen.
Vorgehensweise
1
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf die Registerkarte [Konfiguration (Configuration)] und dann auf [Sicherheitsprofil
(Security Profile)] .
Der vSphere-Client zeigt eine Liste der aktiven eingehenden und ausgehenden Verbindungen mit den
entsprechenden Firewallports an.
Whlen Sie die zu aktivierenden Regelstze oder heben Sie die Auswahl der zu deaktivierenden Regelstze auf.
Die Spalten Eingehende Ports und Ausgehende Ports zeigen die Ports an, die der vSphere-Client fr
den Dienst freigibt. Die Spalte Protokoll gibt das Protokoll an, das der Dienst verwendet. Die Spalte
Daemon zeigt den Status der Daemons an, die dem Dienst zugewiesen wurden.
Zulassen oder Verweigern des Zugriffs auf einen ESXi -Dienst oder ManagementAgenten mit vSphere Web Client
Sie knnen die Eigenschaften der Firewall konfigurieren, um einem Dienst oder Management-Agenten den
Zugriff zu ermglichen oder zu verweigern.
Sie fgen Informationen ber zulssige Dienste und Management-Agenten zur Hostkonfigurationsdatei hinzu. Sie knnen diese Dienste und Agenten mithilfe des vSphere-Clients oder der Befehlszeile aktivieren bzw.
deaktivieren.
HINWEIS Wenn sich die Portregeln verschiedener Dienste berschneiden, kann das Aktivieren eines Diensts
mglicherweise dazu fhren, dass weitere berschneidende Dienste implizit aktiviert werden. Zum Minimieren der Auswirkungen dieses Verhaltens knnen Sie angeben, welche IP-Adressen auf jeden Dienst auf dem
Host zugreifen drfen.
Vorgehensweise
44
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
VMware, Inc.
Whlen Sie die zu aktivierenden Regelstze oder heben Sie die Auswahl der zu deaktivierenden Regelstze auf.
Die Spalten Eingehende Ports und Ausgehende Ports zeigen die Ports an, die der vSphere-Client fr
den Dienst freigibt. Die Spalte Protokoll gibt das Protokoll an, das der Dienst verwendet. Die Spalte
Daemon zeigt den Status der Daemons an, die dem Dienst zugewiesen wurden.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf die Registerkarte [Konfiguration] und whlen Sie [Sicherheitsprofil] .
Whlen Sie einen Dienst in der Liste aus und klicken Sie auf [Firewall] .
Whlen Sie [Nur Verbindungen von den folgenden Netzwerken zulassen] und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host herstellen drfen.
Sie knnen die IP-Adressen in den folgenden Formaten eingeben: 192.168.0.0/24, 192.168.1.2, 2001::1/64
oder fd3e:29a6:0a81:e478::/64.
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
Klicken Sie im Abschnitt Firewall auf [Bearbeiten] , und whlen Sie einen Dienst aus der Liste aus.
VMware, Inc.
45
vSphere-Sicherheit
Deaktivieren Sie im Abschnitt Zulssige IP-Adressen die Option [Verbindungen von jeder beliebigen
IP-Adresse zulassen] und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host
herstellen drfen.
Sie knnen die IP-Adressen in den folgenden Formaten eingeben: 192.168.0.0/24, 192.168.1.2, 2001::1/64
oder fd3e:29a6:0a81:e478::/64.
Wenn der NFS-Client-Regelsatz deaktiviert ist, aktiviert ESXi den Regelsatz und deaktiviert die Richtlinie
zum Zulassen aller IP-Adressen, indem das allowedAll-Flag auf FALSE gesetzt wird. Die IP-Adresse des
NFS-Servers wird der zugelassenen Liste fr ausgehende IP-Adressen hinzugefgt.
Wenn der NFS-Client-Regelsatz aktiviert ist, werden der Status des Regelsatzes und die Richtlinie zum
Zulassen von IP-Adressen nicht gendert. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste
fr ausgehende IP-Adressen hinzugefgt.
Wenn Sie einen NFS-Datenspeicher entfernen oder unmounten, fhrt ESXi eine der folgenden Aktionen durch.
n
Wenn ESXi auf einem beliebigen NFS-Datenspeicher gemountet wird, wird die IP-Adresse des nicht gemounteten NFS-Servers aus der Liste der zugelassenen ausgehenden IP-Adressen entfernt und der NFSClient-Regelsatz bleibt aktiviert.
Falls ESXi nicht in einem NFS-Datenspeicher gemountet ist, wird die IP-Adresse des nicht gemounteten
NFS-Servers aus der Liste der zugelassenen IP-Adressen entfernt und die NFS-Client-Regel wird deaktiviert.
HINWEIS Wenn Sie vor oder nach dem Hinzufgen eines NFS-Datenspeichers zum System den NFS-ClientRegelsatz manuell aktivieren oder die Richtlinie zum Zulassen aller IP-Adressen manuell festlegen, werden
Ihre Einstellungen nach dem Unmounten des letzten NFS-Datenspeichers berschrieben. Der NFS-ClientRegelsatz wird nach dem Unmounten aller NFS-Datenspeicher deaktiviert.
46
VMware, Inc.
denen der Dienst gestartet oder beendet werden kann. Diese Konfiguration umfasst Optionen, welche das
ffnen der entsprechenden Ports bercksichtigen, und startet und beendet den NTP-Dienst anschlieend basierend auf diesen Bedingungen. Es sind mehrere Konfigurationsoptionen mglich, die alle auch fr den SSHServer gelten.
HINWEIS Die in diesem Abschnitt beschriebenen Einstellungen gelten nur fr Diensteinstellungen, die ber
den vSphere-Client oder ber mithilfe der vSphere Web Services SDK erstellte Anwendungen konfiguriert
wurden. Konfigurationen, die mit anderen Mitteln, wie z. B. ESXi-Shell, erstellt werden, oder Konfigurationsdateien im Verzeichnis /etc/init.d/ sind von diesen Einstellungen nicht betroffen.
n
[Automatisch starten, wenn ein Port geffnet ist, und beenden, wenn alle Ports geschlossen sind] : Die
Standardeinstellung fr diese Dienste, die VMware empfiehlt. Falls ein beliebiger Port geffnet ist, versucht der Client die zum betreffenden Dienst gehrenden Netzwerkressourcen zu kontaktieren. Wenn
einige Ports geffnet sind, der Port fr einen bestimmten Dienst jedoch geschlossen ist, misslingt der
Versuch. Dies hat allerdings nur geringe Nachteile. Wird der zugehrige ausgehende Port geffnet, beginnt der Dienst mit der Erledigung seiner Aufgaben.
[Mit dem Host starten und beenden] : Der Dienst wird kurz nach dem Starten des Hosts gestartet und
kurz vor dessen Herunterfahren beendet. Ebenso wie [Automatisch starten, wenn ein Port geffnet ist,
und beenden, wenn alle Ports geschlossen sind] bedeutet diese Option, dass der Dienst regelmig
versucht, seine Aufgaben zu erledigen, z. B. das Kontaktieren des angegebenen NTP-Servers. Wenn der
Port geschlossen war, spter jedoch geffnet wird, beginnt der Client unmittelbar mit der Erledigung
seiner Aufgaben.
[Manuell starten und beenden] : Der Host bernimmt unabhngig davon, welche Ports offen oder geschlossen sind, die vom Benutzer festgelegten Diensteinstellungen. Wenn ein Benutzer den NTP-Dienst
startet, wird dieser Dienst so lange ausgefhrt, bis der Host ausgeschaltet wird. Wenn der Dienst gestartet
und der Host ausgeschaltet wird, wird der Dienst als Teil des Herunterfahrens beendet. Sobald der Host
jedoch eingeschaltet wird, wird auch der Dienst erneut gestartet, sodass der vom Benutzer festgelegte
Status beibehalten bleibt.
HINWEIS ESXi-Firewall legt basierend auf der Startrichtlinie des Diensts automatisch fest, wann Regelstze
aktiviert oder deaktiviert werden. Mit dem Start eines Diensts wird der entsprechende Regelsatz aktiviert. Mit
dem Beenden eines Diensts wird der Regelsatz deaktiviert.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf die Registerkarte [Konfiguration (Configuration)] und dann auf [Sicherheitsprofil
(Security Profile)] .
VMware, Inc.
47
vSphere-Sicherheit
Whlen Sie den zu konfigurierenden Dienst oder Management-Agenten aus und klicken Sie auf [Optionen] .
Das Dialogfeld Startrichtlinie legt fest, wann der Dienst gestartet wird. In diesem Dialogfeld finden Sie
auch Informationen zum aktuellen Status des Diensts und Optionen zum manuellen Starten, Beenden
und Neustarten des Diensts.
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
ESXi -Firewall-Befehle
Sie knnen mithilfe der Befehlszeile die ESXi-Firewall konfigurieren.
48
Befehl
Beschreibung
Standardaktionen aktualisieren.
VMware, Inc.
Beschreibung
Ermglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
VMware, Inc.
49
vSphere-Sicherheit
50
VMware, Inc.
Die ESXi-Shell (vormals Tech Support Mode oder TSM) ist auf ESXi standardmig deaktiviert. Sie knnen
bei Bedarf lokalen Zugriff und Remotezugriff auf die Shell aktivieren.
Aktivieren Sie die ESXi-Shell nur zur Fehlerbehebung. Die ESXi-Shell kann unabhngig davon, ob der Host
im Sperrmodus ausgefhrt wird, aktiviert und deaktiviert werden.
ESXi-Shell
SSH
Aktivieren Sie diesen Dienst, um die ESXi-Shell remote ber SSH aufzurufen.
Wenn Sie diesen Dienst im Sperrmodus aktivieren, knnen Sie sich lokal bei
der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface,
DCUI) als Benutzer mit dem DCUI-Zugriffsrecht anmelden und den Sperrmodus deaktivieren. Sie knnen anschlieend auf den Host zugreifen, indem
Sie die ESXi-Shell aktivieren.
Nur Benutzer mit der Administratorrolle knnen auf die ESXi-Shell zugreifen. Benutzern, die zur Active Directory-Gruppe ESX Admins gehren, wird automatisch die Rolle Administrator zugewiesen. Jeder Benutzer mit der Administratorrolle kann unter Verwendung der ESXi-Shell Systembefehle (z. B. vmware -v)
ausfhren.
HINWEIS Aktivieren Sie die ESXi-Shell erst dann, wenn dies erforderlich ist.
Dieses Kapitel behandelt die folgenden Themen:
n
Verwenden des vSphere-Clients zum Aktivieren des Zugriffs auf die ESXi-Shell, auf Seite 51
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die ESXi-Shell, auf Seite 53
Verwenden der Benutzerschnittstelle der direkten Konsole (DCUI) fr den Zugriff auf die ESXiShell, auf Seite 55
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf die Registerkarte [Konfiguration] und whlen Sie [Sicherheitsprofil] .
VMware, Inc.
51
vSphere-Sicherheit
ESXi Shell
SSH
Klicken Sie auf [Optionen] und whlen Sie [Manuell starten und beenden] .
Wenn Sie [Manuell starten und beenden] whlen, wird der Dienst nicht gestartet, wenn Sie den Host
neu starten. Wenn Sie den Dienst beim Neustart des Hosts starten mchten, whlen Sie [Mit dem Host
starten und beenden] .
Weiter
Legen Sie die Zeitberschreitungswerte fr die Verfgbarkeits- und Leerlaufzeiten der ESXi-Shell fest.
Whlen Sie in der Bestandsliste den Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
52
VMware, Inc.
Vorgehensweise
1
Whlen Sie in der Bestandsliste den Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
Verwenden des vSphere Web Client zum Aktivieren des Zugriffs auf die
ESXi-Shell
Verwenden Sie den vSphere Web Client, um lokalen Zugriff und Remotezugriff auf die ESXi-Shell zu aktivieren.
Vorgehensweise
1
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
ESXi Shell
SSH
Klicken Sie auf [Dienstdetails] und whlen Sie die Startrichtlinie [Manuell starten und stoppen] aus.
Wenn Sie [Manuell starten und beenden] whlen, wird der Dienst nicht gestartet, wenn Sie den Host
neu starten. Wenn Sie den Dienst beim Neustart des Hosts starten mchten, whlen Sie [Mit dem Host
starten und beenden] .
Weiter
Legen Sie die Zeitberschreitungswerte fr die Verfgbarkeits- und Leerlaufzeiten der ESXi-Shell fest.
VMware, Inc.
53
vSphere-Sicherheit
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
Whlen Sie UserVars.ESXiShellTimeOut und klicken Sie auf das Symbol [Bearbeiten] .
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
Whlen Sie UserVars.ESXiShellTimeOut und klicken Sie auf das Symbol [Bearbeiten] .
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
54
VMware, Inc.
Drcken Sie in Direct Console User Interface die Taste F2, um das Men fr die Systemanpassung aufzurufen.
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus einen Dienst aus, der aktiviert werden
soll.
n
Drcken Sie die Esc-Taste wiederholt, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
Weiter
Legen Sie die Zeitberschreitungswerte fr die Verfgbarkeits- und Leerlaufzeiten der ESXi-Shell fest.
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus die Option [ESXi Shell- und SSHZeitberschreitungen ndern] aus und drcken Sie die Eingabetaste.
VMware, Inc.
Drcken Sie wiederholt die Eingabetaste und die Esc-Taste, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
55
vSphere-Sicherheit
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
Whlen Sie im Men Optionen fr den Fehlerbehebungsmodus die Option [ESXi Shell- und SSHZeitberschreitungen ndern] aus und drcken Sie die Eingabetaste.
Drcken Sie wiederholt die Eingabetaste und die Esc-Taste, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden
oder die Sitzung beendet wird, knnen Sie sich nicht mehr anmelden.
56
Melden Sie sich an der ESXi-Shell mit einer der folgenden Methoden an:
n
Wenn Sie direkten Zugriff auf den Host haben, drcken Sie Alt+F1, um den Anmeldebildschirm auf
der physischen Konsole der Maschine aufzurufen.
Wenn Sie eine Verbindung mit dem Host remote herstellen, verwenden Sie SSH oder eine andere
Remote-Konsolenverbindung, um eine Sitzung auf dem Host zu starten.
Geben Sie einen Benutzernamen und ein Kennwort ein, die vom Host erkannt werden.
VMware, Inc.
Sperrmodus
Um die Sicherheit von ESXi-Hosts zu verbessern, knnen Sie diese in den Sperrmodus versetzen.
Wenn Sie den Sperrmodus aktivieren, hat kein Benutzer auer vpxuser Authentifizierungsberechtigungen
oder kann Vorgnge direkt am Host vornehmen. Der Sperrmodus sorgt dafr, dass alle Vorgnge ber
vCenter Server durchgefhrt werden.
Wenn sich ein Host im Sperrmodus befindet, knnen Sie fr den Host keine vSphere-CLI-Befehle von einem
Verwaltungsserver, einem Skript oder von vMA aus ausfhren. Externe Software- oder Verwaltungstools
knnen mglicherweise keine Informationen vom ESXi-Host abrufen oder ndern.
HINWEIS Benutzer die zum DCUI-Zugriff berechtigt sind, knnen sich bei der Benutzerschnittstelle der direkten Konsole (DCUI) anmelden, wenn der Sperrmodus aktiviert ist. Wenn Sie den Sperrmodus ber die
Benutzerschnittstelle der direkten Konsole deaktivieren, wird allen Benutzern mit DCUI-Zugriffsrecht die
Administratorrolle auf dem Host erteilt. Sie erteilen das DCUI-Zugriffsrecht in den erweiterten Einstellungen.
Das Aktivieren oder Deaktivieren des Sperrmodus wirkt sich darauf aus, welche Benutzertypen berechtigt
sind, auf Hostdienste zuzugreifen, es hat jedoch keine Auswirkung auf die Verfgbarkeit dieser Dienste. Dies
bedeutet, dass bei Aktivierung der Dienste ESXi-Shell, SSH oder Direct Console User Interface (DCUI) diese
unabhngig davon ausgefhrt werden, ob sich der Host im Sperrmodus befindet.
Sie knnen den Sperrmodus aktivieren, indem Sie mithilfe des Assistenten zum Hinzufgen von Hosts dem
vCenter Servereinen Host hinzufgen, den vSphere-Client zum Verwalten eines Hosts verwenden oder die
Benutzerschnittstelle der direkten Konsole nutzen.
HINWEIS Wenn Sie den Sperrmodus ber die Direct Console User Interface (DCUI) aktivieren bzw. deaktivieren, werden Berechtigungen fr Benutzer und Gruppen auf dem Host verworfen. Um diese Berechtigungen
beizubehalten, mssen Sie den Sperrmodus mithilfe des vSphere-Clients aktivieren oder deaktivieren, der mit
vCenter Server verbunden ist.
Der Sperrmodus ist nur auf ESXi-Hosts verfgbar, die zu vCenter Server hinzugefgt wurden.
Dieses Kapitel behandelt die folgenden Themen:
n
Aktivieren des Sperrmodus ber die Benutzerschnittstelle der direkten Konsole, auf Seite 60
VMware, Inc.
57
vSphere-Sicherheit
Verhalten im Sperrmodus
Die Aktivierung des Sperrmodus wirkt sich darauf aus, welche Benutzer berechtigt sind, auf Hostdienste
zuzugreifen.
Benutzer, die bei der ESXi-Shell vor dem Aktivieren des Sperrmodus angemeldet waren, bleiben angemeldet
und knnen Befehle ausfhren. Allerdings knnen diese Benutzer den Sperrmodus nicht deaktivieren. Kein
anderer Benutzer, auch nicht Root-Benutzer oder Benutzer mit der Administratorrolle auf dem Host, kann die
ESXi-Shell verwenden, um sich bei einem Host anzumelden, der sich im Sperrmodus befindet.
Benutzer mit Administratorrechten auf dem vCenter Server-System knnen mithilfe des vSphere-Clients den
Sperrmodus fr Hosts deaktivieren, die vom vCenter Server-System verwaltet werden. Benutzer mit DCUIZugriffsrecht knnen sich mithilfe der Benutzerschnittstelle der direkten Konsole (DCUI) immer direkt beim
Host anmelden, um den Sperrmodus zu deaktivieren, selbst wenn der Benutzer nicht ber die Administratorrolle auf dem Host verfgt. Sie mssen das DCUI-Zugriffsrecht in den erweiterten Einstellungen festlegen.
HINWEIS Wenn Sie den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole deaktivieren, wird
allen Benutzern mit DCUI-Zugriffsrecht die Administratorrolle auf dem Host erteilt.
Root-Benutzer und Benutzer mit der Administratorrolle auf dem Host knnen sich mithilfe der DCUI nicht
direkt beim Host anmelden, wenn ihnen das DCUI-Zugriffsrecht nicht erteilt wurde. Wenn der Host nicht von
vCenter Server verwaltet wird oder nicht erreichbar ist, knnen sich nur die Benutzer mit DCUI-Zugriff bei
der DCUI anmelden und den Sperrmodus deaktivieren. Wenn der DCUI-Dienst beendet wurde, mssen Sie
ESXi erneut installieren.
Wenn der Host im Sperrmodus ausgefhrt wird, sind - im Gegensatz zum normalen Modus - je nach Benutzertyp verschiedene Dienste verfgbar. Nicht-Root-Benutzer drfen keine Systembefehle in ESXi Shell ausfhren.
Tabelle 5-1. Verhalten im Sperrmodus
Dienst
Normaler Modus
Sperrmodus
CIM-Anbieter
ESXi Shell
Keine Benutzer
SSH
Keine Benutzer
Sperrmodus-Konfigurationen
Sie knnen den Remotezugriff und den lokalen Zugriff auf die ESXi-Shell aktivieren oder deaktivieren, um
verschiedene Sperrmodus-Konfigurationen zu erstellen.
In der folgenden Tabelle wird aufgelistet, welche Dienste bei drei typischen Konfigurationen aktiviert sind.
VORSICHT Wenn Sie whrend der Ausfhrung des totalen Sperrmodus (Total Lockdown Mode) den Zugriff
auf vCenter Server verlieren, mssen Sie ESXi neu installieren, um Zugriff auf den Host zu erhalten.
58
VMware, Inc.
Kapitel 5 Sperrmodus
Standardkonfiguration
Empfohlene Konfiguration
Sperre
Aus
Ein
Ein
ESXi Shell
Aus
Aus
Aus
SSH
Aus
Aus
Aus
Ein
Ein
Aus
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf die Registerkarte [Konfiguration] und whlen Sie [Sicherheitsprofil] .
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
VMware, Inc.
59
vSphere-Sicherheit
60
Drcken Sie F2 an der Benutzerschnittstelle der direkten Konsole des Hosts und melden Sie sich an.
Blttern Sie zur Einstellung [Sperrmodus konfigurieren] und drcken Sie die Eingabetaste.
Drcken Sie die Esc-Taste wiederholt, bis Sie zurck zum Hauptmen der Benutzerschnittstelle der direkten Konsole gelangt sind.
VMware, Inc.
Verwenden von Active Directory zum Verwalten von Benutzern und Gruppen, auf Seite 80
ESXi 5.1 untersttzt keine lokalen Gruppen. Active Directory-Gruppen werden jedoch untersttzt.
Damit anonyme Benutzern wie root nicht ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) oder die ESXi Shell auf den Host zugreifen knnen, entfernen Sie die Administratorrechte des Benutzers vom Root-Ordner des Hosts. Dies gilt sowohl fr lokale Benutzer als auch fr Active
Directory-Benutzer und -Gruppen.
VMware, Inc.
61
vSphere-Sicherheit
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Tabelle Benutzer und klicken Sie
auf [Hinzufgen] .
Geben Sie fr die Anmeldung einen Benutzernamen und ein Kennwort ein.
HINWEIS Erstellen Sie keinen Benutzer mit dem Namen ALL. Berechtigungen, die dem Namen ALL zugewiesen sind, stehen mglicherweise in manchen Situationen nicht allen Benutzern zur Verfgung. Wenn
beispielsweise ein Benutzer mit dem Namen ALL Administratorberechtigungen besitzt, ist es mglich, dass
sich ein Benutzer mit ReadOnly-Berechtigungen remote beim Host anmelden kann. Dies ist nicht das
beabsichtigte Verhalten.
Erstellen Sie ein Kennwort, das den Anforderungen in Bezug auf die Lnge und Komplexitt entspricht. Der Host berprft die Einhaltung der Kennwortrichtlinien mithilfe des Standardauthentifizierungs-Plug-Ins pam_passwdqc.so. Falls das Kennwort nicht den Richtlinien entspricht, wird der
folgende Fehler angezeigt: Ein allgemeiner Systemfehler ist aufgetreten: Kennwort: Authentifizierungstoken-Manipulationsfehler.
62
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und klicken Sie zum ffnen des Dialogfelds
Benutzer bearbeiten auf [Bearbeiten] .
VMware, Inc.
Geben Sie fr die Anmeldung einen Benutzernamen und ein Kennwort ein.
HINWEIS Erstellen Sie keinen Benutzer mit dem Namen ALL. Berechtigungen, die dem Namen ALL zugewiesen sind, stehen mglicherweise in manchen Situationen nicht allen Benutzern zur Verfgung. Wenn
beispielsweise ein Benutzer mit dem Namen ALL Administratorberechtigungen besitzt, ist es mglich, dass
sich ein Benutzer mit ReadOnly-Berechtigungen remote beim Host anmelden kann. Dies ist nicht das
beabsichtigte Verhalten.
Erstellen Sie ein Kennwort, das den Anforderungen in Bezug auf die Lnge und Komplexitt entspricht. Der Host berprft die Einhaltung der Kennwortrichtlinien mithilfe des Standardauthentifizierungs-Plug-Ins pam_passwdqc.so. Falls das Kennwort nicht den Richtlinien entspricht, wird der
folgende Fehler angezeigt: Ein allgemeiner Systemfehler ist aufgetreten: Kennwort: Authentifizierungstoken-Manipulationsfehler.
Wenn Sie einen Benutzer vom Host entfernen, verliert er seine Berechtigungen fr alle Objekte auf dem Host
und kann sich nicht mehr anmelden.
HINWEIS Angemeldete Benutzer, die aus der Domne entfernt werden, behalten ihre Hostberechtigungen bis
zum nchsten Neustart des Hosts.
Vorgehensweise
1
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den zu entfernenden Benutzer und whlen Sie [Entfernen] .
Entfernen Sie den Root-Benutzer in keinem Fall.
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
VMware, Inc.
63
vSphere-Sicherheit
Legen Sie die Sortierreihenfolge der Tabelle fest, und blenden Sie Spalten ein oder aus, je nachdem, welche
Daten in der Exportdatei enthalten sein sollen.
n
Wenn Sie die Tabelle nach einer Spalte sortieren mchten, klicken Sie auf die entsprechende Spaltenberschrift.
Wenn Sie eine Spalte ein- oder ausblenden mchten, klicken Sie mit der rechten Maustaste auf eine
der Spaltenberschriften, und aktivieren oder deaktivieren Sie den Namen der Spalte, die Sie einoder ausblenden mchten.
Wenn Sie eine Spalte ein- oder ausblenden mchten, klicken Sie mit der rechten Maustaste auf eine
der Spaltenberschriften, und aktivieren oder deaktivieren Sie den Namen der Spalte, die Sie einoder ausblenden mchten.
Klicken Sie mit der rechten Maustaste an eine beliebigen Stelle in der Tabelle und klicken Sie dann zum
ffnen des Dialogfelds Speichern unter auf [Liste exportieren] .
Whlen Sie ein Verzeichnis aus, und geben Sie einen Dateinamen ein.
Whlen Sie den Dateityp aus und klicken Sie auf [OK] .
Kennwortanforderungen
Standardmig werden fr Benutzerkennwrter bestimmte Anforderungen von ESXi vorausgesetzt.
Kennwrter sollten Zeichen aus vier Zeichenklassen enthalten: Kleinbuchstaben, Grobuchstaben, Ziffern und
Sonderzeichen, wie z. B. Unter- oder Schrgstriche.
Ihr Benutzerkennwort muss die folgenden Lngenanforderungen erfllen.
n
Kennwrter mit Zeichen aus einer oder zwei Zeichenklassen mssen mindestens acht Zeichen lang sein.
Kennwrter mit Zeichen aus drei Zeichenklassen mssen mindestens sieben Zeichen lang sein.
Kennwrter mit Zeichen aus allen vier Zeichenklassen mssen mindestens sechs Zeichen lang sein.
HINWEIS Wenn ein Kennwort mit einem Grobuchstaben beginnt, wird dieser bei der Berechnung der verwendeten Zeichenklassen nicht bercksichtigt. Endet ein Kennwort mit einer Ziffer, wird diese bei der Berechnung der verwendeten Zeichenklassen ebenfalls nicht bercksichtigt.
Sie knnen auch einen Kennwortsatz verwenden, der mindestens drei Wrter mit einer Zeichenlnge von
jeweils 8 bis 40 Zeichen enthalten muss.
64
Xqat3hb: Beginnt mit einem Grobuchstaben, sodass nur zwei anstelle von drei Zeichenklassen bercksichtigt werden. Bei Verwendung von zwei Zeichenklassen muss das Kennwort jedoch acht Zeichen enthalten.
xQaTEh2: Endet mit einer Ziffer, sodass nur zwei anstelle von drei Zeichenklassen bercksichtigt werden.
Bei Verwendung von zwei Zeichenklassen muss das Kennwort jedoch acht Zeichen enthalten.
VMware, Inc.
Jeder Vorgang, der Speicherplatz bentigt, wie z. B. das Erstellen einer virtuellen Festplatte oder eines
Snapshots, erfordert das Recht Datenspeicher.Speicher zuteilen auf dem Zieldatenspeicher und das
Recht, den Vorgang selbst durchzufhren.
Jeder Host und Cluster hat seinen eigenen impliziten Ressourcenpool, der alle Ressourcen des Hosts oder
Clusters enthlt. Das direkte Bereitstellen einer virtuellen Maschine auf einen Host oder Cluster erfordert
das Recht Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen.
Die Liste der Rechte ist fr ESXi und vCenter Server identisch.
Sie knnen ber eine direkte Verbindung mit dem ESXi-Host Rollen erstellen und Berechtigungen festlegen.
Zulassen des Zugriffs auf die Benutzerschnittstelle der direkten Konsole (DCUI)
fr Hosts im Sperrmodus
Sie knnen festlegen, welche Benutzer sich bei einem Host anmelden knnen, der sich im Sperrmodus befindet.
Benutzer mit DCUI-Zugriff bentigen keine vollstndigen Administratorrechte auf dem Host. Sie erteilen das
DCUI-Zugriffsrecht in den erweiterten Einstellungen.
Bei Versionen von vSphere vor vSphere 5.1 kann sich der Root-Benutzer bei der DCUI auf einem Host anmelden, der sich im Sperrmodus befindet. In vSphere 5.1 knnen Sie angeben, welche lokalen ESXi-Benutzer sich
bei der DCUI anmelden drfen, wenn sich der Host im Sperrmodus befindet. Diese speziellen Benutzer bentigen keine vollstndigen Administratorrechte auf dem Host. Wenn Sie andere Benutzer als den anonymen
Root-Benutzer angeben, knnen Sie protokollieren, welche Benutzer Vorgnge auf dem Host ausgefhrt haben, whrend sich dieser im Sperrmodus befand.
WICHTIG Wenn Sie den Sperrmodus ber die Benutzerschnittstelle der direkten Konsole deaktivieren, wird
allen Benutzern mit DCUI-Zugriffsrecht die Administratorrolle auf dem Host erteilt.
Vorgehensweise
1
VMware, Inc.
65
vSphere-Sicherheit
Whlen Sie die Registerkarte [Verwalten] und klicken Sie auf [Einstellungen] .
Klicken Sie auf [Erweiterte Systemeinstellungen] , und whlen Sie die Einstellung [DCUI-Zugriff] .
Klicken Sie auf [Bearbeiten] , um die Benutzernamen durch Kommas getrennt einzugeben.
Standardmig wird der Root-Benutzer angegeben. Sie knnen den Root-Benutzer von der Liste der Benutzer mit DCUI-Zugriff entfernen, vorausgesetzt, Sie legen wenigstens einen weiteren Benutzer fest.
66
VMware, Inc.
Datencenter-Ordner
Datencenter
VM-Ordner
Host-Ordner
Vorlage
Host
Netzwerkordner
StandardSwitch
Ressourcenpool
Cluster
virtuelle
Maschine
Ressourcenpool
vDS
verteilte
Portgruppe
Datenspeicherordner
Datenspeicher
DatenspeicherCluster
virtuelle
Maschine
vApp
vApp
virtuelle
Maschine
vApp
Ressourcenpool
virtuelle
Maschine
Die meisten Bestandslistenobjekte bernehmen Berechtigungen von einem einzelnen bergeordneten Objekt
in der Hierarchie. Beispielweise bernimmt ein Datenspeicher Berechtigungen entweder vom bergeordneten
Datencenter-Ordner oder vom bergeordneten Datencenter. Virtuelle Maschinen bernehmen Berechtigungen sowohl von dem bergeordneten Ordner der virtuellen Maschine als auch vom bergeordneten Host,
Cluster oder Ressourcenpool. Sie mssen zum Einschrnken der Berechtigungen eines Benutzers auf einer
virtuellen Maschine Rechte auf dem bergeordneten Ordner und dem bergeordneten Host, Cluster oder
Ressourcenpool fr die virtuelle Maschine festlegen.
VMware, Inc.
67
vSphere-Sicherheit
Legen Sie zum Festlegen von Berechtigungen fr einen Distributed Switch und seine zugewiesenen verteilten
Portgruppen Berechtigungen auf einem bergeordneten Objekt fest, z. B. auf einem Ordner oder Datencenter.
Sie mssen auch die Option zum Weitergeben dieser Berechtigungen an untergeordnete Objekte whlen.
Berechtigungen nehmen in der Hierarchie verschiedene Formen an:
Verwaltete Instanzen
Globale Instanzen
Cluster
Datencenter
Datenspeicher
Datenspeicher-Cluster
Ordner
Hosts
Verteilte Portgruppen
Ressourcenpools
Vorlagen
Virtuelle Maschinen
vSphere-vApps
Benutzerdefinierte Felder
Lizenzen
Rollen
Statistikintervalle
Sitzungen
Einstellungen fr Mehrfachberechtigungen
Objekte knnen ber mehrere Berechtigungen verfgen, jedoch nur ber eine Berechtigung fr jeden Benutzer
bzw. jede Gruppe.
Einem untergeordneten Objekt zugewiesene Berechtigungen setzen Berechtigungen, die bergeordneten Objekten zugewiesen wurden, immer auer Kraft. Ordner und Ressourcenpools der virtuellen Maschine sind
gleichwertige Ebenen in der Hierarchie. Wenn einem Benutzer oder einer Gruppe Berechtigungen, die weitergegeben werden, auf einem Ordner der virtuellen Maschine und seinem Ressourcenpool zugewiesen werden, werden dem Benutzer die Berechtigungen vom Ressourcenpool und vom Ordner weitergegeben.
Wenn fr das gleiche Objekt mehrere Gruppenberechtigungen definiert sind und der Benutzer mindestens
zwei dieser Gruppen angehrt, gibt es zwei mgliche Situationen:
68
Wenn dem Benutzer fr dieses Objekt keine Berechtigungen gewhrt wurden, wird dem Benutzer der
Satz an Berechtigungen zugewiesen, der den Gruppen fr dieses Objekt zugewiesen wurden.
Wenn dem Benutzer eine Berechtigung fr das Objekt gewhrt wurde, hat diese Berechtigung Vorrang
vor allen Gruppenberechtigungen.
VMware, Inc.
Gruppe A wird Rolle 1 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Gruppe B wird Rolle 2 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Benutzer 1, der den Gruppen A und B angehrt, meldet sich an. Benutzer 1 kann sowohl VM A als auch VM
B einschalten und Snapshots erstellen.
Abbildung 6-2. Beispiel 1: Vererbung von mehreren Berechtigungen
Gruppe A + Rolle 1
Gruppe B + Rolle 2
VM-Ordner
VM A
VM B
Gruppe A wird Rolle 1 auf VM-Ordner zugeteilt, mit der Berechtigung An untergeordnete Objekte weitergeben.
Benutzer 1, der den Gruppen A und B angehrt, meldet sich an. Weil Rolle 2 auf einer niedrigeren Hierarchieebene zugewiesen wird wie Rolle 1, setzt sie Rolle 1 auf VM B auer Kraft. Benutzer 1 kann zwar VM A
einschalten, aber keinen Snapshot erstellen. Benutzer 1 kann zwar Snapshots von VM B erstellen, aber sie nicht
einschalten.
VMware, Inc.
69
vSphere-Sicherheit
Abbildung 6-3. Beispiel 2: Untergeordnete Berechtigungen, die bergeordnete Berechtigungen auer Kraft
setzen
Gruppe A + Rolle 1
VM-Ordner
VM A
Gruppe B + Rolle 2
VM B
Benutzer 1, der Mitglied der Gruppe A ist, meldet sich an. Die dem Benutzer 1 zugeteilte Rolle Kein Zugriff
auf VM-Ordner setzt die Gruppenberechtigung auer Kraft. Benutzer 1 kann weder auf VM-Ordner noch auf
VM A oder VM B zugreifen.
Abbildung 6-4. Beispiel 3: Benutzerberechtigungen, die Gruppenberechtigungen auer Kraft setzen
Gruppe A + Rolle 1
Benutzer 1 + kein
Zugriff
VM-Ordner
VM A
VM B
Root-Benutzerberechtigungen
Root-Benutzer knnen Aktivitten nur auf dem Host durchfhren, an dem sie angemeldet sind.
Aus Sicherheitsgrnden sollten Sie dem Root-Benutzer nicht die Rolle Administrator gewhren. In diesem
Fall knnen Sie die Berechtigungen nach der Installation ndern, sodass der Root-Benutzer keine administrativen Rechte mehr hat. Alternativ dazu knnen Sie die Zugriffsberechtigungen fr den Root-Benutzer entfernen. (Entfernen Sie nicht den Root-Benutzer selbst.)
WICHTIG Wenn Sie die Zugriffsberechtigungen fr den Root-Benutzer entfernen, mssen Sie auf der RootEbene zunchst eine andere Berechtigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators
erhlt.
HINWEIS In vSphere 5.1 ist es nur dem Root-Benutzer und keinem anderen Benutzer mit Administratorrechten
gestattet, vCenter Server einen Host hinzuzufgen.
70
VMware, Inc.
Die Zuweisung der Administratorenrolle auf verschiedene Benutzer gewhrleistet die Nachvollziehbarkeit
und somit die Sicherheit. Der vSphere-Client protokolliert alle Aktionen des Administrators als Ereignisse und
gibt ein berwachungsprotokoll aus. Wenn alle Administratoren sich als Root-Benutzer anmelden, knnen
Sie nicht wissen, welcher Administrator eine Aktion ausgefhrt hat. Wenn Sie mehrere Berechtigungen auf
Root-Ebene anlegen, die jeweils einem anderen Benutzer zugewiesen sind, knnen Sie die Aktionen jedes
Administrators gut nachvollziehen.
vpxuser-Berechtigungen
Die Berechtigung vpxuser wird fr vCenter Server beim Verwalten von Aktivitten fr den Host verwendet.
Der Benutzer vpxuser wird bei der Zuordnung eines Hosts zu vCenter Server angelegt.
vCenter Server hat Administratorberechtigungen auf dem Host, der die Anwendung verwaltet. So kann
vCenter Server zum Beispiel virtuelle Maschinen auf Hosts verschieben und Konfigurationsnderungen vornehmen, die fr die Untersttzung virtueller Maschinen notwendig sind.
Der Administrator von vCenter Server kann viele der Aufgaben des Root-Benutzers auf dem Host durchfhren
und Aufgaben planen, Vorlagen nutzen usw. Der vCenter Server-Administrator kann jedoch Benutzer oder
Gruppen fr Hosts nicht direkt erstellen, lschen oder bearbeiten. Diese Aufgaben knnen nur von einem
Benutzer mit Administratorberechtigungen auf dem jeweiligen Host durchgefhrt werden.
HINWEIS Sie knnen den vpxuser nicht mithilfe von Active Directory verwalten.
VORSICHT Verndern Sie keinerlei Einstellungen des Benutzers vpxuser. ndern Sie nicht das Kennwort.
ndern Sie nicht die Berechtigungen. Falls nderungen vorgenommen werden, knnen Probleme beim Arbeiten mit Hosts in vCenter Server auftreten.
dcui-Benutzerberechtigungen
Der Benutzer dcui wird auf Hosts ausgefhrt und agiert mit Administratorrechten. Der Hauptzweck dieses
Benutzers ist die Konfiguration von Hosts fr den Sperrmodus ber den DCUI-Dienst (Direct Console User
Interface, Benutzerschnittstelle der direkten Konsole).
Dieser Benutzer dient als Agent fr die direkte Konsole und kann von interaktiven Benutzern nicht gendert
bzw. verwendet werden.
Berechtigungsvalidierung
vCenter Server und ESXi-Hosts, die Active Directory verwenden, validieren Benutzer und Gruppen regelmig anhand der Windows Active Directory-Domne. Die Validierung findet jedes Mal statt, wenn das Hostsystem startet, und in regelmigen Abstnden, wie in den vCenter Server-Einstellungen angegeben.
Wenn beispielsweise Benutzer Schmidt Berechtigungen zugewiesen sind und der Benutzername in der Domne in Schmidt2 gendert wird, schliet der Host daraus, dass der Benutzer Schmidt nicht mehr vorhanden ist, und entfernt die Berechtigungen fr diesen Benutzer bei der nchsten Validierung.
Wenn Benutzer Schmidt aus der Domne entfernt wird, werden ebenfalls alle Berechtigungen bei der
nchsten Validierung entfernt. Wenn ein neuer Benutzer Schmidt der Domne vor der nchsten Validierung
hinzugefgt wird, erhlt der neue Benutzer alle Berechtigungen des alten Benutzers mit diesem Namen.
Berechtigungen zuweisen
Sie haben eine Rolle definiert und einen Benutzer angelegt. Um die Rolle und den Benutzer zu verwenden,
mssen Sie den relevanten Bestandslistenobjekten Berechtigungen zuweisen.
Whlen Sie einen Benutzer und eine Rolle fr ein Objekt aus, um Berechtigungen zuzuweisen. Berechtigungen
werden an untergeordnete Objekte weitergegeben. Sie knnen dieselben Berechtigungen mehreren Objekten
gleichzeitig zuweisen, indem Sie die Objekte in einen Ordner verschieben und die Berechtigungen auf den
Ordner anwenden.
VMware, Inc.
71
vSphere-Sicherheit
Vorgehensweise
1
Melden Sie sich beim vSphere Web Client als vCenter Server-Administrator an.
a
Klicken Sie auf die Registerkarte [Verwalten] und dann auf [Berechtigungen] .
Weisen Sie im Dialogfeld Berechtigung hinzufgen den Benutzer und die Rolle, die Sie angelegt haben,
hinzu.
a
Whlen Sie den Benutzer [user-deploy] aus und klicken Sie auf [Hinzufgen] .
Whlen Sie im Dropdown-Men [Zugewiesene Rolle] die Option [Bereitstellung der virtuellen
Maschine anhand einer Vorlage] aus.
Die Rollen, die dem Objekt zugewiesen sind, erscheinen im Men. Die Rechte, die dieser Rolle zugewiesen
sind, werden im Bereich unterhalb des Rollennamens aufgelistet.
Der neue Benutzereintrag wird in der Liste der Benutzer und Gruppen angezeigt, die Berechtigungen fr das
System vCenter Server haben.
Weiter
Stellen Sie eine virtuelle Maschine von einer Vorlage als neuen Benutzer bereit.
Whlen Sie auf dem mit dem vCenter Server-System verbundenen vSphere-Client [Verwaltung] >
[vCenter Server-Einstellungen] .
72
Wenn die Validierung aktiviert ist, geben Sie einen Wert in das Textfeld Validierungszeitraum ein, um
einen Zeitraum (in Minuten) zwischen Validierungen anzugeben.
VMware, Inc.
Klicken Sie mit der rechten Maustaste auf das entsprechende Element, um die Kombination aus Rolle und
Benutzer auszuwhlen.
Whlen Sie aus dem Dropdown-Men die entsprechende Rolle fr den Benutzer oder die Gruppe aus.
Um die Rechte fr die untergeordneten Elemente des zugewiesenen Bestandslistenobjekts zu bernehmen, aktivieren Sie das Kontrollkstchen [Weitergeben] und klicken Sie auf [OK] .
Erweitern Sie die Bestandsliste nach Bedarf, und klicken Sie auf das betreffende Objekt.
Klicken Sie auf das entsprechende Element, um die Kombination aus Rolle und Benutzer oder Gruppe
auszuwhlen.
Weisen Sie Berechtigungen nach Mglichkeit Gruppen anstatt individuellen Benutzern zu.
Weisen Sie Berechtigungen nur nach Bedarf zu. Die Vergabe von so wenigen Berechtigungen wie mglich
erleichtert das Verstehen und Verwalten Ihrer Berechtigungsstruktur.
Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, berprfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthlt. Anderenfalls knnten Sie die Rechte eines
Administrators in den Teilen der Bestandslistenhierarchie ungewollt einschrnken, fr die Sie der Gruppe
die restriktive Rolle zugewiesen haben.
Verwenden Sie Ordner zum Gruppieren von Objekten nach den Berechtigungen, die Sie fr den Zugriff
auf sie gewhren mchten.
VMware, Inc.
73
vSphere-Sicherheit
Gehen Sie vorsichtig vor, wenn Sie eine Berechtigung fr vCenter Server auf der Root-Ebene erteilen
mchten. Benutzer mit Berechtigungen auf der Root-Ebene haben Zugriff auf globale Daten auf
vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute, Einstellungen von vCenter Server und Lizenzen. nderungen an Lizenzen und Rollen werden an alle vCenter Server-Systeme einer Gruppe im
verknpften Modus weitergegeben, und zwar auch dann, wenn der Benutzer nicht ber Berechtigungen
fr alle vCenter Server-Systeme in der Gruppe verfgt.
Aktivieren Sie in der Regel die Weitergabe von Berechtigungen. Dadurch wird sichergestellt, dass neue
Objekte beim Einfgen in die Bestandslistenhierarchie die Berechtigungen bernehmen und fr Benutzer
verfgbar sind.
Verwenden Sie die Rolle Kein Zugriff, um bestimmte Bereiche der Hierarchie zu verbergen, auf die
bestimmte Benutzer keinen Zugriff haben sollen.
Erforderliche Berechtigungen
Gltige Rolle
Administrator
virtueller Maschinen
Administrator
virtueller Maschinen
Datenspeicherkonsument oder
Administrator
virtueller Maschinen
Administrator
virtueller Maschinen
Administrator
virtueller Maschinen
Administrator
virtueller Maschinen
74
VMware, Inc.
Erforderliche Berechtigungen
Gltige Rolle
Datenspeicherkonsument oder
Administrator
virtueller Maschinen
Datenspeicher.Speicher zuteilen
VMware, Inc.
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
Virtuelle Maschine.Status.Snapshot erstellen
Hauptbenutzer
virtueller Maschinen oder Administrator virtueller Maschinen
Datenspeicherkonsument oder
Administrator
virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
n Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
n Virtuelle Maschine.Bestandsliste.Verschieben
Administrator
virtueller Maschinen
Administrator
virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
n Virtuelle Maschine.Interaktion.Frage beantworten
n Virtuelle Maschine.Interaktion.Konsoleninteraktion
n Virtuelle Maschine.Interaktion.Gerteverbindung
n Virtuelle Maschine.Interaktion.Ausschalten
n Virtuelle Maschine.Interaktion.Einschalten
n Virtuelle Maschine.Interaktion.Zurcksetzen
n Virtuelle Maschine .Interaktion.CD-Medien konfigurieren
(beim Installieren von einer CD)
n Virtuelle Maschine.Interaktion.Diskettenmedien konfigurieren
(beim Installieren von einer Diskette)
n Virtuelle Maschine.Interaktion.Tools installieren
Hauptbenutzer
virtueller Maschinen oder Administrator virtueller Maschinen
Hauptbenutzer
virtueller Maschinen oder Administrator virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
n Ressourcen.Migrieren
n Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
(wenn das Ziel ein anderer Ressourcenpool als die Quelle ist)
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
75
vSphere-Sicherheit
Cold-Migration (Verlagern)
einer virtuellen Maschine
76
Erforderliche Berechtigungen
Gltige Rolle
Auf dem Zielhost, -cluster oder -ressourcenpool (wenn anders als die
Quelle):
Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
n Ressourcen.Verlagern
n Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
(wenn das Ziel ein anderer Ressourcenpool als die Quelle ist)
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
Auf dem Zielhost, -cluster oder -ressourcenpool (wenn anders als die
Quelle):
Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
Datenspeicherkonsument oder
Administrator
virtueller Maschinen
Auf der virtuellen Maschine oder einem Ordner mit virtuellen Maschinen:
Ressourcen.Migrieren
Datencenter-Administrator oder
RessourcenpoolAdministrator
oder Administrator virtueller Maschinen
Datenspeicherkonsument oder
Administrator
virtueller Maschinen
Datencenter-Administrator oder
Administrator
virtueller Maschinen
Datencenter-Administrator oder
Administrator
virtueller Maschinen
VMware, Inc.
Klicken Sie im Informationsfenster mit der rechten Maustaste auf die Registerkarte [Rollen] und klicken
Sie auf [Hinzufgen] .
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
VMware, Inc.
77
vSphere-Sicherheit
Klicken Sie zum Auswhlen der zu duplizierenden Rolle in der Liste [Rollen (Roles)] auf das Objekt.
Klicken Sie zum Klonen der ausgewhlten Rolle auf [Verwaltung] > [Rolle] > [Klonen] .
Der Rollenliste wird ein Duplikat der Rolle hinzugefgt. Der Name lautet Klon von role_name.
Klicken Sie mit der rechten Maustaste auf die zu bearbeitenden Rolle und whlen Sie [Rolle bearbeiten] .
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
78
VMware, Inc.
Vorgehensweise
1
Klicken Sie auf das Objekt in der Liste der Rollen, das Sie umbenennen mchten.
Klicken Sie auf das Objekt, das Sie aus der Liste der Rollen entfernen mchten.
VMware, Inc.
Whlen Sie eine Neuzuweisungsoption aus und klicken Sie auf [OK] .
Option
Beschreibung
Rollenzuweisungen entfernen
Entfernt auf dem Server konfigurierte Paare aus Rolle und Benutzer oder
Gruppe. Wenn einem Benutzer oder einer Gruppe keine weiteren Berechtigungen zugewiesen wurden, gehen alle Berechtigungen verloren.
Weist allen konfigurierten Paaren aus Rolle und Benutzer oder Gruppe die
ausgewhlte neue Rolle neu zu.
79
vSphere-Sicherheit
Systemrollen sind dauerhaft. Sie knnen die Berechtigungen, die diesen Rollen
zugewiesen sind, nicht bearbeiten.
Beispielrollen
VMware stellt Beispielrollen bereit, die als Richtlinien und Vorschlge dienen.
Sie knnen diese Rollen ndern oder entfernen.
Stellen Sie sicher, dass Sie eine Active Directory-Domne eingerichtet haben. Weitere Informationen finden Sie in der Dokumentation Ihres Verzeichnisservers.
Stellen Sie sicher, dass der Name des ESXi-Hosts mit dem Domnennamen der Active Directory-Gesamtstruktur vollstndig qualifiziert angegeben ist.
Vollstndig qualifizierter Domnenname = Hostname.Domnename
80
VMware, Inc.
Vorgehensweise
1
Synchronisieren Sie mithilfe von NTP die Uhrzeit von ESXi mit der des Verzeichnisdienst-Systems.
ESXi untersttzt das Synchronisieren der Uhrzeit mit einem externen NTPv3- oder NTPv4-Server, der mit
RFC 5905 und RFC 1305 kompatibel ist. Der Microsoft Windows-W32Time-Dienst erfllt diese Anforderungen beim Ausfhren mit den Standardeinstellungen nicht. Unter Konfigurieren eines Windows NTPClients fr die Synchronisierung der Netzwerk-Systemuhr, auf Seite 168 oder in der VMware-Knowledgebase finden Sie Informationen ber das Synchronisieren der ESXi-Uhrzeit mit einem Microsoft-Domnencontroller.
Stellen Sie sicher, dass die DNS-Server, die Sie fr den Host konfiguriert haben, die Hostnamen fr die
Active Directory-Controller auflsen knnen.
a
Klicken Sie auf die Registerkarte [Konfiguration] und anschlieend auf [DNS und Routing] .
Vergewissern Sie sich im Dialogfeld DNS- und Routing-Konfiguration, dass die Informationen zu
Hostnamen und DNS-Server des Hosts korrekt sind.
Weiter
Verwenden Sie den vSphere-Client, um einer Verzeichnisdienst-Domne beizutreten.
Stellen Sie sicher, dass Sie eine Active Directory-Domne eingerichtet haben. Weitere Informationen finden Sie in der Dokumentation Ihres Verzeichnisservers.
Stellen Sie sicher, dass der Name des ESXi-Hosts mit dem Domnennamen der Active Directory-Gesamtstruktur vollstndig qualifiziert angegeben ist.
Vollstndig qualifizierter Domnenname = Hostname.Domnename
Vorgehensweise
1
Synchronisieren Sie mithilfe von NTP die Uhrzeit von ESXi mit der des Verzeichnisdienst-Systems.
Unter Konfigurieren eines Windows NTP-Clients fr die Synchronisierung der Netzwerk-Systemuhr,
auf Seite 168 oder in der VMware-Knowledgebase finden Sie Informationen ber das Synchronisieren
der ESXi-Uhrzeit mit einem Microsoft-Domnencontroller.
VMware, Inc.
Stellen Sie sicher, dass die DNS-Server, die Sie fr den Host konfiguriert haben, die Hostnamen fr die
Active Directory-Controller auflsen knnen.
a
Klicken Sie auf die Registerkarte [Verwalten] und klicken Sie unter Netzwerk auf [DNS und
Routing] .
Vergewissern Sie sich im Dialogfeld DNS- und Routing-Konfiguration, dass die Informationen zu
Hostnamen und DNS-Server des Hosts korrekt sind.
81
vSphere-Sicherheit
Weiter
Verwenden Sie vSphere Web Client, um einer Verzeichnisdienst-Domne beizutreten.
name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.
Informationen zur Verwendung des vSphere Authentication Proxy-Diensts (CAM-Dienst) finden Sie unter
Verwenden des vSphere Authentication Proxy zum Hinzufgen eines Hosts zu einer Domne, auf Seite 89.
Voraussetzungen
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server-System oder mit dem Host verbunden
ist.
Vorgehensweise
1
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Whlen Sie im Dialogfeld fr die Verzeichnisdienstkonfiguration den Verzeichnisdienst aus dem Dropdown-Men aus.
Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienstbenutzers ein, der ber die
Berechtigung verfgt, den Host mit der Domne zu verbinden, und klicken Sie auf [OK] .
name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.
Informationen zur Verwendung des vSphere Authentication Proxy-Diensts finden Sie unter Verwenden des
vSphere Authentication Proxy zum Hinzufgen eines Hosts zu einer Domne, auf Seite 89.
Vorgehensweise
1
82
VMware, Inc.
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienstbenutzers ein, der ber die
Berechtigung verfgt, den Host mit der Domne zu verbinden, und klicken Sie auf [OK] .
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [Konfiguration] .
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
VMware, Inc.
83
vSphere-Sicherheit
Der vSphere Authentication Proxy-Dienst wird fr die Kommunikation zu vCenter Server an eine IPv4-Adresse gebunden und untersttzt IPv6 nicht. vCenter Server kann sich auf einer Hostmaschine befinden, auf
der nur IPv4, IPv4 und IPv6 oder nur IPv6 eingesetzt werden, aber die Maschine, die eine Verbindung zu
vCenter Server ber den vSphere-Client herstellt, muss ber eine IPv4-Adresse verfgen, damit der vSphere
Authentication Proxy-Dienst funktionieren kann.
Voraussetzungen
n
Stellen Sie sicher, dass Sie ber Administratorrechte auf der Hostmaschine verfgen, auf der Sie den
vSphere Authentication Proxy-Dienst installieren.
Stellen Sie sicher, dass die Hostmaschine ber Windows Installer 3.0 oder hher verfgt.
Stellen Sie sicher, dass die Hostmaschine ber einen untersttzten Prozessor und ein untersttztes Betriebssystem verfgt. Der vSphere Authentication Proxy untersttzt die gleichen Prozessoren und Betriebssysteme wie vCenter Server.
Stellen Sie sicher, dass die Hostmaschine ber eine gltige IPv4-Adresse verfgt. Sie knnen vSphere
Authentication Proxy auf einer Hostmaschine installieren, auf der nur IPv4 oder sowohl IPv4 als auch
IPv6 eingesetzt werden. Sie knnen vSphere Authentication Proxy jedoch nicht auf einer Hostmaschine
installieren, auf der nur IPv6 eingesetzt wird.
Wenn Sie vSphere Authentication Proxy auf einer Windows Server 2008 R2-Hostmaschine installieren,
laden Sie den im Windows-KB-Artikel 981506 auf der Website support.microsoft.com beschriebenen
Windows-Hotfix herunter und installieren Sie ihn. Wenn dieser Hotfix nicht installiert ist, kann der Authentication Proxy-Adapter nicht initialisiert werden. Zu diesem Problem werden Fehlermeldungen in
der Datei camadapter.log protokolliert, die den Meldungen CAM-Website konnte nicht mit CTL gebunden
werden und CAMAdapter konnte nicht initialisiert werden hneln.
Der Installationsspeicherort von vSphere Authentication Proxy, wenn Sie den Standardspeicherort nicht
verwenden.
Die IP-Adresse oder der Hostname, der HTTP-Port und die Anmeldeinformationen fr das vCenter Server-System, zu dem vSphere Authentication Proxy eine Verbindung herstellt.
Der Hostname oder die IP-Adresse, die zum Identifizieren des vSphere Authentication Proxy-Hosts im
Netzwerk verwendet wird.
Vorgehensweise
1
Installieren Sie .NET Framework 3.5 auf der Hostmaschine, auf der Sie den vSphere Authentication ProxyDienst installieren.
Fgen Sie die Hostmaschine dort hinzu, wo Sie den Authentication Proxy-Dienst fr die Domne installieren.
Doppelklicken Sie im Software-Installationsprogrammverzeichnis auf die Datei autorun.exe, um das Installationsprogramm zu starten.
Whlen Sie [VMware vSphere Authentication Proxy] aus und klicken Sie auf [Installieren] .
84
VMware, Inc.
Verwenden Sie den IIS-Manager auf dem Host zum Einrichten des DHCP-Adressbereichs.
Durch das Festlegen des Adressbereichs knnen Hosts, die DHCP im Verwaltungsnetzwerk verwenden,
den Authentication Proxy-Dienst verwenden.
Option
Aktion
Fr IIS 6
a
b
c
Fr IIS 7
a
b
c
VMware, Inc.
85
vSphere-Sicherheit
Wenn ein Host nicht durch Auto Deploy bereitgestellt wird, ndern Sie das Standard-SSL-Zertifikat in
ein selbstsigniertes Zertifikat oder in ein von einer kommerziellen Zertifizierungsstelle (CA) signiertes
Zertifikat.
Option
Beschreibung
Selbstsigniertes Zertifikat
Wenn Sie das Standardzertifikat durch ein selbstsigniertes Zertifikat ersetzen, fgen Sie den Host zu vCenter Server hinzu, damit der Authentication
Proxy-Server dem Host vertraut.
Fgen Sie das von einer Zertifizierungsstelle (CA) signierte Zertifikat (nur
Windows-Format) zum lokalen vertrauenswrdigen Zertifikatspeicher auf
dem System hinzu, auf dem der Authentication Proxy-Dienst installiert ist,
und starten Sie den vSphere Authentication Proxy Adapter-Dienst neu.
n Windows 2003: Kopieren Sie die Zertifikatsdatei in C:\Dokumente und
Einstellungen\Alle Benutzer\Anwendungsdaten\VMware\vSphere Authentication Proxy\trust.
n
Windows 2008: Kopieren Sie die Zertifikatsdatei in C:\Program Data\VMware\vSphere Authentication Proxy\trust.
86
VMware, Inc.
Vorgehensweise
1
Aktion
Fr IIS 6
a
b
Fr IIS 7
a
b
c
d
Whlen Sie die Optionen [Nein, privaten Schlssel nicht exportieren] und [Base-64-codiert X.509
(.CER)] aus.
Weiter
Importieren Sie das Zertifikat in ESXi.
Whlen Sie in der Bestandsliste des vSphere-Clients einen Host aus und klicken Sie auf die Registerkarte [bersicht] .
Laden Sie das Zertifikat fr den Authentication Proxy-Server auf einen temporren Speicherort auf
ESXi hoch.
a
Klicken Sie unter Ressourcen mit der rechten Maustaste auf einen Datenspeicher und whlen Sie
[Datenspeicher durchsuchen] .
Whlen Sie einen Speicherort fr das Zertifikat aus und klicken Sie auf die Schaltflche [Datei hochladen] .
Whlen Sie die Registerkarte [Konfiguration] und klicken Sie auf [Authentifizierungsdienste] .
VMware, Inc.
87
vSphere-Sicherheit
Geben Sie den vollstndigen Pfad zur Authentication Proxy-Server-Zertifikatsdatei auf dem Host und die
IP-Adresse des Authentication Proxy-Servers ein.
Verwenden Sie das Fomular [Datenspeichername] Dateipfad, um den Pfad des Proxy-Servers einzugeben.
Weiter
Richten Sie den Host zum Verwenden des vSphere Authentication Proxy-Servers ein, um Benutzer zu authentifizieren.
Laden Sie das Zertifikat fr den Authentication Proxy-Server auf einen temporren Speicherort hoch, der
auf dem Host verfgbar ist.
a
Wechseln Sie im vSphere Web Client zu einem Datenspeicher, der fr den Host verfgbar ist, und
klicken Sie auf die Registerkarte [Verwalten] .
Wechseln Sie zu dem Host, und klicken Sie auf die Registerkarte [Verwalten] .
Whlen Sie die Registerkarte [Konfiguration] und klicken Sie auf [Authentifizierungsdienste] .
Geben Sie den vollstndigen Pfad zur Authentication Proxy-Server-Zertifikatsdatei auf dem Host und die
IP-Adresse des Authentication Proxy-Servers ein.
Verwenden Sie das Fomular [Datenspeichername] Dateipfad, um den Pfad des Proxy-Servers einzugeben.
Weiter
Richten Sie den Host zum Verwenden des vSphere Authentication Proxy-Servers ein, um Benutzer zu authentifizieren.
88
VMware, Inc.
name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.
Voraussetzungen
n
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server-System oder mit dem Host verbunden
ist.
Wenn ESXi mit einer DHCP-Adresse konfiguriert ist, legen Sie den DHCP-Bereich fest, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung,
auf Seite 85 beschrieben.
Wenn ESXi mit einer statischen IP-Adresse konfiguriert ist, stellen Sie sicher, dass sein zugehriges Profil
so konfiguriert ist, dass zum Beitreten einer Domne der vSphere Authentication Proxy-Dienst verwendet
wird, damit der Authentifizierungs-Proxy-Server der IP-Adresse von ESXi vertrauen kann.
Wenn ESXi ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass der Host zu vCenter Server
hinzugefgt wurde. Dies ermglicht dem Authentifizierungs-Proxy-Server ESXi zu vertrauen.
Wenn ESXi ein CA-signiertes Zertifikat verwendet und nicht durch Auto Deploy bereitgestellt wird, stellen Sie sicher, dass das CA-Zertifikat zum lokalen Zertifikatspeicher des Authentifizierungs-Proxy-Servers hinzugefgt wurde, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung, auf Seite 85 beschrieben.
Fhren Sie eine Authentifizierung des vSphere Authentication Proxy-Servers mit dem Host durch, wie
unter Authentifizieren von vSphere Authentication Proxy mit ESXi, auf Seite 86 beschrieben.
Vorgehensweise
1
Whlen Sie die Registerkarte [Konfiguration] und klicken Sie auf [Authentifizierungsdienste] .
VMware, Inc.
89
vSphere-Sicherheit
name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.
Voraussetzungen
n
Stellen Sie sicher, dass der vSphere-Client mit einem vCenter Server verbunden ist.
Wenn ESXi mit einer DHCP-Adresse konfiguriert ist, legen Sie den DHCP-Bereich fest.
Wenn ESXi mit einer statischen IP-Adresse konfiguriert ist, stellen Sie sicher, dass sein zugehriges Profil
so konfiguriert ist, dass zum Beitreten einer Domne der vSphere Authentication Proxy-Dienst verwendet
wird, damit der Authentifizierungs-Proxy-Server der IP-Adresse von ESXi vertrauen kann.
Wenn ESXi ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass der Host zu vCenter Server
hinzugefgt wurde. Dies ermglicht dem Authentifizierungs-Proxy-Server ESXi zu vertrauen.
Wenn ESXi ein CA-signiertes Zertifikat verwendet und nicht durch Auto Deploy bereitgestellt wird, stellen Sie sicher, dass das CA-Zertifikat zum lokalen Zertifikatspeicher des Authentifizierungs-Proxy-Servers hinzugefgt wurde, wie unter Konfigurieren eines Hosts zum Verwenden des vSphere Authentication Proxy fr die Authentifizierung, auf Seite 85 beschrieben.
Fhren Sie eine Authentifizierung des vSphere Authentication Proxy-Servers mit dem Host durch.
Vorgehensweise
1
Whlen Sie im vSphere Web Client den Host aus und klicken Sie auf die Registerkarte [Verwalten] .
Whlen Sie im vSphere-Client [Bestandsliste] > [Verwaltung] > [vSphere Authentication Proxy] .
Die Seite VMware vSphere Authentication Proxy wird angezeigt.
90
VMware, Inc.
vCenter Server-Benutzer und -Gruppen werden vom vCenter Single Sign On-Server authentifiziert.
Wenn in Produktversionen vor vCenter Server 5.1 Benutzer eine Verbindung mit vCenter Server aufnahmen,
wurden sie authentifiziert, wenn vCenter Server ihre Anmeldedaten in einer Active Directory-Domne oder
der Liste der lokalen Betriebssystembenutzer validierte. In vCenter Server 5.1 authentifizieren sich Benutzer
ber vCenter Single Sign On.
Der Single Sign On-Standardadministrator ist admin@Systemdomne mit dem Kennwort, das Sie bei der
Installation angegeben haben. Sie verwenden diese Anmeldedaten, um sich beim Single Sign On-Verwaltungstool im vSphere Web Client anzumelden. Sie knnen dann Benutzern Single Sign On-Administratorberechtigungen zuweisen, die berechtigt sind, den Single Sign On-Server zu verwalten. Diese Benutzer knnen
sich von den Benutzern unterscheiden, die vCenter Server verwalten.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise
root) auch vCenter Single Sign On-Administratorberechtigungen.
Die folgenden Informationen sind fr die Verwaltung von Benutzern und Gruppen wichtig.
n
Das Anmelden bei vSphere Web Client mit Windows-Sitzungsanmeldedaten wird nur fr Active Directory-Benutzer der Domne untersttzt, zu der das Single Sign On-System gehrt.
ESXi 5.1 ist nicht in vCenter Single Sign On integriert und Sie knnen keine ESXi-Benutzer mit dem
vSphere Web Client erstellen. Sie mssen ESXi-Benutzer mit dem vSphere-Client erstellen und verwalten.
vCenter Server kennt keine lokalen Benutzer von ESXi. Auerdem erkennt ESXi vCenter Server-Benutzer
nicht. Sie knnen aber Single Sign On so konfigurieren, dass eine Active Directory-Domne als Identittsquelle verwendet wird, und ESXi so einstellen, dass es auf dieselbe Active Directory-Domne zeigt,
um Benutzer- und Gruppeninformationen zu erhalten. Diese Aktion ermglicht es, dass dieselbe Benutzergruppe fr den Host und vCenter Server verfgbar ist.
Verwenden von vCenter Single Sign On fr das Verwalten von Benutzern und Gruppen, auf Seite 105
VMware, Inc.
91
vSphere-Sicherheit
Manuelles Replizieren von Daten in einer vCenter Single Sign On-Bereitstellung mit mehreren Standorten, auf Seite 118
Mit dem vSphere-Client melden Sie sich bei jedem vCenter Server-System separat an. Alle verknpften
vCenter Server-Instanzen werden im linken Bereich des vSphere-Clients angezeigt. Der vSphere-Client
zeigt keine vCenter Server-Systeme an, die nicht mit dem vCenter Server verbunden sind, bei dem sich
der Benutzer angemeldet hat, es sei denn, der Benutzer stellt explizit eine Verbindung zu diesen vCenter Server-Systemen her. Dieses Verhalten hat sich seit den vCenter Server-Versionen vor Version 5.1 nicht
gendert.
Mithilfe des vSphere Web Client authentifizieren Sie sich bei vCenter Single Sign On, indem Sie Ihre
Anmeldedaten auf der Anmeldeseite des vSphere Web Client eingeben. Sie knnen dann alle vCenter
Server-Instanzen sehen, fr die Sie Berechtigungen haben. Nachdem Sie eine Verbindung zu vCenter
Server hergestellt haben, ist keine weitere Authentifizierung erforderlich. Welche Aktionen Sie auf Objekten durchfhren knnen, hngt von Ihren vCenter Server-Berechtigungen fr diese Objekte ab.
Bei Versionen vor vCenter Server 5.1 mssen Sie jedes vCenter Server-System mit dem vSphere Web Client
registrieren. Bei vCenter Server 5.1 werden vCenter Server-Systeme automatisch erkannt und in der
vSphere Web Client-Bestandsliste angezeigt.
92
VMware, Inc.
Das bedeutet auch Folgendes: Wenn Sie sich bei vSphere Web Client als standardmiger vCenter ServerAdministrator anmelden, sehen Sie mglicherweise nicht das Konfigurationstool fr vCenter Single Sign On.
Das Konfigurationstool steht nicht zur Verfgung, weil nur der standardmige vCenter Single Sign OnAdministrator (admin@Systemdomne) berechtigt ist, vCenter Single Sign On nach der Installation zu verwalten. Der Single Sign On-Administrator kann bei Bedarf zustzliche Administrator-Benutzer einrichten.
n
Anmeldeverhalten beim Bereitstellen von vCenter Single Sign On als eigenstndiger Server auf Seite 94
vCenter Single Sign On im Basismodus bereitzustellen bedeutet, dass eine eigenstndige Version von
vCenter Single Sign On auf einem System installiert wird. Mehrere vCenter Server-, Inventory Serviceund vSphere Web Client-Instanzen knnen auf diese eigenstndige Version von vCenter Single Sign On
verweisen.
Anmeldeverhalten, wenn Sie einen Cluster von vCenter Single Sign On-Instanzen installieren auf Seite 95
Das Bereitstellen von vCenter Single Sign On als Cluster bedeutet, dass zwei oder mehr vCenter Single
Sign On-Instanzen im Hochverfgbarkeitsmodus installiert werden. Der vCenter Single Sign On-Hochverfgbarkeitsmodus ist nicht dasselbe wie vSphere HA. Alle vCenter Single Sign On-Instanzen verwenden dieselbe Datenbank und verweisen auf dieselben Identittsquellen. Single Sign On-Administratorbenutzer sehen die primre Single Sign On-Instanz, wenn sie eine Verbindung mit vCenter Server
ber vSphere Web Client herstellen.
Standardmig knnen sich Benutzer in der Administratorgruppe des lokalen Betriebssystems bei
vSphere Web Client und vCenter Server anmelden. Diese Benutzer knnen Single Sign On nicht konfigurieren und die Single Sign On-Verwaltungsschnittstelle im vSphere Web Client nicht aufrufen.
Wenn Sie als Domnenkontobenutzer angemeldet sind, werden die standardmigen Active DirectoryIdentittsquellen whrend der vCenter Single Sign On-Installation automatisch erkannt. Wenn Sie als
lokaler Kontobenutzer angemeldet sind, werden die Active Directory-Identittsquellen whrend der
vCenter Single Sign On-Installation nicht automatisch erkannt.
Benutzer des lokalen Betriebssystems (localos oder Hostname) werden als Identittsquelle hinzugefgt.
VMware, Inc.
93
vSphere-Sicherheit
Standardmig kann sich der Benutzer admin@Systemdomne bei vSphere Web Client und vCenter Server anmelden.
Benutzer des lokalen Betriebssystems (localos oder Hostname) werden als Identittsquelle hinzugefgt.
94
Standardmig kann sich der Benutzer admin@Systemdomne bei vSphere Web Client und vCenter Server anmelden.
Benutzer des lokalen Betriebssystems (localos oder Hostname) werden als Identittsquelle hinzugefgt.
VMware, Inc.
Anmeldeverhalten, wenn Sie einen Cluster von vCenter Single Sign On-Instanzen
installieren
Das Bereitstellen von vCenter Single Sign On als Cluster bedeutet, dass zwei oder mehr vCenter Single Sign
On-Instanzen im Hochverfgbarkeitsmodus installiert werden. Der vCenter Single Sign On-Hochverfgbarkeitsmodus ist nicht dasselbe wie vSphere HA. Alle vCenter Single Sign On-Instanzen verwenden dieselbe
Datenbank und verweisen auf dieselben Identittsquellen. Single Sign On-Administratorbenutzer sehen die
primre Single Sign On-Instanz, wenn sie eine Verbindung mit vCenter Server ber vSphere Web Client herstellen.
In diesem Bereitstellungsszenario gewhrt der Installationsprozess admin@Systemdomne standardmig
vCenter Server-Berechtigungen. Auerdem erstellt der Installationsprozess den Benutzer admin@Systemdomne, der vCenter Single Sign On verwalten kann.
HINWEIS Wenn Sie vCenter Server-Komponenten mit eigenstndigen Installationsprogrammen installieren,
knnen Sie auswhlen, welches Konto oder welche Gruppe sich nach der Installation bei vCenter Server anmelden kann. Legen Sie dieses Konto oder diese Gruppe auf der Seite Single Sign On-Informationen des
Installationsprogramms im folgenden Textfeld fest: [Von vCenter Single Sign On erkannter vCenter ServerAdministrator.] Beispiel: Um einer Gruppe von Domnenadministratoren die Berechtigung zum Anmelden
bei vCenter Server zu gewhren, geben Sie den Namen der Domnenadministratorengruppe ein, beispielsweise Domnenadministratoren@VCADSSO.LOCAL.
In den Modi High Availablity und Single Sign On fr mehrere Standorte gibt es keine Identittsquelle fr das
lokale Betriebssystem. Deshalb funktionieren diese nicht, wenn Sie Administratoren oder Administrator in
das Textfeld [Von vCenter Single Sign On erkannter vCenter Server-Administrator] eingeben.
Administratoren wird als lokale Betriebssystemgruppe Administratoren und Administrator als lokaler Betriebssystemadministrator behandelt.
Wenn Sie sich als Domnenkontobenutzer oder Benutzer eines lokalen Kontos anmelden, um vCenter Single
Sign On im Clustermodus auf einem vom Inventory Service und vCenter Server getrennten System zu installieren, verhlt sich das System nach der Installation wie folgt.
n
Standardmig kann sich der Benutzer admin@Systemdomne bei vSphere Web Client und vCenter Server anmelden.
Wenn Sie als Domnenkontobenutzer angemeldet sind, werden die standardmigen Active DirectoryIdentittsquellen erkannt. Wenn Sie als Benutzer eines lokalen Kontos angemeldet sind, werden die Active
Directory-Identittsquellen nicht erkannt.
VMware, Inc.
Eine Identittsquelle ist eine Sammlung von Benutzer- und Gruppendaten. Die
Benutzer- und Gruppendaten werden in einem Repository, z. B. Active Directory, LDAP oder einer Datenbank, gespeichert, die fr Single Sign On intern
oder fr ein Betriebssystem lokal ist. Bei der Installation hat jede Single Sign
95
vSphere-Sicherheit
Mit dem Administratorzugriff erhlt ein Benutzer vollstndige SuperuserBerechtigungen fr das Single Sign On-System, einschlielich der Mglichkeit, Benutzer und Gruppen zu erstellen, Berechtigungen zu erteilen,
Identittsquellen hinzuzufgen und Richtlinien zu ndern (Sperren und
Kennwort). Nach der Installation hat nur ein Benutzer (admin@Systemdomne) diese Rolle.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise root) auch vCenter Single Sign
On-Administratorberechtigungen.
Standarddomne
Jede Identittsquelle ist mit einer Domne verknpft und Sie knnen eine oder
mehrere Domnen als Standard festlegen. Beim Versuch, einen Benutzer zu
authentifizieren, durchsucht Single Sign On die Standarddomnen in der angegebenen Reihenfolge.
Kennwortrichtlinie
Eine Single Sign On-Kennwortrichtlinie ist ein Satz von Regeln und Beschrnkungen fr das Format und das Alter von Single Sign On-Benutzerkennwrtern. Kennwortrichtlinien gelten nur fr Single Sign On-Benutzer. Sie gelten
nicht fr Benutzer, die Teil einer Active Directory- oder OpenLDAP-Domne
sind, und sie gelten auch nicht fr Benutzer des lokalen Betriebssystems.
Sperrrichtlinie
Eine Sperrrichtlinie legt die Bedingungen fest, unter denen ein Single Sign OnBenutzerkonto gesperrt wird. In vSphere 5.1 melden Sie sich bei Single Sign
On statt bei einzelnen vCenter Server-Systemen an. Die Sperrrichtlinie gilt fr
Benutzer, die auf vCenter Server zugreifen, indem sie sich beim
vSphere Web Client anmelden.
Ein Konto kann gesperrt werden, wenn ein Benutzer die zulssige Anzahl
fehlgeschlagener Anmeldeversuche berschreitet. ber die Sperrrichtlinie
knnen Sie die maximale Anzahl von fehlgeschlagenen Anmeldeversuchen
festlegen und angeben, wie viel Zeit zwischen den Fehlversuchen verstreichen
kann. Mit der Richtlinie wird auch festgelegt, wie viel Zeit vergehen muss,
bevor das Konto automatisch entsperrt wird.
96
VMware, Inc.
Um vCenter Single Sign On einzurichten, mssen Sie ber Single Sign On-Administratorberechtigungen verfgen. Single Sign On-Administratorberechtigungen unterscheiden sich von der Administratorrolle in vCenter
Server oder ESXi.
Grundlegendes zu Identittsquellen
Eine Identittsquelle ist eine Sammlung von Benutzer- und Gruppendaten. Die Benutzer- und Gruppendaten
werden in einem Repository, z. B. Active Directory, LDAP oder einer fr vCenter Single Sign On internen bzw.
fr ein Betriebssystem lokalen Datenbank gespeichert.
vCenter Server-Versionen vor Version 5.1 haben Active Directory und lokale Betriebssystembenutzer als Benutzer-Repositorys untersttzt. vCenter Server 5.1 untersttzt die folgenden Typen von Benutzer-Repositorys
als Identittsquellen.
n
Ein vierter Typ von Benutzer-Repository sind Single Sign On-Systembenutzer (System-Domne). Genau eine
Systemidentittsquelle ist immer mit der Installation von Single Sign On verbunden. Diese Benutzer werden
in einer Datenbank gespeichert, die sich intern auf dem Single Sign On-Server befindet. Systembenutzer sind
nicht identisch mit den lokalen Betriebssystembenutzern.
Sie knnen einem Single Sign On-Server mehrere Identittsquellen eines jeden Typs zuweisen.
Whlen Sie auf der Registerkarte [Identittsquellen] eine Domne aus und klicken Sie auf [Zu Standarddomnen hinzufgen] .
(Optional) Um die Reihenfolge der Standarddomnen zu ndern, verwenden Sie die Pfeile [Nach oben]
und [Nach unten] und klicken Sie auf [Speichern] .
Um eine Domne aus der Liste zu entfernen, whlen Sie die Domne aus und klicken Sie auf [Entfernen] .
VMware, Inc.
97
vSphere-Sicherheit
Klicken Sie auf die Registerkarte [Gruppen] und dann auf die Gruppe [Administratoren] .
Whlen Sie die Identittsquelle aus, die den Benutzer enthlt, der zur Administratorgruppe hinzugefgt
werden soll.
(Optional) Geben Sie einen Suchbegriff ein und klicken Sie auf [Suchen] .
Whlen Sie den Benutzer aus und klicken Sie auf [Hinzufgen] .
Sie knnen einer Gruppe gleichzeitig mehrere Benutzer hinzufgen.
Der Benutzer mit Single Sign On-Administratorrechten wird im unteren Bereich der Registerkarte [Gruppen]
angezeigt.
98
Klicken Sie auf der Registerkarte [Identittsquelle] auf das Symbol [Identittsquelle hinzufgen] .
VMware, Inc.
Beschreibung
OpenLDAP
Active Directory
Die Identittsquelle ist ein Microsoft Active Directory-Server. Active Directory-Versionen 2003 und spter werden untersttzt.
Lokales Betriebssystem
Lokale Benutzer des Betriebssystems, auf dem Single Sign On installiert ist
(beispielsweise Windows). Es kann nur eine Identittsquelle des lokalen Betriebssystems geben.
Beschreibung
Name
Basis-DN fr Benutzer
Domnenname
Domnen-Alias
Basis-DN fr Gruppen
Authentifizierungstyp
n
n
n
VMware, Inc.
99
vSphere-Sicherheit
Option
Beschreibung
Benutzername
Die ID eines Active Directory-Benutzers mit einem Minimum an Nur-LesenZugriff fr Benutzer und Gruppen auf BaseDN.
Kennwort
Das Kennwort des Active Directory-Benutzers mit einem Minimum an NurLesen-Zugriff fr Benutzer und Gruppen auf BaseDN.
HINWEIS Wenn Sie den Authentifizierungstyp Kennwort fr eine Identittsquelle verwenden, mssen
Sie die Identittsquellendetails aktualisieren, sobald sich das Kennwort fr den konfigurierten Benutzer
ndert. Sie aktualisieren das Kennwort im Dialogfeld Identittsquelle bearbeiten".
Wenn das Benutzerkonto gesperrt oder deaktiviert ist, schlagen die Authentifizierungs- und Gruppensowie Gruppen- und Benutzersuchvorgnge in der Active Directory-Domne fehl. Das Benutzerkonto
muss ber Nur-Lesen-Zugriff auf die Organisationseinheit (OU) Benutzer und Gruppe verfgen und
in der Lage sein, Benutzer- und Gruppenattribute zu lesen. Dies ist die Standardkonfiguration der Active
Directory-Domne fr Benutzerberechtigungen. VMware empfiehlt die Verwendung eines speziellen
Dienstbenutzers, um sicherzustellen, dass das Kennwort nicht abluft und das Benutzerkonto nicht gesperrt oder deaktiviert wird.
5
Klicken Sie auf [Testverbindung] , um sicherzustellen, dass Sie eine Verbindung zur Identittsquelle
herstellen knnen.
100
Klicken Sie mit der rechten Maustaste auf die Identittsquelle in der Tabelle und whlen Sie [Identittsquelle bearbeiten] .
Beschreibung
Name
Basis-DN fr Benutzer
Domnenname
Domnen-Alias
Basis-DN fr Gruppen
VMware, Inc.
Option
Beschreibung
Authentifizierungstyp
n
n
n
Benutzername
Die ID eines Active Directory-Benutzers mit einem Minimum an Nur-LesenZugriff fr Benutzer und Gruppen auf BaseDN.
Kennwort
Das Kennwort des Active Directory-Benutzers mit einem Minimum an NurLesen-Zugriff fr Benutzer und Gruppen auf BaseDN.
HINWEIS Wenn Sie den Authentifizierungstyp Kennwort fr eine Identittsquelle verwenden, mssen
Sie die Identittsquellendetails aktualisieren, sobald sich das Kennwort fr den konfigurierten Benutzer
ndert. Sie aktualisieren das Kennwort im Dialogfeld Identittsquelle bearbeiten".
5
Klicken Sie auf [Testverbindung] , um sicherzustellen, dass Sie eine Verbindung zur Identittsquelle
herstellen knnen.
Klicken Sie auf die Registerkarte [Richtlinien] und whlen Sie [Kennwortrichtlinien] .
VMware, Inc.
Option
Beschreibung
Maximale Lebensdauer
Wiederverwendung einschrnken
Maximallnge
101
vSphere-Sicherheit
Option
Beschreibung
Mindestlnge
Mindestens erforderliche Zeichenanzahl fr das Kennwort. Die Mindestlnge darf nicht unter der Summe der erforderlichen Mindestanzahl von alphabetischen und numerischen Zeichen sowie Sonderzeichen liegen.
Zeichenanforderungen
Maximal zulssige Anzahl identischer benachbarter Zeichen fr das Kennwort. Muss grer als 0 sein. Beispiel: Wenn Sie 1 eingeben, ist das folgende
Kennwort nicht zulssig: p@$$word.
Melden Sie sich beim vSphere Web Client als Benutzer mit vCenter Single Sign On-Administratorrechten an.
Navigieren Sie zu [Verwaltung] > [Zugriff] > [SSO-Benutzer und -Gruppen] und klicken Sie auf
die Registerkarte [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Benutzer bearbeiten] .
Geben Sie ein neues Kennwort ein und besttigen Sie es.
102
VMware, Inc.
Geben Sie das aktuelle Kennwort fr den Benutzer ein, auch wenn es abgelaufen ist.
Geben Sie das neue Kennwort ein und besttigen Sie es durch nochmalige Eingabe.
Das Administratorkennwort wird zurckgesetzt und der Benutzer kann sich beim
vSphere Web Client mit den neuen Anmeldedaten anmelden.
Melden Sie sich beim vSphere Web Client als System-Root-Benutzer an.
Auf Linux-Systemen ist das Root-Konto immer ein Single Sign On-Administrator. Sie knnen das
Kennwort eines Single Sign On-Benutzers aktualisieren, indem Sie sich beim vSphere Web Client mit
den Anmeldedaten des Root-Benutzers anmelden.
Navigieren Sie zu [Verwaltung] > [Zugriff] > [SSO-Benutzer und -Gruppen] und klicken Sie auf
die Registerkarte [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Benutzer bearbeiten] .
Geben Sie ein neues Kennwort ein und besttigen Sie es.
ffnen Sie ein Terminal-Fenster und navigieren Sie zum Verzeichnis /usr/lib/vmware-sso/bin.
Geben Sie das aktuelle Kennwort fr den Benutzer ein, auch wenn es abgelaufen ist.
Geben Sie das neue Kennwort ein und besttigen Sie es durch nochmalige Eingabe.
Das Administratorkennwort wird zurckgesetzt und der Benutzer kann sich beim
vSphere Web Client mit den neuen Anmeldedaten anmelden.
Beschreibung
(Optional) Adresse des Lookup Service (in der Regel https://SSO-Server-URL:7444/lookupservice/sdk). Wenn Sie die Adresse nicht angeben, versucht der Server, einen Single Sign OnServer zu kontaktieren, der auf dem lokalen System luft.
(Optional) Fingerabdruck, der zum berprfen des Lookup Service SSL-Zertifikats verwendet
wird.
Benutzername
VMware, Inc.
103
vSphere-Sicherheit
Parameter
Beschreibung
Kennwort
Neues Kennwort
Klicken Sie auf die Registerkarte [Richtlinien] und whlen Sie [Sperrrichtlinie] aus.
Option
Beschreibung
Beschreibung
Entsperrzeit (Sekunden)
Die Zeitdauer, die das Konto gesperrt bleibt. Wenn Sie 0 eingeben, muss der
Administrator das Konto explizit entsperren.
SSL-Zertifikate, die verwendet werden, um eine sichere Verbindung mit dem Single Sign On-Server einzurichten. Diese Zertifikate werden nicht verwendet, um Token zu validieren oder Lsungen zu authentifizieren. Es sind nicht dieselben SSL-Zertifikate, die vCenter Server verwendet.
STS-Zertifikate verfallen oder ndern sich in regelmigen Abstnden. Sie mssen sie daher aktualisieren. In
einigen Umgebungen kann Ihr Systemadministrator die automatische Aktualisierung des Zertifikats implementieren. Sonst knnen Sie das Zertifikat manuell mit dem Single Sign On-Verwaltungstool aktualisieren.
HINWEIS Sie mssen den vSphere Web Client-Dienst neu starten, nachdem Sie das Security Token ServiceZertifikat aktualisiert haben.
104
VMware, Inc.
Vorgehensweise
1
Whlen Sie die Registerkarte [STS-Zertifikat] aus und klicken Sie auf [Bearbeiten] .
Klicken Sie auf [Durchsuchen] , um zur Keystore-Datei (JKS) zu navigieren, die das neue Zertifikat enthlt, und klicken Sie auf [ffnen] .
Wenn die Keystore-Datei gltig ist, wird das STS-Zertifikat mit den Zertifikatdaten gefllt.
Das Anmelden bei vSphere Web Client mit Windows-Sitzungsanmeldedaten wird nur fr Active Directory-Benutzer der Domne untersttzt, zu der das Single Sign On-System gehrt.
ESXi 5.1 ist nicht in vCenter Single Sign On integriert und Sie knnen keine ESXi-Benutzer mit dem
vSphere Web Client erstellen. Sie mssen ESXi-Benutzer mit dem vSphere-Client erstellen und verwalten.
vCenter Server kennt keine lokalen Benutzer von ESXi. Auerdem erkennt ESXi vCenter Server-Benutzer
nicht. Sie knnen aber Single Sign On so konfigurieren, dass eine Active Directory-Domne als Identittsquelle verwendet wird, und ESXi so einstellen, dass es auf dieselbe Active Directory-Domne zeigt,
um Benutzer- und Gruppeninformationen zu erhalten. Diese Aktion ermglicht es, dass dieselbe Benutzergruppe fr den Host und vCenter Server verfgbar ist.
Wenn mehr als ein in vCenter Single Sign On bekannter Benutzer denselben Benutzernamen hat, authentifiziert
Single Sign On den Benutzer anhand der Standarddomnen in der Reihenfolge, die auf der Registerkarte
[Identittsquellen] im Single Sign On-Verwaltungstool festgelegt ist. Beispiel: Ein Benutzer namens VMadmin ist in der Domne Systemdomne vorhanden, der internen Identittsquelle von Single Sign On. Ein
zweiter Benutzer, ebenfalls VMadmin genannt, ist in der Domne localos vorhanden, der lokalen Identittsquelle des Betriebssystems (Beispiel: Linux). Standardmig validiert Single Sign On den Benutzer anhand
VMware, Inc.
105
vSphere-Sicherheit
des lokalen Betriebssystems. Der Benutzer VMadmin wird authentifiziert und meldet sich als VMadmin@localos an. Wenn VMadmin@localos die Single Sign On-Administratorberechtigungen nicht erhalten hat, kann
der Benutzer nicht auf das Single Sign On-Verwaltungstool zugreifen bzw. Single Sign On-Verwaltungsaufgaben durchfhren.
Um das ungewollte Anmelden als Benutzer von einer anderen Domne zu verhindern, legen Sie die Domne
fest, wenn Sie sich beim vSphere Web Client anmelden. Beispiel: Melden Sie sich als admin@Systemdomne
und nicht als Administrator an.
Klicken Sie auf der Registerkarte [Benutzer] auf das Symbol [Neuer Benutzer] .
Geben Sie einen Benutzernamen und ein Kennwort fr den neuen Benutzer ein.
Sie knnen den Benutzernamen nicht ndern, nachdem Sie einen Benutzer angelegt haben.
Das Kennwort muss die Anforderungen der Kennwortrichtlinie fr das System erfllen.
106
(Optional) Geben Sie den Vornamen und den Nachnamen des neuen Benutzers ein.
VMware, Inc.
Whlen Sie den Typ von Berechtigungen, der dem Benutzer gewhrt wird.
Benutzerrollen sind inkrementell. Leistungsfhigere Rollen sind Obermengen von schwcheren Rollen.
Option
Beschreibung
Gastbenutzer
(Standard) Benutzer mit Gastzugriff drfen ihre eigenen Kennwrter ndern. Gastbenutzer knnen Single Sign On-Benutzer und -Gruppen nicht
suchen und Single Sign On-Konfigurationsoptionen nicht anzeigen oder bearbeiten.
Normaler Benutzer
Benutzer mit normalem Zugriff haben die Berechtigung fr begrenzte Selbstverwaltungsfunktionen, beispielsweise Aktualisieren einer E-Mail-Adresse
oder eines Kennworts. Normale Benutzer knnen nach Single Sign On-Benutzern und -Gruppen suchen. Sie knnen Single Sign On-Konfigurationsoptionen anzeigen, aber nicht bearbeiten.
Administrator
Mit dem Administratorzugriff erhlt ein Benutzer vollstndige SuperuserBerechtigungen fr das Single Sign On-System, einschlielich der Mglichkeit, Benutzer und Gruppen zu erstellen, Berechtigungen zu erteilen, Identittsquellen hinzuzufgen und Richtlinien zu ndern (Sperren und Kennwort). Nach der Installation hat nur ein Benutzer (admin@Systemdomne)
diese Rolle.
HINWEIS Auf der vCenter Server Appliance haben die lokalen Betriebssystemadministratoren (beispielsweise root) auch vCenter Single Sign OnAdministratorberechtigungen.
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Benutzer bearbeiten] .
VMware, Inc.
107
vSphere-Sicherheit
Melden Sie sich beim vSphere Web Client mit Ihren vCenter Single Sign On-Anmeldedaten an.
Klicken Sie im oberen Navigationsbereich auf Ihren Benutzernamen, um das Pulldown-Men zu ffnen.
Whlen Sie die Option [Kennwort ndern] und geben Sie Ihr aktuelles Kennwort ein.
Geben Sie ein neues Kennwort ein und besttigen Sie es.
Hinzufgen einer vCenter Single Sign On-Gruppe mit dem vSphere Web Client
Im vSphere Web Client sind Gruppen, die auf der Registerkarte [Gruppen] aufgefhrt werden, von vCenter
Single Sign On als interne Gruppen eingestuft. Mit einer Gruppe knnen Sie einen Container fr eine Sammlung von Gruppenmitgliedern erstellen, die Prinzipale genannt werden.
Wenn Sie eine Single Sign On-Gruppe mit dem Single Sign On-Verwaltungstool hinzufgen, wird die Gruppe
in der Single Sign On-Datenbank gespeichert. Die Datenbank wird auf dem System ausgefhrt, auf dem Single
Sign On installiert ist. Diese Gruppen sind Teil der Identittsquelle System-Domne.
Bei Gruppenmitgliedern kann es sich um Benutzer oder andere Gruppen handeln und eine Gruppe kann
Mitglieder aus mehreren Identittsquellen enthalten. Nachdem Sie eine Gruppe erstellt und Prinzipale hinzugefgt haben, knnen Sie Berechtigungen auf die Gruppe anwenden. Mitglieder der Gruppe bernehmen
die Berechtigungen der Gruppe.
Vorgehensweise
1
Whlen Sie die Registerkarte [Gruppen] aus und klicken Sie auf das Symbol [Neue Gruppe] .
Geben Sie einen Namen und eine Beschreibung fr die Gruppe ein.
Sie knnen den Gruppennamen nicht ndern, nachdem Sie die Gruppe angelegt haben.
Weiter
108
VMware, Inc.
Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Gruppe und whlen Sie [Gruppe bearbeiten] .
Klicken Sie auf die Registerkarte [Gruppen] und klicken Sie auf die Gruppe (z. B. Administratoren).
Whlen Sie die Identittsquelle, die den Prinzipal enthlt, der zur Gruppe hinzugefgt werden soll.
(Optional) Geben Sie einen Suchbegriff ein und klicken Sie auf [Suchen] .
Whlen Sie den Prinzipal aus und klicken Sie auf [Hinzufgen] .
Sie knnen gleichzeitig mehrere Prinzipale hinzufgen.
Der Prinzipal (Benutzer oder Gruppe) ist ein Mitglied der Gruppe und wird im unteren Bereich der Registerkarte Gruppen angezeigt.
VMware, Inc.
109
vSphere-Sicherheit
Navigieren Sie zu [Verwaltung] > [Zugriff] > [Benutzer und Gruppen] im vSphere Web Client.
Whlen Sie die Registerkarte [Gruppen] aus und klicken Sie auf die Gruppe.
Whlen Sie in der Liste der Gruppenmitglieder den Benutzer oder die Gruppe aus und klicken Sie auf das
Symbol [Prinzipal entfernen] .
Der Prinzipal (Benutzer oder Gruppe) wird aus der Gruppe entfernt, ist aber noch im System vorhanden.
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Entsperren] .
Die Sperrung des Single Sign On-Benutzerkontos wird aufgehoben und der Benutzer kann sich sofort beim
Single Sign On-Server anmelden.
110
VMware, Inc.
Voraussetzungen
Sie mssen Mitglied der Single Sign On-Administratorengruppe sein, um deaktivierte Single Sign On-Benutzer
verwalten zu knnen.
Vorgehensweise
1
Klicken Sie mit der rechten Maustaste auf den Benutzer und whlen Sie [Aktivieren] .
Das Single Sign On-Benutzerkonto wird aktiviert und der Benutzer kann sich anmelden und sofort arbeiten.
Navigieren Sie zu [Verwaltung] > [Zugriff] > [Benutzer und -Gruppen] im vSphere Web Client.
Klicken Sie auf die Registerkarte [Anwendungsbenutzer] und klicken Sie auf den Anwendungsbenutzernamen.
Die Anwendung (oder Lsung) hat nun keinen Zugriff mehr auf vSphere.
VMware, Inc.
111
vSphere-Sicherheit
Voraussetzungen
Zum Konfigurieren von Active Directory-Einstellungen muss der vSphere-Client mit dem vCenter ServerSystem verbunden sein.
Vorgehensweise
1
Whlen Sie auf dem mit dem vCenter Server-System verbundenen vSphere-Client, [Verwaltung] >
[vCenter Server-Einstellungen] .
Option
Beschreibung
Active Directory-Zeitberschreitung
Zeitberschreitungsintervall in Sekunden fr das Herstellen einer Verbindung mit dem Active Directory-Server. Dieser Wert gibt an, wie lange die
Suche auf der ausgewhlten Domne in vCenter Server hchstens dauern
darf. Das Suchen in groen Domnen kann sehr lange dauern.
Abfragegrenze aktivieren
Aktivieren Sie das Kontrollkstchen, um die Anzahl der Benutzer und Gruppen, die vCenter Server im Dialogfeld Berechtigungen hinzufgen fr die
ausgewhlte Domne anzeigt, einzuschrnken.
Legt die maximale Anzahl von Benutzern und Gruppen fest, die vCenter Server von der ausgewhlten Domne im Dialogfeld Benutzer und Gruppen auswhlen anzeigt. Bei Eingabe des Werts 0 (Null) werden alle Benutzer
und Gruppen angezeigt.
112
Navigieren Sie zum vCenter Server-System im Objektnavigator von vSphere Web Client.
Whlen Sie die Registerkarte [Verwalten] und klicken Sie auf [Einstellungen] .
Beschreibung
Benutzerverzeichnis - Zeitberschreitung
Zeitberschreitungsintervall in Sekunden fr das Herstellen einer Verbindung mit dem Active Directory-Server. Dieser Wert gibt an, wie lange die
Suche auf der ausgewhlten Domne in vCenter Server hchstens dauern
darf. Das Suchen in groen Domnen kann sehr lange dauern.
Abfragegrenze
Aktivieren Sie das Kontrollkstchen, um die maximale Anzahl von Benutzern und Gruppen festzulegen, die vCenter Server anzeigt.
Legt die maximale Anzahl von Benutzern und Gruppen fest, die vCenter Server von der ausgewhlten Domne im Dialogfeld Benutzer und
Gruppen auswhlen anzeigt. Bei Eingabe des Werts 0 (Null) werden alle
Benutzer und Gruppen angezeigt.
VMware, Inc.
Jeder Vorgang, der Speicherplatz bentigt, wie z. B. das Erstellen einer virtuellen Festplatte oder eines
Snapshots, erfordert das Recht Datenspeicher.Speicher zuteilen auf dem Zieldatenspeicher und das
Recht, den Vorgang selbst durchzufhren.
Jeder Host und Cluster hat seinen eigenen impliziten Ressourcenpool, der alle Ressourcen des Hosts oder
Clusters enthlt. Das direkte Bereitstellen einer virtuellen Maschine auf einen Host oder Cluster erfordert
das Recht Ressource.Virtuelle Maschine zu Ressourcenpool zuweisen.
Die Liste der Rechte ist fr ESXi und vCenter Server identisch.
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Berechtigungen] .
Identifizieren Sie den Benutzer oder die Gruppe, der oder die dieser Rolle zugeordnet werden soll.
a
Whlen Sie die Domne des Benutzers oder der Gruppe im Dropdown-Men [Domne] aus.
Geben Sie einen Namen im Feld Suchen ein oder whlen Sie einen Namen aus der Liste aus.
Das System such nach Benutzernamen, Gruppennamen und Beschreibungen.
VMware, Inc.
113
vSphere-Sicherheit
Whlen Sie den Benutzer aus und klicken Sie auf [Hinzufgen] .
Der Name wird der Liste [Benutzer] bzw. [Gruppen] hinzugefgt.
(Optional) Klicken Sie auf [Namen prfen] , um zu berprfen, ob der Benutzer oder die Gruppe in
der Datenbank vorhanden ist.
Whlen Sie eine Rolle aus dem Dropdown-Men [Zugewiesene Rolle] aus.
Die Rollen, die dem Objekt zugewiesen sind, erscheinen im Men. Die Berechtigungen, die dieser Rolle
zugewiesen sind, werden im Bereich unterhalb des Rollennamens aufgelistet.
Stellen Sie sicher, dass den Benutzern und Gruppen die gewnschten Berechtigungen zugewiesen wurden, und klicken Sie auf [OK] .
Der Server fgt die Berechtigung zur Liste der Berechtigungen fr das Objekt hinzu.
In der Liste der Berechtigungen werden alle Benutzer und Gruppen aufgefhrt, denen Rollen fr das
Objekt zugewiesen wurden. Auerdem wird angegeben, an welcher Position in der vCenter Server-Hierarchie die Rolle zugewiesen wurde.
Navigieren Sie zum vCenter Server-System im Objektnavigator von vSphere Web Client.
Whlen Sie die Registerkarte [Verwalten] und klicken Sie auf [Einstellungen] .
(Optional) Wenn die Validierung aktiviert ist, geben Sie einen Validierungszeitraum ein, um einen Zeitraum (in Minuten) zwischen Validierungen anzugeben.
114
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Berechtigungen] .
VMware, Inc.
Klicken Sie auf das entsprechende Element, um die Kombination aus Rolle und Benutzer oder Gruppe
auszuwhlen.
Whlen Sie aus dem Dropdown-Men [Zugewiesene Rolle] die entsprechende Rolle fr den Benutzer
oder die Gruppe aus.
Um die Rechte fr die untergeordneten Elemente des zugewiesenen Bestandslistenobjekts zu bernehmen, aktivieren Sie das Kontrollkstchen [Weitergeben] und klicken Sie auf [OK] .
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Berechtigungen] .
Klicken Sie auf das entsprechende Element, um die Kombination aus Rolle und Benutzer oder Gruppe
auszuwhlen.
VMware, Inc.
115
vSphere-Sicherheit
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
Whlen Sie die Rolle aus und klicken Sie auf [Rollenaktion bearbeiten] .
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
116
VMware, Inc.
Voraussetzungen
Stellen Sie sicher, dass Sie mit Administratorrechten angemeldet sind.
Vorgehensweise
1
Whlen Sie Berechtigungen fr die Rolle aus und klicken Sie auf [OK] .
Whlen Sie die Rolle aus und klicken Sie auf [Rollenaktion bearbeiten] .
VMware, Inc.
117
vSphere-Sicherheit
Vorgehensweise
1
Whlen Sie eine Rolle aus und klicken Sie auf [Rolle lschen] .
Whlen Sie eine Neuzuweisungsoption aus und klicken Sie auf [OK] .
Option
Beschreibung
Rollenzuweisungen entfernen
Entfernt auf dem Server konfigurierte Paare aus Rolle und Benutzer oder
Gruppe. Wenn einem Benutzer oder einer Gruppe keine Berechtigungen zugewiesen sind, verliert der Benutzer oder die Gruppe alle Berechtigungen.
Weist allen konfigurierten Paaren aus Rolle und Benutzer oder Gruppe die
ausgewhlte neue Rolle neu zu.
Manuelles Replizieren von Daten in einer vCenter Single Sign OnBereitstellung mit mehreren Standorten
Wenn Sie in einer vCenter Single Sign On-Bereitstellung mit mehreren Standorten eine nderung an einem
Knoten vornehmen, knnen Sie die nderung auf andere Knoten replizieren. Installieren Sie die einzelnen
Knoten im Modus fr mehrere Standorte, um die Replizierungsdaten zwischen den vCenter Single Sign OnKnoten in einer Bereitstellung mit mehreren Standorten zu bertragen. Dieser Vorgang wird manuell durchgefhrt.
Die replizierten Daten enthalten Informationen, die das Verhalten von Diensten bestimmen, und Informationen, die ber die Single Sign On-Verwaltungsschnittstelle verwaltet werden. Die folgende Liste enthlt Beispiele solcher Informationen:
n
Identittsquellenkonfiguration
Kennwortrichtlinien
Sperrrichtlinie
Kennwortablaufkonfiguration
Truststores fr Zertifikate
nderungen (einstellen oder aktualisieren) an einem dieser Elemente lst den Replizierungsstatus aus. Wenn
auerdem ein Benutzer erfolglos versucht, sich anzumelden, und die Sperrrichtlinie aufruft, wird ein Replizierungsstatus ausgelst. Nur Benutzer, die in der Systemidentittsquelle definiert sind, knnen die Sperrrichtlinie aufrufen.
WICHTIG Um sicherzustellen, dass die Daten whrend der manuellen Replizierung synchron bleiben, drfen
Sie keine nderungen an den zu replizierenden Daten vornehmen, beispielsweise Identittsquellen oder lokale
Benutzer hinzufgen oder lschen.
118
VMware, Inc.
Der manuelle Transport von Replizierungsdaten muss nacheinander ausgefhrt werden. Dies bedeutet, dass
die nderungen an einem Knoten an alle anderen Knoten in der Bereitstellung weitergegeben werden, bevor
nderungen an weiteren Knoten auftreten. Dieses Modell erfordert einen Export und (N-1) Importe fr jeden
aktualisierten Knoten.
Melden Sie sich beim vCenter Single Sign On-System an, von dem die nderung stammt.
Fhren Sie repl_tool.cmd mit den folgenden Parametern aus, damit die Replizierungszustandsdatei exportiert wird.
export -f Datei -u Admin_Benutzername [-p Kennwort]
Wert
Modus
Export
Datei
Relativer oder absoluter Pfad zu einer Datei, in die die Daten exportiert werden sollen.
Admin_Benutzername
Kennwort
Optional. Wenn Sie kein Kennwort eingeben, werden Sie dazu bei der Ausfhrung des Befehls aufgefordert.
Kopieren Sie die exportierte Datei zum vCenter Single Sign On-Zielsystem oder an einen Speicherort, auf
den die anderen Systeme in der Bereitstellung zugreifen knnen.
Weiter
Importieren Sie die Replizierungsdaten in die Zielsysteme.
VMware, Inc.
119
vSphere-Sicherheit
Melden Sie sich beim vCenter Single Sign On-System an, bei dem Sie die nderung anwenden mchten.
Fhren Sie repl_tool.cmd mit den folgenden Parametern aus, damit die Replizierungszustandsdatei importiert wird.
import -f Datei -u Admin_Benutzername [-p Kennwort]
Wert
Modus
Importieren.
Datei
Relativer oder absoluter Pfad zu einer Datei, aus der die Daten importiert werden sollen.
Admin_Benutzername
Kennwort
Optional. Wenn Sie kein Kennwort eingeben, werden Sie dazu bei der Ausfhrung des Befehls aufgefordert.
Die Replizierungsdaten werden importiert und der Status des Zielknotens wird auer Kraft gesetzt.
120
VMware, Inc.
Ursache
Dieses Problem kann mehrere Ursachen haben. Dazu zhlen nicht synchronisierte Uhren auf den Hostmaschinen, Firewall-Blockierung und nicht gestartete Dienste.
Lsung
1
Vergewissern Sie sich, dass die Uhren auf den Hostmaschinen synchronisiert sind, auf denen vCenter
Single Sign On, vCenter Server und Web Client ausgefhrt werden.
VMware, Inc.
Meldung
Die IP-Adresse ist falsch, eine Firewall blockiert den Zugriff auf vCenter
Single Sign On oder vCenter Single Sign On ist berlastet.
Stellen Sie sicher, dass der vCenter Single Sign On-Port (standardmig
7444) nicht von einer Firewall blockiert wird und die Maschine, auf der
vCenter Single Sign On installiert ist, ber entsprechende freie CPU-, E/Aund RAM-Kapazitten verfgt.
Die IP-Adresse oder der FQDN ist falsch und vCenter Single Sign On wurde
nicht oder innerhalb der letzten Minute gestartet.
Vergewissern Sie sich, dass vCenter Single Sign On ausgefhrt wird, indem
Sie den Status des vCenter Single Sign On-Diensts (Windows) bzw. des
vmware-sso-Daemons (Linux) prfen.
Starten Sie den Dienst neu. Wenn das Problem dadurch nicht behoben wird,
finden Sie weitere Informationen im Handbuch fr vSphere-Fehlerbehebung
im Abschnitt zur Wiederherstellung.
Starten Sie vCenter Single Sign On neu. Wenn das Problem dadurch nicht
behoben wird, finden Sie weitere Informationen im Handbuch fr vSphereFehlerbehebung im Abschnitt zur Wiederherstellung.
121
vSphere-Sicherheit
Stellen Sie sicher, dass in den Zeilen die Active Directory-Domne, der DNS-Name, der NetBIOS-Name,
der primre Controller und, falls vorhanden, der sekundre Controller angezeigt werden.
In einem spteren Schritt bentigen Sie die Namen der Controller.
Synchronisieren Sie die Uhren zwischen der vCenter Server Appliance und den Active Directory-Domnencontrollern.
Geben Sie in der Befehlszeile den folgenden Code ein, um sicherzustellen, dass jeder Domnencontroller
ber einen Pointer Record (PTR) im DNS-Dienst der Active Directory-Domne verfgt und dass die PTRInformationen mit dem DNS-Namen des Controllers bereinstimmen.
# dig my-controller.my-ad.com
...
;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
# dig -x <controller IP address>
...
;; ANSWER SECTION:
122
Wenn die Controller-LDAP-Dienste SSL-fhig sind, stellen Sie sicher, dass das SSL-Zertifikat gltig ist.
(Optional) Wenn das Problem durch die Schritte 1 bis 5 nicht behoben wurde, entfernen Sie die vCenter
Server Appliance von der Active Directory-Domne und treten Sie anschlieend der Domne wieder bei.
VMware, Inc.
vSphere Web Client kann die vCenter Single Sign On-Anmeldung nicht erkennen
Wenn Sie vCenter Single Sign On verwenden, knnen bei der Anmeldung beim vSphere Web Client die Anmeldedaten nicht validiert werden.
Problem
Wenn Sie sich beim vSphere Web Client mit vCenter Single Sign On anmelden, knnen die Anmeldedaten
nicht validiert werden.
Ursache
Die hufigste Ursache ist eine falsche Eingabe der Anmeldedaten oder ein abgelaufenes Kennwort.
Lsung
n
Stellen Sie sicher, dass Sie den Benutzernamen und das Kennwort korrekt eingegeben und dabei die
Gro-/Kleinschreibung beachtet haben.
Geben Sie einen vollqualifizierten Domnennamen im Format Benutzername@Domnenname oder NETBIOSDomnenname/Benutzername an.
Stellen Sie sicher, dass Ihr Kennwort gltig ist. Ein abgelaufenes Kennwort hat denselben Fehler wie die
Angabe ungltiger Anmeldedaten zur Folge.
Wenn Sie sicher sind, dass der Benutzername und das Kennwort korrekt sind, knnen Sie die folgenden
Lsungsschritte durchfhren.
n
Wenn Sie sich mit einem Benutzernamen von der Systemdomne anmelden, bitten Sie den Single
Sign On-Administrator, Ihr Kennwort ber den vSphere Web Client zurckzusetzen. Standardmig
luft das Kennwort fr alle Benutzer in der Systemdomne nach einem Jahr ab.
Wenn Sie der Single Sign On-Administrator sind, setzen Sie Ihr Kennwort ber die Single Sign OnServerkonsole zurck.
Wenn Sie sich mit einem Benutzernamen von Active Directory oder der LDAP-Domne anmelden,
folgen Sie der Unternehmensrichtlinie zum Zurcksetzen abgelaufener Kennwrter.
Wenn das Problem durch keinen dieser Schritte behoben wird, berprfen Sie zum Ermitteln der
Ursache die Protokolle und fhren Sie anschlieend die passende Aktion durch.
Sie finden die Protokolle fr den vSphere Web Client-Dienst an dem fr Ihr Betriebssystem angegebenen Speicherort.
n
Linux: /usr/lib/vmware-vsphere-client/server/serviceability/
vSphere Web Client mit vCenter Single Sign On-Anmeldung schlgt fehl, weil das
Benutzerkonto gesperrt ist
Wenn Sie vCenter Single Sign On verwenden und sich beim vSphere Web Client anzumelden versuchen,
schlgt die Anmeldung fehl, wenn das Benutzerkonto gesperrt ist.
Problem
Nach mehreren fehlgeschlagenen Versuchen knnen Sie sich mithilfe von vCenter Single Sign On nicht mehr
beim vSphere Web Client anmelden. Sie erhalten die Meldung, dass Ihr Konto gesperrt ist.
VMware, Inc.
123
vSphere-Sicherheit
Ursache
Sie haben die maximale Anzahl an fehlgeschlagenen Anmeldeversuchen (standardmig drei) berschritten.
Aus Sicherheitsgrnden sperrt vCenter Single Sign On Ihr Konto.
Lsung
n
Wenn Sie sich mit einem Benutzernamen von der Systemdomne anmelden, bitten Sie Ihren vCenter
Single Sign On-Administrator, Ihr Konto zu entsperren.
Wenn Sie sich mit einem Benutzernamen von Active Directory oder der LDAP-Domne anmelden, bitten
Sie Ihren Active Directory- bzw. LDAP-Administrator, Ihr Konto zu entsperren.
Warten Sie, bis Ihr Konto entsperrt wird. Standardmig wird das Konto fr Benutzer in der Systemdomne nach 15 Minuten entsperrt.
Keine Antwort von vCenter Single Sign On-Server auf eine vSphere Web ClientAnmeldung
Wenn vCenter Single Sign On nicht auf eine vSphere Web Client-Anmeldung antwortet, besteht mglicherweise ein Problem mit der Konnektivitt.
Problem
Der vCenter Single Sign On-Server zeigt folgende Fehlermeldung an: Kommunikation mit dem VMware-SSOServer <Serveradresse> fehlgeschlagen. Der Server konnte mglicherweise nicht antworten oder hat
auf unerwartete Art geantwortet.
Ursache
Die Konnektivitt mit dem vCenter Single Sign On-Server ist verloren gegangen. Die hufigsten Ursachen
bestehen darin, dass es keine Konnektivitt zu dem Single Sign On-Server gibt oder dass das Single Sign On
nicht ausgefhrt wird.
1
Der vCenter Single Sign On-Server funktioniert ordnungsgem, aber es besteht keine Netzwerkkonnektivitt zu ihm.
Lsung
1
Stellen Sie sicher, dass der vCenter Single Sign On-Server funktioniert, indem Sie den Status der Dienste
vCenter Single Sign On (Windows) und vmware-sso (Linux) berprfen.
vCenter Server Appliance kann den Admin-Benutzer von einem externen vCenter
Single Sign On-Server nicht authentifizieren
Wenn Sie eine vCenter Server Appliance so konfigurieren, dass sie mit einem externen vCenter Single Sign
On-Server funktioniert, knnen Probleme auftreten, wenn Sie die Benutzer nicht ordnungsgem einrichten.
Problem
Sie erhalten den Fehler Die Authentifizierung des Single Sign On-Administratorbenutzers ist fehlgeschlagen.
Ursache
Dieser Fehler tritt aus mehreren Grnden auf.
124
VMware, Inc.
Lsung
1
Stellen Sie sicher, dass das Benutzerkonto nicht gesperrt oder deaktiviert ist.
Melden Sie sich beim Web Client mit dem Benutzernamen an, der die Fehlermeldung generiert hat. Wenn
das Benutzerkonto gesperrt bzw. deaktiviert ist, kann jeder andere vCenter Single Sign On-Administrator
das Benutzerkonto entsperren bzw. reaktivieren. Erstellen Sie bei Bedarf zustzliche vCenter Single Sign
On-Administratorkonten.
VMware, Inc.
125
vSphere-Sicherheit
126
VMware, Inc.
Verschlsselungs- und
Sicherheitszertifikate
ESXi und vCenter Server untersttzen X.509 Version 3- (X.509v3-)Standardzertifikate fr das Verschlsseln
von Sitzungsinformationen, die ber SSL-Verbindungen zwischen den Komponenten bertragen werden. Bei
aktiviertem SSL sind die Daten vertraulich, geschtzt und knnen nicht unbemerkt bei der bertragung gendert werden.
Smtlicher Netzwerkdatenverkehr wird verschlsselt, solange die folgenden Bedingungen gelten:
n
Der Web-Proxy-Dienst wurde nicht so gendert, dass er unverschlsselten Datenverkehr fr den Port
durchlsst.
Bei der Firewall wurde die mittlere oder hohe Sicherheit eingestellt.
Aktivieren der Validierung von SSL-Zertifikaten ber NFC, auf Seite 128
Hochladen eines SSL-Zertifikats und Schlssels anhand von HTTPS PUT, auf Seite 129
Ersetzen eines ESXi-Standardzertifikats durch ein CA-signiertes Zertifikat, auf Seite 129
Ersetzen eines ESXi-Standardzertifikats durch ein CA-signiertes Zertifikat unter Verwendung des vifsBefehls, auf Seite 130
Hochladen eines SSH-Schlssels anhand von HTTPS PUT, auf Seite 131
Aktivieren der berprfung von Zertifikaten und Host-Fingerabdrcken, auf Seite 137
VMware, Inc.
127
vSphere-Sicherheit
Aktivieren der Zertifikatsberprfung und berprfen der Host-Fingerabdrcke im vSphere Web Client, auf Seite 137
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an. []
Sichern Sie im Verzeichnis /etc/vmware/ssl alle vorhandenen Zertifikate, indem Sie sie mit folgenden
Befehlen umbenennen.
mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
HINWEIS Wenn Sie Zertifikate neu generieren, da Sie sie gelscht haben, ist dieser Schritt nicht erforderlich.
3
Starten Sie den Host nach der Installation des neuen Zertifikats neu.
Alternativ knnen Sie den Host in den Wartungsmodus versetzen, das neue Zertifikat installieren und
anschlieend die Verwaltungs-Agenten ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) neu starten.
Besttigen Sie, dass der Host neue Zertifikate erfolgreich erstellt hat, indem Sie den folgenden Befehl
verwenden und die Zeitstempel der neuen Zertifikatsdateien mit orig.rui.crt und orig.rui.key vergleichen.
ls -la
128
VMware, Inc.
Vorgehensweise
1
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie den Parameter nfc.useSSL hinzu bzw. bearbeiten Sie ihn, und legen Sie den Wert auf true fest.
ffnen Sie die Datei in der Anwendung, die Sie fr das Hochladen verwenden.
Option
Beschreibung
Zertifikate
https://hostname/host/ssl_crt
Schlssel
https://hostname/host/ssl_key
Verwenden Sie in der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI)
den Vorgang Verwaltungs-Agenten neu starten, um die Einstellungen zu initiieren.
VMware, Inc.
129
vSphere-Sicherheit
Voraussetzungen
Alle Dateibertragungen und andere Kommunikationsvorgnge erfolgen ber eine sichere HTTPS-Sitzung.
Der zum Authentifizieren der Sitzung verwendete Benutzer muss ber die Berechtigung Host.Config.AdvancedConfig auf dem Host verfgen. Weitere Informationen ber ESXi-Berechtigungen finden Sie unter
Kapitel 6, ESXi-Authentifizierung und Benutzerverwaltung, auf Seite 61.
Vorgehensweise
1
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an.
Benennen Sie im Verzeichnis /etc/vmware/ssl die vorhandenen Zertifikate mit folgenden Befehlen um.
mv rui.crt orig.rui.crt
mv rui.key orig.rui.key
Kopieren Sie das neue Zertifikat und den neuen Schlssel in das Verzeichnis /etc/vmware/ssl.
Benennen Sie das neue Zertifikat und den Schlssel um in rui.crt und rui.key.
Starten Sie den Host nach der Installation des neuen Zertifikats neu.
Alternativ knnen Sie den Host in den Wartungsmodus versetzen, das neue Zertifikat installieren und
anschlieend die Verwaltungs-Agenten ber die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) neu starten.
130
VMware, Inc.
Verwenden Sie in der Befehlszeile den vifs-Befehl, um das Zertifikat an die entsprechende Position auf
dem Host hochzuladen.
vifs --server Hostname --username Benutzername --put rui.crt /host/ssl_cert
vifs --server Hostname --username Benutzername --put rui.key /host/ssl_key
DSA-Schlssel
ffentlicher DSA-Schlssel
RSA-Schlssel
ffentlicher RSA-Schlssel
ffnen Sie die Schlsseldatei in der Anwendung, die Sie fr das Hochladen verwenden.
VMware, Inc.
Schlsseltyp
Speicherort
Autorisierte Schlsseldateien fr
den Root-Benutzer
DSA-Schlssel
ffentliche DSA-Schlssel
RSA-Schlssel
ffentliche RSA-Schlssel
131
vSphere-Sicherheit
DSA-Schlssel
ffentlicher DSA-Schlssel
RSA-Schlssel
ffentlicher RSA-Schlssel
Verwenden Sie in der Befehlszeile den vifs-Befehl, um den SSH-Schlssel an die entsprechende Position
hochzuladen.
vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub
Schlsseltyp
Speicherort
Autorisierte Schlsseldateien fr
den Root-Benutzer
/host/ssh_root_authorized keys
Sie bentigen zum Hochladen dieser Datei vollstndige Administratorrechte.
DSA-Schlssel
/host/ssh_host_dsa_key
ffentliche DSA-Schlssel
/host/ssh_host_dsa_key_pub
RSA-Schlssel
/host/ssh_host_rsa_key
ffentliche RSA-Schlssel
/host/ssh_host_rsa_key_pub
Die Einstellung fr Zeitberschreitung beim Lesen wird fr Verbindungen verwendet, die den SSLHandshake-Prozess mit Port 443 von ESXi abgeschlossen haben.
Die Einstellung fr Handshake-Zeitberschreitung wird fr Verbindungen verwendet, die den SSLHandshake-Prozess mit Port 443 von ESXi noch nicht abgeschlossen haben.
132
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an.
VMware, Inc.
Beispiel: Konfigurationsdatei
Der folgende Abschnitt der Datei /etc/vmware/rhttpproxy/config.xml zeigt, an welcher Stelle die Einstellungen fr die SSL-Zeitberschreitung eingegeben werden mssen.
<vmacore>
...
<http>
...
<readTimeoutMs>20000</readTimeoutMs>
...
</http>
...
<ssl>
...
<handshakeTimeoutMs>20000</handshakeTimeoutMs>
...
</ssl>
</vmacore>
VMware, Inc.
Richten Sie Zertifikate nicht mithilfe von Kennwortstzen ein. ESXi untersttzt keine Kennwortstze
(verschlsselte Schlssel). Wenn Sie einen Kennwortsatz einrichten, knnen ESXi-Prozesse nicht ordnungsgem starten.
133
vSphere-Sicherheit
Sie knnen den Web-Proxy so konfigurieren, dass er an einer anderen Stelle als am Standardspeicherort
nach Zertifikaten sucht. Dies ist hilfreich, wenn die Zertifikate zentral auf einem Computer gespeichert
werden sollen, damit mehrere Hosts die Zertifikate verwenden knnen.
VORSICHT Wenn Zertifikate nicht lokal auf dem Host gespeichert werden, sondern z. B. auf einer NFSFreigabe, kann der Host nicht auf diese Zertifikate zugreifen, wenn ESXi keine Netzwerkkonnektivitt
hat. Aus diesem Grund ist bei einem Client, der eine Verbindung zum Host herstellt, kein sicherer SSLHandshake mit dem Host mglich.
Zur Untersttzung von Verschlsselung fr Benutzernamen, Kennwrter und Pakete wird SSL standardmig fr vSphere Web Services SDK-Verbindungen aktiviert. Wenn Sie diese Verbindungen so
konfigurieren mchten, dass bertragungen nicht verschlsselt werden, deaktivieren Sie SSL fr Ihre
vSphere Web Services SDK-Verbindung, indem Sie die Verbindung von HTTPS auf HTTP umstellen.
Deaktivieren Sie SSL nur dann, wenn Sie eine vollstndig vertrauenswrdige Umgebung fr die Clients
geschaffen haben, d. h. Firewalls wurden installiert und die bertragungen zum und vom Host sind
vollstndig isoliert. Die Deaktivierung von SSL kann die Leistung verbessern, da der fr die Verschlsselung notwendige Verarbeitungsaufwand nicht anfllt.
Um den Missbrauch von ESXi-Diensten zu verhindern, kann auf die meisten internen ESXi-Dienste nur
ber Port 443, den fr HTTPS-bertragungen verwendeten Port, zugegriffen werden. Port 443 dient als
Reverse-Proxy fr ESXi. Sie knnen eine Liste der Dienste auf dem ESXi-Host auf einer HTTP-Begrungsseite sehen. Sie knnen direkt aber nur auf die Speicheradapterdienste zugreifen, wenn Sie ber die
entsprechenden Berechtigungen verfgen.
Sie knnen diese Einstellung ndern, sodass auf bestimmte Dienste direkt ber HTTP-Verbindungen zugegriffen werden kann. Nehmen diese nderung nur vor, wenn Sie ESXi in einer vertrauenswrdigen
Umgebung verwenden.
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an.
ffnen Sie die Datei config.xml in einem Texteditor, und bearbeiten Sie das folgende XML-Segment.
<ssl>
<!-- The server private key file -->
<privateKey>/etc/vmware/ssl/rui.key</privateKey>
<!-- The server side certificate file -->
<certificate>/etc/vmware/ssl/rui.crt</certificate>
</ssl>
Ersetzen Sie /etc/vmware/ssl/rui.key durch den absoluten Pfad zur persnlichen Schlsseldatei, die Sie
von der vertrauenswrdigen Zertifizierungsstelle erhalten haben.
Dieser Pfad kann sich auf dem Host oder auf einem zentralen Computer befinden, auf dem die Zertifikate
und Schlssel fr Ihr Unternehmen gespeichert sind.
HINWEIS Belassen Sie die XML-Tags <privateKey> und </privateKey> an ihrem Platz.
134
VMware, Inc.
Ersetzen Sie /etc/vmware/ssl/rui.crt durch den absoluten Pfad zur Zertifikatsdatei, die Sie von der vertrauenswrdigen Zertifizierungsstelle erhalten haben.
VORSICHT Lschen Sie die ursprnglichen Dateien rui.key und rui.crt nicht. Der Host verwendet diese
Dateien.
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an. []
VMware, Inc.
135
vSphere-Sicherheit
<serverNamespace>/nfc</serverNamespace>
</e>
<e id="5">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8307</port>
<serverNamespace>/sdk</serverNamespace>
</e>
<e id="6">
<_type>vim.ProxyService.NamedPipeTunnelSpec</_type>
<accessMode>httpOnly</accessMode>
<pipeName>/var/run/vmware/proxy-sdk-tunnel</pipeName>
<serverNamespace>/sdkTunnel</serverNamespace>
</e>
<e id="7">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8308</port>
<serverNamespace>/ui</serverNamespace>
</e>
<e id="8">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsOnly</accessMode>
<port>8089</port>
<serverNamespace>/vpxa</serverNamespace>
</e>
<e id="9">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8889</port>
<serverNamespace>/wsman</serverNamespace>
</e>
</EndpointList>
</ConfigRoot>
136
Option
Beschreibung
e id
_type
accessmode
Form der Kommunikation, die der Dienst zulsst. Zu den zulssigen Werten
gehren u. a.:
n httpOnly Auf den Dienst kann nur ber unverschlsselte HTTP-Verbindungen zugegriffen werden.
n httpsOnly Auf den Dienst kann nur ber HTTPS-Verbindungen zugegriffen werden.
n httpsWithRedirect Auf den Dienst kann nur ber HTTPS-Verbindungen zugegriffen werden. Anforderungen ber HTTP werden an den
entsprechenden HTTPS-URL weitergeleitet.
n httpAndHttps Auf den Dienst kann sowohl ber HTTP- als auch ber
HTTPS-Verbindungen zugegriffen werden.
VMware, Inc.
Option
Beschreibung
port
Portnummer, die dem Dienst zugewiesen ist. Sie knnen dem Dienst eine
andere Portnummer zuweisen.
serverNamespace
Namespace des Servers, der diesen Dienst anbietet, z. B. /sdk oder /mob.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie im linken Bildschirmbereich auf [SSL-Einstellungen] und berprfen Sie, dass [Hostzertifikate prfen] ausgewhlt ist.
Falls Hosts vorhanden sind, die eine manuelle Validierung erfordern, vergleichen Sie die fr die Hosts
aufgefhrten Fingerabdrcke mit den Fingerabdrcken in der Hostkonsole.
Verwenden Sie die Benutzerschnittstelle der direkten Konsole (DCUI), um den Fingerabdruck des Hosts
abzurufen.
a
Melden Sie sich bei der direkten Konsole an und drcken Sie F2, um das Men fr die Systemanpassung aufzurufen.
Stimmen die Fingerabdrcke berein, whlen Sie das Kontrollkstchen [berprfen] neben dem Host
aus.
Hosts, die nicht ausgewhlt sind, werden getrennt, nachdem Sie auf [OK] klicken.
Aktivieren der Zertifikatsberprfung und berprfen der HostFingerabdrcke im vSphere Web Client
Die Zertifikatberprfung ist standardmig aktiviert, um Man-in-the-Middle-Angriffe zu verhindern und
smtliche Sicherheitsfunktionen der Zertifikate zu verwenden. Sie knnen prfen, ob die Zertifikatsberprfung im vSphere Web Client aktiviert ist.
HINWEIS vCenter Server-Zertifikate bleiben bei Upgrades erhalten.
Vorgehensweise
1
VMware, Inc.
Navigieren Sie zum vCenter Server-System im Objektnavigator von vSphere Web Client.
137
vSphere-Sicherheit
Whlen Sie die Registerkarte [Verwalten] aus und klicken Sie auf [Einstellungen] und anschlieend
auf [Allgemein] .
Klicken Sie auf [SSL-Einstellungen] und stellen Sie sicher, dass die Option [vCenter bentigt verifizierte
Host-SSL-Zertifikate] ausgewhlt ist.
Falls Hosts vorhanden sind, die eine manuelle Validierung erfordern, vergleichen Sie die fr die Hosts
aufgefhrten Fingerabdrcke mit den Fingerabdrcken in der Hostkonsole.
Verwenden Sie die Benutzerschnittstelle der direkten Konsole (DCUI), um den Fingerabdruck des Hosts
abzurufen.
a
Melden Sie sich bei der direkten Konsole an und drcken Sie F2, um das Men fr die Systemanpassung aufzurufen.
Stimmen die Fingerabdrcke berein, whlen Sie das Kontrollkstchen [berprfen] neben dem Host
aus.
Hosts, die nicht ausgewhlt sind, werden getrennt, nachdem Sie auf [OK] klicken.
138
VMware, Inc.
Das Gastbetriebssystem, das in der virtuellen Maschine luft, ist denselben Sicherheitsrisiken ausgesetzt wie
ein physisches System. Sichern Sie virtuelle Maschinen so, wie Sie physische Maschinen sichern wrden.
Dieses Kapitel behandelt die folgenden Themen:
n
Begrenzen der Offenlegung vertraulicher Daten, die in die Zwischenablage kopiert wurden, auf Seite 147
Beschrnken von Schreibvorgngen des Gastbetriebssystems in den Hostspeicher, auf Seite 149
Verhindern, dass ein Benutzer oder Prozess auf einer virtuellen Maschine die Verbindung zu Gerten
trennt, auf Seite 152
Verhindern, dass ein Benutzer bzw. ein Vorgang einer virtuellen Maschine Gerte im vSphere Web
Client trennt, auf Seite 153
VMware, Inc.
139
vSphere-Sicherheit
Vorgehensweise
n
Trennen Sie nicht verwendete physische Gerte wie CD/DVD-Laufwerke, Diskettenlaufwerke und USBAdapter.
Siehe Entfernung berflssiger Hardwaregerte, auf Seite 151.
Fhren Sie das X Window-System auf Linux-, BSD- oder Solaris-Gastbetriebssystemen nur aus, wenn es
erforderlich ist.
Stellen Sie Vorlagen fr die Erstellung von virtuellen Maschinen bereit, die abgesicherte, gepatchte und
korrekt konfigurierte Betriebssystembereitstellungen enthalten.
Wenn mglich, stellen Sie auch Anwendungen in Vorlagen bereit. Achten Sie darauf, dass die Anwendungen nicht von Informationen abhngen, die spezifisch fr eine virtuelle Maschine sind, die bereitgestellt werden soll.
Weiter
Sie knnen im vSphere-Client eine Vorlage in eine virtuelle Maschine und wieder zurck in eine Vorlage
umwandeln und damit die Aktualisierung von Vorlagen stark vereinfachen. Weitere Hinweise zu Vorlagen
finden Sie in der Dokumentation vSphere-Administratorhandbuch fr virtuelle Maschinen.
Verwenden Sie Anteile oder Reservierungen, um Ressourcen fr kritische virtuelle Maschinen zu garantieren.
Grenzen schrnken den Ressourcenverbrauch durch virtuelle Maschinen ein, bei denen ein greres Risiko besteht, dass sie ausgenutzt oder angegriffen werden knnen, oder auf denen Anwendungen laufen,
von denen bekannt ist, dass sie potenziell sehr viele Ressourcen verbrauchen.
140
VMware, Inc.
Weiter
Informationen ber Ressourcenanteile und Grenzwerte finden Sie in der Dokumentation Handbuch zur vSphereRessourcenverwaltung.
Melden Sie sich beim vSphere Web Client als Benutzer an, der in dem System, auf dem Sie die Rolle
erstellen mchten, ber vCenter Server-Administratorrechte verfgt.
Klicken Sie erst auf [Verwaltung] und dann auf [Zugriff] > [Rollen-Manager] .
Klicken Sie auf das Symbol [Rolle erstellen] und geben Sie einen Namen fr die Rolle ein.
Geben Sie beispielsweise Administrator ohne Gastzugriff ein.
Entfernen Sie die Gastvorgangsrechte durch Deaktivieren der folgenden Option: Alle Rechte.Virtuelle
Maschine.Gastvorgnge.
Weiter
Weisen Sie Benutzern, die Administratorrechte ohne Gastzugriffsrechte bentigen, die neu erstellte Rolle zu
und stellen Sie sicher, dass diesen Benutzern die standardmige Administratorrolle entzogen wird.
VMware, Inc.
141
vSphere-Sicherheit
Vorgehensweise
1
Navigieren Sie auf dem ESXi-System, das die virtuelle Maschine hostet, zur VMX-Datei.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem sich die
Dateien der virtuellen Maschine befinden. Beispiel: /vmfs/volumes/vol1/vm-finance/.
Verwenden Sie einen Texteditor, um die folgende Zeile in die .vmx-Datei einzufgen und darin zu bearbeiten:
tools.setInfo.sizeLimit=104857
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.tools.diskWiper.disable
Wahr
isolation.tools.diskShrink.disable
Wahr
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
Wenn Sie diese Funktion deaktivieren, knnen Sie Festplatten einer virtuellen Maschine nicht verkleinern,
wenn ein Datenspeicher keinen Speicherplatz mehr hat.
142
VMware, Inc.
Vorgehensweise
1
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.tools.diskWiper.disable
Wahr
isolation.tools.diskShrink.disable
Wahr
Wenn Sie diese Funktion deaktivieren, knnen Sie Festplatten einer virtuellen Maschine nicht verkleinern,
wenn ein Datenspeicher keinen Speicherplatz mehr hat.
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie den Parameter RemoteDisplay.maxConnections hinzu oder bearbeiten Sie ihn und legen Sie
den Wert mit 1 fest.
VMware, Inc.
143
vSphere-Sicherheit
Nur eine Remotekonsolenverbindung zur virtuellen Maschine ist zulssig. Andere Versuche zum Starten einer
Remotekonsole werden abgelehnt, bis die erste Sitzung getrennt wird.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Allgemeine Optionen] aus und notieren Sie den Pfad, der im Textfeld
[Konfigurationsdatei der virtuellen Maschine] angezeigt wird.
Melden Sie sich bei der ESXi Shell als Benutzer mit Administratorrechten an.
Wechseln Sie in das Verzeichnis, um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen,
deren Pfad Sie sich bei dem Schritt Schritt 3 notiert haben.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem sich die
Dateien der virtuellen Maschine befinden. Wenn beispielsweise die Konfigurationsdatei der virtuellen
Maschine, die Sie im Dialogfeld Eigenschaften der virtuellen Maschine abgerufen haben, [vol1]vmfinance/vm-finance.vmx ist, wechseln Sie zu folgendem Verzeichnis:
/vmfs/volumes/vol1/vm-finance/
144
VMware, Inc.
Verwenden Sie einen Texteditor, um die Protokollgre zu begrenzen, indem Sie die .vmx-Datei um die
folgende Zeile ergnzen, wobei Maximalgre die Maximalgre der Datei in Byte ist:
log.rotateSize=maximum_size
Um beispielsweise die Datei auf 100 KB zu begrenzen, geben Sie 100000 ein.
7
Verwenden Sie einen Texteditor, um die Anzahl der Protokolldateien zu begrenzen, indem Sie die .vmxDatei um die folgende Zeile ergnzen, wobei Gewnschte_Anzahl_an_Dateien die Anzahl der Dateien ist,
die auf dem Server gespeichert bleiben:
log.keepOld=number_of_files_to_keep
Um beispielsweise zehn Protokolldateien zu speichern und anschlieend mit dem Lschen der ltesten
und Erstellen neuer Dateien zu beginnen, geben Sie 10 ein.
8
Protokolle von virtuellen Maschinen sind fr die Fehlersuche und den Support nicht verfgbar.
Begrenzen von Anzahl und Gre von Protokolldateien im vSphere Web Client
Sie knnen die Anzahl und die Gre der von ESXi generierten Protokolldateien begrenzen, um zu verhindern,
dass Benutzer und Prozesse von virtuellen Maschinen die Protokolldatei berfluten und damit einen Denialof-Service verursachen knnen.
Voraussetzungen
Schalten Sie die virtuelle Maschine aus.
Vorgehensweise
1
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
VMware, Inc.
Name
Wert
log.rotateSize
log.keepOld
145
vSphere-Sicherheit
Melden Sie sich ber den vSphere-Client am vCenter Server-System an und klicken Sie im Bestandslistenfenster auf die virtuelle Maschine.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Klicken Sie auf die Registerkarte [Optionen] und whlen Sie in der Optionsliste unter Erweitert die
Option [Allgemein] aus.
Klicken Sie auf [OK] , um das Eigenschaftendialogfeld der virtuellen Maschine zu schlieen.
146
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
VMware, Inc.
Melden Sie sich ber den vSphere-Client bei einem vCenter Server-System an und whlen Sie die virtuelle
Maschine aus.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Stellen Sie sicher, dass in den Spalten Name und Wert die folgenden Werte enthalten sind, oder
klicken Sie auf [Zeile hinzufgen] , um Werte hinzuzufgen.
Name
Wert
isolation.tools.copy.disable
Wahr
isolation.tools.paste.disable
Wahr
Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf.
5
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
(Optional) Starten Sie die virtuelle Maschine neu, wenn Sie nderungen an den Konfigurationsparametern vornehmen.
VMware, Inc.
147
vSphere-Sicherheit
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.tools.copy.disable
Wahr
isolation.tools.paste.disable
Wahr
Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf.
6
148
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
VMware, Inc.
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.tools.unity.push.update.disable
Wahr
isolation.tools.ghi.launchmenu.change
Wahr
isolation.tools.memSchedFakeSampleStats.disable
Wahr
isolation.tools.getCreds.disable
Wahr
isolation.tools.ghi.autologon.disable
Wahr
isolation.bios.bbs.disable
Wahr
isolation.tools.hgfsServerSet.disable
Wahr
Indem isolation.tools.hgfsServerSet.disable auf true gesetzt wird, wird die Registrierung des HGFSServers beim Host deaktiviert. APIs, die HGFS verwenden, um Dateien zum und vom Gastbetriebssystem zu
bertragen (z. B. manche VIX-Befehle oder das Dienstprogramm fr automatische Upgrades von VMware
Tools), funktionieren dann nicht mehr.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
VMware, Inc.
149
vSphere-Sicherheit
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Wenn das Attribut zur Grenbegrenzung nicht vorhanden ist, mssen Sie es hinzufgen.
a
Wenn das Grenlimitattribut vorhanden ist, passen Sie es wie gewnscht an.
6
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Whlen Sie [VM-Optionen] > [Erweitert] aus und klicken Sie auf [Konfiguration bearbeiten] .
Fgen Sie den Parameter tools.setInfo.sizeLimit hinzu oder bearbeiten Sie ihn und legen Sie den Wert
mit einer Anzahl von Byte fest.
Melden Sie sich mit dem vSphere-Client beim vCenter Server-System an.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Klicken Sie auf [Zeile hinzufgen] und geben Sie die folgenden Wert in den Spalten Name und Werte
ein:
n
150
VMware, Inc.
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Fgen Sie den Parameter isolation.tools.setinfo.disable hinzu, oder bearbeiten Sie ihn und legen Sie
den Wert mit TRUE fest.
Vergewissern Sie sich, dass nicht autorisierte Gerte nicht verbunden sind, und entfernen Sie nicht bentigte oder nicht benutzte Hardwaregerte.
Deaktivieren Sie nicht bentigte virtuelle Gerte in einer virtuellen Maschine. Ein Angreifer mit Zugang
zu einer virtuellen Maschine kann ein nicht verbundenes CD-ROM-Laufwerk einbinden und auf vertrauliche Informationen auf dem Medium zugreifen, das sich im Laufwerk befindet, oder einen Netzwerkadapter trennen, um die virtuelle Maschine vom Netzwerk zu isolieren, was zu einem Denial-OfService fhrt.
Vergewissern Sie sich, dass kein Gert an einer virtuellen Maschine angeschlossen ist, das nicht bentigt
wird. Serielle und parallele Ports werden selten fr virtuelle Maschinen in einer Datencenterumgebung
benutzt und CD/DVD-Laufwerke werden in der Regel nur kurzfristig whrend der Softwareinstallation
angeschlossen.
VMware, Inc.
151
vSphere-Sicherheit
Fr seltener benutzte Gerte, die nicht bentigt werden, sollte entweder der Parameter nicht vorhanden
sein, oder sein Wert ist auf False zu setzen. Vergewissern Sie sich, dass die folgenden Parameter entweder nicht vorhanden oder auf False eingestellt sind, auer wenn das Gert bentigt wird.
Parameter
Wert
Gert
floppyX.present
Falsch
Diskettenlaufwerke
serialX.present
Falsch
Serielle Schnittstellen
parallelX.present
Falsch
Parallele Schnittstellen
usb.present
Falsch
USB-Controller
ideX:Y.present
Falsch
CD-ROM
Melden Sie sich ber den vSphere-Client bei einem vCenter Server-System an und whlen Sie die virtuelle
Maschine aus.
Klicken Sie auf der Registerkarte [bersicht (Summary)] auf [Einstellungen bearbeiten (Edit Settings)] .
Whlen Sie [Optionen] > [Erweitert] > [Allgemein] aus und klicken Sie auf [Konfigurationsparameter] .
Fgen Sie die folgenden Parameter hinzu bzw. bearbeiten Sie sie.
Name
Wert
isolation.device.connectable.disable
Wahr
isolation.device.edit.disable
Wahr
Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf.
152
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
(Optional) Starten Sie die virtuelle Maschine neu, wenn Sie nderungen an den Konfigurationsparametern vornehmen.
VMware, Inc.
Suchen Sie die virtuelle Maschine in der Bestandsliste des vSphere Web Client.
a
Whlen Sie zum Suchen einer virtuellen Maschine ein Datencenter, einen Ordner, einen Cluster, einen
Ressourcenpool oder einen Host aus.
Klicken Sie auf der Registerkarte [Verwandte Objekte] auf [Virtuelle Maschinen] .
Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und klicken Sie auf [Einstellungen
bearbeiten] .
Whlen Sie [VM-Optionen] > [Erweitert] aus und klicken Sie auf [Konfiguration bearbeiten] .
berprfen Sie, dass die folgenden Werte in den Spalten Name und Wert vorhanden sind, oder
klicken Sie auf [Zeile hinzufgen] , um sie hinzuzufgen.
Name
Wert
isolation.device.connectable.disable
Wahr
isolation.device.edit.disable
Wahr
Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf.
5
VMware, Inc.
Klicken Sie auf [OK] , um das Dialogfeld Konfigurationsparameter zu schlieen, und noch einmal
auf [OK] , um das Dialogfeld Eigenschaften der virtuellen Maschine zu schlieen.
153
vSphere-Sicherheit
154
VMware, Inc.
10
Fr die vCenter Server-Sicherung muss gewhrleistet werden, dass der Host gesichert wird, auf dem vCenter
Server luft, indem Best Practices fr die Zuweisung von Berechtigungen und Rollen verwendet werden und
die Integritt der Clients berprft wird, die sich mit vCenter Server verbinden.
Dieses Kapitel behandelt die folgenden Themen:
n
Einrichten einer Zeitberschreitung bei Inaktivitt fr den vSphere-Client, auf Seite 159
Achten Sie darauf, dass das Betriebssystem, die Datenbank und die Hardware fr das vCenter ServerSystem auf dem aktuellen Stand sind. Wenn vCenter Server nicht mit einem Betriebssystem auf dem
letzten Stand luft, kann es zu Strungen kommen und vCenter Server wird dadurch gegebenenfalls
Angriffen ausgesetzt.
Achten Sie darauf, dass das vCenter Server-System mit den aktuellsten Patches versehen ist. Wenn Sie
immer die letzten Betriebssystem-Patches einlesen, besteht fr den Server ein geringeres Angriffsrisiko.
Sorgen Sie fr den Schutz des Betriebssystems auf dem vCenter Server-Host. Der Schutz umfasst Antivirus- und Antimalware-Software.
Hinweise zur Kompatibilitt von Betriebssystem und Datenbank finden Sie unter vSphere-Kompatibilittstabellen.
VMware, Inc.
155
vSphere-Sicherheit
Die vollstndigen Administratorrechte fr vCenter Server sollten vom lokalen Windows-Administratorkonto entfernt und einem speziellen lokalen vCenter Server-Administratorkonto gewhrt werden. Gewhren Sie nur den Administratoren vollstndige vSphere-Administratorrechte, die diese Rechte bentigen. Gewhren Sie diese Rechte keiner Gruppe, deren Mitgliedschaft nicht streng kontrolliert wird.
Sorgen Sie dafr, dass sich keine Benutzer direkt am vCenter Server-System anmelden knnen. Erlauben
Sie nur Benutzern mit legitimen Aufgaben, sich am System anzumelden, und vergewissern Sie sich, dass
diese Ereignisse berprft werden.
Installieren Sie vCenter Server mit einem Dienstkonto und nicht mit einem Windows-Konto. Sie knnen
vCenter Server ber ein Dienstkonto oder ein Windows-Konto ausfhren. Bei Verwendung eines Dienstkontos knnen Sie die Windows-Authentifizierung fr SQL Server aktivieren, die mehr Sicherheit bietet.
Das Dienstkonto muss ein Konto mit Administratorrechten fr die lokale Maschine sein.
berprfen Sie die erneute Zuweisung von Rechten, wenn Sie vCenter Server neu starten. Wenn der
Benutzer oder die Benutzergruppe, der die Administratorrolle im Root-Ordner des Servers zugewiesen
ist, nicht als ein gltiger Benutzer oder eine gltige Gruppe verifiziert werden kann, werden die Administratorrechte entfernt und der lokalen Windows-Administratorengruppe zugewiesen.
Gewhren Sie dem vCenter Server-Datenbankbenutzer nur minimale Rechte. Der Datenbankbenutzer
bentigt nur bestimmte Rechte fr den Datenbankzugriff. Auerdem sind einige Rechte nur fr die Installation und das Upgrade erforderlich. Diese knnen entfernt werden, nachdem das Produkt installiert
oder aktualisiert wurde.
Erstellen Sie ein Benutzerkonto, das Sie verwenden, um vCenter Server zu verwalten (beispielsweise viadmin).
Vergewissern Sie sich, dass der Benutzer nicht zu einer lokalen Gruppe wie z. B. der Administratorengruppe gehrt.
156
Melden Sie sich beim vCenter Server-System als lokaler Betriebssystemadministrator an, und erteilen Sie
dem Benutzerkonto, das Sie erstellt haben (beispielsweise vi-admin), die Rolle des vCenter Server-Administrators.
Melden Sie sich vom vCenter Server ab, und melden Sie sich mit dem erstellten Benutzerkonto (vi-admin)
an.
berprfen Sie, dass der Benutzer alle Aufgaben durchfhren kann, die einem vCenter Server-Administrator zur Verfgung stehen.
Entfernen Sie die Administratorberechtigungen, die dem lokalen Betriebssystemadministrator oder der
lokalen Administratorengruppe zugewiesen sind.
VMware, Inc.
Erstellen Sie ein Benutzerkonto, um vCenter Server zu verwalten, und weisen Sie dem Benutzer vollstndige vCenter Server-Administratorberechtigungen zu. Weitere Informationen hierzu finden Sie unter
Zuweisen von Berechtigungen fr vCenter Server, auf Seite 113.
Vorgehensweise
1
Melden Sie sich im vCenter Server-System als der vCenter Server-Administrator an, den Sie erstellt haben
(beispielsweise vi-admin).
Erteilen Sie vollstndige Administratorberechtigungen an eine mglichst geringe Anzahl von Personen.
Weiter
Schtzen Sie das vCenter Server-Administratorkontokennwort. Beispiel: Erstellen Sie ein Kennwort mit zwei
Hlften, wobei eine Person jeweils nur eine Person kennt, oder sperren Sie eine Niederschrift des Kennworts
in einen Safe.
Allen ESXi-Hosts
Systemen, die Verwaltungsclients ausfhren drfen. Beispiel: der vSphere-Client, ein Windows-System,
in dem Sie PowerCLI verwenden, oder ein anderer SDK-basierter Client.
Systemen, auf denen Add-On-Komponenten wie VMware vSphere Update Manager laufen
Anderen Systemen, auf denen Komponenten laufen, die fr die Funktionen des vCenter Server-Systems
wesentlich sind
Verwenden Sie eine lokale Firewall auf dem Windows-System, auf dem vCenter Server luft, oder eine Netzwerk-Firewall. Beziehen Sie IP-basierte Zugriffsbeschrnkungen ein, damit nur notwendige Komponenten mit
dem vCenter Server-System kommunizieren knnen.
VMware, Inc.
157
vSphere-Sicherheit
Sperren Sie den Zugriff auf Ports, die von vCenter Server nicht verwendet werden, ber die lokale Firewall
auf dem Windows-System, auf dem vCenter Server installiert ist, oder ber eine Netzwerk-Firewall.
vCLI-Befehle
Sie knnen die Einschrnkungen bei Linux-basierten Clients lockern, wenn Sie geeignete Kontrollen erzwingen.
n
Verwenden Sie Firewalls, um sicherzustellen, dass nur autorisierte Hosts die Berechtigung haben, auf
vCenter Server zuzugreifen.
Verwenden Sie Jump-Box-Systeme, um sicherzustellen, dass Linux-Clients sich hinter dem Jump befinden.
158
VMware, Inc.
Prfen Sie auf jedem Windows-System, auf dem der vSphere-Client installiert ist, ob eine Zeitberschreitung eingestellt wurde.
n
Als Alternative knnen Sie Benutzer anweisen, die ausfhrbare vSphere-Client-Datei mit einem Parameter fr den Zeitberschreitungswert zu starten (Beispiel: vpxClient.exe -inactivityTimeout
5, wobei die Eingabe 5 einen Wert von fnf Minuten festlegt).
Weiter
Diese clientseitige Einstellung kann vom Benutzer gendert werden. Prfen Sie die Konfigurationsdatei in
regelmigen Abstnden, nachdem Sie den Standard-Zeitberschreitungswert eingestellt haben.
Navigieren Sie auf dem ESXi-System, das die virtuelle Maschine hostet, zur VMX-Datei.
Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis /vmfs/volumes/Datenspeicher, wobei es sich bei Datenspeicher um den Namen des Speichergerts handelt, auf dem die Dateien
der virtuellen Maschine gespeichert sind.
Stellen Sie sicher, dass in der VMX-Datei der folgende Parameter gesetzt ist.
tools.guestlib.enableHostInfo=FALSE
Aus der virtuellen Gastmaschine knnen keine Leistungsinformationen abgerufen werden, obwohl dies fr
die Fehlerbehebung ntzlich sein knnte.
VMware, Inc.
159
vSphere-Sicherheit
160
VMware, Inc.
11
Beachten Sie beim Erstellen und Konfigurieren von Hosts und virtuellen Maschinen grundlegende Sicherheitsempfehlungen.
Dieses Kapitel behandelt die folgenden Themen:
n
Herstellen und Aufrechterhalten der Integritt der Konfigurationsdatei, auf Seite 171
berwachen und Beschrnken des Zugriffs auf SSL-Zertifikate, auf Seite 171
VMware, Inc.
161
vSphere-Sicherheit
Konfigurieren Sie die dauerhafte Protokollierung in einem Datenspeicher. Standardmig werden die
Protokolldateien auf ESXi-Hosts im speicherresidenten Dateisystem gespeichert. Sie gehen daher verloren, wenn Sie den Host neu starten, und Protokolldaten werden nur fr 24 Stunden gespeichert. Wenn
Sie die dauerhafte Protokollierung aktivieren, verfgen Sie ber eine dedizierte Aufzeichnung der fr den
Host verfgbaren Serveraktivitt.
Die Remoteprotokollierung auf einem zentralen Host ermglicht Ihnen die Sammlung von Protokolldateien auf einem zentralen Host, auf dem Sie alle Hosts mit einem einzigen Tool berwachen knnen. Sie
knnen auch eine kumulierte Analyse und Suche in den Protokolldaten durchfhren und damit Informationen ber bestimmte Ereignisse wie koordinierte Angriffe auf mehrere Hosts erfassen.
Konfigurieren Sie das sichere Remote-Syslog auf ESXi-Hosts mit einer Remote-Befehlszeile wie vCLI oder
PowerCLI oder mit einem API-Client.
Fragen Sie die Syslog-Konfiguration ab, um sicherzustellen, dass ein gltiger Syslog-Server konfiguriert
wurde, einschlielich des richtigen Ports.
162
Klicken Sie zum Einrichten der globalen Protokollierung auf [Global] und nehmen Sie die entsprechenden nderungen in den rechten Feldern vor.
Option
Beschreibung
Syslog.global.defaultRotate
Legt die maximale Anzahl der beizubehaltenden Archive fest. Sie knnen
diese Anzahl global und fr einzelne Unterprotokollierer festlegen.
Syslog.global.defaultSize
Legt die Standardgre des Protokolls in KB fest, bevor das System eine Rotation der Protokolle durchfhrt. Sie knnen diese Anzahl global und fr
einzelne Unterprotokollierer festlegen.
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
Option
Beschreibung
Syslog.global.LogDir
Syslog.global.logDirUnique
Durch die Auswahl dieser Option wird ein Unterverzeichnis mit dem Namen des ESXi-Hosts im von [Syslog.global.LogDir] angegebenen Verzeichnis erstellt. Ein eindeutiges Verzeichnis ist ntzlich, wenn dasselbe
NFS-Verzeichnis von mehreren ESXi-Hosts verwendet wird.
Syslog.global.LogHost
(Optional) So berschreiben Sie die Standardprotokollgre und die Rotationsangaben fr ein Protokoll.
a
Klicken Sie auf den Namen des Protokolls, das Sie anpassen mchten, und geben Sie die gewnschte
Anzahl der Rotationen und die gewnschte Protokollgre ein.
Speicherort
Zweck
VMkernel
/var/log/vmkernel.log
VMkernel-Warnungen
/var/log/vmkwarning.log
VMkernel-bersicht
/var/log/vmksummary.log
ESXi-Hostagenten-Protokoll
/var/log/hostd.log
vCenter-Agent-Protokoll
/var/log/vpxa.log
Shell-Protokoll
/var/log/vpxa.log
Enthlt einen Datensatz mit allen Befehlen, die in die ESXi-Shell eingegeben
wurden, und die Shell-Ereignisse (z. B.
bei Aktivierung der Shell).
VMware, Inc.
163
vSphere-Sicherheit
Komponente
Speicherort
Zweck
Authentifizierung
/var/log/auth.log
Systemmeldungen
/var/log/syslog.log
Virtuelle Maschinen
Enthlt Ereignisse der virtuellen Maschine, Informationen zum Systemausfall, den Status und die Aktivitten von
Tools, die Uhrzeitsynchronisierung,
nderungen an der virtuellen Hardware, vMotion-Migrationen, Maschinen-Klonvorgnge usw.
Auto Deploy-Sicherheitsberlegungen
Um Ihrer Umgebung einen optimalen Schutz zu bieten, sollen Sie sich ber die Sicherheitsrisiken im Klaren
sein, die es gibt, wenn Sie Auto Deploy mit Hostprofilen verwenden.
In den meisten Fllen richten Administratoren Auto Deploy fr die Bereitstellung von Zielhosts nicht nur mit
einem Image, sondern auch mit einem Hostprofil ein. Das Hostprofil enthlt Konfigurationsinformationen,
wie z. B. Authentifizierungs- oder Netzwerkeinstellungen. Hostprofile knnen so eingerichtet werden, dass
der Benutzer beim ersten Start zur Eingabe aufgefordert wird. Die vom Benutzer eingegebenen Informationen
werden in einer Antwortdatei gespeichert. Die Hostprofil- und Antwortdateien (falls zutreffend) sind im StartImage enthalten, das Auto Deploy auf eine Maschine herunterldt.
n
Das Administratorkennwort und die im Hostprofil und der Antwortdatei enthaltenen Benutzerkennwrter sind MD5-verschlsselt. Alle weiteren Kennwrter im Zusammenhang mit Hostprofilen sind im
Klartext gespeichert.
Verwenden Sie den vSphere-Authentifizierungsdienst zum Einrichten von Active Directory, um zu verhindern, dass die Active Directory-Kennwrter freigelegt werden. Wenn Sie Active Directory mithilfe von
Hostprofilen einrichten, werden die Kennwrter nicht geschtzt.
Weitere Informationen ber Auto Deploy finden Sie in der Dokumentation Installations- und Einrichtungshandbuch fr vSphere. Weitere Informationen zu Hostprofilen und Antwortdateien finden Sie in der Dokumentation vSphere-Hostprofile.
164
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
VMware Certified. VIBs, die VMware Certified sind, wurden von VMware erstellt, getestet und signiert.
VMware Accepted. VIBs, die von einem VMware-Partner erstellt, aber von VMware getestet und signiert
wurden.
Partner Supported. VIBs, die von einem zertifizierten VMware-Partner erstellt, getestet und signiert wurden.
Community Supported. VIBs, die von VMware oder einem VMware-Partner nicht getestet wurden.
Weitere Informationen zu Image Builder finden Sie in der Dokumentation Installations- und Einrichtungshandbuch fr vSphere.
retry gibt an, wie oft ein Benutzer zur Eingabe eines neuen Kennworts aufgefordert wird, wenn das Kennwort nicht sicher genug ist.
N0 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das nur aus Zeichen einer Zeichenklasse gebildet wird. Beispielsweise enthlt das Kennwort nur Kleinbuchstaben.
N1 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von zwei Zeichenklassen gebildet wird.
N2 wird fr Kennwortstze verwendet wird. Fr ESXi sind mindestens drei Wrter notwendig, um einen
Kennwortsatz zu bilden. Jedes Wort des Kennwortsatzes muss 8 bis 40 Zeichen lang sein.
N3 ist die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von drei Zeichenklassen gebildet wird.
N4 ist.die Anzahl an Zeichen, die fr ein Kennwort notwendig sind, das aus Zeichen von allen vier Zeichenklassen gebildet wird.
VMware, Inc.
165
vSphere-Sicherheit
bereinstimmung ist die Anzahl an Zeichen, die in einer Zeichenfolge wiederverwendet wird, die aus dem
alten Kennwort stammt. Wenn pam_passwdqc.so eine wiederverwendete Zeichenfolge mit mindestens
dieser Lnge findet, schliet es diese Zeichenfolge aus dem Qualittstest aus und verwendet zur Prfung
nur die brigen Zeichen.
Wenn eine dieser Optionen auf -1 gesetzt wird, ignoriert pam_passwdqc.so diese Anforderung.
Wenn eine dieser Optionen auf disabled gesetzt wird, lehnt pam_passwdqc.so das Kennwort mit einem entsprechenden Merkmal ab. Die Werte mssen in absteigender Reihenfolge verwendet werden. Ausgenommen
hiervon sind -1 und disabled.
HINWEIS Das Linux-Plug-In pam_passwdqc.so bietet nicht nur die in ESXi untersttzten Parameter.
Weitere Informationen zum Plug-In pam_passwdqc.so finden Sie in der Linux-Dokumentation.
Melden Sie sich bei der ESXi-Shell als Benutzer mit Administratorrechten an. []
166
retry=3: Ein Benutzer darf drei Mal versuchen, ein Kennwort einzugeben.
N0=12: Kennwrter mit Zeichen aus einer Zeichenklasse mssen mindestens 12 Zeichen lang sein.
N1=9: Kennwrter mit Zeichen aus zwei Zeichenklassen mssen mindestens neun Zeichen lang sein.
N2=8: Kennwortstze mssen Wrter enthalten, die jeweils mindestens acht Zeichen lang sind.
N3=7: Kennwrter mit Zeichen aus drei Zeichenklassen mssen mindestens sieben Zeichen lang sein.
N4=6: Kennwrter mit Zeichen aus allen vier Zeichenklassen mssen mindestens sechs Zeichen lang sein.
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
Um die Richtlinie zur Kennwortlnge zu ndern, bearbeiten Sie den Parameter vpxd.hostPasswordLength in der vCenter Server-Konfigurationsdatei auf dem System, auf dem vCenter Server ausgefhrt
wird.
Betriebssystem
Standardspeicherort
Windows
Linux
/etc/vmware-vpx/vpxd.cfg
Um die Verwendungsdauer von Kennwrtern zu ndern, verwenden Sie im vSphere Web Client das
Dialogfeld Erweiterte Einstellungen.
a
Klicken Sie auf die Registerkarte [Verwalten] und anschlieend auf [Einstellungen] .
Whlen Sie [Erweiterte Einstellungen] aus, und suchen Sie nach dem Parameter VirtualCenter.VimPasswordExpirationInDays.
VMware, Inc.
167
vSphere-Sicherheit
Stellen Sie vom vSphere Web Client aus eine Verbindung zu vCenter Server her.
Legen Sie den NTP-Dienststatus und die Startrichtlinie fr den NTP-Dienst fest.
Geben Sie die IP-Adressen der NTP-Server ein, mit denen synchronisiert werden soll.
Der Host synchronisiert mit den NTP-Servern, wie in Ihren Einstellungen angegeben.
NTP-Modus aktivieren.
a
Geben Sie die Upstream-NTP-Server ein, die als Synchronisierungsquelle dienen sollen.
a
Legen Sie den Wert NtpServer auf eine Liste von mindestens drei NTP-Servern fest.
168
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
Starten Sie den W32time-Dienst neu, damit die nderungen wirksam werden.
Klicken Sie auf die Registerkarte [Lokale Benutzer und Gruppen] und dann auf [Benutzer] .
Klicken Sie mit der rechten Maustaste auf den anonymen Benutzer (z. B. root) in der Tabelle Benutzer
und klicken Sie auf [Eigenschaften] .
Weiter
Standardmig sind folgende Rollen verfgbar: Kein Zugriff, Administrator und Nur Lesen. Sie knnen
neue Rollen erstellen und auf den Benutzer anwenden, wie in Zuweisen von ESXi-Rollen, auf Seite 77 beschrieben.
Whlen Sie die Registerkarte [Verwalten] und klicken Sie auf [Einstellungen] .
Klicken Sie auf [Erweiterte Systemeinstellungen] , und whlen Sie die Einstellung [DCUI.Access] .
Klicken Sie auf [Bearbeiten] , um die Benutzernamen durch Kommas getrennt einzugeben.
Standardmig wird der Root-Benutzer angegeben. Sie knnen den Root-Benutzer von der Liste der Benutzer mit DCUI-Zugriff entfernen, vorausgesetzt, Sie legen wenigstens einen weiteren Benutzer fest.
VMware, Inc.
Stellen Sie mit der ESXi Shell eine direkte Verbindung mit dem Host her.
169
vSphere-Sicherheit
(Optional) Fhren Sie den folgenden Befehl aus, um zu ermitteln, ob der Browser fr verwaltete Objekte
(MOB) aktiviert ist.
vim-cmd proxysvc/service_list
Wenn der Dienst ausgefhrt wird, wird der folgende Text in der Liste der Dienste angezeigt:
...
serverNamespace = '/mob',
accessMode = "httpsWithRedirect",
pipeName = "/var/run/vmware/proxy-mod",
...
Deaktivieren Sie den Dienst, indem Sie den folgenden Befehl ausfhren.
vim-cmd proxysvc/remove_service "/mob" "httpsWithRedirect"
nderungen an Berechtigungen werden sofort wirksam und ber Neustarts hinaus beibehalten.
Der Browser fr verwaltete Objekte ist nicht mehr fr Diagnosezwecke verfgbar. Einige Drittanbieter-Tools
verwenden diese Schnittstelle zum Sammeln von Informationen.
Weiter
Fhren Sie nach dem Deaktivieren des Browsers fr verwaltete Objekte Tests durch, um sicherzustellen, dass
Drittanbieteranwendungen nach wie vor erwartungsgem funktionieren.
Fhren Sie den folgenden Befehl aus, um den Dienst wieder zu aktivieren.
vim-cmd proxysvc/add_np_service "/mob" httpsWithRedirect /var/run/vmware/proxy-mob
Wenn SSH vorbergehend oder dauerhaft aktiviert ist, berwachen Sie den Inhalt der Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass kein Benutzer ohne ordnungsgeme
Authentifizierung auf den Host zugreifen kann.
berwachen Sie die Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass sie leer ist und
dass ihr keine SSH-Schlssel hinzugefgt wurden.
Wenn Sie feststellen, dass die Datei /etc/ssh/keys-root/authorized_keys nicht leer ist, entfernen Sie die
Schlssel.
Wenn Sie den Remotezugriff mit autorisierten Schlsseln deaktivieren, kann Ihre Fhigkeit eingeschrnkt
werden, Befehle auf einem Host ohne Angabe gltiger Anmeldedaten remote auszufhren. Dies kann beispielsweise bedeuten, dass ein automatisches Remoteskript nicht ausgefhrt werden kann.
170
VMware, Inc.
Kapitel 11 Best Practices fr die Sicherheit von virtuellen Maschinen und Hosts
VMware, Inc.
171
vSphere-Sicherheit
Fahren Sie die virtuelle Maschine herunter oder halten Sie sie an.
Fhren Sie fr die zu lschende VMDK-Datei den Befehl vmkfstools -writezeroes aus.
Weiter
Weitere Informationen zum Initialisieren einer virtuellen Festplatte mit vmkfstools finden Sie in der Dokumentation zu vSphere-Speicher.
172
VMware, Inc.
Index
A
Abgelaufene Kennwrter, zurcksetzen 102,
103
Absichern des vCenter Server-Host-Betriebssystems 155
Active Directory
vCenter Server 105
vCenter Single Sign On 105
Active Directory-Domne, Authentifizierung mit
vCenter Server Appliance 122
Active Directory-Zeitberschreitung 111
Administrator, Rolle, beschrnken 156, 157
Administratoren, vCenter Single Sign On 98
Aktualisierte Informationen 9
ndern von Host-Proxy-Diensten 135
Angriffe
802.1q- und ISL-Kennzeichnung 30
Doppelt eingekapselt 30
MAC-Flooding 30
Multicast-Brute-Force 30
Spanning-Tree 30
Zufallsdatenblock 30
Angriffe durch 802.1q- und ISL-Kennzeichnung 30
anmelden, vCenter Server 105
Anmelden bei vCenter Server 9295
Anmeldungsverhalten, vCenter Single Sign
On 9395
Antivirensoftware, Installieren 161
Anwendungsbenutzer 111
Authentication Proxy 80, 83, 85, 89, 90
Authentication Proxy-Server 8688
Authentifizieren, vSphere Authentication Proxy 86
Authentifizierung
Benutzer 61
ESXi 61
ESXi-Benutzer 61
iSCSI-Speicher 37
Mit Active Directory-Domne 122
Auto Deploy, Sicherheit 164
Autorisierte Schlssel, deaktivieren 170
B
Benutzer
ndern auf Hosts 62
Anwendung 111
VMware, Inc.
173
vSphere-Sicherheit
C
CAM-Dienst 85
CAM-Server 86, 87, 89
CHAP-Authentifizierung 37, 38
Clusterinstallation, vCenter Single Sign On 95
D
dcui 71
DCUI, Beschrnkung des Zugriffs 169
DCUI-Zugriff 65
deaktivieren
iSCSI-SAN-Authentifizierung 38
Protokollierung fr Gastbetriebssysteme 146,
150, 151
SSL fr vSphere SDK 133
Variable Informationsgre 149, 150
Dienste
Automatisieren 46
syslogd 162
Direct Console User Interface (DCUI), Beschrnkung des Zugriffs 169
Direktzugriff 61
DMZ 16
Domne beitreten 85
Domnen, Standard-vCenter Single Sign On 95,
105
Doppelt eingekapselte Angriffe 30
E
Einfache Installation, vCenter Single Sign On 93
Entfernen von Benutzern aus Gruppen 110
Erforderliche Berechtigungen, Fr allgemeine
Aufgaben 74
Ersetzen, Standardzertifikate 129, 130
ESXi
Authentifizierung 61
Benutzer 61
Hinzufgen von Benutzern 62
Protokolldateien 163
syslog-Dienst 162
ESXi Shell
aktivieren 51, 55
Aktivieren mit dem vSphere-Client 51
anmelden 56
Direkte Verbindungen 56
174
konfigurieren 51
Remoteverbindungen 56
SSH-Verbindungen 39
Zeitberschreitung festlegen 55
Zeitberschreitung fr den Leerlauf festlegen 51
Zeitberschreitung fr die Verfgbarkeit festlegen 51
ESXi-Protokolldateien 162
ESXi-Shell
aktivieren 53
Aktivieren mit vSphere Web Client 53
Zeitberschreitung fr den Leerlauf festlegen 53
Zeitberschreitung fr die Verfgbarkeit festlegen 53
Zeitberschreitungen 52, 54, 55
Exportieren, Hostbenutzer 63
F
Fault Tolerance (FT)
Protokollierung 164
Sicherheit 164
Fingerabdrcke, Hosts 137
Firewall
Befehle 48
Host 42
Konfigurationsdatei 43
konfigurieren 48
NFS-Client 46
Firewalleinstellungen 45
Firewallports
Automatisieren von Diensten 46
Herstellen einer Verbindung mit der Konsole fr
virtuelle Maschinen 23
Host zu Host 25
Konfiguration mit vCenter Server 22
Konfiguration ohne vCenter Server 23
Mit vCenter Server verbinden 23
SDK und Konsole fr virtuelle Maschinen 23
berblick 21
Verschlsselung 127
vSphere-Client und Konsole fr virtuelle Maschinen 23
vSphere-Client und vCenter Server 22
vSphere-Clientdirektverbindung 23
Firewalls
Zugriff fr Dienste 44
Zugriff fr Verwaltungs-Agenten 44
G
Gastbetriebssysteme
Aktivieren von Kopier- und Einfgevorgngen 147
VMware, Inc.
Index
H
Hardwaregerte, entfernen 151
Host-zu-Host-Firewallports 25
Hostname, konfigurieren 80, 81
Hosts
Arbeitsspeicher 149
Fingerabdrcke 137
Hinzufgen von ESXi-Benutzern 62
Hostzertifikats-Suchvorgnge 134
HTTPS PUT, Hochladen von Zertifikaten und
Schlsseln 129, 131
I
Identittsquelle
Bearbeiten fr vCenter Single Sign On 100
Hinzufgen zu vCenter Single Sign On 98
Identittsquellen
Active Directory 105
vCenter Single Sign On 95, 97, 105
Informative Meldungen, Begrenzen 141
Internet Protocol Security (IPsec) 33
IP-Adressen, Zulssige hinzufgen 45
IPsec, , siehe Internet Protocol Security (IPsec)
iSCSI
Authentifizierung 37
Ports schtzen 38
QLogic-iSCSI-Adapter 36
Schtzen bertragener Daten 38
Sicherheit 36
iSCSI-SAN-Authentifizierung, deaktivieren 38
Isolierung
Standard-Switches 14
VMware, Inc.
virtuelle Maschinen 13
virtuelle Netzwerkebene 14
VLANs 14
K
Kein Zugriff, Rolle 77, 115
Kennwrter
ndern von vCenter Single Sign On 108
Anforderungen 64
Einschrnkungen 165
Host 165, 166
Komplexitt 165, 166
Kriterien 165
Lnge 165
pam_passwdqc.so-Plug-In 165
Plug-Ins 165
vCenter Single Sign On-Richtlinien 101
Zeichenklassen 64
Zurcksetzen bei Single Sign On 102, 103
Zurcksetzen von abgelaufenen 102, 103
Kennwortrichtlinien, vCenter Single Sign On 101
Kennwortsatz 64
Konfigurationsdateien, Sicherheit von Hosts 171
Konnektivitt verloren gegangen 124
Kopieren und Einfgen
Deaktiviert fr Gastbetriebssysteme 147, 148
Gastbetriebssysteme 147
virtuelle Maschinen 147
L
Leistungsdaten, Deaktivieren des Sendens 159
Linux-basierte Clients, Nutzung mit vCenter Server beschrnken 158
Listen durchsuchen, Anpassen fr groe Domnen 111, 112
Lookup Service-Fehler 120
M
MAC-Adressennderungen 31, 32
MAC-Flooding 30
Mehrere Standorte replizieren 118120
Multicast-Brute-Force-Angriffe 30
N
network file copy (NFC) 128
Netzwerke, Sicherheit 27
Netzwerkkonnektivitt, Begrenzen 157
NFC, SSL aktivieren 128
NFS-Client, Firewall-Regelstze 46
Nicht freigelegte Funktionen, deaktivieren 148
NTP 46, 80, 81
NTP-Client, konfigurieren 168
Nur lesen, Rolle 77, 115
175
vSphere-Sicherheit
O
Optionen fr das Starten von Clients
einstellen 47
Einstellung 48
Optionen fr das Starten von Diensten
einstellen 47
Einstellung 48
P
pam_passwdqc.so-Plug-In 165
Plug-Ins, pam_passwdqc.so 165
Prinzipale, Aus Gruppe entfernen 110
Promiscuous-Modus 31, 33
Protokolldateien
Begrenzen der Anzahl 144, 145
Begrenzen der Gre 144, 145
ESXi 162, 163
Suchen 163
Protokollierung
Deaktivieren fr Gastbetriebssysteme 146,
150, 151
Sicherheit von Hosts 162
Protokollierungsebenen, Gastbetriebssysteme 144
Proxy-Dienste
ndern 135
Verschlsselung 127
R
Rechte und Berechtigungen 65, 113
Remotekonsole, Beschrnken von Sitzungen 143
Remotevorgnge, Deaktivieren in virtueller Maschine 141
Replizierung
Export 119
Import 120
Mehrere Standorte 118120
Ressourceneinschrnkungen und -garantien, Sicherheit 13
Richtlinie zur Untersttzung von DrittanbieterSoftware 18
Richtlinien
Kennwort, vCenter Single Sign On 95
Sicherheit 35
Sperre in vCenter Single Sign On 104
Sperre, vCenter Single Sign On 95
vCenter Single Sign On-Passwrter 101
Rollen
Administrator 77, 115
bearbeiten 78
Best Practices 73
176
S
Schlssel
Autorisiert 131, 132
hochladen 129, 131, 132
SSH 131, 132
Schlsselqualitt, Verbindungen 39
SDK, Firewallports und Konsole fr virtuelle Maschinen 23
Security Token Service (STS), vCenter Single
Sign On 104
setinfo 149
Shell-Zugriff, deaktivieren 169
Sicherheit
Architektur 11
Berechtigungen 65, 113
Best Practices 161
DMZ auf einem einzelnen Host 15, 16
Funktionen 11
Host 41
Hosts 21
iSCSI-Speicher 36
Ressourcengarantien und -einschrnkungen 13
Schlsselqualitt 39
Standard-Switch-Ports 31
berblick 11
Virtualisierungsebene 12
virtuelle Maschinen 13
Virtuelle Maschinen mit VLANs 27
virtuelle Netzwerkebene 14
VLAN-Hopping 29
VMkernel 12
VMware-Richtlinie 18
Zertifizierung 18
Sicherheit virtueller Maschinen
Deaktivieren von Funktionen 148
Remotekonsole 143
VMX-Parameter 148
Sicherheit von Hosts
Autorisierte Schlssel 170
Browser fr verwaltete Objekte 169
VMware, Inc.
Index
CIM-Tools 39
Konfigurationsdateien 171
Leistungsdaten 159
MOB deaktivieren 169
Protokollierung 162
Ressourcenverwaltung 140
Verkleinern von virtuellen Festplatten 142
Verwenden von Vorlagen 140
VIBs ohne Signatur 165
VMDK-Dateien 172
vpxuser 167
Sicherheit von Image Builder 165
Sicherheit von Standard-Switches 29
Sicherheitsempfehlungen 57
Sicherheitsrichtlinien
entfernen 36
erstellen 35
Liste 36
Verfgbar 36
Sicherheitsverbindungen
entfernen 34
hinzufgen 33
Liste 34
Verfgbar 34
Single Sign On
Anmeldung schlgt fehl, weil das Benutzerkonto gesperrt ist 123
Anmeldung unter Verwendung der Active Directory-Domne nicht mglich 122
Bearbeiten von Benutzern 107
Deaktivieren von Benutzern 110
Fehlerbehebung 120
Gesperrte Benutzer 110
Keine Antwort auf eine Anmeldung 124
Lookup Service-Fehler 120
Ungltige Anmeldedaten 123
Zurcksetzen von Kennwrtern 102, 103
Single Sign On-Server
Authentifizierung 91
Benutzerverwaltung 91
Single-Sign On, Fehlerbehebung bei Benutzern 124
Spanning-Tree-Angriffe 30
Speicher, absichern mit VLANs und virtuellen
Switches 29
Sperrmodus
aktivieren 59, 60
Benutzerschnittstelle der direkten Konsole 60
DCUI-Zugriff 65
Konfigurationen 58
Verhalten 58
vSphere Client 59
vSphere-Client 59
VMware, Inc.
T
TCP-Ports 25
Trusted Platform Module (TPM) 12
U
UDP-Ports 25
V
Variable Informationsgre fr Gastbetriebssystem
Begrenzen 149, 150
deaktivieren 149, 150
vCenter Server
anmelden 9295, 98
177
vSphere-Sicherheit
Authentifizierung 91
Berechtigungen 156
Firewallports 22
Verbinden ber Firewall 23
vCenter Server Appliance
Anmeldung nicht mglich 122
Fehlerbehebung 124
Single Sign On, Fehlerbehebung 124
vCenter Server-Host-Betriebssystem, Absichern 155
vCenter Server-Sicherheit, SSL-Zertifikate 171
vCenter Server, Benutzerverwaltung 91
vCenter Single Sign On
Active Directory 98, 100, 105
Administratoren 98
ndern des Kennworts 108
Benutzer und Gruppen 105
Bereitstellungsszenarien 92
Clusterinstallation 95
Domnen 97
Einfache Installation 93
Gesperrte Benutzer 104
Grundlegende Einzelknoten-Installation 94
Grundlegendes 92
Identittsquellen 97, 98, 100, 105
Kennwortrichtlinie 101
LDAP 98, 100
OpenLDAP 98, 100
Replizierung 118120
Security Token Service (STS) 104
Standarddomnen 105
Verschlsselung
Aktivieren und Deaktivieren von SSL 127
Fr Benutzernamen, Kennwrter und Pakete 127
Zertifikate 127
Verteilte Switches, Berechtigung 66
Verwaltete Instanzen, Berechtigungen 66
Verwaltungsschnittstelle
Absichern 41
absichern mit VLANs und virtuellen Switches 29
Verwaltungszugriff
Firewalls 44
TCP- und UDP-Ports 25
Verzeichnisdienst
Active Directory 80, 81
Konfigurieren eines Hosts 80, 81
Verzeichnisserver, anzeigen 83
vifs, Hochladen von Zertifikaten und Schlsseln 132
Virtualisierungsebene, Sicherheit 12
Virtuelle Festplatten, Verkleinern 142
virtuelle Maschinen
Absichern 141
178
W
W32time-Dienst 168
VMware, Inc.
Index
Z
Zeichenklassen, Kennwrter 64
Zeitberschreitung
ESXi-Shell 52, 54, 55
Leerlauf fr vSphere-Client 159
Zeitberschreitung bei Leerlauf, vSphere-Client 159
Zeitberschreitung bei Sitzung im Leerlauf 52, 54,
55
Zeitberschreitung fr die ESXi Shell-Verfgbarkeit 56
Zeitberschreitungen
Einstellung 53
ESXi-Shell 53
SSL 132
Zeitberschreitungswert fr die Verfgbarkeit fr
die ESXi Shell 56
Zertifikate
Aktualisieren des STS fr vCenter Single Sign
On 104
Deaktivieren von SSL fr vSphere SDK 133
Erstellen neuer Zertifikate 128
hochladen 129
Konfigurieren der Hostsuchvorgnge 134
Schlsseldatei 127
Speicherort 127
SSL 127
Standard 127
berprfen 137
vCenter Server 127
Zertifikatsdatei 127
Zertifikate einer Zertifizierungsstelle 129, 130
Zufallsdatenblock-Angriffe 30
Zugriff auf CIM-Tools, Begrenzen 39
zulssige IP-Adressen, Firewall 45
Zurcksetzen von Kennwrtern, Single Sign
On 102, 103
VMware, Inc.
179
vSphere-Sicherheit
180
VMware, Inc.