شناخت دسترسی ها در VMware و نقش ها

قبل از شروع بد نیست راجع به دسترسی ها و تعاریف آن صحبت کنیم. واژه هایی همچون Privilege، Roles، Permission و تفاوت آنها با هم. ابهام در مورد این واژه ها ممکن است باعث شود تا دسترسی های امنیتی را به کاربرانی واگذار کنید که نیازی به آنها ندارند و خواسته یا نا خواسته ساختار و امنیت آن را مختل نمایند.

• Permission (اجازه دسترسی): اجازه دسترسی در واقع خاصیت یک شی است. مثل فایل که به یک کاربر یا گروه داده می شود. و نوع دسترسی کاربر و اجازه دسترسی آن را مشخص می کند مثل (خواندن، تغییر و پاک نمودن و غیره)
• Privilege (حق دسترسی): حق دسترسی در واقع به یک کاربر یا گروه داده می شود نه شی. و این حق را برای کاربر در نظر می گیرد تا بتواند دسترسی هایی که معمول نیست را داشته باشد. حق دسترسی نسبت به اجازه دسترسی ارجحیت خواهد داشت. فرض کنید اجازه دسترسی به یک فایل در قسمت Permission به شما داده نشده است. اما کاربر شما حق دسترسی به شی مورد بحث را دارد. شما می توانید اجازه دسترسی به فایل را برای خود ایجاد کنید.
• Role (نقش): مجموعه ای از Privilege ها و Permission ها یک نقش را ایجاد می کنند.
• Authenticate (احراز هویت): احراز هویت پروسه است که تعیین می کند کاربر همان کسی است که ادعا می کند. فرض کنید برای کاربری بنام امیر نام کاربری و گذر واژه Amir/password را ایجاد نموده ایم و در اختیار او قرار داده اسم حال امیر (شخص) برای ورود به سیستم باید نام کاربری و گذر واژه خود (کسی که ادعا می کند هست) را وارد نماید تا بتواند به سیستم متصل شود.
• Authorization (تخصیص حقوق دسترسی): پروسه تخصیص حقوق دسترسی بعد از پروسه احراز هویت اتفاق می افتد و تعیین می کند که کاربری که به سیستم وارد شده است چه حقوق و اجازه های دسترسی دارد (Privilege / Permission). فرضاً در مثال قبل امیر پس از ورود به سیستم وارد پروسه تخصیص حقوق دسترسی خواهد شد و سیستم مشخص می کند امیر بتواند چه کارهایی انجام دهد، به چه بخش هایی دسترسی داشته باشد و اجازه خواندن و نوشتن و … را روی چه شی هایی داشته باشد.

شناخت حقوق های دسترسی معمول و نقش ها در vCenter Server

برای دسترسی به منابع و احراز هویت Vmware مفاهیم نقش ها و حقوق دسترسی را در نظر گرفته است. نقش (Role) در ساختار Vmware مجموعه حقوق دسترسی هاست که به یک شی نسبت داده می شود. و کاربر و گروه ها از طریق نقش ها به این حقوق دسترسی مرتبط می شوند. در Vmware چهار مدل اجازه دسترسی (Permission) وجود دارد که آنها را برسی می کنیم.

• vCenter Server Permission – مدل اجازه دسترسی ها در vCenter Server ساختاری سلسله مراتب ی است که اجازه دسترسی ها به شی ها نسبت داده می شود. هر حق دسترسی مجموعه ای از اجازه دسترسی ها را به یک کاربر یا گروه خواهد داد. برای مثال، شما می توانید بر روی یک میزبان ESXi یک نقش را به کاربر و گروه نسبت دهید و آن کاربر مجموعه ای از حقوق دسترسی را در آن سرور به ارث خواهد برد.
• Global Permission – (دسترسی جهانی) این نوع دسترسی به اشیا ریشه در vCenter Server نسبت داده می شود. فرض کنید vCenter Server و vCenter Orchestrator هر دو نصب شده باشند. برای داده دسترسی به کاربر، گروه ها نقش ها باید از این نوع اجازه دسترسی استفاده نمود.
• Group Membership in vSphere.Local Group – عضویت در گروه های vSphere.Local اجازه دسترسی و انجام امور در vCenter Server را به کاربر و گروه عضو خواهد داد. کاربر Administrator@vSphere.Local می تواند مجموعه از امور مرتبط با vCenter Server و همچنین PSC (Platform Service Controller) را به انجام رساند. برای مثال کاربری عضو گروه LicenseService.Administrators است می تواند امور مربوط به مدیریت لیسانس ها را در سرور به عهده گیرد.
• ESXi Local Host Permission – دسترسی های محلی در سرور ESXi به شما اجازه خواهد داد تا تنها همان سرور ESXi را مدیریت کنید. معمولا زمانی کاربر دارد که شما برای مدیریت ساختار مجازی سازی شده از vCenter Server استفاده نمی کنید.

در vCenter Server چندین نقش و دسترسی از پیش ساخته شده وجود دارد که نمی توان آنها را ویرایش یا حذف نمود. بعضی از آنها برای راهنمایی و نمونه وجود دارند که می توان آنها را حذف یا ویرایش نمود. در لیست زیر با کلمه نمونه مشخص شده اند.

• Administrator
• Read-Only
• No Access
• Tagging Admin
• Resource Pool Administrator (نمونه)
• Virtual Machine User (نمونه)
• VMware Consolidated Backup User (نمونه)
• Datastore Consumer (نمونه)
• Network Administrator (نمونه)
• Virtual Machine Power User (نمونه)
• Content Library Administrator (نمونه)

نحوه اختصاص دسترسی ها و ارث بری آنها در vCenter Server

دسترسی ها در VMware vCenter Server به نقش ها داده می شود (مجموعه از حقوق دسترسی) که دسترسی ها به اشیا در VMware vCenter را مشخص می نمایند. برای مثال: محل ذخیره سازی (Datastore) یا ماشین مجازی یا بخشی از آن یک شی می باشد.vCenter Server برای احراز هویت کاربران از منابع گوناگونی می تواند استفاده کند. یکی از معمول ترین این منابع سرور اکتیو دایرکتوری است که در vCenter توسط SSO یا Single-Sign On کاربران و گروه ها را احراز هویت می نماید.

برای اختصاص دادن دسترسی ها در vCenter Server باید این مراحل را انجام دهید:

• شی ی که می خواهید به اجازه دسترسی به آن را صادر کنید را در vCenter انتخاب نمایید.
• روی آن کلیک راست کنید و گزینه Add Permission را بزنید.
• نقش مورد نظرتان را از منوی کشو یی انتخاب کرده و روی Add در قسمت Users and Group کلیک کنید.
• کاربران و گروهها های مورد نظرتان را انتخاب کرده و روی OK کلیک کنید.

در این مثال من به گروه Lab\Domain Admins نقش Administrator را در کلاستر ESXi6 نسبت داده ام.

دسترسی ها در VMware vCenter به صورت سلسله مراتبی است، بدین معنی که دسترسی ها از والد به فرزندان به ارث می رسند. این خاصیت تحت عنوان Propagation (انتشار) شناخته می شود و به صورت پیش فرض فعال است. و با گزینه مشخص شده در تصویر قابل حذف است.

اگر کاربری در چندین گروه عضو باشد و گروه ها و دسترسی های آنها همپوشانی داشته باشد. دسترسی کاربر عضو آن گروه مجموعه تمام دسترسی های تنظیم شده خواهد بود.

مشاهده/ مرتب سازی و خروجی گرفتن از لیست کاربران و گروه ها

در کنسول تحت وب vCenter (VMware vCenter Web Client) شما می توانید کاربران و گروه ها را مشاهده کنید که به چه بخشی و کدام اشیا دسترسی دارند. در کنسول تحت وب vCenter روی شی مورد نظرتان کلیک کنید، سپس گزینه Manage را در پنجره Action Pane انتخاب کرده و زبانه Permission را کلیک کنید. شکل زیر دسترسی های کاربر root در vCenter ی به نام VC02.lab.local نشان می دهد.

اضافه/ویرایش/حذف دسترسی های کاربران و گروه ها به اشیا در vCenter Server

برای حذف و ویرایش اشیا این مراحل را انجام دهید:

• شی مورد نظرتان را که قصد حذف/ویرایش دسترسی های آن را دارید، انتخاب نمایید.
• روی گزینه Manage کلیک کنید و زبانه Permission را انتخاب کنید.
• اگر قصد ویرایش دسترسی ها را دارید روی آن کلیک کرده و سپس نمایه خودکار را انتخاب کنید و تغییرات مورد نظرتان را اعمال کنید.
• برای حذف دسترسی های گروه و یا کاربر مورد نظرتان آن را انتخاب نمایید و روی نمایه ضرب در قرمز رنگ کلیک کنید.

ساخت/ویرایش/کپی نقش ها در vCenter Server

پروسه Cloning در vCenter Server به شما اجازه می دهد تا یک کپی از نقش موجود گرفته و تغییرات خود را روی آن اعمال کنید و با نام دیگری آن را ذخیره کنید. برای کپی گرفتن از یک نقش، مراحل زیر را دنبال کنید.

• از صفحه Home در vCenter Server گزینه Roles را از قسمت Administration انتخاب کنید.
• نقشی را که می خواهید از آن کپی تهیه کنید را انتخاب نموده و روی Clone Role Action کلیک کنید.
• یک نام یکتا برای آن انتخاب کنید.
• حقوق دسترسی مورد نظرتان را اضافه یا ویرایش نمایید.
• برای ذخیره آن روی OK کلیک کنید.

شناخت نقش ها و دسترسی ها ی مورد نیاز برای یکپارچه سازی سایر نرم افزار های VMware

دسترسی هایGlobal یا جهانی به اشیا ی ریشه داده می شود. برای مثال، دسترسی به vCenter Server و vCenter Orchestrator. از دسترسی های Global برای انتساب دسترسی ها به تمامی اشیا و اشیا ی زیر مجموعه آن برای کاربران و گروه ها استفاده کنید.

در زیر متنی از کتاب vSphere 6.0 Security guide شرکت Vmware آورده شده است که مشاهده ان خالی از لطف نیست.