Sécurité vSphere - ESXi 6.0
Contents
1. Nom de privil ge Description Requis sur H te Configuration Param tres Permet de d finir des options avanc es de configuration H tes avanc s d h te H te Configuration Banque Permet de configurer les banques d authentification d Active H tes d authentification Directory H te Configuration Modifier les Permet de modifier les param tres PciPassthru pour un h te H tes param tres PciPassthru H te Configuration Modifier les Permet de modifier les param tres SNMP d un h te H tes param tres SNMP H te Configuration Modifier les Permet de modifier les param tres de date et d heure sur H tes param tres de date et d heure l h te H te Configuration Modifier les Permet de param trer le mode verrouillage sur des h tes H tes param tres ESXi H te Configuration Connexion Permet de modifier l tat de la connexion d un h te connect H tes ou d connect H te Configuration Micrologiciel Permet de mettre jour le microprogramme des h tes ESXi H tes 270 VMware Inc Tableau 10 13 Privil ges de configuration d h te suite Chapitre 10 Privil ges d finis Nom de privil ge Description Requis sur H te Configuration Hyperthreading Permet de mettre sous et hors tension la technologie H tes Hyperthread dans un planificateur CPU d h te H te Configuration Configuration Permet de modifier l image associ e un h te d image H te Configurati2. Option Description store lt NameOfStore gt Nom du magasin de certificats alias lt Alias gt Alias de l entr e supprimer vecs cli force refresh Force l actualisation de vecs cli Lorsque cela se produit la commande vecs cli est mise jour de mani re utiliser les informations les plus r centes dans vmdir Par d faut VECS interroge vmdir toutes les 5 minutes la recherche de nouveaux fichiers de certificat racine Utilisez cette commande pour mettre jour VECS imm diatement partir de vmdir VMware Inc 117 S curit vSphere R f rence des commandes dir cli L utilitaire dir cli vous permet de cr er et de mettre jour des utilisateurs de solutions cr er d autres comptes d utilisateurs et g rer les certificats et les mots de passe dans vmdir Utilisez cet utilitaire avec vecs cli et certool pour g rer votre infrastructure de certificats dir cli service create Cr e un utilisateur de solution Principalement utilis par les solutions tierces Option hame lt name gt Description Nom de l utilisateur de solution cr er cert lt cert file gt Chemin d acc s au fichier de certificat Il peut s agir d un certificat sign par VMCA ou d un certificat tiers login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privi
3. 262 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 1 Privil ges d alarmes suite Nom de privil ge Description Requis sur Alarmes Modifier une alarme Permet le changement des propri t s d une alarme Objet sur lequel une alarme est d finie Alarmes Supprimer une alarme Permet la suppression d une alarme Objet sur lequel une alarme est d finie Alarmes D finir l tat d une alarme Permet de changer l tat de l alarme d v nement configur e L tat peut changer en Normal Avertissement ou Alerte Objet sur lequel une alarme est d finie Privil ges Auto Deploy et privil ges de profil d image Les privil ges Auto Deploy contr lent qui peut effectuer diff rentes t ches sur les r gles Auto Deploy et qui peut associer un h te Ils permettent galement de contr ler qui peut cr er ou modifier un profil d image Le tableau suivant d crit les privil ges qui d terminent les personnes pouvant g rer les r gles et les ensembles de r gles Auto Deploy et celles qui peuvent cr er et modifier des profils d image Reportez vous Installation et configuration de vSphere Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement
4. REMARQUE Les modifications apport es l h te en utilisant l interface utilisateur de la console directe vSphere Web Client ESXCLI ou d autres outils d administration sont enregistr es dans un stockage permanent toutes les heures ou lors d un arr t dans les r gles Les modifications peuvent se perdre si l h te choue avant qu elles ne soient enregistr es Proc dure 1 Dans l interface utilisateur de la console directe appuyez sur F2 pour acc der au menu Personnalisation du syst me 2 S lectionnez Options de d pannage et appuyez sur Entr e VMware Inc 199 S curit vSphere 200 3 Dans le menu des options de mode de d pannage s lectionnez un service activer m Activer ESXi Shell m Activer SSH 4 Appuyez sur Entr e pour activer le service souhait 5 Appuyez sur chap jusqu ce que vous reveniez au menu principal de l interface utilisateur de la console directe Suivant D finissez le d lai d attente de disponibilit et le d lai d inactivit du service ESXi Shell Voir Cr er un d lai d attente de disponibilit pour ESXi Shell dans l interface utilisateur de console directe page 200 et Cr er un d lai d expiration pour des sessions ESXi Shell inactives page 200 Cr er un d lai d attente de disponibilit pour ESXi Shell dans l interface utilisateur de console directe ESXi Shell est d sactiv par d faut Vous pouvez param trer un d lai d attente de disponibilit pour
5. REMARQUE Ne supprimez pas les groupes pr d finis du domaine vsphere local Si vous le faites des erreurs d authentification ou de provisionnement de certificats peuvent se produire VMware Inc 27 S curit vSphere 28 Tableau 2 4 Groupes du domaine vsphere local Privil ge Description Utilisateurs Utilisateurs du domaine vsphere local SolutionUsers Utilisateurs de solution Ce groupe contient les services vCenter Chaque utilisateur de solution s authentifie individuellement aupr s de vCenter Single Sign On avec un certificat Par d faut VMCA provisionne les utilisateurs de solution l aide de certificats N ajoutez aucun membre ce groupe explicitement CAAdmins Les membres du groupe CAAdmins poss dent des privil ges d administration pour VMCA En g n ral il est d conseill d ajouter des membres ces groupes DCAdmins Les membres du groupe DCAdmins peuvent exercer des actions d administrateur de contr leur de domaine sur le service d annuaire VMware REMARQUE Ne g rez pas le contr leur de domaine directement Utilisez plut t la CLI vmdir ou vSphere Web Client pour effectuer les t ches correspondantes SystemConfiguration BashShellAdmi nistrators Ce groupe est disponible uniquement pour les d ploiements de vCenter Server Appliance Tout utilisateur appartenant ce groupe peut activer et d sactiver l acc s l interpr teur de commandes de d pistage Par d faut tout utilisa
6. Synchroniser l heure dans vCenter Server Appliance avec un serveur NTP page 256 Limiter l acc s au Autorisez l acc s uniquement aux composants absolument essentiels pour r seau de communiquer avec vCenter Server Appliance En bloquant l acc s des vCenter Server syst mes non essentiels vous r duisez les risques d attaque g n rale sur le Appliance syst me d exploitation Si vous autorisez l acc s uniquement aux composants essentiels les risques diminuent V rifier les empreintes des h tes ESXi h rit s Dans vSphere 6 et versions ult rieures des certificats VMCA sont attribu s aux h tes par d faut Si vous passez au mode de certificat d empreinte vous pouvez continuer utiliser le mode d empreinte pour les h tes h rit s Vous pouvez v rifier les empreintes dans vSphere Web Client REMARQUE Les certificats sont conserv s par d faut entre les mises niveau Proc dure 1 Acc dez au syst me vCenter Server dans le navigateur d objets de vSphere Web Client 2 S lectionnez l onglet G rer cliquez sur Param tres puis cliquez sur G n ral 3 Cliquez sur Edit 4 Cliquez sur Param tres SSL 5 Si l un de vos h tes ESXi 5 5 ou version ant rieure n cessite une validation manuelle comparez les empreintes r pertori es pour les h tes aux empreintes de la console h te Pour obtenir l empreinte de l h te utilisez l interface utilisateur de console directe DCUT a Connectez vous la con
7. l h te Vous pouvez viter cela en param trant un d lai d expiration des sessions inactives Le d lai d expiration d inactivit correspond la p riode au terme de laquelle un utilisateur est d connect d une session interactive inactive Vous pouvez d finir ce d lai pour les sessions locales et distantes SSH dans l interface de la console directe DCUI ou dans vSphere Web Client Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me s lectionnez Param tres syst me avanc s 4 S lectionnez UserVars ESXiShellnteractiveTimeOut cliquez sur l ic ne Modifier et saisissez le param tre du d lai d expiration 5 Red marrez le service ESXi Shell et le service SSH pour que le d lai d expiration prenne effet Si la session est inactive les utilisateurs sont d connect s l expiration du d lai d attente Utiliser l interface utilisateur de la console directe DCUI pour activer l acc s au service ESXi Shell L interface utilisateur de la console directe DCUT vous permet d interagir avec l h te localement en utilisant des menus textuels valuez avec soin si les exigences de votre environnement en mati re de s curit permettent l activation de l interface utilisateur de la console directe DCUT Vous pouvez utiliser l interface utilisateur de la console directe pour activer l acc s local et distant au service ESXi Shell
8. m Remplacer les certificats SSL de la machine par des certificats sign s par VMCA page 81 m Remplacer les certificats SSL de la machine autorit de certification interm diaire page 92 m Remplacer les certificats SSL de machine par des certificats personnalis s page 102 VMware Inc 63 S curit vSphere Remplacement des certificats d utilisateurs de solutions dans les environnements qui incluent plusieurs n uds de gestion Si votre environnement comporte plusieurs n uds de gestion et un seul Platform Services Controller suivez la proc dure ci dessous pour remplacer des certificats REMARQUE Lorsque vous r pertoriez les certificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine vSphere Certificate Ex cutez vSphere Certificate Manager sur chaque machine Sur les n uds de Manager gestion vous tes invit fournir l adresse IP de Platform Services Controller Selon la t che vous tes galement invit fournir les informations relatives au certificat Remplacement manuel 1 G n rez ou demandez un certificat Vous devez disposer des certificats de certificats suivants m Un certificat d utilisateur
9. Ajouter une association de s curit IPsec Ajoutez une association de s curit pour d finir des param tres de chiffrement pour le trafic IP associ Vous pouvez ajouter une association de s curit avec la commande vSphere CLI esxcli VMware Inc 243 S curit vSphere 244 Proc dure Dans l invite de commande saisissez la commande esxcli network ip ipsec sa add avec une ou plusieurs des options suivantes Option sa source source address Description Requis Sp cifiez l adresse source sa destination destination address Requis Sp cifiez l adresse de destination sa mode mode Requis Sp cifiez le mode soit transport ou tunnel sa spi security parameter index Requis Sp cifiez l index des param tres de s curit Celui ci identifie l association de s curit l h te Ce doit tre un hexad cimal avec un pr fixe 0x Chaque association de s curit que vous cr ez doit disposer d une combinaison unique de protocole et d index de param tres de s curit encryption algorithm encryption algorithm Requis Sp cifiez l algorithme de chiffrement l aide d un des param tres suivants m 3des cbc m aes128 cbc m null n assure aucun chiffrage encryption key encryption key Requise lorsque vous sp cifiez un algorithme de chiffrement Sp cifiez la cl de chiffrement Vous pouvez entrer des cl s en tant que texte ASCII ou en tant q
10. Proc dure 1 a AeA OO N 6 Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local Acc dez Administration gt Single Sign On gt Configuration Cliquez sur l onglet R gles et s lectionnez R gle de verrouillage Cliquez sur Edit Modifiez les param tres Option Description Description Description facultative de la strat gie de verrouillage Nombre maximal de tentatives de connexion chou es Nombre maximal de tentatives de connexion infructueuses autoris es avant que le compte soit verrouill Intervalle entre deux checs D lai pendant lequel les checs doivent se produire pour d clencher un verrouillage D lai de d verrouillage Dur e pendant laquelle le compte reste verrouill Si vous entrez 0 l administrateur doit d verrouiller le compte de mani re explicite Cliquez sur OK Modifier la strat gie des jetons de vCenter Single Sign On La strat gie des jetons de vCenter Single Sign On sp cifie la tol rance d horloge le nombre de renouvellements et d autres propri t s li es aux jetons Vous pouvez modifier la strat gie des jetons de vCenter Single
11. page 126 et Privil ges requis pour les t ches courantes page 141 Assurez vous de limiter les privil ges d administrateur et l utilisation du r le d administrateur Dans la mesure du possible vitez d utiliser l utilisateur Administrateur anonyme Configurez NTP pour chaque n ud de votre environnement L infrastructure de certificats exige un horodatage pr cis et ne fonctionne correctement que si les n uds sont synchronis s Reportez vous Synchronisation des horloges sur le r seau vSphere page 253 S curisation des machines virtuelles Pour s curiser vos machines virtuelles appliquez tous les correctifs appropri s aux syst mes d exploitation invit s et prot gez votre environnement de m me que vous prot geriez une machine physique Pensez d sactiver toutes les fonctionnalit s inutiles minimiser l utilisation de la console de machine virtuelle et suivre toute autre meilleure pratique Prot ger le syst me d exploitation invit D sactiver les fonctionnalit s inutiles Utiliser les mod les et la gestion script e 12 Pour prot ger votre syst me d exploitation invit assurez vous qu il utilise les correctifs les plus r cents et le cas ch ant les tout derniers programmes antispyware et anti programme malveillant Reportez vous la documentation de votre fournisseur de syst me d exploitation invit et le cas ch ant d autres informations disponibles dans des l
12. un groupe Dans cet exemple les autorisations sont d finies sur le m me objet Une autorisation associe un groupe un r le et l autre l autorisation associe un utilisateur individuel un r le L utilisateur est un membre du groupe m Le r le 1 peut mettre des machines virtuelles sous tension m On accorde au groupes A le r le 1 sur le dossier de VM m On accorde l utilisateur 1 un r le Aucun acc s sur le dossier de VM L utilisateur 1 qui appartient au groupes A se connecte Le r le Aucun acc s accord l utilisateur 1 sur le dossier de VM remplace le r le attribu au groupe L utilisateur 1 n a aucun acc s au dossier ou aux VM A et B de VM Figure 4 5 Exemple 3 Autorisations d utilisateurs ignorant des autorisations de groupes groupes A le r le 1 gt gt utilisateur 1 aucun acc s gt l utilisateur 1 n a aucun acc s au dossier ou les machines virtuelles Gestion des autorisations des composants vCenter Une autorisation est d finie sur une hi rarchie d objets vCenter Chaque autorisation associe l objet un groupe ou un utilisateur et aux r les d acc s correspondants Par exemple vous pouvez s lectionner un objet de machine virtuelle ajouter une autorisation qui accorde le r le en lecture seule au Groupe 1 et ajouter une deuxi me autorisation qui accorde le r le d administrateur l utilisateur 2 En attribuant un r le diff rent un groupe d utilisateurs sur diff ren
13. 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 S lectionnez l onglet Groupes et cliquez sur le groupe 4 Dans la liste des membres du groupe s lectionnez l utilisateur ou le groupe supprimer et cliquez sur l ic ne Supprimer un membre 5 Cliquez sur OK L utilisateur est supprim du groupe mais il est toujours disponible dans le syst me VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Supprimer des utilisateurs de la solution vCenter Single Sign On vCenter Single Sign On affiche les utilisateurs de solution Un utilisateur de solution est une collection de services Plusieurs utilisateurs de solution vCenter Server sont pr d finis et s authentifient aupr s de vCenter Single Sign On dans le cadre de l installation Dans les situations de d pannage par exemple si une d sinstallation ne s effectue pas proprement vous pouvez supprimer des utilisateurs de solution individuels de vSphere Web Client Lorsque vous supprimez l ensemble de services associ s un utilisateur de solution vCenter Server ou un utilisateur de solution tierce de votre environnement l utilisateur de solution est supprim de l affichage vSphere Web Client Si vous supprimez de force une application ou si le syst me devient irr cup rable alors que l utilisateur de solution est toujours dans le syst me vous pouvez supprimer explicitement l utilisa
14. Centres de donn es Banque de donn es Configurer une banque de donn es Permet la configuration d une banque de donn es Centres de donn es Banque de donn es Op rations de fichier de niveau inf rieur Permet l ex cution d op rations de lecture d criture de suppression et de changement de nom dans le navigateur de la banque de donn es Centres de donn es Banque de donn es D placer une banque de donn es Permet le d placement d une banque de donn es entre dossiers Les privil ges doivent tre pr sents la fois la source et la destination La banque de donn es source et destination Banque de donn es Supprimer une banque de donn es Permet la suppression d une banque de donn es Ce privil ge est viter Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Centres de donn es Banque de donn es Supprimer un fichier Permet la suppression de fichiers dans la banque de donn es Ce privil ge est viter Attribue le privil ge Op rations de fichier de niveau inf rieur Centres de donn es Banque de donn es Renommer une banque de donn es Permet de renommer une banque de donn es Centres de donn es Banque de donn es Mettre jour les fichiers de machine virtuelle Permet de mettre niveau les chemins d acc s aux fi
15. Distributed switches Commutateur distribu Op ration de strat gie Autorise la modification de la r gle d un vSphere Distributed Switch Distributed switches Commutateur distribu Op ration de configuration de port Autorise la modification de la configuration d un port dans un vSphere Distributed Switch Distributed switches Commutateur distribu Op ration de d finition de port Autorise la modification des param tres d un port dans un vSphere Distributed Switch Distributed switches Commutateur distribu Op ration VSPAN Autorise la modification de la configuration VSPAN d un vSphere Distributed Switch Distributed switches VMware Inc 267 S curit vSphere Privil ges de gestionnaire d agent ESX Les privil ges de gestionnaire d agent ESX contr lent les op rations li es au Gestionnaire d agent ESX et aux machines virtuelles d agent Le gestionnaire d agent ESX est un service qui vous permet d installer des machines virtuelles de gestion li es un h te et non affect es par VMware DRS ou d autres services qui migrent des machines virtuelles Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de ma
16. Figure 8 2 DMZ configur e sur un h te ESXi Machine virtuelle Machine virtuelle Machine virtuelle Machine virtuelle 1 2 3 4 serveur de pare feu serveur Web serveur d applications serveur de pare feu Commutateur Commutateur Commutateur standard 2 standard 3 standard 1 adaptateur r seau adaptateur r seau mat riel 1 l mat riel 2 R seau externe R seau interne Dans cet exemple quatre machines virtuelles sont configur es en vue de cr er une zone d militaris e virtuelle sur le commutateur standard 2 m La machine virtuelle 1 et la machine virtuelle 4 ex cutent des pare feux et sont connect es aux adaptateurs r seau physiques par l interm diaire de commutateurs standard Ces deux machines virtuelles utilisent plusieurs commutateurs m La machine virtuelle 2 s ex cute en tant que serveur Web tandis que la machine virtuelle 3 s ex cute en tant que serveur d applications Ces deux machines virtuelles sont connect es un commutateur virtuel Le serveur Web et le serveur d applications occupent la DMZ entre les deux pare feu Le passage entre ces deux l ments est le commutateur standard 2 qui connecte les pare feu aux serveurs Ce commutateur ne poss de pas de connexion directe aux l ments situ s hors de la zone d militaris e il est isol du trafic externe via les deux pare feu D un point de vue op rationnel le trafic externe Internet entre dans la machine virtuelle 1 via l adaptateur r seau 1
17. Les cl s autoris es vous permettent d authentifier un acc s distant un h te Lorsque des utilisateurs ou des scripts essaient d acc der un h te avec SSH la cl fournit l authentification sans mot de passe Les cl s autoris es vous permettent d automatiser l authentification ce qui est utile lorsque vous crivez des scripts pour r aliser des t ches routini res Vous pouvez t l charger les types de cl s SSH suivants sur un h te l aide de HTTPS PUT m Fichier de cl s autoris es pour un utilisateur racine m Cl DSA m Cl DSA publique m Cl RSA m Cl RSA publique IMPORTANT Ne modifiez pas le fichier etc ssh sshd_config Proc dure 1 Dans votre application de chargement ouvrez le fichier de cl 196 VMware Inc Chapitre 5 S curisation des h tes ESXi 2 Publiez le fichier aux emplacements suivants Type de cl s Emplacement Fichiers de cl s autoris es pour un https hostname_or_IP_address host ssh_root_authorized_key utilisateur racine s Vous devez disposer de tous les privil ges Administrateur sur l h te pour t l charger ce fichier Cl s DSA https hostname_or_IP_address host ssh_host_dsa_key Cl s DSA publiques https hostname_or_IP_address host ssh_host_dsa_key_pub Cl s RSA https hostname_or_IP_address host ssh_host_rsa_key Cl s RSA publiques https hostname_or_IP_address host ssh_host_rsa_key_pub Utilisation du ESXi Shell Le ESXi Shell ancienneme
18. chaque composant un jeton SAML que le composant utilise ensuite pour l authentification Dans vSphere 6 0 et les versions ult rieures VMCA VMware Certificate Authority fournit chaque h te ESXi et chaque service vCenter Server un certificat sign par d faut par VMCA Vous pouvez remplacer les certificats par de nouveaux certificats sign s par VMCA d signer VMCA comme autorit de certification subordonn e ou remplacer tous les certificats par des certificats personnalis s Plusieurs options s offrent vous Tableau 3 1 Diff rentes approches du remplacement de certificat Option Reportez vous Utilisez l interface web Platform Services Controller Gestion de certificats avec l interface Web Platform vSphere 6 0 Update 1 et ult rieur Services Controller page 65 Utilisez l utilitaire de gestion de certificat vSphere dans Gestion de certificats avec l utilitaire vSphere Certificate l invite de commande Manager page 69 Utilisez les commandes CLI pour remplacer des certificats Gestion des certificats et des services avec les commandes manuellement de l interface de ligne de commande page 107 Gestion des certificats vSphere http link brightcove com services player bcpid2296383276001 bctid ref video_vsphere6_cert_infrastructure Ce chapitre aborde les rubriques suivantes m Pr sentation de la gestion de certificats page 54 m Gestion de certificats avec l interface Web Platf
19. d Si votre environnement comprend plusieurs syst mes vCenter Server r p tez la proc dure pour chaque syst me Par la suite VMCA signe tous les certificats avec la cha ne compl te lorsque vous renouvelez les certificats ou que vous ajoutez des h tes ESXi ou des syst mes vCenter Server votre environnement 68 VMware Inc Chapitre 3 Certificats de s curit vSphere Gestion de certificats avec l utilitaire vSphere Certificate Manager L utilitaire vSphere Certificate Manager vous permet de r aliser la plupart des t ches de gestion des certificats de mani re interactive partir de la ligne de commande vSphere Certificate Manager vous demande la t che r aliser l emplacement des certificats ainsi que d autres informations si n cessaire puis active et arr te les services et remplace les certificats Si vous utilisez vSphere Certificate Manager vous n avez pas placer les certificats dans VECS VMware Endpoint Certificate Store ni d marrer et arr ter les services Avant d ex cuter vSphere Certificate Manager veillez bien comprendre le processus de remplacement et procurez vous les certificats que vous souhaitez utiliser AVERTISSEMENT vSphere Certificate Manager g re un niveau d annulation Si vous ex cutez vSphere Certificate Manager deux fois et remarquez que vous avez endommag votre environnement par inadvertance l outil ne peut pas annuler la premi re des deux ex cutions Vous pou
20. diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 25 Privil ges de session Nom de privil ge Description Requis sur Sessions Emprunter Permet d emprunter l identit d un autre utilisateur Cette capacit est Racine vCenter Server l identit de l utilisateur utilis e par des extensions Sessions Message Permet de d finir le message global de proc dure de connexion Racine vCenter Server Sessions Valider une Permet de v rifier la validit de la session Racine vCenter Server session Sessions Afficher et arr ter Permet d afficher les sessions et de forcer un ou plusieurs utilisateurs Racine vCenter Server des sessions connect s fermer leurs sessions VMware Inc 277 S curit vSphere Privil ges de vues de stockage Les privil ges pour les vues de stockage contr lent les privil ges pour les API du service de surveillance du stockage partir de vSphere 6 0 les vues de stockage sont abandonn es et ces privil ges ne s y appliquent plus Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs
21. l h te le port n a pas besoin d tre ouvert VMware Inc Chapitre 5 S curisation des h tes ESXi Tableau 5 6 Connexions de pare feu sortantes suite Service Port Commentaire rabbitmqproxy 5671 TCP Proxy s ex cutant sur l h te ESXi qui permet aux applications ex cut es sur des machines virtuelles de communiquer avec les brokers AMQP qui s ex cutent dans le domaine r seau de vCenter Il n est pas n cessaire que la machine virtuelle se trouve sur le r seau En d autres termes aucune carte r seau n est requise Le proxy se connecte aux brokers dans le domaine de r seau vCenter Par cons quent les adresses IP des connexions sortantes doivent inclure au moins les brokers actuellement utilis s ou les futurs brokers Si un client souhaite monter en charge il est possible d ajouter des brokers Transport Virtual SAN 2233 TCP Utilis pour le trafic RDT communication monodiffusion de poste poste entre n uds Virtual SAN vMotion 8000 TCP Requis pour la migration de machines virtuelles avec vMotion Agent VMware vCenter 902 UDP Agent vCenter Server vsanvp 8080 TCP Utilis pour le trafic de fournisseur de distributeur Virtual SAN Comportement du pare feu client NFS L ensemble de r gles de pare feu du client NFS ne se comporte pas comme les ensembles de r gles de pare feu ESXi ESXi configure les param tres du client NFS lorsque vous montez ou d montez une banque de donn es
22. par VMCA Si vous remplacez le certificat racine VMCA par un certificat personnalis VMCA signe tous les certificats avec la cha ne compl te m Sur un n ud Platform Services Controller ou une installation int gr e C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vmca ssl crt privkey ssl key priv config ssl config cfg m Sur vCenter Server installation externe C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vmca ssl crt privkey ssl key priv config ssl config cfg server lt psc ip or fqdn gt Le fichier new vmca ss1 crt est cr dans le r pertoire actuel 4 Facultatif R pertoriez le contenu de VECS C Program Files VMware vCenter Server vmafdd vecs cli store list m R sultat sur Platform Services Controller MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine VMware Inc 93 S curit vSphere 94 m R sultat sur vCenter Server output on vCenter MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd extension vsphere webclient sms 5 Remplacez le certificat SSL de machine dans VECS par le nouveau certificat SSL de machine Les valeurs store et alias doivent correspondre exactement aux noms par d faut m Sur Platform Services Controller ex cutez la commande suivante pour mettre jour le certificat SSL de machine dans le magasin MACHINE_SSL_CERT C gt C Program
23. un grand nombre d autres points d acc s du r seau en fonction de la mani re dont vous envisagez d utiliser le r seau et du niveau de s curit n cessaire aux diff rents p riph riques S lectionnez les emplacements de vos pare feu en fonction des risques de s curit que vous avez identifi s pour votre configuration r seau Vous trouverez ci apr s une liste des emplacements de pare feu commune aux impl mentations ESXi m Entre vSphere Web Client ou un client de gestion de r seau tiers et vCenter Server m Si vos utilisateurs acc dent aux machines virtuelles via un navigateur Web entre le navigateur Web et l h te ESXi m Si vos utilisateurs acc dent des machines virtuelles par l interm diaire de vSphere Web Client entre vSphere Web Client et l h te ESXi Cette connexion s ajoute la connexion entre vSphere Web Client et vCenter Server et elle n cessite un port diff rent m Entre vCenter Server et les h tes ESXi m Entre les h tes ESXi de votre r seau Bien que le trafic entre les h tes soit g n ralement consid r comme s curis vous pouvez ajouter des pare feu entre eux si vous vous inqui tez des d faillances de s curit de machine machine Si vous ajoutez des pare feu entre les h tes ESXi et envisagez de migrer les machines virtuelles entre les serveurs faites un clonage ou utilisez vMotion Vous devez galement ouvrir des ports dans les pare feu qui divisent l h te source des h tes cibles a
24. Autorit de certification VMware par d faut Utilisez ce mode si VMCA provisionne tous les h tes ESXi comme autorit de certification de niveau sup rieur ou comme autorit de certification interm diaire Par d faut VMCA provisionne les h tes ESXi avec des certificats Dans ce mode vous pouvez actualiser et renouveler les certificats dans vSphere Web Client Autorit de certification personnalis e Utilisez ce mode si vous souhaitez uniquement utiliser des certificats qui sont sign s par une autorit de certification tierce Dans ce mode vous tes responsable de la gestion des certificats Vous ne pouvez pas actualiser et renouveler des certificats dans vSphere Web Client REMARQUE Sauf si vous d finissez le mode de certificat sur Autorit de certification personnalis e VMCA peut remplacer des certificats personnalis s notamment lorsque vous s lectionnez Renouveler dans vSphere Web Client Mode d empreinte vSphere 5 5 utilisait le mode d empreinte et ce mode est toujours disponible comme option de secours pour vSphere 6 0 Dans ce mode vCenter Server v rifie que le certificat est correctement format mais pas sa validit M me les certificats expir s sont accept s N utilisez ce mode que si vous rencontrez des probl mes que vous ne pouvez pas r soudre avec l un des deux autres modes Certains services vCenter 6 0 et versions ult rieures ne fonctionnent pas correctement en mode d empreinte Expi
25. Certaines op rations sont autoris es pour tous les utilisateurs Si vous ex cutez l utilitaire vCenter Certificate Manager vous tes invit saisir le mot de passe d administrator vsphere local Si vous remplacez les certificats manuellement diff rentes options pour les diff rentes interfaces de ligne de commmande de gestion de certificat requi rent diff rents privil ges dir cli Vous devez tre membre du groupe CAAdmins du domaine vsphere local Vous tes invit saisir un nom d utilisateur et un mot de passe chaque fois que vous ex cutez une commande dir cli vecs cli Au d part seul le propri taire du magasin a acc s ce dernier Le propri taire du magasin est l utilisateur Administrateur sur les syst mes Windows et l utilisateur racine sur les syst me Linux Le propri taire du magasin peut offrir un acc s aux autres utilisateurs Les magasins MACHINE_SSL_CERT et TRUSTED_ROOTS sont particuliers Seul l utilisateur racine ou l utilisateur Administrateur selon le type d installation dispose d un acc s total ces magasins certool La plupart des commandes certool n cessitent que l utilisateur soit membre du groupe CAAdmins L utilisateur administrator vsphere local est membre du groupe CAAdmins Tous les utilisateurs peuvent ex cuter les commandes suivantes M genselfcacert m initscr M getdc H waitVMDIR Em waitVMCA M genkey m viencert Pour la gestion des certificats des h tes ESXi vou
26. Ces options crasent les valeurs entr es dans Panneau de configuration de VMware Tools sur le syst me d exploitation invit 6 Cliquez sur OK pour fermer la bo te de dialogue Param tres de configuration puis cliquez de nouveau sur OK Modification de la limite de m moire variable du syst me d exploitation invit Vous pouvez augmenter la limite de m moire variable du syst me d exploitation invit si de grandes quantit s d informations personnalis es sont stock es dans le fichier de configuration Pr requis D sactivez la machine virtuelle Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM gt Avanc es puis cliquez sur Modifier la configuration Ajoutez ou modifiez le param tre tools setInfo sizeLimit et d finissez la valeur en nombre d octets a AeA OO N Cliquez sur OK Emp cher les processus du syst me d exploitation invit d envoyer des messages de configuration l h te Vous pouvez emp cher les invit s d crire des paires nom valeur dans le fichier de configuration Cette mesure est appropri e lorsque les syst mes d exploitation invit s ne doivent pas tre autoris s modi
27. Chapitre 1 S curit dans l environnement vSphere Mots de passe pour vCenter Server et autres services de vCenter vCenter Single Sign On g re l authentification pour tous les utilisateurs qui se connectent vCenter Server et d autres services de vCenter Les restrictions de mot de passe le verrouillage et l expiration d pendent du domaine de l utilisateur et de l identit de l utilisateur administrator vsphere Le mot de passe de l utilisateur administrator vsphere local ou de local l utilisateur administrator mydomain si vous avez s lectionn un domaine diff rent au cours de l installation n expire pas et n est pas soumis la strat gie de verrouillage tous les autres niveaux le mot de passe doit respecter les restrictions d finies dans la strat gie de mot de passe vCenter Single Sign On Reportez vous Modifier la strat gie de mot de passe de vCenter Single Sign On page 39 Si vous oubliez le mot de passe de ces utilisateurs recherchez dans le syst me de la base de connaissances VMware des informations sur la r initialisation de ce mot de passe Autres utilisateurs de Les mots de passe des autres utilisateurs de vsphere local ou des utilisateurs vsphere local du domaine local que vous avez sp cifi s au cours de l installation doivent respecter les restrictions d finies par la strat gie de mot de passe et la strat gie de verrouillage de vCenter Single Sign On Reportez vous la section Modifier
28. Emp cher la r duction de disque virtuel 218 Recommandations en mati re de s curit des machines virtuelles 218 8 S curisation de la mise en r seau vSphere 229 Introduction la s curit du r seau vSphere 229 S curisation du r seau avec des pare feu 231 S curiser le commutateur physique 234 S curisation des ports du commutateur standard l aide de strat gies de s curit 234 S curiser les commutateurs standard vSphere 235 S curiser les commutateurs distribu s vSphere et les groupes de ports distribu s 237 S curisation des machines virtuelles avec des VLAN 238 Cr er une DMZ r seau sur un h te ESXi 240 Cr ation de plusieurs r seaux sur un h te ESXi 241 S curit du protocole Internet 243 Garantir une configuration SNMP appropri e 246 Utiliser des commutateurs virtuels avec l API vSphere Network Appliance uniquement si n cessaire 247 Meilleures pratiques en mati re de s curit de la mise en r seau vSphere 247 9 Meilleures pratiques concernant plusieurs composants vSphere 253 Synchronisation des horloges sur le r seau vSphere 253 Meilleures pratiques en mati re de s curit du stockage 256 4 VMware Inc V rifier que l envoi des donn es de performances de l h te aux invit s est d sactiv 259 Configuration de d lais d expiration pour ESXi Shell et vSphere Web Client 259 10 Privil ges d finis 261 Privil ges d alarmes 262 Privil ges Auto Deploy et privil ges de profil d image 263 Privil ges
29. Toutefois l authenticit du client ou du serveur Auto Deploy n est pas v rifi e au cours d un d marrage PXE Vous pouvez consid rablement r duire le risque de s curit d Auto Deploy en isolant compl tement le r seau lorsqu Auto Deploy est utilis S curit concernant l image de d marrage et le profil d h te L image de d marrage que le serveur vSphere Auto Deploy t l charge sur une machine peut contenir les composants suivants Les modules VIB qui constituent le profil d image sont toujours inclus dans l image de d marrage Le profil d h te et la personnalisation de l h te sont inclus dans l image de d marrage si les r gles Auto Deploy sont configur es pour provisionner l h te avec un profil d h te ou un param trage de personnalisation d h te m Le mot de passe administrateur racine et les mots de passe utilisateur qui sont inclus dans le profil d h te et la personnalisation d h te sont crypt s en MD5 m Tous les autres mots de passe associ s aux profils sont en clair Si vous param trez Active Directory en utilisant des profils d h te les mots de passe ne sont pas prot g s Utilisez vSphere Authentication Service pour param trer Active Directory afin d viter d exposer les mots de passe Si vous param trez Active Directory en utilisant des profils d h te les mots de passe sont prot g s La cl SSL publique et priv e et le certificat de l h te sont inclus dans l image de d marrage Gest
30. Un VIB non sign contient un code qui n est ni certifi ni approuv ni pris en charge par VMware ou ses partenaires Les VIB communautaires n ont pas de signature num rique Vous pouvez utiliser des commandes ESXCLI pour d finir le niveau de l acceptation d un h te Le niveau d acceptation de l h te doit tre le m me ou moins restrictif que celui d un VIB que vous souhaitez ajouter l h te Pour prot ger la s curit et l int grit de vos h tes ESXi ne permettez pas l installation de VIB non sign s CommunitySupported sur des h tes dans des syst mes de production Les niveaux d acceptation suivants sont pris en charge VMwareCertified Le niveau d acceptation VMwareCertified a les exigences les plus contraignantes Les VIB avec ce niveau sont soumis des tests minutieux quivalents aux tests d assurance qualit r alis s en interne de VMware pour la m me technologie Actuellement seuls les pilotes IOVP sont publi s ce niveau VMware prend en charge les appels d assistance pour les VIB avec ce niveau d acceptation VMwareAccepted Les VIB avec ce niveau d acceptation sont soumis des tests de v rification minutieux mais ces tests ne testent pas enti rement chaque fonction du logiciel Le partenaire ex cute les tests et VMware v rifie le r sultat Actuellement les fournisseurs CIM et les plug ins PSA font partie des VIB publi s ce niveau VMware dirige les appels d assistance pour les VIB avec ce niveau d a
31. achemin par le commutateur standard 1 il est alors v rifi par le pare feu install sur cette machine Si le pare feu autorise le trafic celui ci est achemin vers le commutateur standard situ au sein de la zone d militaris e commutateur standard 2 tant donn que le serveur Web et le serveur d applications sont galement connect s ce commutateur ils peuvent traiter des requ tes externes Le commutateur standard 2 est galement connect la machine virtuelle 4 Cette machine virtuelle permet de b n ficier d un pare feu entre la DMZ et le r seau interne de l entreprise Ce pare feu filtre les paquets en provenance du serveur Web et du serveur d applications Si un paquet est v rifi il est achemin vers l adaptateur r seau 2 via le commutateur standard 3 L adaptateur r seau 2 est connect au r seau interne de l entreprise 240 VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere Lorsque vous cr ez une DMZ sur un seul h te vous pouvez utiliser des pare feu assez l gers Dans cette configuration une machine virtuelle ne peut pas exercer un contr le direct sur une autre machine virtuelle ni acc der sa m moire toutefois toutes les machines virtuelles restent connect es via un r seau virtuel Or ce r seau peut tre utilis pour la propagation de virus ou tre la cible d autres types d attaques La s curit des machines virtuelles dans la zone d militaris e revient donc s
32. client NFS 171 commandes 172 configuration 172 VMware Inc pare feu esxcli 172 partages et limites s curit de l h te 220 performances privil ges 275 p riph riques mat riels 221 p riph riques PCI 206 P riph riques PCIE 206 plug ins privil ges 268 politique de support logiciel tiers 16 politique des mots de passe 29 politiques des mots de passe vCenter Single Sign On 39 portfast 247 Portfast 247 ports de commutateur standard s curit 234 235 ports de pare feu configuration avec vCenter Server 231 configuration sans vCenter Server 232 connexion vCenter Server 232 connexion directe de vSphere Client 232 h te h te 233 pr sentation 231 vSphere Web Client et vCenter Server 231 ports de pare feu entrants ESXi 168 ports de pare feu h te h te 233 ports de pare feu sortants ESXi 168 ports TCP 213 ports UDP 213 PowerCLIi 12 pr sentation de Single Sign On 20 pr sentation des mots de passe 14 Pr sentation g n rale de la s curit de vSphere 9 principaux supprimer du groupe 46 privil ges alarmes 262 attribution 137 Auto Deploy 263 autorisation 275 balises 273 banques de donn es 266 biblioth que de contenu 264 cat gories 273 certificat 263 clusters de banques de donn es 266 configuration 270 configuration de machine virtuelle 279 configuration de services de machine virtuelle 292 Distributed Switches 267 dossier 268 Extension 268 VMware Inc Index g
33. de navigateur de banques de donn es permet aux utilisateurs poss dant les privil ges appropri s d afficher et de t l charger des fichiers depuis et vers les banques de donn es associ es au d ploiement de vSphere au moyen du navigateur web ou de vSphere Web Client Attribuer le privil ge Banque de donn es Parcourir la banque de donn es uniquement aux utilisateurs ou aux groupes qui ont r ellement besoin de ces privil ges Emp cher des utilisateurs d ex cuter des commandes dans une machine virtuelle Par d faut un utilisateur avec le r le d administrateur vCenter Server peut interagir avec les fichiers et programmes au sein du syst me d exploitation invit d une machine virtuelle Afin de r duire les risques d atteinte la confidentialit la disponibilit et l int grit de l invit cr ez un r le d acc s non invit d pourvu du privil ge Op rations client Reportez vous Emp cher des utilisateurs d ex cuter des commandes dans une machine virtuelle page 225 V rifier la strat gie de mot de passe de vpxuser Par d faut vCenter Server modifie le mot de passe de vpxuser automatiquement tous les 30 jours Assurez vous que ce param tre est conforme vos strat gies ou configurez la strat gie pour r pondre aux strat gies d expiration de mot de passe de l entreprise Reportez vous Configurer la strat gie de mot de passe de vCenter Server page 209 REMARQUE Assurez vous que la strat gie d
34. er Permet la cr ation d un profil d h te Racine vCenter Server Profil d h te Supprimer Permet la suppression d un profil d h te Racine vCenter Server Profil d h te Modifier Permet la modification d un profil d h te Racine vCenter Server Profil d h te Exportation Permet l exportation d un profil d h te Racine vCenter Server Profil d h te Afficher Permet l affichage d un profil d h te Racine vCenter Server Privil ges du fournisseur Inventory Service Les privil ges Fournisseur d Inventory Service sont usage interne uniquement Ne l utilisez pas y Privil ges de balisage Inventory Service Les privil ges de balisage Inventory Service contr lent la capacit cr er et supprimer des balises et des cat gories de balises ainsi qu attribuer et supprimer des balises sur les objets d inventaire vSphere Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e VMware Inc 273 S curit vSphere Tableau 10 18 Privil ges vCenter Inventory Service Nom du privil ge Description Requis sur Inventory Service Balisage Permet d attribuer ou non une balise pour un objet Tout objet vSphere Affecter
35. l invite 5 facultatif Renouveler les certificats d utilisateur de solution pour le syst me local a Cliquez sur l onglet Certificats d utilisateur de solution b Cliquez sur Renouveler pour renouveler des certificats individuels s lectionn s ou cliquez sur Tous les renouveler pour remplacer tous les certificats d utilisateurs de solutions et r pondez Oui l invite 6 Si votre environnement inclut un Platform Services Controller externe vous pouvez renouveler les certificats pour chaque syst me vCenter Server a Cliquez sur le bouton Se d connecter dans le panneau Gestion des certificats b Lorsque vous y tes invit sp cifiez l adresse IP ou le nom de domaine du syst me vCenter Server ainsi que le nom d utilisateur et le mot de passe d un administrateur vCenter Server pouvant s authentifier aupr s de vCenter Single Sign On c Renouveler le certificat SSL de la machine dans vCenter Server et si vous le souhaitez chaque certificat d utilisateur de solution d Si votre environnement comprend plusieurs syst mes vCenter Server r p tez la proc dure pour chaque syst me Faire de VMCA une autorit de certification interm diaire depuis l interface web de Platform Services Controller Vous pouvez remplacer le certificat racine VMCA par un certificat personnalis qui inclut le certificat VMCA comme dernier l ment dans la cha ne de certificats Par la suite tous les certificats g n r s par VMCA incluent l ensembl
36. la fois le mode de verrouillage normal vSphere Web Client et strict dans vSphere Web Client Dans l interface Les utilisateurs qui peuvent acc der l interface utilisateur de la console utilisateur de la console directe sur l h te ESXi peuvent d sactiver le mode de verrouillage normal directe En mode de verrouillage strict le service d interface de console directe est arr t Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me s lectionnez Profil de s curit 4 Dans le panneau mode verrouillage cliquez sur Modifier 5 Cliquez sur Mode verrouillage et s lectionnez Aucun pour d sactiver le mode de verrouillage Le syst me quitte le mode de verrouillage vCenter Server affiche une alarme et une entr e est ajout e au journal d audit Activer ou d sactiver le mode de verrouillage normal partir de l interface utilisateur de la console directe Vous pouvez activer et d sactiver le mode de verrouillage normal dans l interface utilisateur de la console directe DCUI Vous ne pouvez activer et d sactiver le mode de verrouillage strict que dans vSphere Web Client Lorsque l h te est en mode de verrouillage normal les comptes suivants peuvent acc der l interface utilisateur de la console directe m Les comptes de la liste des utilisateurs exceptionnels qui disposent des privil ges d administrateur sur l h te La liste des
37. la page de manuel pam_passwdgc REMARQUE Les combinaisons possibles des options de pam_passwdac n ont pas toutes t test es Effectuez des tests suppl mentaires apr s avoir modifi les param tres du mot de passe par d faut Reportez vous la documentation Gestion de vCenter Server et des h tes pour obtenir plus d informations sur la configuration des options avanc es d ESXi VMware Inc Chapitre 5 S curisation des h tes ESXi Comportement de verrouillage de compte d ESXi partir de vSphere 6 0 le verrouillage des comptes est pris en charge pour l acc s via SSH et vSphere Web Services SDK L interface de console directe DCUT et ESXi Shell ne prennent pas en charge le verrouillage de compte Par d faut un nombre maximal de dix tentatives de connexion chou es est autoris avant le verrouillage du compte Par d faut le compte est d verrouill au bout de deux minutes Vous pouvez configurer le comportement de connexion l aide des options avanc es suivantes m Security AccountLockFailures Nombre maximal de tentatives de connexion chou es autoris es avant le verrouillage du compte de l utilisateur La valeur z ro d sactive le verrouillage du compte m Security AccountUnlockTime Nombre de secondes pendant lequel le compte d un utilisateur est verrouill Pour plus d informations sur la configuration des options avanc es reportez vous la documentation Gestion de vCenter Server et des h
38. lev pour le compte racine et limitez l utilisation de ce compte Ne supprimez pas le compte racine Attribution d autorisations aux h tes ESXi autonomes Si votre environnement ne comprend pas de syst me vCenter Server les utilisateurs suivants sont pr d finis m utilisateur racine Reportez vous Privil ges de l utilisateur racine page 184 m vpxuser Reportez vous Privil ges vpxuser page 184 m utilisateur dcui Reportez vous Privil ges de l utilisateur dcui page 184 Dans l onglet Gestion de vSphere Client vous pouvez ajouter des utilisateurs locaux et d finir des r les personnalis s Consultez la documentation de Gestion d un h te vSphere unique Les r les suivants sont pr d finis Lecture seule Permet un utilisateur d afficher les objets associ s l h te ESXi mais pas de les modifier Administrateur R le d administrateur Aucun acc s Aucun acc s Ceci est la configuration par d faut Si n cessaire vous pouvez remplacer la valeur par d faut Vous pouvez g rer les utilisateurs et groupes locaux et ajouter des r les personnalis s locaux un h te ESXi l aide d un vSphere Client directement connect l h te ESXi Consultez la documentation de Gestion d un h te vSphere unique partir de vSphere 6 0 vous pouvez g rer les comptes d utilisateurs locaux ESXi l aide des commandes de gestion de compte ESXCLI Vous pouvez d finir ou supprimer des autorisations
39. m En utilisant l interface utilisateur de la console directe DCUT Reportez vous Activer ou d sactiver le mode de verrouillage normal partir de l interface utilisateur de la console directe page 179 Les utilisateurs disposant de privil ges peuvent d sactiver le mode de verrouillage dans vSphere Web Client Dans cette interface ils peuvent d sactiver le mode de verrouillage normal mais pas le mode de verrouillage strict REMARQUE Si vous activez ou d sactivez le mode de verrouillage en utilisant l interface utilisateur de la console directe les autorisations des utilisateurs et des groupes sont ignor es sur l h te Pour conserver ces autorisations vous pouvez activer et d sactiver le mode de verrouillage l aide de vSphere Web Client 176 VMware Inc Comportement du mode de verrouillage Chapitre 5 S curisation des h tes ESXi En mode de verrouillage certains services sont d sactiv s et d autres ne sont accessibles qu certains utilisateurs Services du mode de verrouillage pour diff rents utilisateurs Lorsque l h te est en cours d ex cution les services disponibles varient selon que le mode de verrouillage est activ et en fonction du type de mode de verrouillage m En mode de verrouillage strict et normal les utilisateurs disposant de privil ges peuvent acc der l h te via vCenter Server l aide de vSphere Web Client ou de vSphere Web Services SDK m Le comportement de l interfac
40. me de fichiers temporairement pendant le d marrage ou de fa on permanente Ne modifiez pas les certificats figurant dans le syst me de fichiers Utilisez la commande vecs cli pour agir sur les certificats stock s dans VECS Gestion de la r vocation de certificat Si vous pensez que l un de vos certificats a t compromis remplacez tous les certificats existants y compris le certificat racine VMCA vSphere 6 0 prend en charge le remplacement des certificats mais n applique pas la r vocation des certificats pour les h tes ESXi ou pour les syst mes vCenter Server Supprimez les certificats r voqu s de tous les n uds Si vous ne supprimez pas les certificats r voqu s une attaque de l intercepteur peut engendrer la compromission par l emprunt d identit avec les informations d identification du compte Remplacement des certificats dans les d ploiements grande chelle Le remplacement des certificats dans les d ploiements qui incluent plusieurs n uds de gestion et un ou plusieurs n uds Platform Services Controller est semblable au remplacement dans les d ploiements int gr s Dans les deux cas vous pouvez utiliser l utilitaire de gestion des certificats vSphere ou remplacer les certificats manuellement Certaines pratiques recommand es guident le processus de remplacement Remplacement des certificats dans les environnements en mode haute disponibilit qui incluent un quilibreur de charge Dans les environnements
41. niveau le magasin TRUSTED_ROOTS du syst me vCenter Server qui g re les h tes Pr requis Remplacez les certificats de chacun des h tes par des certificats personnalis s Proc dure 1 Connectez vous au syst me vCenter Server qui g re les h tes ESXi Connectez vous au syst me Windows sur lequel vous avez install le logiciel ou au shell vCenter Server Appliance 2 Ex cutez vecs cli pour ajouter les nouveaux certificats au magasin TRUSTED_ROOTS par exemple usr lib vmware vmafd bin vecs cli entry create store TRUSTED_ROOTS alias customl crt cert etc vmware ssl customi crt Suivant D finissez le mode de certificat sur Personnalis Si le mode de certificat est VMCA c est dire la valeur par d faut et que vous effectuez une actualisation des certificats vos certificats personnalis s sont remplac s par des certificats sign s par l autorit de certification VMware VMCA Reportez vous Changer le mode de certificat page 160 Utiliser des certificats personnalis s avec Auto Deploy Par d faut le serveur Auto Deploy provisionne chaque h te avec des certificats sign s par VMCA Vous pouvez configurer le serveur Auto Deploy de mani re provisionner tous les h tes l aide de certificats personnalis s non sign s par VMCA Dans ce sc nario le serveur Auto Deploy devient une autorit de certification subordonn e de l autorit de certification tierce Pr requis m Demandez un certif
42. pour le faire VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere Cette configuration de VLAN emp che les forces de vente d intercepter les paquets destin s au service de comptabilit Elle emp che galement le service de comptabilit de recevoir des paquets destin s au groupes de ventes Les machines virtuelles prises en charge par un seul commutateur virtuel peuvent se trouver sur des VLAN diff rents Consid rations relatives la s curit pour les VLAN La mani re dont vous configurez les VLAN pour s curiser des parties du r seau d pend de facteurs tels que le syst me d exploitation invit et la fa on dont votre quipement r seau est configur ESXi dispose d une impl mentation VLAN compl te conforme IEEE 802 1q VMware ne peut pas faire de recommandations sp cifiques sur la mani re de configurer des VLAN mais il existe des facteurs prendre en compte lors de l utilisation d un d ploiement VLAN dans le cadre de votre strat gie d application de la s curit S curiser les VLAN Les administrateurs disposent de plusieurs options permettant de s curiser les r seaux VLAN dans leur environnement vSphere Proc dure 1 Assurez vous que les groupes de ports ne sont pas configur s pour des valeurs VLAN r serv es par les commutateurs physiques en amont Ne d finissez pas de valeurs ID VLAN r serv es au commutateur physique 2 Assurez vous que les groupes de ports ne sont pas configur
43. rarchie Ils n ont acc s qu certaines fonctions globales telles que la cr ation de r les IMPORTANT Les autorisations globales doivent tre utilis es avec pr caution V rifiez que vous voulez vraiment attribuer des autorisations tous les objets dans l ensemble des hi rarchies d inventaire Ajouter une autorisation globale 136 Vous pouvez utiliser les autorisations globales pour accorder un utilisateur ou un groupe des privil ges pour tous les objets dans l ensemble des hi rarchies d inventaire de votre d ploiement Les autorisations globales doivent tre utilis es avec pr caution V rifiez que vous voulez vraiment attribuer des autorisations tous les objets dans l ensemble des hi rarchies d inventaire Pr requis Pour effectuer cette t che vous devez disposer des privil ges Autorisations Modifier autorisation sur l objet racine de l ensemble des hi rarchies d inventaire Proc dure 1 Cliquez sur Administration et s lectionnez Autorisations globales dans la zone Contr le d acc s 2 Cliquez sur G rer puis sur l ic ne Ajouter autorisation 3 Identifiez l utilisateur ou le groupe qui disposera des privil ges d finis par le r le s lectionn a Dans le menu d roulant Domaine s lectionnez le domaine o se trouve l utilisateur ou le groupes b Entrez un nom dans la fen tre de recherche ou s lectionnez un nom dans la liste Le syst me recherche des noms d utilisateur des noms de groupe e
44. te un domaine de service d annuaire Pour que votre h te utilise un service d annuaire vous devez joindre l h te au domaine du service d annuaire Vous pouvez entrer le nom de domaine de l une des deux fa ons suivantes m name tld par exemple domain com Le compte est cr sous le r cipient par d faut m name tld container path par exemple domain com OU1 OU2 Le compte est cr sous une unit d organisation OU pr cise Pour utiliser le service vSphere Authentication Proxy consultez Utiliser vSphere Authentication Proxy page 188 Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Sous Syst me s lectionnez Services d authentification 4 Cliquez sur Joindre le domaine 5 Entrez un domaine Utilisez le format name tld ou name tld container path 6 Entrez le nom d utilisateur et le mot de passe d un utilisateur service d annuaire autoris lier l h te au domaine puis cliquez sur OK 7 Facultatif Si vous avez l intention d utiliser un proxy d authentication entrez l adresse IP du serveur proxy 8 Cliquez sur OK pour fermer la bo te de dialogue Configuration des services d annuaire VMware Inc 187 S curit vSphere Afficher les param tres du service d annuaire Vous pouvez afficher le type de serveur d annuaire le cas ch ant que l h te utilise pour authentifier les utilisateurs et les param tres du s
45. tres et activit s Vous pouvez att nuer les contraintes pour r pondre vos besoins de configuration Si vous le faites assurez vous de travailler dans un environnement s curis et de prendre suffisamment d autres mesures de s curit pour prot ger le r seau globalement ainsi que les p riph riques connect s l h te Fonctionnalit s de s curit int gr es Les risques encourus par les h tes sont limit s par d faut de la fa on suivante m ESXi Shell et SSH sont d sactiv s par d faut m Un nombre limit de ports de pare feu sont ouverts par d faut Vous pouvez ouvrir explicitement des ports de pare feu suppl mentaires associ s des services sp cifiques m ESXi ex cute uniquement les services essentiels pour g rer ses fonctions La distribution est limit e aux fonctionnalit s requises pour ex cuter ESXi m Par d faut tous les ports non requis pour la gestion des acc s l h te sont ferm s Vous devez ouvrir sp cialement les ports associ s aux services suppl mentaires dont vous avez besoin m Par d faut les chiffrements faibles sont d sactiv s et les communications provenant des clients sont s curis es par SSL Les algorithmes exacts utilis s pour la s curisation du canal d pendant de l algorithme de n gociation SSL Les certificats par d faut cr s sur ESXi utilisent PKCS 1 SHA 256 avec le chiffrement RSA en tant qu algorithme de signature m Le service Web Tomcat utilis en interne
46. virtuelle Inventaire D plac er Permet le d placement d une machine virtuelle dans la hi rarchie Le privil ge doit tre pr sent la fois la source et la destination Machines virtuelles Machine virtuelle Inventaire Registr e Permet d ajouter une machine virtuelle existante vCenter Server ou un inventaire d h tes Clusters h tes dossiers de machine virtuelle Machine virtuelle Inventaire Suppri mer Permet la suppression d une machine virtuelle L op ration supprime du disque les fichiers sous jacents de la machine virtuelle Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Machines virtuelles Machine virtuelle Inventaire Annule r l enregistrement Permet l annulation de l enregistrement d une machine virtuelle d une instance de vCenter Server ou d un inventaire d h te Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Machines virtuelles Privil ges de provisionnement de machine virtuelle Les privil ges de provisionnement de machine virtuelle contr lent les activit s associ es au d ploiement et la personnalisation des machines virtuelles Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemp
47. 247 r f rentiels d utilisateurs pour vCenter Single Sign On 30 r gle de verrouillage vCenter Single Sign On 40 R gle de VRM privil ges 279 R initialiser tous les certificats 70 remplacement de certificats sign s par VMCA 81 remplacement de certificats manuellement 78 remplacement des certificats arr t des services 78 d ploiements grande chelle 63 SSO HA 63 remplacement manuel de certificats 78 remplacer certificats par d faut 162 163 remplacer le certificat SSL certificateValid de la machine 76 remplacer les certificats d utilisateurs de solution 94 remplacer un certificat racine VMCA 70 renouveler des certificats ESXi 157 Renouveler tout 66 renouvellement de certificats vSphere Web Client 66 R plication de Lotus 52 R plication de vmdir 52 r seau de gestion 151 R seau SAN 258 r seau virtuel s curit 238 r seaux privil ges 274 s curit 238 ressources privil ges 276 restaurer l op ration de gestion de certificats 70 restaurer les certificats ESXi 166 restriction de l utilisation des clients bas s sur Linux avec vCenter Server 211 r vocation des certificats s curisation 63 r le Aucun Acc s 138 R le d administrateur 138 r le Lecture seule 138 r les Administrateur 138 Aucun acc s 138 cr ation 139 140 et autorisations 138 Lecture seule 138 meilleures pratiques 140 par d faut 138 privil ges listes de 261 s curit 138 suppression 134 r le
48. 99 106 Certificat SSL 38 certificat SSL de machine 73 certificat subordonn 94 certificat vmdir 99 105 Certificate Manager CSR 71 75 certificats actualiser STS pour vCenter Single Sign On 37 avertissement d expiration 123 297 S curit vSphere 298 Certificats racines VMCA 89 chargement 163 contr le 212 expir 210 mettre hors tension SSL pour SDK de vSphere 201 mises niveau d h te 154 privil ge 263 Renouveler tout 66 r voqu s 210 certificats remplacer le certificat SSL de machine 102 certificats d empreinte 154 certificats d utilisateurs de solutions 77 84 Certificats ESXi remplacer 161 restaurer 166 certificats ESXi param tres par d faut 155 certificats ESXi sauvegarde 166 certificats expir s 210 certificats par d faut remplacer par des certificats sign s par une CA 162 163 certificats personnalis s auto deploy 164 ESXi 164 certificats racines 89 certificats r voqu s 210 certificats sign s par une CA 162 163 certificats sign s par VMCA 70 74 81 certificats sign s par vmca 84 certificats SSL de la machine 81 certificats tiers 100 certool 109 certool rootca 79 Changements de mode VMCA 158 cl s authoris es 195 196 chargement 163 196 SSH 195 196 t l chargement 195 cl s autoris es d sactivation 152 Cl s SSH 195 client NFS ensemble de r gles de pare feu 171 Clients bas s sur Linux restriction de l utilisation avec vCenter Server 211 clust
49. CN et SubjectAltName d fini sur le nom de l h te ou l adresse IP de l h te ESXi dans l inventaire vCenter Server Remplacer le certificat et la cl par d faut dans ESXi Shell Vous pouvez remplacer les certificats ESXi sign s par VMCA par d faut dans ESXi Shell Pr requis m Si vous souhaitez utiliser des certificats sign s par une autorit de certification tierce g n rez la demande de certificat envoyez la l autorit de certification et stockez les certificats sur chaque h te ESXi m Si n cessaire activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client Reportez vous Utiliser vSphere Web Client pour activer l acc s ESXi Shell page 198 m Tous les transferts de fichiers et autres communications se produisent lors d une session HTTPS s curis e L utilisateur servant authentifier la session doit disposer du privil ge H te Config AdvancedConfig sur l h te Pour plus d informations sur l attribution de privil ges par le biais de r les consultez Gestion des autorisations des composants vCenter page 132 Proc dure 1 Connectez vous ESXi Shell directement partir de l interface utilisateur de la console directe DCUT ou partir d un client SSH en tant qu utilisateur disposant de privil ges d administrateur 2 Dans l inventaire etc vmware ss1 renommer les certificats existants l aide des commandes suivantes mv rui crt orig rui crt mv rui key orig rui key 3 Co
50. Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration a AeA OO N V rifiez que le param tre isolation tools hgfsServerSet disable est d fini sur TRUE VMware Inc 223 S curit vSphere Lorsque vous apportez cette modification le processus VMX ne r pond plus aux commandes du processus tools Les API qui utilisent HGFS pour transf rer des fichiers vers et depuis le syst me d exploitation invit telles que certaines commandes VIX ou l utilitaire de mise niveau automatique de VMware Tools ne fonctionnent plus D sactiver les op rations Copier et Coller entre le syst me d exploitation client et la console distante Les op rations Copier et Coller entre le syst me d exploitation h te et la console distante sont d sactiv es par d faut Pour un environnement s curis conservez ce param trage par d faut Si vous avez besoin d effectuer des op rations Copier et Coller vous devez les activer en utilisantvSphere Web Client Ces options sont r gl es sur la valeur recommand e par d faut Toutefois vous devez les r gler sur vrai explicitement si vous souhaitez activer des outils d audit pour v rifier que le r glage est correct Pr requis D sactivez la machine virtuelle Proc dure 1 Ouvrez une sessio
51. NFS Le comportement d pend de la version de NFS Lorsque vous ajoutez montez ou d montez une banque de donn es NFS le comportement obtenu d pend de la version de NFS Comportement du pare feu NFS v3 Lorsque vous ajoutez ou montez une banque de donn es NFS v3 ESXi v rifie l tat de l ensemble de r gles de pare feu du client NFS nfsClient m Sil ensemble de r gles nfsClient est d sactiv ESXi active l ensemble de r gles et d sactive la strat gie Autoriser toutes les adresses IP en d finissant l indicateur allowedAll sur FALSE L adresse IP du serveur NFS est ajout e la liste des adresses IP sortantes autoris es m Sil ensemble de r gles nfsClient est activ l tat de l ensemble de r gles et la strat gie d adresse IP autoris e ne sont pas modifi s L adresse IP du serveur NFS est ajout e la liste des adresses IP sortantes autoris es REMARQUE Si vous activez manuellement l ensemble de r gles nfsClient ou configurez manuellement la strat gie Autoriser toutes les adresses IP avant ou apr s avoir ajout une banque de donn es NFS v3 dans le syst me vos param tres sont remplac s lorsque la derni re banque de donn es NFS v3 est d mont e L ensemble de r gles nfsClient est d sactiv lorsque toutes les banques de donn es NFS v3 sont d mont es Lorsque vous supprimez ou d montez une banque de donn es NFS v3 ESXi r alise l une des actions suivantes m Si aucune des banques de donn
52. Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes Cliquez sur l onglet Groupes et cliquez sur le groupe par exemple Administrateurs Dans la zone Membres du groupe cliquez sur l ic ne Ajouter des membres S lectionnez la source d identit contenant le membre ajouter au groupe Facultatif Entrez un terme de recherche et cliquez sur Rechercher N OA a AeA QQ N S lectionnez le membre et cliquez sur Ajouter Vous pouvez ajouter plusieurs membres simultan ment 8 Cliquez sur OK Supprimer des membres d un groupe vCenter Single Sign On Vous pouvez supprimer des membres d un groupe vCenter Single Sign On dans vSphere Web Client Lorsque vous supprimez un membre utilisateur ou groupe d un groupe local vous ne devez pas supprimer le membre du syst me Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local
53. REMARQUE Si possible g rez les autorisations pour les h tes ESXi via vCenter Server Comment se connecter aux composants de vCenter Server Lorsqu un utilisateur se connecte un syst me vCenter Server partir de vSphere Web Client le comportement de la connexion n est pas le m me selon que l utilisateur se trouve ou non dans le domaine par d faut c est dire le domaine d fini comme source d identit par d faut m Les utilisateurs qui se trouvent dans le domaine par d faut peuvent se connecter avec leurs nom d utilisateur et mot de passe m Les utilisateurs qui se trouvent dans un domaine qui a t ajout vCenter Single Sign On en tant que source d identit mais qui n est pas le domaine par d faut peuvent se connecter vCenter Server mais ils doivent sp cifier le domaine de l une des mani res suivantes m En incluant un pr fixe de nom de domaine par exemple MONDOMAINE utilisateur m En incluant le domaine par exemple utilisateurl mondomaine com m Les utilisateurs qui se trouvent dans un domaine qui n est pas une source d identit vCenter Single Sign On ne peuvent pas se connecter vCenter Server Si le domaine que vous ajoutez vCenter Single Sign On fait partie d une hi rarchie de domaines Active Directory d termine si les utilisateurs des autres domaines de la hi rarchie sont ou non authentifi s REMARQUE Si votre environnement comprend une hi rarchie Active Directory reportez vous
54. SCSI La d finition de ce param tre ne tient compte d aucun autre privil ge pour modifier les p riph riques bruts y compris des tats de connexion Machines virtuelles Machine virtuelle Configuration Rech arger partir du chemin Permet de changer un chemin de configuration de machine virtuelle tout en pr servant l identit de la machine virtuelle Les solutions telles que VMware vCenter Site Recovery Manager utilisent cette op ration pour pr server l identit de la machine virtuelle pendant le basculement et la restauration automatique Machines virtuelles Machine virtuelle Configuration Sup primer un disque Permet la suppression d un p riph rique de disque virtuel Machines virtuelles Machine virtuelle Configuration Ren ommer Permet de renommer une machine virtuelle ou de modifier les notes associ es d une machine virtuelle Machines virtuelles Machine virtuelle Configuration R in itialiser les informations de l invit Permet de modifier les informations du syst me d exploitation invit d une machine virtuelle Machines virtuelles Machine virtuelle Configuration D fi nir des annotations Permet d ajouter ou de modifier une annotation de machine virtuelle Machines virtuelles Machine virtuelle Configuration Para m tres Permet de modifier les param tres g n raux d une machine virtuelle Machines virtuelles Machine virtuelle Configuration Em
55. Sign On pour garantir que la sp cification du jeton r pond aux normes de s curit de votre S lectionnez Administration gt Single Sign On puis Configuration Cliquez sur l onglet R gles et s lectionnez R gle des jetons vSphere Web Client affiche les param tres de configuration actuels vCenter Single Sign On utilise les param tres par d faut si vous ne les avez pas modifi s entreprise Proc dure 1 Connectez vous vSphere Web Client 2 3 4 VMware Inc Modifiez les param tres de configuration de la strat gie des jetons Option Tol rance de l horloge Description Diff rence de temps en millisecondes que vCenter Single Sign On tol re entre l horloge d un client et l horloge du contr leur de domaine Si la diff rence de temps est sup rieure la valeur sp cifi e vCenter Single Sign On d clare que le jeton n est pas valide Nombre maximum de renouvellements de jetons Nombre maximal de fois qu un jeton peut tre renouvel Une fois le nombre maximal de tentatives de renouvellement atteint un nouveau jeton de s curit est n cessaire Nombre maximum de d l gations de jetons Des jetons d tenteurs de cl peuvent tre d l gu s des services de l environnement vSphere Un service qui utilise un jeton d l gu s ex cute de la part du principal qui a fourni le jeton Une demande de jeton sp cifie une identit DelegateTo La valeur de DelegateTo peut tre un jeton de
56. VMCA m Certificats personnalis s m Certificats d entreprise qui sont g n r s partir de votre propre infrastructure de cl s publiques PKI interne m Certificats sign s par une autorit de certification tierce qui sont g n r s partir d une infrastructure de cl s publiques PKI externe telle que Verisign GoDaddy etc Les certificats auto sign s cr s au moyen d OpenSSL dans lesquels il n existe aucune autorit de certification racine ne sont pas pris en charge Pr sentation du remplacement des certificats Vous pouvez effectuer diff rents types de remplacement de certificats selon la strat gie et les besoins de l entreprise pour le syst me que vous configurez Vous pouvez effectuer chaque remplacement avec l utilitaire vSphere Certificate Manager ou manuellement l aide des interfaces de ligne de commande incluses avec votre installation Vous pouvez remplacer les certificats par d faut Pour les composants de vCenter Server vous pouvez utiliser un ensemble d outils de ligne de commande inclus dans votre installation Vous avez plusieurs options VMware Inc 55 S curit vSphere 56 Remplacer par des certificats sign s par VMCA Si votre certificat VMCA expire ou si vous souhaitez le remplacer pour d autres raisons vous pouvez utiliser les interfaces de ligne de commande de gestion de certificats pour effectuer ce processus Par d faut le certificat racine VMCA expire apr s dix ans tous les ce
57. VMCA est une autorit de certification interm diaire Reportez vous Utiliser VMCA en tant qu autorit de certificat interm diaire page 89 Cette commande g n re un certificat pr dat de trois jours pour viter les conflits de fuseau horaire Option Description selfca Requis pour g n rer un certificat auto sign predate lt nombre_de_minutes gt Permet de d finir le champ Non valide avant du certificat racine sur un nombre de minutes avant l heure actuelle Cette option peut s av rer utile pour contrer les probl mes potentiels li s aux fuseaux horaires La valeur maximale est de trois jours config lt fichier_config gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple machine 70 59 usr lib vmware vmca bin certool predate 2280 selfca server 192 0 2 24 srp upn administrator vsphere local certool rootca Importe un certificat racine Ajoute le certificat et la cl priv e sp cifi s VMCA VMCA utilise toujours le certificat racine le plus r cent pour signer mais d autres certificats racines restent disponibles En d autres termes vous pouvez mettre jour votre infrastructure tape par tape et la fin supprimer les certificats que vous n utilisez plus Option Description rootca Requis pour importer une
58. VMware page 99 m Si vous proc dez une mise niveau partir d un environnement vSphere 5 x vous devrez ventuellement remplacer le certificat vCenter Single Sign On dans vmdir Reportez vous Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 88 Remplacer le certificat SSL machine par un certificat VMCA autorit de certification interm diaire Dans un d ploiement plusieurs n uds qui utilise VMCA comme autorit de certification interm diaire vous devez remplacer explicitement le certificat SSL machine Vous devez d abord remplacer le certificat racine VMCA sur le n ud Platform Services Controller puis vous pouvez remplacer les certificats sur les n uds vCenter Server pour faire signer les certificats par toute la cha ne Vous pouvez galement utiliser cette option pour remplacer les certificats SSL machine qui sont alt r s ou sur le point d expirer Lorsque vous remplacez le certificat SSL machine existant par un nouveau certificat sign par VMCA vSphere Certificate Manager vous invite fournir des informations et entrer toutes les valeurs l exception du mot passe et de l adresse IP de Platform Services Controller dans le fichier certool cfg m Mot de passe pour administrator vsphere local VMware Inc 73 S curit vSphere 74 m Code pays deux lettres m Nom dela soci t m Nom de l organisation m Unit d organisation m tat m V
59. Web Client les noms des utilisateurs et des groupes doivent correspondre exactement ceux d Active Directory y compris la casse Si vous avez effectu une mise niveau partir de versions ant rieures de vSphere v rifiez le respect de la casse si vous rencontrez des probl mes avec les groupes Pr requis Sur l objet dont vous souhaitez modifier les autorisations vous devez avoir un r le qui inclut le privil ge Autorisations Modifier autorisation Proc dure 1 Acc dez l objet auquel vous souhaitez attribuer des autorisations dans le navigateur d objets de vSphere Web Client 2 Cliquez sur l onglet G rer et s lectionnez Autorisations 3 Cliquez sur l ic ne Ajouter puis cliquez sur Ajouter VMware Inc 133 S curit vSphere 4 Identifiez l utilisateur ou le groupe qui disposera des privil ges d finis par le r le s lectionn a Dans le menu d roulant Domaine s lectionnez le domaine o se trouve l utilisateur ou le groupes b Entrez un nom dans la fen tre de recherche ou s lectionnez un nom dans la liste Le syst me recherche des noms d utilisateur des noms de groupe et des descriptions c S lectionnez l utilisateur ou le groupe puis cliquez sur Ajouter Le nom est ajout soit la liste Utilisateurs soit la liste groupes d Facultatif Cliquez sur V rifier les noms pour v rifier que l utilisateur ou le groupe existe dans la source d identit e Cliquez sur OK 5 S lectionner un r le d
60. administrative correspondante par exemple apporter une modification de configuration REMARQUE Ne tentez pas de surveiller des fichiers qui ne sont PAS expos s via cette API de transfert de fichiers car cela peut d stabiliser un syst me Lorsque vous supprimez un fichier VMDK contenant des donn es sensibles arr tez la machine virtuelle puis ex cutez la commande vCLI vmkfstools writezeroes sur ce fichier avant de supprimer le fichier de la banque de donn es 205 S curit vSphere 206 P riph riques PCI et PCle et ESXi L utilisation de la fonctionnalit de VMware DirectPath I O pour relayer un p riph rique PCI ou PCIe vers une machine virtuelle cr e une vuln rabilit de s curit potentielle La vuln rabilit peut tre d clench e par un code bogu ou malveillant tel qu un pilote de p riph rique qui s ex cuterait en mode privil gi dans le syst me d exploitation invit Le mat riel et les microprogrammes standard actuels n assurent pas un niveau suffisant de confinement des erreurs suffisant pour permettre ESXi d enti rement neutraliser la vuln rabilit VMware recommande d utiliser un relais PCI ou PCIe vers une machine virtuelle uniquement si la machine virtuelle est d tenue et administr e par une entit approuv e Vous devez vous assurer que cette entit ne tente pas de bloquer ou d exploiter l h te depuis la machine virtuelle Votre h te peut tre compromis de l une des mani
61. aide de SSH sauf si des circonstances sp ciales imposent l activation de l acc s SSH Pr requis Si vous souhaitez utiliser une cl SSH autoris e vous pouvez la t l charger Reportez vous la section Cl s SSH ESXi page 195 Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me s lectionnez Profil de s curit 4 Dans le panneau Services cliquez sur Modifier 5 S lectionnez un service dans la liste m ESXi Shell m SSH m IU de Direct Console 6 Cliquez sur D tails du service et s lectionnez la r gle de d marrage D marrer et arr ter manuellement Lorsque vous s lectionnez D marrer et arr ter manuellement le service ne d marre pas lorsque vous red marrez l h te Si vous voulez d marrer le service lors du red marrage de l h te s lectionnez D marrer et arr ter avec h te 7 S lectionnez D marrer pour activer le service 8 Cliquez sur OK Suivant D finissez le d lai d attente de disponibilit et le d lai d inactivit pour ESXi Shell Reportez vous Cr er un d lai d attente de disponibilit pour ESXi Shell dans vSphere Web Client page 198 et Cr er un d lai d expiration pour les sessions ESXi Shell inactives dans vSphere Web Client page 199 Cr er un d lai d attente de disponibilit pour ESXi Shell dans vSphere Web Client ESXi Shell est d sactiv par d faut Vous pouvez param tr
62. associ e un r seau externe uniquement Elle poss de son propre commutateur virtuel et sa propre carte de r seau physique qui lui permettent de se connecter au r seau externe 1 Ce r seau est r serv aux serveurs utilis s par l entreprise pour la r ception de donn es issues de sources externes Par exemple l entreprise peut utiliser le r seau externe 1 pour recevoir un trafic FTP en provenance de leurs fournisseurs et pour permettre ces derniers d acc der aux donn es stock es sur des serveurs externes via FTP Outre la machine virtuelle 1 le r seau externe 1 sert les serveurs FTP configur s sur diff rents h tes ESXi du site VMware Inc 241 S curit vSphere 242 La machine virtuelle 1 ne partage pas de commutateur virtuel ou de carte de r seau physique avec les machines virtuelles de l h te par cons quent les autres machines virtuelles ne peuvent pas acheminer de paquets de et vers le r seau de la machine virtuelle 1 Cette restriction vite les intrusions qui n cessitent l envoi de trafic r seau la victime Plus important encore un pirate ne peut pas exploiter la vuln rabilit naturelle du protocole FTP pour acc der aux autres machines virtuelles de l h te Machines virtuelles Les machines virtuelles 2 5 sont r serv es une utilisation interne Ces internes machines virtuelles traitent et stockent les donn es confidentielles des entreprises dossiers m dicaux jugements ou enqu tes s
63. assurer la s curisation de l interface CIM ne fournissez que le niveau d acc s minimal n cessaire ces applications Si une application qui a t provisionn e avec un compte racine ou un compte administrateur complet est compromise l ensemble de l environnement virtuel peut l tre aussi Le mod le CIM est une norme ouverte qui d finit une architecture pour la surveillance des ressources mat rielles sans agent et bas e sur des r gles pour ESXi Cette structure se compose d un gestionnaire d objet CIM g n ralement appel courtier CIM et d un ensemble de fournisseurs CIM Les fournisseurs CIM sont utilis s comme m canisme pour fournir un acc s de gestion aux pilotes de p riph riques et au mat riel sous jacent Les fabricants de mat riel notamment les fabricants de serveurs et les fournisseurs de p riph riques sp cifiques peuvent cr er ce type de fournisseurs afin d assurer la surveillance et la gestion de leurs p riph riques sp cifiques VMware cr e galement des fournisseurs qui mettent en uvre la surveillance du mat riel serveur l infrastructure de stockage ESXi et des ressources sp cifiques la virtualisation Ces fournisseurs s ex cutent au sein m me du syst me ESXi Ils sont donc con us pour tre extr mement l gers et d di s des t ches de gestion sp cifiques Le courtier CIM recueille des informations aupr s de tous les fournisseurs CIM et les diffuse l ext rieur par le biais d API standard
64. autoris es SSH Les cl s autoris es vous permettent d activer l acc s un h te ESXi via SSH sans demander d authentification d utilisateur Pour renforcer la s curit de l h te ne permettez pas aux utilisateurs d acc der un h te en utilisant des cl s autoris es Un utilisateur est consid r comme approuv si sa cl publique est dans le fichier etc ssh keys root authorized_keys d un h te Les utilisateurs distants approuv s sont autoris s acc der l h te sans fournir de mot de passe Proc dure m Pour les op rations quotidiennes d sactivez SSH sur les h tes ESXi m Si SSH est d sactiv m me temporairement contr lez le contenu du fichier etc ssh keys root authorized_keys afin de vous assurer qu aucun utilisateur n est autoris acc der l h te sans authentification ad quate m Contr lez le fichier etc ssh keys root authorized_keys afin de v rifier qu il est vide et qu aucune cl SSH n a t ajout e au fichier m Si vous d couvrez que le fichier etc ssh keys root authorized_keys n est pas vide supprimez toutes les cl s La d sactivation de l acc s distance l aide de cl s autoris es peut limiter votre capacit ex cuter des commandes distance sur un h te sans fournir d identifiant de connexion valide Cela pourrait par exemple vous emp cher d ex cuter un script sans assistance distance Gestion de certificats pour les h tes ESXi Dans vSphere 6 0 et ve
65. autorisent souvent pas le trafic configur sur ces valeurs Par exemple les commutateurs Cisco Catalyst r servent g n ralement les VLAN 1001 1024 et 4094 Utiliser un VLAN r serv peut entra ner un d ni de service sur le r seau Assurez vous que les groupes de ports ne sont pas configur s sur VLAN 4095 sauf si vous utilisez le balisage d invit virtuel VGT D finir un groupe de ports sur VLAN 4095 active le mode VGT Dans ce mode le commutateur virtuel transmet toutes les trames du r seau la machine virtuelle sans modifier les balises VLAN en laissant la machine virtuelle les traiter Restreignez les remplacements de configuration de niveau de port sur un commutateur virtuel distribu Les remplacements de configuration de niveau de port sont d sactiv s par d faut Une fois activ s les remplacements permettent diff rents param tres de s curit pour une machine virtuelle que les param tres au niveau du groupe de ports Certaines machines virtuelles requi rent des configurations uniques mais la surveillance est essentielle Si les remplacements ne sont pas surveill s n importe quel utilisateur parvenant acc der une machine virtuelle avec une configuration de commutateur virtuel distribu peut tenter d exploiter cet acc s Assurez vous que le trafic en miroir du port du commutateur virtuel distribu est envoy uniquement aux ports du collecteur ou aux VLAN autoris s Un vSphere Distributed Switch peut met
66. bits ou plus m Format PEM VMware prend en charge PKCS8 et PKCS1 cl s RSA Lorsque des cl s sont ajout es VECS elles sont converties en PKCS8 m x509 version 3 m Pour les certificats racines l extension d autorit de certification doit tre d finie sur true et la signature de certification doit figurer dans la liste de conditions requises m Assurez vous que l heure de tous les n uds de votre environnement est synchronis e m Aucune limite explicite la longueur de la cha ne de certificats VMCA utilise la valeur par d faut OpenSSL qui est de dix certificats m VMCA ne prend pas en charge l utilisation de certificats comportant des caract res g n riques ou plusieurs noms DNS m Vous ne pouvez pas cr er d autorit s de certification filiales de VMCA VMware Inc Chapitre 3 Certificats de s curit vSphere m Apr s avoir re u le certificat de votre autorit de certification d entreprise ou de tierce partie combinez le avec le certificat racine VMCA initial pour g n rer une cha ne compl te avec le certificat racine VMCA au bas Reportez vous G n rer des demandes de signature de certificat avec vSphere Certificate Manager autorit de certification interm diaire page 71 m Rassemblez les informations qui vous seront n cessaires m Mot de passe pour administrator vsphere local m Certificat personnalis valable pour Root fichier crt m Cl personnalis e valide pour l utilisateur r
67. chaque certificat de machine 3 Remplacer les certificats d utilisateurs de solution par des certificats personnalis s page 104 Une fois que vous avez remplac les certificats SSL de la machine vous pouvez remplacer les certificats d utilisateurs de solution sign s par VMCA par des certificats tiers ou de l entreprise VMware Inc Chapitre 3 Certificats de s curit vSphere Remplacer le certificat de service d annuaire VMware page 105 Si vous d cidez d utiliser un nouveau certificat racine VMCA et que vous annulez la publication du certificat racine VMCA utilis lors du provisionnement de votre environnement vous devez remplacer les certificats SSL de machine les certificats d utilisateurs de la solution et ceux de certains services internes Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 106 Pendant la mise niveau votre environnement peut comprendre temporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certificat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut Demander des certificats et importer un certificat racine personnalis Si la strat gie de l entreprise n autorise pas d autorit de certification interm diaire VMCA ne peut pas g n rer les certificats pour vous U
68. chiffre r duisant ainsi le nombre effectif de classes de caract res deux Trois classes de caract res au minimum sont prises en charge Phrase secr te ESXi Vous pouvez galement utiliser une phrase secr te la place d un mot de passe N amoins les phrases secr tes sont d sactiv es par d faut Vous pouvez modifier cette valeur par d faut ou d autres param tres l aide de l option avanc e Security PasswordQualityControl pour votre h te ESXi depuis vSphere Web Client Par exemple vous pouvez remplacer l option par la suivante retry 3 min disabled disabled 16 7 7 Cet exemple autorise des phrases secr tes d au moins 16 caract res et d au moins 3 mots s par s par des espaces La modification du fichier etc pamd passwd est toujours prise en charge pour les h tes h rit s mais est d conseill e pour les futures versions Modification des restrictions par d faut du mot de passe ou de la phrase secr te Vous pouvez modifier les restrictions par d faut des mots de passe ou des phrases secr tes en utilisant l option avanc e Security PasswordQualityControl de votre h te ESXi Par d faut cette option est d finie comme suit retry 3 min disabled disabled disabled 7 7 Vous pouvez modifier la valeur par d faut par exemple pour exiger un minimum de 15 caract res et un nombre minimal de quatre mots comme suit retry 3 min disabled disabled 15 7 7 passphrase 4 Pour plus d informations reportez vous
69. cifique ne figure pas dans l un des guides de compatibilit contactez le Support technique qui pourra vous aider r soudre les probl mes rencontr s en revanche il ne pourra pas vous garantir que ce produit ou cette configuration peut tre utilis Vous devez toujours valuer les risques de s curit li s aux produits ou aux configurations non pris en charge Standards de s curit et de conformit ainsi que solutions partenaires et contenu d taill sur la virtualisation et la conformit http www vmware com go compliance 16 VMware Inc Chapitre 1 S curit dans l environnement vSphere Tableau 1 2 Ressources de s curit VMware disponibles sur le Web suite Rubrique Informations sur les certifications et les validations de s curit telles que CCEVS et FIPS pour les diff rentes versions des composants de vSphere Ressource https www vmware com support support resources certifications html Guides de s curisation renforc e pour les diff rentes versions de vSphere et d autres produits VMware https www vmware com support support resources hardening guides html livre blanc S curit de VMware vSphere Hypervisor http www vmware com files pdf techpaper vmw wp secrty vsphr hyprvsr uslet 101 pdf VMware Inc 17 S curit vSphere 18 VMware Inc Authentification vSphere l aide de vCenter Single Sign On vCenter Single Sign On est un broker d authent
70. comportant moins de huit syst mes vCenter Server VMware recommande g n ralement une instance unique de Platform Services Controller et le service vCenter Single Sign On associ Dans les environnements plus importants envisagez d utiliser plusieurs instances du Platform Services Controller prot g es par un quilibrage de charge r seau Le livre blanc Guide de d ploiement de vCenter Server 6 0 disponible sur le site Web de VMware pr sente cette configuration Remplacement des certificats SSL de la machine dans les environnements qui incluent plusieurs n uds de gestion Si votre environnement inclut plusieurs n uds de gestion et un seul Platform Services Controller vous pouvez remplacer les certificats avec l utilitaire vSphere Certificate Manager ou manuellement avec des commandes de l interface de ligne de commande de vSphere vSphere Certificate Ex cutez vSphere Certificate Manager sur chaque machine Sur les n uds de Manager gestion vous tes invit fournir l adresse IP de Platform Services Controller Selon la t che vous tes galement invit fournir les informations relatives au certificat Remplacement manuel Pour le remplacement manuel des certificats ex cutez les commandes de de certificats remplacement des certificats sur chaque machine Sur les n uds de gestion vous devez sp cifier le Platform Services Controller avec le param tre server Consultez les rubriques suivantes pour plus d informations
71. composants vSphere Tenez compte des recommandations suivantes lorsque vous configurez votre environnement Reportez vous Chapitre 5 S curisation des h tes ESXi page 145 et Chapitre 7 S curisation des machines virtuelles page 217 pour consulter des informations associ es Ce chapitre aborde les rubriques suivantes m Synchronisation des horloges sur le r seau vSphere page 253 m Meilleures pratiques en mati re de s curit du stockage page 256 m V rifier que l envoi des donn es de performances de l h te aux invit s est d sactiv page 259 m Configuration de d lais d expiration pour ESXi Shell et vSphere Web Client page 259 Synchronisation des horloges sur le r seau vSphere Assurez vous que les horloges de tous les composants sur le r seau vSphere sont synchronis es Si les horloges des machines sur votre r seau vSphere ne sont pas synchronis es les certificats SSL pour lesquels le temps est important peuvent ne pas tre reconnus comme valides dans les communications entre les machines du r seau Des horloges non synchronis es peuvent entra ner des probl mes d authentification ce qui peut causer l chec de l installation ou emp cher le d marrage du service vpxd de vCenter Server Appliance Assurez vous que toute machine h te Windows sur laquelle un composant vCenter s ex cute est synchronis e avec le serveur NTP Voir l article de la base de connaissances http kb
72. d finissez votre environnement sur le mode d empreinte pendant un d pannage et que vous souhaitez commencer utiliser le mode d autorit de certification personnalis e vous devez d abord g n rer les certificats requis Le workflow recommand est le suivant 1 Retirez tous les h tes du syst me vCenter Server 2 Ajoutez le certificat racine de l autorit de certification personnalis e au magasin TRUSTED_ROOTS dans VECS sur le syst me vCenter Server Reportez vous Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s page 164 3 Pour chaque h te ESXi a D ployez le certificat et la cl de l autorit de certification personnalis e b Red marrez les services sur l h te 4 Passez au mode personnalis Reportez vous Changer le mode de certificat page 160 5 Ajoutez les h tes au syst me vCenter Server Changer le mode de certificat Dans la plupart des cas la meilleure solution consiste utiliser VMCA pour provisionner les h tes ESXi dans votre environnement Si la strat gie de l entreprise exige que vous utilisiez des certificats personnalis s avec une autorit de certification racine diff rente vous pouvez modifier les options avanc es de vCenter Server afin d viter que les h tes soient automatiquement provisionn s l aide de certificats VMCA lorsque vous actualisez les certificats Vous tes alors responsable de la gestion des certificats dans votre envir
73. d lai d lai du d tenteur de cl peut tre d fini partir de vSphere Web Client et correspond par d faut 2 592 000 secondes 30 jours Par exemple l utilisateur de solution vpxd pr sente son certificat vCenter Single Sign On lorsqu il se connecte vCenter Single Sign On L utilisateur de solution vpxd re oit un jeton SAML partir de vCenter Single Sign On et peut utiliser ce jeton pour s authentifier aupr s d autres utilisateurs de solutions et services Les magasins de certificats d utilisateurs de solutions sont inclus dans VECS sur chaque n ud de gestion et chaque d ploiement int gr m machine Utilis par le gestionnaire de composants le serveur de licences et le service de journalisation REMARQUE Le certificat d utilisateurs de solution de machine n a rien voir avec le certificat SSL de machine Le certificat d utilisateur de solution de machine est utilis pour l change de jetons SAML le certificat SSL de machine est utilis pour les connexions SSL s curis es d une machine m vpxd Magasin du d mon de service vCenter vpxd sur les n uds de gestion et les d ploiements int gr s vpxd utilise le certificat d utilisateur de solution de ce magasin pour s authentifier aupr s de vCenter Single Sign On m vpxd extensions Magasin d extensions vCenter Inclut le service Auto Deploy Inventory Service et d autres services ne faisant pas partie d autres utilisateurs de solution m vsphe
74. d ploiements de plusieurs instances de vCenter Single Sign On Une seule source d identit de syst me d exploitation local est autoris e Cette source d identit est nomm e localos dans vSphere Web Client REMARQUE N utilisez pas les utilisateurs du syst me d exploitation local si le Platform Services Controller ne se trouve pas sur la m me machine que le syst me vCenter Server L emploi d utilisateurs du syst me d exploitation local peut sembler pertinent dans un d ploiement int gr mais n est pas recommand e m Utilisateurs du syst me vCenter Single Sign On Lorsque vous installez vCenter Single Sign On une seule source d identit syst me nomm e vsphere local est cr e Cette source d identit est nomm e vsphere local dans vSphere Web Client REMARQUE tout moment il n existe qu un seul domaine par d faut Si un utilisateur d un domaine autre que le domaine par d faut se connecte il doit ajouter le nom de domaine DOMAIN user pour s authentifier Les sources d identit de vCenter Single Sign On sont g r es par les administrateurs de vCenter Single Sign On Vous pouvez ajouter des sources d identit une instance du serveur vCenter Single Sign On Les sources d identit distantes sont limit es aux mises en uvre des serveurs Active Directory et OpenLDAP D finir le domaine par d faut de vCenter Single Sign On Chaque source d identit de vCenter Single Sign On est associ e un domain
75. dans l option avanc e DCUI Access Utilisateurs exceptionnels disposant des privil ges d administrateur sur l h te Utilisateurs d finis dans l option avanc e DCUI Access Utilisateurs exceptionnels disposant des privil ges d administrateur sur l h te Utilisateurs connect s ESXi Shell lorsque le mode de verrouillage est activ Si des utilisateurs sont connect s ESXi Shell ou acc dent l h te via SSH avant d activer le mode de verrouillage les utilisateurs qui se trouvent sur la liste des utilisateurs exceptionnels et qui disposent des privil ges d administrateur sur l h te restent connect s partir de vSphere 6 0 la session est termin e pour tous les autres utilisateurs Ce comportement s applique la fois au mode de verrouillage normal et strict Activation du mode verrouillage l aide de vSphere Web Client Vous pouvez activer le mode de verrouillage afin d imposer l apport des modifications de configuration via vCenter Server vSphere 6 0 et versions ult rieures prennent en charge le mode de verrouillage normal et strict Pour interdire compl tement tout acc s direct un h te vous pouvez s lectionner le mode de verrouillage strict Le mode de verrouillage strict emp che d acc der un h te si vCenter Server n est pas disponible et que SSH et ESXi Shell sont d sactiv s Reportez vous Comportement du mode de verrouillage page 177 Proc dure 1 Acc dez l h te dans l in
76. de certificats 263 Privil ges de biblioth que de contenu 264 Privil ges de banque de donn es 266 Privil ges de cluster de banques de donn es 266 Privil ges de Distributed Switch 267 Privil ges de gestionnaire d agent ESX 268 Privil ges d extension 268 Privil ges de dossier 268 Privil ges globaux 269 Privil ges CIM d h te 270 Privil ges de configuration d h te 270 Inventaire d h te 271 Privil ges d op rations locales d h te 272 Privil ges de r plication d h te vSphere 273 Privil ges de profil d h te 273 Privil ges du fournisseur Inventory Service 273 Privil ges de balisage Inventory Service 273 Privil ges de r seau 274 Privil ges de performances 275 Privil ges d autorisations 275 Privil ges de stockage bas sur le profil 276 Privil ges de ressources 276 Privil ges de t che planifi e 277 Privil ges de sessions 277 Privil ges de vues de stockage 278 Privil ges de t ches 278 Privil ges Transfer Service 279 Privil ges de r gle de VRM 279 Privil ges de configuration de machine virtuelle 279 Privil ges d op rations d invit de machine virtuelle 281 Privil ges d interaction de machine virtuelle 281 Privil ges d inventaire de machine virtuelle 290 Privil ges de provisionnement de machine virtuelle 290 Privil ges de configuration de services de machine virtuelle 292 Privil ges de gestion des snapshots d une machine virtuelle 292 Privil ges vSphere Replication de machine vi
77. de gestion des snapshots d une machine virtuelle page 292 m Privil ges vSphere Replication de machine virtuelle page 293 m Privil ges du groupe dvPort page 293 m Privil ges de vApp page 294 m Privil ges vServices page 295 Privil ges d alarmes Les privil ges d alarmes contr lent la capacit cr er et modifier des alarmes sur des objets d inventaire et y r pondre Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 1 Privil ges d alarmes Nom de privil ge Description Requis sur Alarmes Reconna tre une Permet la suppression de toutes les actions Objet sur lequel une alarme est d finie alarme d alarme sur toutes les alarmes d clench es Alarmes Cr er une alarme Permet la cr ation d une alarme Objet sur lequel une alarme est d finie En cr ant des alarmes avec une action personnalis e le privil ge d ex cuter l action est v rifi quand l utilisateur cr e l alarme Alarmes D sactiver une action Permet d emp cher une action d alarme Objet sur lequel une alarme est d finie d alarme apr s le d clenchement d une alarme Cette intervention ne d sactive pas l alarme
78. de gestion ou Platform Services Controller a son propre certificat SSL de machine Tous les services ex cut s sur ce n ud utilisent ce certificat SSL de machine pour exposer leurs points de terminaison Le certificat SSL de la machine s utilise de la fa on suivante m Parle service de proxy inverse sur chaque n ud Platform Services Controller Les connexions SSL vers des services vCenter individuels acc dent toujours au proxy inverse Le trafic n acc de pas aux services eux m mes m Parle service vCenter vpxd sur les n uds de gestion et les n uds int gr s m Parle service d annuaire VMware vmdir sur les n uds d infrastructure et les n uds int gr s Les produits VMware utilisent des certificats X 509 version 3 X 509v3 standard pour chiffrer les informations de session envoy es sur SSL entre les composants Certificats d utilisateurs de solutions Un utilisateur de solution encapsule un ou plusieurs services vCenter Server et utilise les certificats pour s authentifier aupr s de vCenter Single Sign On par l interm diaire de l change de jetons SAML Chaque utilisateur de solution doit tre authentifi aupr s de vCenter Single Sign On Les certificats d utilisateurs de solutions sont utilis s pour l authentification aupr s de vCenter Single Sign On Un utilisateur de solution pr sente le certificat vCenter Single Sign On lorsqu il doit s authentifier apr s un red marrage ou apr s l expiration d un d lai Le
79. de la racine avec le r le d administrateur et que vous associez ce r le un autre utilisateur r le Lecture seule Les utilisateurs assign s aux r le Lecture seule pour un objet sont autoris s afficher l tat et les d tails de l objet Gr ce ce r le un utilisateur peut afficher les caract ristiques d une machine virtuelle d un h te et d un pool de ressources L utilisateur ne peut pas voir la console distance pour un h te Toutes les actions via les menus et barres d outils ne sont pas autoris es Cr er un r le personnalis Vous pouvez cr er des r les personnalis s vCenter Server correspondant aux besoins de contr le d acc s de votre environnement Si vous cr ez ou modifiez un r le sur un syst me vCenter Server qui fait partie du m me domaine vCenter Single Sign On que les autres syst mes vCenter Server le service d annuaire VMware vmdir propage les modifications que vous apportez tous les autres syst mes vCenter Server du groupe Cependant les attributions de r les des utilisateurs et objets sp cifiques ne sont pas partag es entre les syst mes vCenter Server Pr requis V rifiez que vous tes connect en tant qu utilisateur avec des privil ges d administrateur Proc dure 1 Connectez vous vCenter Server avec vSphere Web Client 2 S lectionnez Accueil cliquez sur Administration puis cliquez sur R les 3 Cliquez sur le bouton Cr er une action de r le 4 Introduire un nom
80. de remplacer les certificats sign s par VMCA par d faut par les certificats personnalis s du n ud sur lequel le service de vCenter Single Sign On 6 0 est ex cut REMARQUE Dans la plupart des autres situations il est pr f rable d effectuer la mise niveau de l environnement complet avant de red marrer les services En r gle g n rale il n est pas recommand de remplacer le certificat du service d annuaire de VMware Proc dure 1 Sur le n ud sur lequel le services de vCenter Single Sign On 6 0 est ex cut remplacez le certificat et la cl SSL de vmdird Reportez vous Remplacer le certificat de service d annuaire VMware page 99 2 Sur le n ud sur lequel le service de vCenter Single Sign On 5 5 est ex cut configurez l environnement de sorte que le service de vCenter Single Sign On 6 0 soit reconnu a Effectuez une sauvegarde de tous les fichiers de C ProgramData VMware CIS cfg vmdird b Faites une copie du fichier vmdircert pem sur le n ud 6 0 et renommez le lt sso_node2 domain com gt pem o lt sso_node2 domain com gt est le nom de domaine complet du n ud 6 0 c Copiez le certificat renomm dans C ProgramData VMware CIS cfg vmdird pour remplacer le certificat de r plication existant 3 Red marrez le service d annuaire de VMware sur toutes les machines o vous avez remplac les certificats Vous pouvez red marer le service partir de vSphere Web Client ou utiliser la commande
81. de solution m virtuelle m vpxd m vpxd extensions m vsphere webclient VECS inclut un magasin pour chaque utilisateur de solution L objet de chaque certificat d utilisateur de solution doit tre unique par exemple le certificat de la machine ne peut pas avoir le m me objet que le certificat vpxd Les certificats d utilisateurs de solutions sont utilis s pour l authentification avec vCenter Single Sign On vCenter Single Sign On v rifie que le certificat est valide mais ne v rifie pas d autres attributs de certificat Dans un d ploiement int gr tous les certificats d utilisateur de la solution se trouvent sur le m me syst me Les magasins de certificats d utilisateurs de solutions sont inclus dans VECS sur chaque n ud de gestion et chaque d ploiement int gr m machine Utilis par le gestionnaire de composants le serveur de licences et le service de journalisation REMARQUE Le certificat d utilisateurs de solution de machine n a rien voir avec le certificat SSL de machine Le certificat d utilisateur de solution de machine est utilis pour l change de jetons SAML le certificat SSL de machine est utilis pour les connexions SSL s curis es d une machine m vpxd Magasin du d mon de service vCenter vpxd sur les n uds de gestion et les d ploiements int gr s vpxd utilise le certificat d utilisateur de solution de ce magasin pour s authentifier aupr s de vCenter Single Sign On m vpxd exten
82. de vSphere 6 0 votre mot de passe utilisateur doit r pondre aux conditions requises suivantes Reportez vous la section Exemple de mots de passe ESXi ci dessous m Les mots de passe doivent contenir des caract res provenant d au moins trois classes de caract res m Le mot de passe comportant des caract res de trois classes doit contenir au moins sept caract res VMware Inc 149 S curit vSphere 150 m Les mots de passe comportant des caract res provenant de l ensemble des quatre classes doivent contenir au moins sept caract res REMARQUE Un caract re en majuscule au d but d un mot de passe ne compte pas dans le nombre de classes de caract res utilis es Un chiffre la fin d un mot de passe ne compte pas dans le nombre de classes de caract res utilis es Le mot de passe ne peut pas contenir un mot du dictionnaire ou une partie d un mot du dictionnaire Exemple de mots de passe d ESXi Les candidats de mot de passe suivants r pondent aux exigences d ESXi m xQaTEhb contient huit caract res provenant de trois classes de caract res m xQaT3 A Contient sept caract res provenant de quatre classes de caract res Les candidats de mot de passe suivants ne r pondent pas aux exigences d ESXi m Xqat3h Commence par un caract re majuscule r duisant ainsi le nombre effectif de classes de caract res deux Trois classes de caract res au minimum sont prises en charge m xQaTEh2 Se termine par un
83. des objets dans la hi rarchie d objets vSphere Chaque autorisation accorde un ensemble de privil ges un utilisateur ou un groupe c est dire un r le pour l objet s lectionn Vous devez comprendre les concepts suivants Autorisations Utilisateurs et groupes R les Privil ges Chaque objet de la hi rarchie des objets vCenter Server a des autorisations associ es Chaque autorisation sp cifie pour un groupe ou un utilisateur les privil ges dont dispose ce groupe ou cet utilisateur sur l objet Sur les syst mes vCenter Server vous ne pouvez attribuer des privil ges qu aux utilisateurs ou aux groupes d utilisateurs authentifi s Les utilisateurs sont authentifi s via vCenter Single Sign On Les utilisateurs et les groupes doivent tre d finis dans la source d identit utilis e par vCenter Single Sign On pour l authentification D finissez les utilisateurs et les groupes l aide des outils de votre source d identit par exemple Active Directory Les r les vous permettent d attribuer des autorisations sur un objet en fonction d un ensemble de t ches par d faut ex cut es par les utilisateurs Les r les par d faut par exemple Administrateur sont pr d finis sur vCenter Server et ne peuvent pas tre modifi s D autres r les par exemple Administrateur de pool de ressources sont des exemples de r les pr d finis Vous pouvez cr er des r les personnalis s totalement nouveaux ou cloner et modifi
84. des param tres de synchronisation horaire dans vCenter Server Appliance Vous pouvez modifier les param tres de synchronisation horaire dans vCenter Server Appliance apr s le d ploiement Lorsque vous d ployez vCenter Server Appliance vous pouvez d finir la m thode de synchronisation horaire en utilisant un serveur NTP ou VMware Tools En cas de modification de vos param tres d heure dans votre r seau vSphere vous pouvez modifier vCenter Server Appliance et configurer les param tres de synchronisation horaire l aide des commandes dans l interpr teur de commande du dispositif Lorsque vous activez la synchronisation horaire r guli re VMware Tools d finit l heure de l h te sur le syst me d exploitation invit Apr s la synchronisation horaire VMware Tools v rifie toutes les minutes que les horloges des syst mes d exploitation invit et de l h te correspondent toujours Si tel n est pas le cas l horloge du syst me d exploitation client est synchronis pour qu elle corresponde celle de l h te Un logiciel natif de synchronisation horaire tel que Network Time Protocol NTP est g n ralement plus pr cis que la synchronisation horaire r guli re de VMware Tools et il est donc pr f rable d utiliser un tel logiciel Vous pouvez utiliser une seule m thode de synchronisation horaire dans vCenter Server Appliance Si vous d cidez d utiliser le logiciel natif de synchronisation horaire la synchronisation horaire r g
85. es NFS v3 restantes n est mont e partir du serveur de la banque de donn es que vous tre en train de d monter ESXi supprime l adresse IP du serveur dans la liste des adresses IP sortantes VMware Inc 171 S curit vSphere m S il ne reste aucune banque de donn es NFS v3 mont e une fois l op ration de d montage termin e ESXi d sactive l ensemble de r gles de pare feu nfsClient Comportement du pare feu NFS v4 1 Lorsque vous montez la premi re banque de donn es NFS v4 1 ESXi active l ensemble de r gles nfs4lclient et d finit son indicateur allowedAl1 sur TRUE Cette action provoque l ouverture du port 2049 pour toutes les adresses IP Le d montage d une banque de donn es NFS v4 1 n a pas d impact sur l tat du pare feu En d autres termes le port 2049 s ouvre la premi re fois que vous montez une banque de donn es NFS v4 1 et reste ouvert jusqu ce que vous le fermiez explicitement Commandes de pare feu ESXCLI d ESXi Si votre environnement inclut plusieurs h tes ESXi l automatisation de la configuration de pare feu l aide de commandes ESXCLI ou de vSphere Web Services SDK est recommand e Vous pouvez utiliser les commandes d ESXi Shell ou de vSphere CLI pour configurer ESXi sur la ligne de commande afin d automatiser la configuration du pare feu Reportez vous Initiation aux interfaces de ligne de commande de vSphere pour une introduction et Concepts et exemples d interfaces de ligne de commande vSp
86. esxcli software vib list esxcli software vib get n vibname 3 Supprimez les VIB qui sont au niveau PartnerSupported ou CommunitySupported en ex cutant la commande suivante esxcli software vib remove vibname vib 182 VMware Inc Chapitre 5 S curisation des h tes ESXi 4 Changez le niveau d acceptation de l h te en ex cutant la commande suivante esxcli software acceptance set level acceptance_level Affectation d autorisations pour ESXi Les privil ges sont g n ralement octroy s aux utilisateurs par attribution d autorisations aux objets h tes ESXi g r s par un syst me vCenter Server Si vous utilisez un h te ESXi autonome vous pouvez attribuer les privil ges directement Attribution d autorisations aux h tes ESXi g r s par vCenter Server Si votre h te ESXi est g r par vCenter Server effectuez les t ches de gestion l aide de vSphere Web Client Vous pouvez s lectionner l objet h te ESXi dans la hi rarchie d objets de vCenter Server et attribuer le r le d administrateur un nombre limit d utilisateurs susceptibles d effectuer la gestion directe sur l h te ESXi Reportez vous Utilisation des r les pour assigner des privil ges page 137 Il est recommand de cr er au moins un compte d utilisateur nomm et de lui attribuer des privil ges d administration complets sur l h te puis de l utiliser la place du compte racine D finissez un mot de passe avec un niveau de complexit
87. expiration du mot de passe n est pas trop courte 208 VMware Inc Chapitre 6 S curisation des syst mes vCenter Server V rifiez les privil ges apr s le red marrage de vCenter Server V rifiez la r affectation des privil ges lorsque vous red marrez vCenter Server Si l utilisateur ou le groupe d utilisateurs ayant obtenu le r le Administrateur sur le dossier racine ne peut pas tre v rifi comme utilisateur ou groupe valide pendant un red marrage le r le est retir de cet utilisateur ou de ce groupe la place vCenter Server accorde le r le Administrateur au compte administrator vsphere local de vCenter Single Sign On Ce compte peut alors agir en tant qu administrateur R tablissez un compte d administrateur nomm et attribuez lui le r le Administrateur pour viter d utiliser le compte administrator vsphere local anonyme Utiliser des niveaux de chiffrement RDP lev s Sur chaque ordinateur Windows de l infrastructure v rifiez que les param tres de configuration d h te des services Bureau distance sont d finis afin de garantir le niveau de chiffrement le plus lev pour votre environnement V rifiez les certificats vSphere Web Client Demander aux utilisateurs d une application vSphere Web Client ou d autres applications client de ne jamais ignorer les avertissements de v rification de certificat Sans v rification de certificat l utilisateur peut tre sujet une attaque MiTM Configurer la str
88. fiable pour ces clients avec des pare feu et des transmissions depuis vers l h te totalement isol es La d sactivation de SSL peut am liorer les performances car vous vitez le traitement requis pour l ex cution du chiffrement Pour vous prot ger contre les utilisations abusives des services ESXi la plupart des services ESXi internes sont uniquement accessibles via le port 443 qui est utilis pour la transmission HTTPS Le port 443 agit comme proxy invers pour ESXi Vous pouvez consulter la liste de services sur ESXi via une page d accueil HTTP mais vous ne pouvez pas directement acc der aux services d Adaptateurs de stockage sans autorisation Vous pouvez modifier cette configuration afin que des services individuels soient directement accessibles via des connexions HTTP N effectuez pas ce changement moins d utiliser ESXi dans un environnement parfaitement fiable Lorsque vous mettez votre environnement niveau le certificat est conserv 201 S curit vSphere Consid rations relatives la s curit dans vSphere Auto Deploy Pour prot ger au mieux votre environnement vous devez conna tre les risques de s curit potentiels lorsque vous utilisez Auto Deploy avec des profils d h te S curit de la mise en r seau Prot gez le r seau comme vous le feriez pour toute autre m thode de d ploiement PXE vSphere Auto Deploy transf re les donn es sur SSL pour viter les interf rences et les risques d coute
89. gies vCenter Single Sign On permettent d appliquer les r gles de s curit au sein de votre environnement Vous pouvez afficher et modifier les mots de passe les strat gies de verrouillage et les strat gies de jetons par d faut de vCenter Single Sign On Modifier la strat gie de mot de passe de vCenter Single Sign On La strat gie de mot de passe de vCenter Single Sign On est un ensemble de r gles et de restrictions sur le format et l expiration des mots de passe d utilisateurs de vCenter Single Sign On La strat gie de mot de passe s applique uniquement aux utilisateurs inclus dans le domaine vCenter Single Sign On vsphere local Par d faut les mots de passe de vCenter Single Sign On expirent apr s 90 jours vSphere Web Client vous envoie un rappel lorsque votre mot de passe est sur le point d expirer Vous pouvez r initialiser un mot de passe expir si vous connaissez l ancien mot de passe REMARQUE Les strat gies de mot de passe s appliquent uniquement aux comptes d utilisateur et non aux comptes syst me tels que administrator vsphere local Reportez vous Changer le mot de passe de vCenter Single Sign On page 47 VMware Inc 39 S curit vSphere 40 Proc dure 1 a AeA OO N 6 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCent
90. infrastructure de certificats vecs cli store create Cr e un magasin de certificats Option Description name lt name gt Nom du magasin de certificats Exemple vecs cli store create name lt store gt vecs cli store delete Supprime un magasin de certificats Vous ne pouvez pas supprimer les magasins de certificats pr d finis par le syst me Option Description name lt name gt Nom du magasin de certificats supprimer Exemple vecs cli store delete name lt store gt vecs cli store list Affichez la liste des magasins de certificats VECS inclut les magasins suivants VMware Inc Tableau 3 6 Magasins dans VECS Magasin Magasin de certificats SSL de la machine MACHINE_SSL_CERT Chapitre 3 Certificats de s curit vSphere Description m Utilis par le service de proxy inverse sur chaque n ud vSphere m Utilis par le service d annuaire VMware vmdir sur les d ploiements int gr s et sur chaque n ud Platform Services Controller Tous les services de vSphere 6 0 communiquent par l interm diaire d un proxy invers qui utilise le certificat SSL de machine Pour la compatibilit descendante les services 5 x utilisent toujours des ports sp cifiques En cons quence certains services tels que vpxd ont toujours leur port ouvert Magasin de certificats racine approuv s TRUSTED_ROOTS Contient tous les certificats racines approuv s Magasins d utilisateurs
91. journalisation 204 s curit 204 fichier certool cfg 108 fichiers de journalisation emplacement 204 ESXi 202 204 fichiers journaux ESXi 202 fichiers vmx modification 217 fonctionnalit s 3D 222 fonctions non expos es d sactivation 223 G g n ration de CSR 71 75 VMware Inc Index g n ration de demandes de certificats 79 89 92 genselfcacert 79 g rer les certificats 263 gestion d utilisateurs 125 gestion de certificats 65 gestion des certificats 54 gestion des h tes PowerCLI 146 gestion des utilisateurs Single Sign On 42 Gestionnaire d agent ESX privil ges 268 groupes ajout 45 ajouter des membres 46 local 45 recherche 135 Groupes vsphere local 27 H h tes empreintes 212 Privil ges CIM 270 privil ges d inventaire 271 privil ges d op rations locales 272 privil ges de configuration 270 Privil ges de r plication vSphere 273 HTTPS PUT t l charger des certificats et cl s 163 196 informations sur le certificat 156 interface de gestion s curisation 145 s curisation avec VLAN et commutateurs virtuels 239 Interface utilisateur de console directe DCUI 181 inventory service privil ges 273 IPsec voir S curit du protocole Internet IPsec iSCSI adaptateurs iSCSI QLogic 256 authentification 257 protection des donn es transmises 257 s curisation des ports 257 s curit 256 isolation commutateurs standard 13 couche r seau virtuelle 13 VLAN 13 isol
92. l arr t et red marrages successifs jusqu ce que VMCA devienne disponible et que l h te puisse tre provisionn avec un certificat sign VMware Inc 153 S curit vSphere Modifications de nom d h te et d adresse IP Dans vSphere 6 0 et versions ult rieures une modification de nom d h te ou d adresse IP peut d terminer si vCenter Server consid re valide le certificat d un h te Le mode d ajout de l h te vCenter Server d termine si une intervention manuelle est n cessaire Lors d une intervention manuelle vous reconnectez l h te ou vous le supprimez de vCenter Server et le rajoutez Tableau 5 2 Quand des modifications de nom d h te ou d adresse IP n cessitent elles une intervention manuelle H te ajout vCenter Server l aide de Modifications de nom d h te Modifications d adresse IP Nom d h te Probl me de connectivit de Aucune intervention requise vCenter Server Intervention manuelle requise Adresse IP Aucune intervention requise Probl me de connectivit de vCenter Server Intervention manuelle requise Gestion des certificats ESXi http link brightcove com services player bcpid2296383276001 bctid ref video_esxi_certs_in_vsphere Mises niveau d h tes et certificats Si vous mettez niveau un h te ESXi vers ESXi 6 0 ou version ult rieure le processus de mise niveau remplace les certificats auto sign s par des certificats sign s par VMCA Le processus conserve
93. l autorit de certification racine Cette sortie ne peut pas tre utilis e en tant que certificat elle est modifi e pour devenir lisible par l il humain 112 VMware Inc Chapitre 3 Certificats de s curit vSphere Option Description getrootca Requis pour imprimer le certificat racine server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool getrootca server remoteserver certool viewcert Imprime les champs du certificat dans un format lisible par l il humain Option Description viewcert Requis pour afficher un certificat cert lt certfile gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut Exemple certool viewcert cert lt filename gt certool enumcert R pertorie tous les certificats connus du serveur VMCA L option filter requise vous permet de r pertorier tous les certificats ou uniquement les certificats r voqu s actifs ou expir s Option Description enumcert Requis pour r pertorier tous les certificats filter all active Filtre requis Sp cifiez all ou active Les options revoked et expired ne sont pas prises en charge actuellement Exemple certool enumcert filter active certool status Envoie un certificat sp cifi au serveur VMCA pour v rifier si le certificat a t r voqu Imprime Certificate REVOKED
94. l entrer dir cli trustedcert unpublish Annule la publication d un certificat racine actuellement approuv dans vmdir Utilisez cette commande par exemple si vous avez ajout un autre certificat racine vmdir qui est maintenant le certificat racine de tous les autres certificats de votre environnement L annulation de la publication de certificats qui ne sont plus utilis s s inscrit dans le renforcement de votre environnement VMware Inc Chapitre 3 Certificats de s curit vSphere Option Description cert file lt file gt Chemin d acc s au fichier de certificat dont vous souhaitez annuler la publication crl lt file gt Chemin d acc s au fichier CRL associ ce certificat Actuellement inutilis login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli trustedcert list R pertorie tous les certificats racines approuv s et leurs ID correspondants Vous avez besoin des ID de certificats pour r cup rer un certificat avec dir cli trustedcert get Option Description login lt admin_user_id gt Par d faut administrator vsphere local Cet administrat
95. l utilisateur a la priorit sur toutes les autorisations de groupes VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Exemple 1 H ritage d autorisations multiples Cet exemple illustre comment un objet peut h riter d autorisations multiples de groupes auxquels ont t accord s l autorisation sur un objet parent Dans cet exemple deux autorisations sont assign es sur le m me objet pour deux groupes diff rents m Le r le 1 peut mettre des machines virtuelles sous tension m Le r le 2 peut prendre des snapshots de machines virtuelles m On accorde au groupes A le r le 1 sur le dossier de VM avec l autorisation d finie pour propager aux objets enfant m On accorde au groupes B le r le 2 sur le dossier de VM avec l autorisation d finie pour propager aux objets enfant m Aucun privil ge sp cifique n est attribu l utilisateur 1 L utilisateur 1 qui appartient aux groupes A et B se connecte L utilisateur 1 peut mettre sous tension et prendre des snapshots de VM A et de VM B Figure 4 3 Exemple 1 H ritage d autorisations multiples groupe A r le 1 gt A Dossier VM groupe B r le 2 gt l utilisateur 1 a des privil ges du r le 1 et du r le 2 Exemple 2 Autorisations d enfant ignorant des autorisations de parent Cet exemple illustre comment les autorisations qui sont assign es sur un objet enfant peuvent ignorer les autorisations qui sont
96. la machine virtuelle ou le dossier des machines virtuelles Administrateur une machine virtuelle m Ressource Migrer une machine virtuelle hors tension de pool de m Ressource Attribuer une machine virtuelle au pool de P N ressources si la destination est un pool de ressources diff rent de la source Sur l h te le cluster ou le pool de ressources de destination si Administrateur diff rent de la source de pool de Ressource Attribuer une machine virtuelle au pool de ressources ressources ou Administrateur Sur la banque de donn es de destination si diff rent de la source Banque de donn es Allouer de l espace Utilisateur de banque de donn es ou Administrateur Migration d une machine virtuelle avec Storage vMotion Sur la machine virtuelle ou le dossier des machines virtuelles Ressource Migrer une machine virtuelle sous tension Administrateur de pool de ressources ou Administrateur Sur la banque de donn es de destination Utilisateur de Banque de donn es Allouer de l espace banque de donn es ou Administrateur D placer un h te dans un Sur l h te Administrateur cluster H te Inventaire Ajouter un h te au cluster Sur le cluster de destination Administrateur H te Inventaire Ajouter un h te au cluster VMware Inc 143 S curit vSphere 144 VMware Inc S curisation des h tes ESXi L architecture de l hyperviseur ESXi int gre de nombreuses fonctionnalit s de s cur
97. le cas contraire vous risquez d avoir des difficult s utiliser des h tes via vCenter Server Privil ges de l utilisateur dcui 184 L utilisateur dcui s ex cute sur des h tes et dispose des droits d Administrateur L objectif principal de cet utilisateur est de configurer des h tes pour le mode verrouillage partir de l interface utilisateur de console directe DCUT Cet utilisateur agit en tant qu agent pour la console directe et ne peut pas tre modifi ou utilis par des utilisateurs interactifs VMware Inc Chapitre 5 S curisation des h tes ESXi Utilisation d Active Directory pour g rer des utilisateurs ESXi Vous pouvez configurer l h te ESXi afin qu il utilise un service d annuaire tel qu Active Directory pour g rer les utilisateurs La cr ation de comptes utilisateurs locaux sur chaque h te pose des difficult s de synchronisation du nom et du mot de passe des comptes parmi plusieurs h tes Int grez les h tes ESXi un domaine Active Directory pour liminer la n cessit de cr er et de maintenir des comptes utilisateurs locaux L utilisation d Active Directory pour l authentification des utilisateurs simplifie la configuration de l h te ESXi et r duit le risque de probl mes de configuration qui pourraient entra ner des acc s non autoris s Lorsque vous utilisez Active Directory les utilisateurs entrent les informations d identification Active Directory et le nom de domaine du serveur Active D
98. le certificat renomm dans C ProgramData VMware CIS cfg vmdird pour remplacer le certificat de r plication existant 3 Red marrez le service d annuaire de VMware sur toutes les machines o vous avez remplac les certificats Vous pouvez red marer le service partir de vSphere Web Client ou utiliser la commande service control Utiliser VMCA en tant qu autorit de certificat interm diaire Vous pouvez remplacer le certificat racine VMCA par un certificat sign par une autorit de certification tierce qui inclut VMCA dans la cha ne de certificats Par la suite tous les certificats g n r s par VMCA incluent l ensemble de la cha ne Vous pouvez remplacer des certificats existants par des certificats qui viennent d tre g n r s Cette approche associe la s curit d un certificat sign par une autorit de certification tierce l aspect pratique d une gestion automatis e des certificats Proc dure 1 Remplacer le certificat racine autorit de certification interm diaire page 89 La premi re tape du remplacement des certificats VMCA par des certificats personnalis s consiste g n rer un CSR et ajouter le certificat qui est renvoy au VMCA en tant que certificat racine 2 Remplacer les certificats SSL de la machine autorit de certification interm diaire page 92 Apr s avoir re u le certificat sign de l autorit de certification et en avoir fait le certificat racine VMCA vous pouvez remplacer tous l
99. le fichier sous root_signing_chain cer Suivant Remplacez le certificat racine existant par le certificat racine cha n Reportez vous Remplacer le certificat racine VMCA par un certificat de signature personnalis et remplacer tous les certificats page 72 Remplacer le certificat racine VMCA par un certificat de signature personnalis et remplacer tous les certificats Vous pouvez remplacer le certificat racine VMCA par un certificat sign par une autorit de certification qui inclut VMCA comme certificat interm diaire dans la cha ne de certificats Par la suite tous les certificats g n r s par VMCA incluent l ensemble de la cha ne Ex cutez vSphere Certificate Manager sur une installation int gr e ou sur un Platform Services Controller externe pour remplacer le certificat racine VMCA par un certificat de signature personnalis vSphere Certificate Manager vous invite fournir les informations suivantes Pr requis m G n rer la demande de signature de certificat m Vous pouvez utiliser vSphere Certificate Manager pour g n rer la demande de signature de certificat Reportez vous G n rer des demandes de signature de certificat avec vSphere Certificate Manager autorit de certification interm diaire page 71 m Si vous pr f rez cr er la demande de signature de certificat manuellement le certificat envoy pour signature doit satisfaire les conditions suivantes m Taille de la cl 2 048
100. le service DCUI Toutefois les services ESXi Shell et SSH sont ind pendants du mode de verrouillage Pour que le mode de verrouillage constitue une mesure de s curit efficace assurez vous que les services ESXi Shell et SSH sont galement d sactiv s Ils sont d sactiv s par d faut Lorsqu un h te est en mode de verrouillage les utilisateurs r pertori s dans la liste des utilisateurs exceptionnels peuvent acc der l h te partir de ESXi Shell et via SSH s ils disposent du r le Administrateur sur l h te Cet acc s reste possible en mode de verrouillage strict Pour une s curit maximale laissez les services ESXi Shell et SSH d sactiv s REMARQUE La liste des utilisateurs exceptionnels est destin e aux comptes de service qui ex cutent des t ches sp cifiques telles que les sauvegardes d h tes pas aux administrateurs L ajout d utilisateurs administrateurs la liste des utilisateurs exceptionnels annule le mode de verrouillage Activation et d sactivation du mode de verrouillage Les utilisateurs disposant de privil ges peuvent activer le mode de verrouillage de plusieurs mani res m En ajoutant un h te un syst me vCenter Server l aide de l assistant Ajouter h te m En utilisant vSphere Web Client Reportez vous Activation du mode verrouillage l aide de vSphere Web Client page 178 Vous pouvez activer le mode de verrouillage normal et le mode de verrouillage strict dans vSphere Web Client
101. lectionnez l option Syst me et cliquez sur Certificat Il est possible d afficher des informations d taill es sur le certificat de l h te s lectionn Cliquez sur Renouveler ou sur Actualiser les certificats d autorit de certification Description R cup re aupr s de l autorit de certification VMware VMCA un certificat venant d tre sign pour l h te Pousse tous les certificats du magasin TRUSTED_ROOTS dans le magasin VECS de vCenter Server vers l h te Proc dure 1 2 Cliquez sur l onglet G rer puis sur Param tres 3 4 Option Renouveler Actualiser les certificats d autorit de certification 5 Cliquez sur Oui pour confirmer VMware Inc 157 S curit vSphere 158 Modifier les param tres par d faut de certificat Lorsqu un h te est ajout un syst me vCenter Server vCenter Server envoie une demande de signature de certificat CSR pour l h te VMCA Vous pouvez modifier certains param tres par d faut dans la demande CSR en utilisant les param tres avanc s de vCenter Server dans vSphere Web Client Modifiez les param tres par d faut du certificat sp cifiques l entreprise Reportez vous Param tres par d faut des certificats ESXi page 155 pour obtenir la liste compl te des param tres par d faut Certaines valeurs par d faut ne peuvent pas tre modifi es Proc dure 1 Dans vSphere Web Client s lectionnez le syst me vCenter Server qui g re les h tes
102. les noeuds vCenter Server avec une instance de Platform Services Controller externe Remplacer les certificats d utilisateurs de solution par des certificats personnalis s Une fois que vous avez remplac les certificats SSL de la machine vous pouvez remplacer les certificats d utilisateurs de solution sign s par VMCA par des certificats tiers ou de l entreprise Les utilisateurs de solutions utilisent des certificats pour s authentifier sur vCenter Single Sign On Si le certificat est valide vCenter Single Sign On affecte un jeton SAML l utilisateur de la solution et ce dernier l utilise pour s authentifier vis vis des autres composants vCenter D terminez si le remplacement des certificats des utilisateurs de solution est n cessaire dans votre environnement Du fait que les utilisateurs de solution sont plac s derri re un serveur proxy et que le certificat SSL de machine est utilis pour s curiser le trafic SSL les certificats des utilisateurs de solution posent moins de probl mes de s curit Remplacez le certificat d utilisateur de solution de machine sur chaque n ud Platform Services Controller Remplacez les autres certificats d utilisateurs de solutions uniquement sur chaque n ud de gestion Utilisez le param tre server pour pointer vers Platform Services Controller lorsque vous ex cutez des commandes sur un n ud de gestion avec un Platform Services Controller externe REMARQUE Lorsque vous r pertoriez les cer
103. lesquels l enregistrement et la lecture VMware FT sont activ s Seuls les ports des h tes qui ex cutent des machines virtuelles principales ou de sauvegarde doivent tre ouverts Sur les ports qui n utilisent pas VMware FT ces ports n ont pas besoin d tre ouverts HBR 44046 31031 TCP Utilis par vSphere Replication et VMware Site Recovery Manager pour le trafic de r plication en cours NFC 902 TCP La NFC Network File Copy copie de fichiers r seau fournit un service FTP capable de reconna tre les types de fichiers pour les composants vSphere ESXi utilise par d faut la technologie NFC pour des op rations comme la copie ou le transfert de donn es entre banques de donn es WOL 9 UDP Utilis par R veil sur r seau local LAN Service de clustering Virtual SAN 12345 23451 UDP Surveillance du cluster appartenance et service d annuaire utilis par Virtual SAN Client DHCP 68 UDP Client DHCP Client DNS 53 TCP UDP Client DNS Fault Tolerance 80 8200 8100 8300 TCP UDP Prend en charge VMware Fault Tolerance Client de logiciel iSCSI 3260 TCP Prend en charge l iSCSI logiciel Service de routeur logique distribu NSX 6999 UDP Le port de pare feu associ ce service est ouvert lorsque les VIB NSX sont install s et que le module VDR Virtual Distributed Router est cr Si aucune instance de VDR n est associ e
104. m Remplacer un certificat et une cl par d faut l aide de la commande vifs page 163 Vous pouvez remplacer les certificats ESXi par d faut sign s par l autorit de certification VMware VMCA l aide de la commande vifs m Remplacer un certificat par d faut l aide de HTTPS PUT page 163 Vous pouvez utiliser des applications tierces pour t l charger des certificats et une cl Les applications prenant en charge les op rations HTTPS PUT utilisent l interface HTTPS incluse avec ESXi m Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s page 164 Si vous configurez vos h tes ESXi pour qu ils utilisent des certificats personnalis s vous devez mettre niveau le magasin TRUSTED_ROOTS du syst me vCenter Server qui g re les h tes VMware Inc 161 S curit vSphere 162 Configuration requise pour les demandes de signature de certificat ESXi Si vous souhaitez utiliser un certificat sign par une autorit de certification tierce que ce soit en utilisant VMCA en tant qu autorit subordonn e ou en recourant une autorit de certification personnalis e vous devez envoyer une demande de signature de certificat Certificate Signing Request CSR l autorit de certification Utilisez une demande de signature de certificat pr sentant les caract ristiques suivantes m 2048 bits m PKCSI m Aucun caract re g n rique m Heure de d but ant rieure d un jour l heure actuelle m
105. multiples 130 Les objets peuvent avoir des autorisations multiples mais seulement une autorisation pour chaque utilisateur ou groupes Par exemple une autorisation peut sp cifier que le groupe B dispose des privil ges d administrateur sur l objet et une autre autorisation peut sp cifier que le groupe B peut disposer de privil ges d administrateur de machine virtuelle sur le m me objet Si un objet h rite des autorisations de deux objets parents les autorisations d un objet sont ajout es celles de l autre objet Par exemple si une machine virtuelle se trouve dans un dossier de machine virtuelle et appartient galement un pool de ressources cette machine virtuelle h rite de tous les param tres d autorisation du dossier de la machine virtuelle et de ceux du pool de ressources Les autorisations appliqu es sur un objet enfant ignorent toujours les autorisations qui sont appliqu es sur un objet parent Reportez vous Exemple 2 Autorisations d enfant ignorant des autorisations de parent page 131 Si des autorisations multiples de groupes sont d finies sur le m me objet et qu un utilisateur appartient au moins deux de ces groupes deux situations sont possibles m Si aucune autorisation n est d finie pour l utilisateur sur cet objet l ensemble de privil ges assign s aux groupes pour cet objet est assign l utilisateur m Siune autorisation est d finie pour l utilisateur sur cet objet l autorisation de
106. ne peut tre r alis e vers le socket vMotion Dans un environnement de machines virtuelles vous pouvez planifier la disposition des pare feu entre les composants m Pare feu entre machines physiques telles que des syst mes vCenter Server et des h tes ESXi m Pare feu entre une machine virtuelle et une autre par exemple entre une machine virtuelle agissant comme serveur Web externe et une machine virtuelle connect e au r seau interne de votre entreprise m Pare feu entre une machine physique et une machine virtuelle par exemple lorsque vous placez un pare feu entre une carte r seau physique et une machine virtuelle La mani re dont vous utilisez des pare feu dans une configuration ESXi d pend de la mani re dont vous planifiez l utilisation du r seau et du niveau de s curit dont certains composants ont besoin Par exemple si vous cr ez un r seau virtuel o chaque machine virtuelle est d di e l ex cution d une suite de tests de r f rence diff rents pour le m me service le risque d acc s non autoris d une machine virtuelle une autre est minime Par cons quent une configuration o des pare feu sont pr sents entre les machines virtuelles n est pas n cessaire Cependant pour emp cher l interruption d un test ex cut sur un h te externe vous devez d finir la configuration afin qu un pare feu soit pr sent au point d entr e du r seau virtuel pour prot ger tout l ensemble de machines virtuelles Pare
107. nom Par exemple STS exemple com Il peut s av rer n cessaire d ex cuter la commande setspn S pour ajouter l utilisateur souhait Pour obtenir des informations sur l outil de ligne de commande setspn reportez vous la documentation de Microsoft Le SPN doit tre unique dans le domaine L ex cution de la commande setspn S permet de v rifier qu aucun doublon n est cr Nom d utilisateur principal UPN Nom d un utilisateur pouvant s authentifier aupr s de cette source d identit Utilisez le format d adresse e mail Par exemple jchin mondomaine com Vous pouvez v rifier le nom d utilisateur principal UPN User Principal Name dans l diteur ASDI Active Directory Service Interfaces Editor Mot de passe Mot de passe de l utilisateur qui s authentifie g n ralement aupr s de cette source d identit Cet utilisateur est galement celui qui est sp cifi dans le champ Nom d utilisateur principal UPN Incluez le nom de domaine Par exemple jdoe exemple com Param tres de source d identit du serveur LDAP Active Directory et du serveur OpenLDAP Active Directory est disponible en tant que source d identit du serveur LDAP pour assurer la compatibilit descendante Utilisez l option Active Directory authentification Windows int gr e pour une installation n cessitant moins d entr es La source d identit du serveur OpenLDAP est disponible pour les environnements qui utilisent OpenLDAP S
108. permettent de segmenter un r seau physique afin que deux machines du r seau ne puissent pas transmettre et recevoir des paquets moins de faire partie du m me VLAN Par exemple les enregistrements de comptabilit et les transactions font partie des informations internes les plus sensibles d une entreprise Dans une entreprise dont les employ s des ventes des exp ditions et de la comptabilit utilisent tous des machines virtuelles sur le m me r seau physique vous pouvez prot ger les machines virtuelles du service de comptabilit en configurant des VLAN Figure 8 1 Exemple de disposition de VLAN Commutateur standard VLAN A Routeur Diffusion Domaine A Commutateur standard Commutateur standard Commutateur 1 VLAN B Diffusion Commutateur standard Domaine B Commutateur 2 Plusieurs VLAN Commutateur standard sur un m me commutateur Diffusion Domaines A et B Dans cette configuration tous les employ s du service de comptabilit utilisent des machines virtuelles dans un VLAN A et les employ s des ventes utilisent des machines virtuelles dans VLAN B Le routeur transmet les paquets contenant les donn es de comptabilit aux commutateurs Ces paquets sont balis s pour une distribution sur le VLAN A uniquement Par cons quent les donn es sont confin es une diffusion dans le domaine A et ne peuvent pas tre achemin es pour une diffusion dans le domaine B moins que le routeur ne soit configur
109. pour le nouveau r le 5 S lectionner les privil ges pour le r le et cliquer sur OK Cloner un r le Vous pouvez effectuer une copie d un r le existant le renommer et le modifier Quand vous faites une copie le nouveau r le n est pas appliqu n importe quel utilisateur ou groupe et objet Vous devez attribuer le r le aux utilisateurs ou groupes et objets Si vous cr ez ou modifiez un r le sur un syst me vCenter Server qui fait partie du m me domaine vCenter Single Sign On que les autres syst mes vCenter Server le service d annuaire VMware vmdir propage les modifications que vous apportez tous les autres syst mes vCenter Server du groupe Cependant les attributions de r les des utilisateurs et objets sp cifiques ne sont pas partag es entre les syst mes vCenter Server VMware Inc 139 S curit vSphere Pr requis V rifiez que vous tes connect en tant qu utilisateur avec des privil ges d administrateur Proc dure 1 Connectez vous vCenter Server avec vSphere Web Client 2 S lectionnez Accueil cliquez sur Administration puis cliquez sur R les 3 S lectionnez un r le et cliquez sur l ic ne Cloner une action de r le 4 Saisissez un nom pour le r le clon 5 S lectionnez ou d s lectionnez des privil ges pour le r le puis cliquez sur OK diter un r le Quand vous ditez un r le vous pouvez changer les privil ges s lectionn s pour ce r le Une fois termin s ces priv
110. profils de stockage telles que la cr ation et la mise jour de capacit s de stockage et de profils de stockage de machine virtuelle Requis sur Racine vCenter Server Stockage bas sur le profil Vue du stockage bas e sur le profil Permet d afficher les capacit s de stockage et les profils de stockage d finis Racine vCenter Server Privil ges de ressources Les privil ges de ressource contr lent la cr ation et la gestion des pools de ressources ainsi que la migration des machines virtuelles Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 23 Privil ges de ressources Nom de privil ge Ressource Appliquer une recommandation Description Permet d accepter une suggestion du serveur pour effectuer une migration vers vMotion Requis sur Clusters Ressource Attribuer un vApp au pool de ressources Permet d attribuer un vApp un pool de ressources Pools de ressources Ressource Attribuer une machine virtuelle au pool de ressources Permet d attribuer une machine virtuelle un pool de ressources Pools de ressources Ressource Cr er un pool de ressources Pe
111. r s par vCenter Server Global Balise globale Permet l ajout ou la suppression de balises globales H te racine ou vCenter Server Global Int grit Permet l affichage de l tat de fonctionnement de composants de Racine vCenter Server vCenter Server Global Licences Permet l affichage de licences install es ainsi que l ajout ou la suppression de licences H te racine ou vCenter Server Global v nement de journal Permet la consignation d un v nement d fini par l utilisateur par rapport une entit g r e Tout objet Global G rer des attributs personnalis s Permet d ajouter de supprimer ou de renommer des d finitions de champs personnalis s Racine vCenter Server Global Proxy Permet l acc s une interface interne pour ajouter ou supprimer des points finaux ou depuis un proxy Racine vCenter Server VMware Inc 269 S curit vSphere Tableau 10 11 Privil ges globaux suite Nom de privil ge Description Requis sur Global Action de script Permet de planifier une action de script en relation avec une alarme Tout objet H te racine ou vCenter Server Global Gestionnaires de services Permet l utilisation de la commande resxtop dans l interface de ligne de commande vSphere Global D finir un attribut personnalis Permet de visualiser cr er ou supprimer des attributs personnalis s pour un objet g r Tout objet Global Param tres P
112. s curit des h tes ESXi vous pouvez les placer en mode de verrouillage En mode de verrouillage les op rations doivent tre ex cut es via vCenter Server par d faut vSphere 6 0 propose diff rents degr s de verrouillage par le biais de deux modes de verrouillage normal et strict La liste d utilisateurs exceptionnels est une autre nouveaut de vSphere 6 0 Les utilisateurs exceptionnels ne perdent pas leurs privil ges lorsque l h te entre en mode de verrouillage Utilisez la liste d utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d applications externes qui doivent acc der directement l h te lorsque celui ci est en mode de verrouillage Reportez vous Sp cifier les utilisateurs exceptionnels du mode de verrouillage page 181 Mode verrouillage dans vSphere 6 http link brightcove com services player bcpid2296383276001 bctid ref video_lockdown_mode_vsphere Mode de verrouillage normal et mode de verrouillage strict partir de vSphere 6 0 vous pouvez s lectionner le mode de verrouillage normal ou le mode de verrouillage strict ce qui offre diff rents degr s de verrouillage Mode de verrouillage En mode de verrouillage normal le service DCUI n est pas interrompu En normal cas de perte de connexion avec le syst me vCenter Server si l acc s via vSphere Web Client n est plus disponible les comptes disposant de privil ges peuvent se connecter l interface utilisateur de la
113. s sur VLAN 4095 sauf si vous utilisez le balisage d invit virtuel VGT Il existe trois types de balisage VLAN dans vSphere m Balisage de commutateur externe EST m Balisage de commutateur virtuel VST Le commutateur virtuel marque avec l ID de VLAN le trafic qui entre dans les machines virtuelles attach es et supprime la balise VLAN du trafic qui les quitte Pour configurer le mode VST attribuez un ID VLAN compris entre 1 et 4095 m Balisage d invit virtuel VGT Les machines virtuelles g rent le trafic VLAN Pour activer le mode VGT d finissez l ID VLAN sur 4095 Sur un commutateur distribu vous pouvez galement autoriser le trafic d une machine virtuelle en fonction de son r seau VLAN l aide de l option Jonction VLAN Sur un commutateur standard vous pouvez configurer le mode de mise en r seau VLAN au niveau du commutateur ou du groupe de ports et sur un commutateur distribu au niveau du groupe de ports distribu s ou du port 3 Assurez vous que tous les r seaux VLAN de chaque commutateur virtuel sont pleinement document s et que chaque commutateur virtuel dispose de tous les VLAN requis et des VLAN seulement n cessaires VMware Inc 239 S curit vSphere Cr er une DMZ r seau sur un h te ESXi La cr ation d une zone d militaris e DMZ r seau sur un h te est un exemple d utilisation des fonctions d isolation et de mise en r seau virtuel d ESXi pour configurer un environnement s curis
114. sera assign e Utilisateur R seau Assigner un r seau reseau ou Administrateur Faire un snapshot de Sur la machine virtuelle ou un dossier des machines virtuelles Utilisateur machine virtuelle Machine virtuelle Gestion des snapshots Cr er un snapshot avanc de machines virtuelles ou Administrateur Sur la banque de donn es de destination ou le dossier des banques de Utilisateur de donn es banque de Banque de donn es Allouer de l espace donn es ou Administrateur D placer une machine Sur la machine virtuelle ou le dossier des machines virtuelles Administrateur virtuelle dans un pool de m Ressource Attribuer une machine virtuelle au pool de ressources ressources m Machine virtuelle Inventaire D placer Sur le pool de ressources de destination Administrateur Ressource Attribuer une machine virtuelle au pool de ressources Installer un syst me Sur la machine virtuelle ou le dossier des machines virtuelles Utilisateur d exploitation h te sur une Machine virtuelle Interaction R pondre une question avanc de machine virtuelle Machine virtuelle Interaction Interaction avec une console us i Eve virtuelles ou Machine virtuelle Interaction Connexion de p riph rique Administrateur Machine virtuelle Interaction Mettre hors tension Machine virtuelle Interaction Mettre sous tension Machine virtuelle Interaction R initialiser Machine virtuelle Interaction Configurer un support CD en cas d installation pa
115. service control Utiliser des certificats tiers avec vSphere Si votre entreprise le pr voit vous pouvez remplacer tous les certificats utilis s dans vSphere par des certificats tiers sign s par une autorit de certification Dans ce cas VMCA ne fait pas partie de votre cha ne de certificats mais tous les certificats vCenter doivent tre stock s dans VECS Vous pouvez remplacer tous les certificats ou utiliser une solution hybride Par exemple envisagez de remplacer tous les certificats qui sont utilis s pour le trafic r seau mais de conserver les certificats d utilisateurs de la solution sign s par VMCA Les certificats d utilisateurs de la solution sont utilis s uniquement des fins d authentification de vCenter Single Sign On sur place REMARQUE Si vous ne souhaitez pas utiliser VMCA vous devrez remplacer vous m me tous les certificats fournir de nouveaux composants avec des certificats et g rer l expiration des certificats Proc dure 1 Demander des certificats et importer un certificat racine personnalis page 101 Si la strat gie de l entreprise n autorise pas d autorit de certification interm diaire VMCA ne peut pas g n rer les certificats pour vous Utilisez des certificats personnalis s d une autorit de certification d entreprise ou tierce 2 Remplacer les certificats SSL de machine par des certificats personnalis s page 102 Apr s avoir re u les certificats personnalis s vous pouvez remplacer
116. service marketing pour publier le contenu du site Web de l entreprise pour effectuer des t l chargements et pour g rer des services tels que des forums utilisateur Puisque ces r seaux sont s par s du r seau externe 1 et du r seau interne 2 et que les machines virtuelles n ont pas de point de contact partag commutateurs ou adaptateurs il n y a aucun risque d attaque de ou vers le serveur FTP ou le groupe de machines virtuelles internes Gr ce l isolation des machines virtuelles la bonne configuration des commutateurs virtuels et la s paration des r seaux l administrateur syst me peut inclure les trois zones de machines virtuelles sur le m me h te ESXi et tre rassur quant l absence de violations de donn es ou de ressources L entreprise met en uvre l isolation au sein des groupes de machines virtuelles via l utilisation de plusieurs r seaux internes et externes et via la s paration des commutateurs virtuels et des adaptateurs r seau physiques de chaque groupe Aucun des commutateurs virtuels ne fait le lien entre les diff rentes zones de machines virtuelles l administrateur syst me peut donc liminer tout risque de fuite de paquets d une zone l autre Au niveau de sa conception m me un commutateur virtuel ne peut pas transmettre directement des paquets vers un autre commutateur virtuel Pour acheminer des paquets d un commutateur virtuel vers un autre les conditions suivantes doivent tre r uni
117. shell par exemple le moment o le shell a t activ Authentification Var log auth log Contient tous les v nements relatifs l authentification pour le syst me local Messages syst me Var log syslog log Contient tous les messages g n raux du journal et peut tre utilis en cas de d pannage Ces informations taient pr c demment situ es dans le fichier journal des messages Machines virtuelles Le m me r pertoire que les fichiers de configuration de la machine virtuelle appel s vmware log et vmware log Par exemple vmfs volumes datastor e virtual machine vwmare log Contient les v nements d alimentation de la machine virtuelle les informations relatives aux d faillances syst me la synchronisation horaire les modifications virtuelles du mat riel les migrations vMotion les clones de machines etc Trafic de la journalisation de la tol rance aux pannes Lorsque vous activez Fault Tolerance FT VMware vLockstep capture les entr es et les v nements qui se produisent sur une machine virtuelle principale et les transmet la machine virtuelle secondaire qui est ex cut e sur un autre h te Le trafic de la journalisation entre les machines virtuelles primaires et secondaires est chiffr et contient un r seau client et des donn es E S de stockage ainsi que le contenu de la m moire du syst me d exploitation invit Ce trafic peut inclure des donn es sensi
118. soit de mani re h rit e Tableau 10 2 Privil ges Auto Deploy Nom de privil ge Auto Deploy H te Associer une machine Description Permet aux utilisateurs d ex cuter une commande PowerCLI qui associe un h te une machine Requis sur vCenter Server Auto Deploy Profil d image Cr er Permet de cr er des profils d image vCenter Server Auto Deploy Profil d image Modifier Permet de modifier des profils d image vCenter Server Auto Deploy R gle Cr er Permet de cr er des r gles Auto Deploy vCenter Server Auto Deploy R gle Supprimer Permet de supprimer des r gles Auto Deploy vCenter Server Auto Deploy R gle Supprimer Permet de modifier des r gles Auto Deploy vCenter Server Auto Deploy Ensemble de r gles Activer Permet d activer des ensembles de r gles Auto Deploy vCenter Server Auto Deploy Ensemble de r gles Modifier Permet de modifier des ensembles de r gles Auto Deploy vCenter Server Privil ges de certificats Les privil ges de certificats d terminent les utilisateurs pouvant g rer les certificats d ESXi Ce privil ge d termine qui peut effectuer la gestion de certificats pour les h tes ESXi Reportez vous Privil ges requis pour les op rations de gestion de certificats page 108 pour plus d informations sur la gestion de certificats vCenter Server Vous pouvez d finir ce privil ge diff rents niveau
119. sont ou non authentifi s VMware Inc 31 S curit vSphere 32 Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Acc dez Administration gt Single Sign On gt Configuration 3 Dans l onglet Sources d identit s lectionnez une source d identit puis cliquez sur l ic ne D fini comme domaine par d faut Dans l affichage des domaines le domaine par d faut est marqu de la mention par d faut dans la colonne Domaine Ajouter une source d identit de vCenter Single Sign On Les utilisateurs peuvent se connecter vCenter Server uniquement s ils se trouvent dans un domaine qui a t ajout comme source d identit vCenter Single Sign On Les utilisateurs administrateurs de vCenter Single Sign On peuvent ajouter des sources d identit partir de vSphere Web Client Une source d identit peut tre un domaine Active Directory natif authentification Windows int gr e ou un service d annuaire OpenLDAP Pour des raisons de compatibilit descendante Active Directory comme serveur LDAP est galement disponible Reportez vous Sources d identit pour vCenter Server avec vCenter Single Sign On page 30 Imm diatement apr s l installation les
120. sources d identit et utilisateurs par d faut suivants sont disponibles localos Tous les utilisateurs du syst me d exploitation local Si vous effectuez une mise niveau les utilisateurs qui peuvent d j s authentifier peuvent toujours le faire L utilisation de la source d identit localos n est pas justifi e dans les environnements qui utilisent Platform Services Controller vsphere local Contient les utilisateurs internes de vCenter Single Sign On Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Acc dez Administration gt Single Sign On gt Configuration 3 Dans l onglet Sources d identit cliquez sur l ic ne Ajouter source d identit 4 S lectionnez le type de source d identit et entrez les param tres de source d identit Option Description Active Directory authentification Utilisez cette option pour les mises en uvre Active Directory natives Si Windows int gr e vous souhaitez utiliser cette option la machine sur laquelle le service vCenter Single Sign On s ex cute doit se trouver dans un domaine Active Directory Reportez vous la section Param tres de source d identit Active Directory page 33 Active Directory comme
121. start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad Ajoutez le nouveau certificat VECS Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles ci puissent communiquer sur SSL Vous devez d abord supprimer l entr e existante puis ajouter la nouvelle entr e vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert machinel cert key machinel priv Red marrez tous les services service control start all Exemple Remplacement des certificats SSL de la machine par des certificats sign s par VMCA 1 82 Cr ez un fichier de configuration pour le certificat SSL et enregistrez le sous le nom ssl config cfg dans le r pertoire actuel Country US Name vmca lt PSC FQDN example gt Organization lt my_company gt OrgUnit lt my_company Engineering gt State lt my_state gt Locality lt mytown gt Hostname lt FQDN gt G n rez une paire de cl s pour le certificat SSL de machine Ex cutez cette commande sur chaque n ud de gestion et n ud Platform Services Controller elle ne requiert pas d option server C gt C Program Files VMware vCenter Server vmcad certool genkey privkey ssl key priv pubkey ss1 key pub Le
122. support CD Permet de configu rer un DVD virtuel ou un lecteur de CD ROM Machines virtuelles Machine virtuelle Interaction Configurer un support de disquette Permet de configu rer un p riph rique de disquet tes virtuel Machines virtuelles 282 VMware Inc Tableau 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction Interaction avec une console Descri ption Permet d inter agir avec la souris virtuell e le clavier et l cran de la machin e virtuell e Chapitre 10 Privil ges d finis Requis sur Machines virtuelles Machine virtuelle Interaction Cr er une capture d cran Permet de cr er une capture d cran de machin e virtuell e Machines virtuelles Machine virtuelle Interaction D fragmenter tous les disques Permet de d frag menter des op rati ons sur tous les disque s sur la machin e virtuell e Machines virtuelles Machine virtuelle Interaction Connexion de p riph rique Permet de modifi er l tat connec t des p riph riques virtuels d conn ectable s d une machin e virtuell e Machines virtuelles VMware Inc 283 S curit vSphere Tableau 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction D sactiver Fault Tolerance Descri ption Permet de d sacti ver la machin e virtuell e seco
123. sur les comptes Active Directory utilisateurs et groupes et sur les comptes locaux ESXi utilisateurs uniquement l aide des commandes de gestion des autorisations ESXCLI REMARQUE Si vous d finissez un utilisateur pour l h te ESXi en le connectant directement l h te et qu il existe un utilisateur de m me nom dans vCenter Server ces deux utilisateurs sont distincts Si vous attribuez un r le l un des utilisateurs il n est pas attribu l autre utilisateur VMware Inc 183 S curit vSphere Privil ges de l utilisateur racine Par d faut chaque h te ESXi dispose d un compte d utilisateur racine unique ayant le r le Administrateur Ce compte d utilisateur racine peut tre utilis pour l administration locale et pour connecter l h te vCenter Server Ce compte racine commun peut simplifier la p n tration dans un h te ESXi et complique la mise en correspondance d actions un administrateur sp cifique D finissez un mot de passe tr s complexe pour le compte racine et limitez l utilisation de ce compte par exemple pour une utilisation lors de l ajout d un h te vCenter Server Ne supprimez pas le compte racine Dans vSphere 5 1 et versions ult rieures seul l utilisateur racine aucun autre utilisateur nomm disposant du r le Administrateur est autoris ajouter un h te vCenter Server Il convient de s assurer que tout compte disposant du r le Administrateur sur un h te ESXi est attri
124. te peuvent ralentir les performances quilibrez vos besoins en s curit par rapport aux objectifs de performances avant d installer des pare feu h berg s sur h te sur des machines virtuelles ailleurs dans le r seau virtuel Reportez vous la section S curisation du r seau avec des pare feu page 231 Segmentation Conservez diff rentes zones de machines virtuelles au sein d un h te sur diff rents segments du r seau Si vous isolez chaque zone de machines virtuelles sur leur propre segment de r seau vous r duisez le risque de fuite de donn es d une zone de machines virtuelles la suivante La segmentation emp che diverses menaces y compris l usurpation d adresse ARP Address Resolution Protocol dans laquelle un attaquant manipule la table ARP pour remapper les adresses MAC et IP obtenant ainsi acc s au trafic r seau de et vers un h te Les pirates utilisent la falsification de la r ponse ARP ARP spoofing pour g n rer des attaques Man in the Middle MITM effectuer des attaques par d ni de service DoS pirater le syst me cible ou perturber le r seau virtuel La planification soign e de la segmentation r duit les chances de transmissions de paquets entre les zones de machines virtuelles ce qui emp che les attaques de reniflement qui n cessitent l envoi de trafic r seau la victime Par cons quent un attaquant ne peut pas utiliser un service non s curis sur une zone de machines virtuelles po
125. un nom d h te Par exemple vous pouvez tiqueter le commutateur comme tant interne pour indiquer qu il est d di la mise en r seau interne Vous ne pouvez pas modifier l tiquette d un commutateur virtuel standard Documenter et v rifier l environnement VLAN vSphere V rifiez votre environnement VLAN r guli rement pour viter les probl mes Documentez enti rement l environnement VLAN et assurez vous que les ID VLAN ne sont utilis s qu une seule fois Votre documentation peut simplifier le d pannage et est essentielle lorsque vous souhaitez d velopper l environnement Proc dure 1 VMware Inc Assurez vous que tous les vSwitch et ID VLAN sont enti rement document s Si vous utilisez le balisage VLAN sur un commutateur virtuel les ID doivent correspondre aux ID des commutateurs VLAN externes en amont Si les ID VLAN ne sont pas enti rement suivis une r utilisation erron e d ID peut permettre l tablissement de trafic entre des machines physiques et virtuelles non appropri es De m me si les ID VLAN sont erron s ou manquants le trafic entre les machines physiques et virtuelles peut tre bloqu un endroit o le trafic devrait normalement passer Assurez vous que les ID VLAN pour tous les groupes de ports virtuels distribu s instances de dvPortgroup sont enti rement document s Si vous utilisez le balisage VLAN sur un dvPortgroup les ID doivent correspondre aux ID des commutateurs VLAN externes en a
126. une machine virtuelle Nom de privil ge Description Pertinent sur l objet Machine Autorise les op rations d invit d une machine virtuelle impliquant la Machines virtuelles virtuelle Op rations modification de l alias de la machine virtuelle invit Modifications de l alias d op ration invit Machine Autorise les op rations d invit d une machine virtuelle impliquant Machines virtuelles virtuelle Op rations l interrogation de l alias de la machine virtuelle invit Requ te d alias d op ration invit Machine Autorise les op rations de syst me invit d une machine virtuelle Machines virtuelles virtuelle Op rations impliquant des modifications apport es au syst me d exploitation invit Modifications invit d une machine virtuelle telles que le transfert d un fichier vers d op ration invit la machine virtuelle Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge Machine Autorise les op rations de syst me invit d une machine virtuelle Machines virtuelles virtuelle Op rations impliquant l ex cution d un programme dans la machine virtuelle invit Ex cution d un Aucun l ment d interface utilisateur de vSphere Web Client n est programme d op ration associ ce privil ge invit Machine Autorise les op rations de syst me invit d une machine virtuelle Machines virtuelles virtuelle Op rations impliquant l interrogation du syst me d exploi
127. utilisateurs de vCenter Server Vous pouvez galement pour d terminer si les certificats sp cifier Empreinte ou existants sont remplac s Personnalis Reportez vous Modifiez ce mode pour Changer le mode de conserver les certificats certificat page 160 personnalis s pendant la mise niveau Reportez vous Mises niveau d h tes et certificats page 154 Afficher les informations d expiration de certificat pour plusieurs h tes ESXi Si vous utilisez ESXi 6 0 ou version ult rieure vous pouvez afficher l tat du certificat de tous les h tes g r s par votre syst me vCenter Server Cet affichage vous permet de d terminer si l un des certificats est sur le point d expirer Vous pouvez afficher des informations sur l tat d un certificat pour les h tes qui utilisent le mode VMCA ainsi que pour ceux qui utilisent le mode personnalis dans vSphere Web Client Il n est pas possible d afficher des informations sur l tat du certificat pour les h tes en mode Empreinte Proc dure 1 Acc dez l h te dans la hi rarchie de l inventaire de vSphere Web Client Par d faut l affichage des h tes n inclut pas l tat du certificat 2 Cliquez avec le bouton droit sur le champ Nom et s lectionnez l option Afficher masquer les colonnes 3 S lectionnez Certificat valide pour cliquez sur OK et faites d filer vers la droite si n cessaire Les informations relatives au certificat s affichent lorsque le certific
128. utilisateurs et de groupes sont stock es dans Active Directory OpenLDAP ou localement dans le syst me d exploitation de la machine sur laquelle vCenter Single Sign On est install Apr s l installation chaque instance de vCenter Single Sign On dispose de la source d identit your_domain_name par exemple vsphere local Cette source d identit est interne vCenter Single Sign On Un administrateur vCenter Single Sign On peut ajouter des sources d identit d finir la source d identit par d faut et cr er des utilisateurs et des groupes dans la source d identit vsphere local Types de sources d identit Les versions de vCenter Server ant rieures la version 5 1 prenaient en charge les utilisateurs Active Directory et les utilisateurs du syst me d exploitation local en tant que r f rentiels d utilisateurs Par cons quent les utilisateurs du syst me d exploitation local peuvent toujours s authentifier dans le syst me vCenter Server vCenter Server version 5 1 et version 5 5 utilisent vCenter Single Sign On pour l authentification Pour obtenir la liste des sources d identit prises en charge par vCenter Single Sign On 5 1 reportez vous la documentation de vSphere 5 1 vCenter Single Sign On 5 5 prend en charge les types de r f rentiels d utilisateurs suivants en tant que sources d identit mais ne prend en charge qu une source d identit par d faut m Active Directory 2003 et les versions ult rieures S affiche comm
129. utilisateurs exceptionnels est destin e aux comptes de service tels qu un agent de sauvegarde m Les utilisateurs d finis dans l option avanc e DCUI Access de l h te Cette option peut tre utilis e pour activer l acc s en cas de d faillance irr m diable VMware Inc 179 S curit vSphere Pour ESXi 6 0 et versions ult rieures les autorisations des utilisateurs sont conserv es lorsque vous activez le mode de verrouillage et restaur es lorsque vous d sactivez ce mode dans l interface de console directe REMARQUE Si vous mettez niveau un h te en mode de verrouillage vers ESXi 6 0 sans quitter le mode de verrouillage puis que vous quittez ce mode apr s la mise niveau toutes les autorisations d finies avant que l h te n entre en mode de verrouillage sont perdues Le syst me attribue le r le d administrateur tous les utilisateurs qui se trouvent dans l option avanc e DCUI Access afin d assurer l acc s l h te Pour conserver les autorisations d sactivez le mode de verrouillage de l h te dans vSphere Web Client avant la mise niveau Proc dure 1 Dans l interface utilisateur de la console directe de l h te appuyez sur F2 et ouvrez une session 2 Faites d filer jusqu au param tre Configurer le mode verrouillage et appuyez sur Entr e pour modifier le param tre actuel 3 Appuyez sur chap jusqu ce que vous reveniez au menu principal de l interface utilisateur de console directe Sp ci
130. utilisateurs impliqu s sont connect s Les recherches font toutefois exception pour celles ci les modifications entrent en vigueur une fois que l utilisateur s est d connect puis reconnect VMware Inc 137 S curit vSphere R les personnalis s dans vCenter Server et ESXi Vous pouvez cr er des r les personnalis s pour vCenter Server et tous les objets qu il g re ou pour des h tes individuels R les personnalis s de Cr ez des r les personnalis s l aide des fonctionnalit s de modification de vCenter Server r les de vSphere Web Client afin de cr er des ensembles de privil ges recommand r pondant sp cifiquement vos besoins R les personnalis s Vous pouvez cr er des r les personnalis s pour des h tes individuels en d ESXi utilisant une ligne de commande ou vSphere Client Consultez la documentation de Gestion d un h te vSphere unique Les r les d h tes personnalis s ne sont pas accessibles partir de vCenter Server Si vous g rez des h tes ESXi au moyen de vCenter Server la conservation des r les personnalis s dans l h te et dans vCenter Server peut engendrer de la confusion et des utilisations abusives Dans la plupart des cas la d finition de r les de vCenter Server est recommand e Lorsque vous g rez un h te l aide de vCenter Server les autorisations associ es cet h te sont cr es via vCenter Server et stock es dans vCenter Server Si vous vous connectez directem
131. utilitaire sur tous les autres n uds et s lectionnez Remplacer les certificats SSL de machine par des certificats VMCA et Remplacer les certificats d utilisateurs de solution par des certificats VMCA Lorsque vous ex cutez cette commande vSphere Certificate Manager vous demande le mot de passe ainsi que les informations relatives au certificat et conserve toutes les informations l exception du mot de passe dans le fichier certool cfg Ensuite l arr t des services le remplacement de tous les certificats et le red marrage des processus sont automatiques Les informations suivantes vous sont demand es m Mot de passe pour administrator vsphere local m Code pays deux lettres m Nom dela soci t m Nom de l organisation m Unit d organisation m tat m Ville m adresse IP facultatif m E mail m Nom de l h te savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat VMware Inc Chapitre 3 Certificats de s curit vSphere m L adresse IP du Platform Services Controller si vous ex cutez la commande sur un n ud de gestion Pr requis Vous devez conna tre le nom de domaine complet de la machine pour laquelle vous souhaitez g n rer un nouveau certificat sign par VMCA Toutes les autres propri t s sont configur es par d faut sur les valeurs pr d finies L adresse IP est facultative Suivant Apr s avoir remplac le certificat racine dans un d ploiement n ud
132. vCenter Server vmafdd vecs cli entry create store machine alias machine cert new machine crt key machine key priv VMware Inc Chapitre 3 Certificats de s curit vSphere b Remplacez le certificat d utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store machine alias machine C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store machine alias machine cert new machine vc crt key machine vc key priv c Remplacez le certificat d utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store vpxd alias vpxd C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vpxd alias vpxd cert new vpxd crt key vpxd key priv d Remplacez le certificat d utilisateur de solution vpxd extension sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store vpxd extension alias vpxd extension C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vpxd extension alias vpxd extension cert new vpxd extension crt key vpxd extension key priv e Remplacez le certificat d utilisateur de solution vsphere webclient sur chaque n ud de gestion C gt C Program Files VMware vCenter Serv
133. vSphere Authentication Proxy 190 authentification de session Windows 36 authentification par carte puce activation 193 configuration 193 d sactivation 194 en mode de verrouillage 194 option de secours 194 Auto Deploy privil ges 263 s curit 202 vSphere Authentication Proxy 188 autorisation 125 126 autorisations administrateur 132 attribution 133 137 192 commutateurs distribu s 128 et privil ges 132 VMware Inc h ritage 128 131 132 ignorer 131 132 meilleures pratiques 140 modification 134 param tres 130 pr sentation 132 privil ges 275 suppression 134 utilisateur 184 utilisateur racine 132 vpxuser 132 autorisations de l utilisateur vpxuser 184 autorisations globales attribuer 136 autorit de certification 58 autorit de certification interm diaire Certificate Manager 71 autorit de certification interm diaire vSphere Web Client 67 Autorit de certification subordonn e Certificate Manager 71 autorit de certification tierce 101 Autorit de certification VMware 60 avertissement d expiration certificats 123 B balisage d invit virtuel 239 balises privil ges 273 banques de donn es privil ges 266 biblioth que de contenu privil ges 264 C cat gories privil ges 273 certificat personnalis Certificate Manager 75 certificat racine de tierce partie 88 99 106 certificat racine tiers 88 99 106 certificat racine vmca 79 certificat racine VMCA 88
134. virtuelle Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration a AeA OO N D finissez les param tres suivants sur TRUE en les ajoutant ou en les modifiant M isolation tools unity push update disable M isolation tools ghi launchmenu change M isolation tools memSchedFakeSampleStats disable M isolation tools getCreds disable M isolation tools ghi autologon disable M isolation bios bbs disable M isolation tools hgfsServerSet disable 6 Cliquez sur OK D sactiver les transferts de fichiers HGFS Certaines op rations telles que les mises niveau d outils automatis es utilisent le composant HGFS host guest file system de l hyperviseur Dans les environnement hautement s curis s vous pouvez d sactiver ce composant pour minimiser le risque d utilisation du syst me HGFS par un pirate pour transf rer des fichiers dans le syst me d exploitation invit Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b
135. virtuelles Lorsque vous attribuez des autorisations vous couplez un utilisateur ou un groupe avec un r le et associez ce couplage un objet d inventaire Un utilisateur ou groupe peut avoir diff rents r les pour diff rents objets de l inventaire Par exemple si l inventaire comprend deux pools de ressources le pool A et le pool B vous pouvez attribuer un utilisateur particulier le r le Utilisateur de machine virtuelle sur le pool A et le r le Lecture seule sur le pool B Ainsi il peut d marrer les machines virtuelles du pool A mais uniquement afficher les machines virtuelles du pool B vCenter Server fournit les r les syst me et les exemples de r les par d faut R les syst me Les r les syst me sont permanents Vous ne pouvez pas diter les privil ges li s ces r les R les mod les VMware fournit des exemples de r les pour certaines combinaisons r alis es fr quemment Vous pouvez cloner modifier ou supprimer ces r les REMARQUE Pour viter de perdre les param tres pr d finis dans un exemple de r le clonez d abord le r le puis modifiez le clone Vous ne pouvez pas r tablir les param tres par d faut de l exemple Les utilisateurs ne peuvent planifier des t ches que si leurs r les leur donnent des privil ges suffisants pour r aliser ces t ches au moment de leur cr ation REMARQUE Les modifications apport es aux r les et aux privil ges prennent effet imm diatement m me si les
136. vmware com kb 1318 m Synchroniser les horloges ESXi avec un serveur de temps r seau page 253 Avant d installer vCenter Server ou de d ployer vCenter Server Appliance assurez vous que toutes les horloges des machines de votre r seau vSphere sont synchronis es m Configuration des param tres de synchronisation horaire dans vCenter Server Appliance page 254 Vous pouvez modifier les param tres de synchronisation horaire dans vCenter Server Appliance apr s le d ploiement Synchroniser les horloges ESXi avec un serveur de temps r seau Avant d installer vCenter Server ou de d ployer vCenter Server Appliance assurez vous que toutes les horloges des machines de votre r seau vSphere sont synchronis es Cette t che explique comment configurer NTP depuis vSphere Client Vous pouvez galement utiliser la commande vCLI vicfg ntp Reportez vous la R f rence de l interface de ligne de commande de vSphere VMware Inc 253 S curit vSphere 254 Proc dure 1 D marrez vSphere Client et connectez vous l h te ESXi Dans l onglet Configuration cliquez sur Configuration de temps Cliquez sur Propri t s puis sur Options 2 3 4 S lectionnez Param tres NTP 5 Cliquez sur Add 6 Dans la bo te de dialogue Ajouter serveur NTP saisissez l adresse IP ou le nom de domaine complet du serveur NTP avec lequel effectuer la synchronisation 7 Cliquez sur OK L h te se synchronise avec le serveur NTP Configuration
137. 123 Client NTP 161 par d faut serveur SNMP 389 vCenter Single Sign On LDAP 6 0 et ult rieur 636 vCenter Single Sign On LDAPS 6 0 et ult rieur VMware Inc 213 S curit vSphere 214 Tableau 6 1 Ports TCP et UDP pour vCenter Server suite Port 443 par d faut Objectif Les syst mes vCenter Server utilisent le port 443 pour surveiller les transferts de donn es partir des clients SDK Ce port est galement utilis pour les services suivants m WS Management n cessite galement l ouverture du port 80 m Connexions clients de gestion de r seau tiers vCenter Server m Acc s clients de gestion de r seau tiers des h tes 902 par d faut Le port par d faut utilis par vCenter Server pour envoyer des donn es des h tes g r s Les h tes g r s envoient galement r guli rement un signal de pulsation par le port UDP 902 au syst me vCenter Server Ce port ne doit pas tre bloqu par les pare feu entre le serveur et les h tes ou entre les h tes 903 Transactions MKS xinetd vmware authd mks 1234 1235 par d faut vSphere Replication 2012 Port RPC du service d annuaire VMware vmdir 2014 Port RPC du service VMware Certificate Authority VMCA 2020 Port RPC du service VMware Authentication Framework vmafd 5900 5964 Protocole RFB qui est utilis par les outils de gestion tels que VNC 7444 vCenter Single S
138. 2 Cliquez sur l onglet G rer puis sur Param tres 3 Cliquez sur Param tres avanc s puis sur Modifier 4 Dans la zone Filtre entrez certmgmt pour afficher uniquement les param tres de gestion des certificats 5 Modifiez la valeur des param tres existants pour appliquer la strat gie de l entreprise puis cliquez sur OK Lors du prochain ajout d un h te vCenter Server les nouveaux param tres seront utilis s dans la demande CSR que vCenter Server enverra VMCA et dans le certificate attribu l h te Suivant Les modifications apport es aux m tadonn es des certificats affectent uniquement les nouveaux certificats Si vous souhaitez modifier les certificats d h tes d j g r s par le syst me vCenter Server vous pouvez d connecter et reconnecter les h tes Pr sentation des changements de mode de certificat partir de vSphere 6 0 les h tes ESXi sont provisionn s avec des certificats par VMCA par d faut Vous devez plut t utiliser le mode de certification personnalis e ou des fins de d bogage le mode d empreinte Dans la plupart des cas les changements de mode sont perturbateurs et ne sont pas n cessaires Si un changement de mode s impose valuez l impact potentiel avant de commencer Dans vSphere 6 0 et versions ult rieures vCenter Server prend en charge les modes de certificat suivants pour les h tes ESXi VMware Inc Chapitre 5 S curisation des h tes ESXi Tableau 5 4 Modes de cert
139. 226 d sactiver l utilisateur Single Sign On 44 d sactiver les op rations distantes sur une machine virtuelle 225 d tails d un certificat ESXi 156 d tails du certificat 158 dir cli remplacement des certificats 39 disques virtuels r duction 218 disquettes 221 Distributed Switches privil ges 267 DMZ 241 documentation VLAN 249 Domaine Active Directory authentification avec vCenter Server Appliance 50 VMware Inc domaine joint 189 domaine par d faut 29 domaines par d faut VCenter Single Sign On 31 donn es de performance d sactiver l envoi 259 dossiers privil ges 268 DvFilter 247 E empreintes h tes 212 entit s g r es autorisations 128 quilibrage de charge 52 Erreur Lookup Service 49 ESXi fichiers de journalisation 204 service syslog 203 ESXi Shell activation 197 199 configuration 197 connexions directes 201 connexions distantes 201 connexions SSH 195 d finition du d lai d expiration 199 d lais d attente 199 200 ouvrir une session 201 param trage du d lai d attente de disponibilit 198 param trage du d lai d inactivit 198 tablissement de liaison sso pour les utilisateurs de solution 20 tiquettes r seau 249 exemples de r les 137 exigences de mot de passe 29 149 Exigences relatives aux demandes de signature de certificat ESXi 162 expiration d un certificat 38 expiration du certificat 156 extensions privil ges 268 F Fault Tolerance FT
140. 4 Tapez un nouveau mot de passe et confirmez le Le mot de passe doit tre conforme la strat gie de mot de passe 5 Cliquez sur OK Recommandations en mati re de s curit pour vCenter Single Sign On Suivez les recommandations en mati re de s curit de vCenter Single Sign On afin de prot ger votre environnement vSphere L authentification vSphere 6 0 et l infrastructure de certificats am liorent la s curit de votre environnement vSphere Pour vous assurer que l infrastructure n est pas compromise suivez les recommandations pour vCenter Single Sign On V rifier l expiration du mot de passe Configurer NTP La strat gie de mot de passe de vCenter Single Sign On par d faut a une dur e de validit de 90 jours Au terme des 90 jours le mot de passe expire et la capacit de connexion est compromise V rifiez l expiration et actualisez les mots de passe r guli rement dans les d lais impartis Assurez vous que tous les syst mes utilisent la m me source d heure relative en int grant le d calage de localisation applicable et que la source d heure relative peut tre mise en corr lation avec une norme horaire accept e par exemple l heure UTC Coordinated Universal Time La synchronisation des syst mes est essentielle pour garantir la validit des certificats vCenter Single Sign On et celle d autres certificats vSphere NTP simplifie galement le suivi d un ventuel intrus dans les fichiers journau
141. 8 VMware Inc Ne pas acc der directement aux h tes g r s Administrer les h tes ESXi autonomes l aide de vSphere Client ou des API ou des interfaces de ligne de commande VMware N utilisez que des sources VMware pour mettre niveau les composants ESXi Chapitre 5 S curisation des h tes ESXi L ESXi Shell poss de un acc s privil gi certaines parties de l h te Octroyez un acc s de connexion ESXi Shell uniquement aux utilisateurs approuv s Utilisez vSphere Web Client pour administrer les h tes ESXi qui sont g r s par vCenter Server vitez d acc der aux h tes g r s directement avec vSphere Client et n apportez pas de modifications aux h tes g r s partir de l interface utilisateur DCUI Direct Console User Interface Si vous g rez les h tes l aide d une interface de script ou d une API ne ciblez pas directement l h te Ciblez plut t le syst me vCenter Server qui g re l h te et sp cifiez le nom de l h te Pour administrer vos h tes ESXi utilisez vSphere Client ou une API ou une interface de ligne de commande VMware Acc dez l h te via l interface DCUI ou ESXi Shell en tant qu utilisateur racine uniquement pour le d pannage Si vous choisissez d utiliser ESXi Shell limitez les comptes avec des droits d acc s et d finissez des d lais d expiration L h te utilise un grand nombre de produits tiers pour soutenir les interfaces de gestion ou les t ches de gestion ex
142. AN sont incorrects ou manquants le trafic risque de ne pas tre transmis entre les machines physiques et virtuelles V rifiez l absence de ports inutilis s sur un groupe de ports virtuels associ un vSphere Distributed Switch Attribuez un libell chaque vSphere Distributed Switch Les vSphere Distributed Switches associ s un h te ESXi n cessitent un champ pour le nom du commutateur Ce libell sert de descripteur fonctionnel du commutateur de m me qu un nom d h te associ un commutateur physique Le libell du vSphere Distributed Switch indique la fonction ou le sous r seau IP du commutateur Par exemple vous pouvez attribuer le libell interne au commutateur pour indiquer qu il est destin uniquement la mise en r seau interne d un commutateur virtuel priv de machine virtuelle sans liaison avec des adapteurs r seau physiques D sactivez le contr le de sant du r seau pour vos vSphere Distributed Switches si vous ne l utilisez pas activement Le contr le de sant du r seau est d sactiv par d faut Une fois qu il est activ les paquets de contr le de sant contiennent des informations sur l h te le commutateur et le port susceptibles d tre utilis es par un pirate N utilisez le contr le de sant du r seau que pour le d pannage et d sactivez le lorsque le d pannage est termin Prot gez le trafic virtuel contre l emprunt d identit et les attaques de couche 2 d interception e
143. Chapitre 3 Certificats de s curit vSphere 5 Ajoutez le nouveau certificat VECS Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles ci puissent communiquer sur SSL Vous devez d abord supprimer l entr e existante puis ajouter la nouvelle entr e vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert machinel cert key machinel priv 6 Red marrez tous les services service control start all Exemple Remplacement des certificats SSL de machine VMCA est l autorit de certification interm diaire 1 Cr ez un fichier de configuration pour le certificat SSL et enregistrez le sous le nom ssl config cfg dans le r pertoire actuel Country US Name vmca lt PSC FQDN example gt Organization VMware OrgUnit VMware Engineering State California Palo Alto Hostname lt FQDN gt Locality 2 G n rez une paire de cl s pour le certificat SSL de machine Ex cutez cette commande sur chaque n ud de gestion et n ud Platform Services Controller elle ne requiert pas d option server C gt C Program Files VMware vCenter Server vmcad certool genkey privkey ssl key priv pubkey ss1 key pub Les fichiers ssl key priv et ssl key pub sont cr s dans le r pertoire actuel 3 G n rez le nouveau certificat SSL de machine Ce certificat est sign
144. Configuration Ajou ter un nouveau disque Permet la cr ation d un disque virtuel ajouter une machine virtuelle Machines virtuelles Machine virtuelle Configuration Ajou ter ou supprimer un p riph rique Permet l ajout ou la suppression de n importe quel p riph rique non disque Machines virtuelles Machine virtuelle Configuration Ava nc e Permet l ajout ou la modification de param tres avanc s dans le fichier de configuration de la machine virtuelle Machines virtuelles Machine Permet de changer le nombre de CPU virtuelles Machines virtuelles virtuelle Configuration Mod ifier le nombre de CPU Machine Permet la modification de la configuration des ressources d un Machines virtuelles virtuelle Configuration Mod ifier une ressource ensemble de n uds de machine virtuelle dans un pool de ressources donn Machine virtuelle Configuration Conf igurer managedBy Permet une extension ou une solution de marquer une machine virtuelle comme tant g r e par cette extension ou solution Machines virtuelles Machine virtuelle Configuration Suiv i des changements de disques Permet l activation ou la d sactivation du suivi des modifications des disques de la machine virtuelle Machines virtuelles Machine virtuelle Configuration Bail de disque Permet des op rations de bail de disque pour une machine virtuelle Machines virtuelles Machine virtuelle Confi
145. ESXi Shell pour renforcer la s curit quand vous activez le shell La valeur du d lai d attente de disponibilit correspond au temps qui peut s couler avant de vous connecter suite l activation de ESXi Shell Lorsque le d lai est coul le service est d sactiv et les utilisateurs ne peuvent plus se connecter Proc dure 1 Dans le menu des options de mode de d pannage s lectionnez Modifier les d lais d ESXi Shell et de SSH et cliquez sur Entr e 2 Entrez le d lai d attente de disponibilit Vous devez red marrer le service SSH et le service ESXi Shell pour que le d lai soit pris en compte 3 Appuyez sur Entr e et chap jusqu ce que vous reveniez au menu principal de l interface utilisateur de console directe 4 Cliquez sur OK Si vous avez ouvert une session au moment de l expiration de ce d lai elle restera ouverte Cependant une fois que vous vous tes d connect ou que votre session est termin e les utilisateurs ne sont plus autoris s se connecter Cr er un d lai d expiration pour des sessions ESXi Shell inactives Si un utilisateur active ESXi Shell sur un h te mais oublie de se d connecter de la session la session inactive demeure connect e ind finiment La connexion ouverte peut augmenter les possibilit s qu une personne obtienne un acc s privil gi l h te Vous pouvez viter cela en param trant un d lai d expiration des sessions inactives Le d lai d inactivit correspon
146. Files VMware vCenter Server vmafdd vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert new vmca ssl crt key ssl key priv m Sur chaque n ud de gestion ou d ploiement int gr ex cutez la commande suivante pour mettre jour le certificat SSL de machine dans le magasin MACHINE_SSL_CERT Vous devez mettre jour le certificat de chaque machine s par ment En effet chaque machine poss de un nom de domaine complet qui lui est propre C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert new vmca ssl crt key ssl key priv Suivant Vous pouvez galement remplacer les certificats de vos h tes ESXi Reportez vous Gestion de certificats pour les h tes ESXi page 152 Apr s avoir remplac le certificat racine dans un d ploiement n uds multiples vous devez red marrer les services sur tous les noeuds vCenter Server avec une instance de Platform Services Controller externe Remplacer les certificats d utilisateurs de solution autorit de certification interm diaire Une fois que vous avez remplac les certificats SSL de la machine vous pouvez remplacer les certi
147. Mware Chaque syst me d exploitation a une m thode et un outil diff rents pour v rifier les sommes MD5 Pour Linux utilisez la commande md5sum Pour Microsoft Windows vous pouvez t l charger un produit compl mentaire Par d faut un h te ESXi ne prend pas en charge la v rification des listes de r vocation de certificats CRL Vous devez rechercher et supprimer manuellement les certificats r voqu s Ce sont g n ralement des certificats personnalis s g n r s par une autorit de certification d entreprise ou une autorit tierce La plupart des entreprises d veloppent des scripts pour trouver et remplacer les certificats SSL r voqu s sur l h te ESXi Le groupe Active Directory utilis par vSphere est d fini par le param tre syst me avanc plugins hostsvc esxAdminsGroup Par d faut cette option est d finie sur ESX Admins Tous les membres du groupe ESX Admins obtiennent un acc s administratif complet tous les h tes ESXi du domaine Surveillez Active Directory pour la cr ation de ce groupe et limitez l appartenance aux utilisateurs et aux groupes hautement approuv s Bien que la plupart des param tres de configuration ESXi soient contr l s par une API un nombre limit de fichiers de configuration affecte l h te directement Ces fichiers sont expos s par l API de transfert de fichiers vSphere qui utilise HTTPS Si vous apportez des modifications ces fichiers vous devez galement effectuer l action
148. Proc dure 1 Faites une copie de certool cfg pour toutes les machines ayant besoin d un nouveau certificat Vous pouvez rechercher certool cfg dans l un des emplacements suivants Windows C Program Files VMware vCenter Server vmcad Linux usr lib vmware vmca share config 2 Modifiez le fichier de configuration personnalis e de chaque machine pour inclure le nom de domaine complet de la machine Ex cutez NSLookup sur l adresse IP de la machine pour voir le nom figurant dans la liste DNS et utilisez ce nom pour le champ Hostname du fichier 3 G n rez une paire de fichiers de cl publique priv e et un certificat pour chaque machine en transmettant le fichier de configuration que vous venez de personnaliser Par exemple certool genkey privkey machinel priv pubkey machine1 pub certool gencert privkey machinel priv cert machine42 crt Name Machine42_Cert config machinel cfg 4 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad VMware Inc
149. Reportez vous Rafra chir le certificat racine du service d mission de jeton de s curit STS page 37 Si vous utilisez des certificats personnalis s il se peut que vous deviez remplacer le certificat SSL du service d annuaire VMware de fa on explicite Reportez vous Remplacer le certificat de service d annuaire VMware page 99 VMCA et VMware Core Identity Services Les services d identit de base font partie de chaque d ploiement int gr et de chaque n ud de services de plate forme VMCA fait partie de chaque groupe de services d identit de base VMware Utilisez l interface de ligne de commande de gestion et vSphere Web Client pour interagir avec ces services Les services d identit de base VMware regroupent plusieurs composants Tableau 3 3 Services d identit de base Service Service d annuaire VMware vmdir Description Inclus dans Prend en charge la gestion des certificats SAML Platform Services Controller pour l authentification conjointement avec D ploiement int gr vCenter Single Sign On Autorit de certification VMware VMCA met des certificats pour les utilisateurs de Platform Services Controller solutions VMware des certificats pour les D ploiement int gr machines sur lesquelles les services sont ex cut s et des certificats h tes ESXi VMCA peut tre utilis tel quel ou comme autorit de certification interm diaire VMCA met des certificats uniquemen
150. S curit vSphere Mise jour 1 ESXi 6 0 vCenter Server 6 0 Ce document prend en charge la version de chacun des produits r pertori s ainsi que toutes les versions publi es par la suite jusqu au remplacement dudit document par une nouvelle dition Pour rechercher des ditions plus r centes de ce document rendez vous sur http www vmware com fr support pubs FR 001824 00 vmware S curit vSphere Vous trouverez la documentation technique la plus r cente sur le site Web de VMware l adresse http www vmware com fr support Le site Web de VMware propose galement les derni res mises jour des produits N h sitez pas nous transmettre tous vos commentaires concernant cette documentation l adresse suivante docfeedback vmware com Copyright 2009 2015 VMware Inc Tous droits r serv s Copyright et informations sur les marques VMware Inc VMware Inc 3401 Hillview Ave 100 101 Quartier Boieldieu Palo Alto CA 94304 92042 Paris La D fense Www vmware com France www vmware com fr 2 VMware Inc Table des mati res propos de la s curit de vSphere 7 1 S curit dans l environnement vSphere 9 S curisation de l hyperviseur ESXi 9 S curisation des syst mes vCenter Server et services associ s 11 S curisation des machines virtuelles 12 S curisation de la couche de mise en r seau virtuelle 13 Mots de passe dans votre environnement vSphere 14 Meilleures pratiques en mati
151. Sphere l aide de vCenter Single Sign On V rifiez que chaque contr leur de domaine dispose d un enregistrement de pointeur PTR dans le service DNS du domaine Active Directory et que les informations de l enregistrement PTR correspondent au nom DNS du contr leur Lors de l utilisation de vCenter Server Appliance vous pouvez ex cuter les commandes suivantes pour effectuer la t che a Pour r pertorier les contr leurs de domaine ex cutez la commande suivante dig SRV _1dap _tcp my ad com Les adresses appropri es sont situ es dans answer section comme dans l exemple suivant ANSWER SECTION _ldap _tcp my ad com my controller my ad com b Pour chaque contr leur de domaine v rifiez la r solution directe et inverse en ex cutant la commande suivante dig my controller my ad com Les adresses appropri es sont situ es dans answer section comme dans l exemple suivant ANSWER SECTION my controller my ad com IN A controller IP address dig x lt controller IP address gt Les adresses appropri es sont situ es dans answer section comme dans l exemple suivant ANSWER SECTION IP in reverse in addr arpa C IN PTR my controller my ad com Si cela ne r sout pas le probl me supprimez vCenter Server Appliance du domaine Active Directory puis rejoignez le domaine Consultez la documentation de Configuration de vCenter Server Appliance Fermez toutes les sessions de naviga
152. Sphere m Certificat personnalis SSL valide de la machine fichier crt m Cl personnalis e SSL valide de la machine fichier key m Certificat personnalis valable pour Root fichier crt m Si vous ex cutez la commande sur un noeud vCenter Server avec une instance de Platform Services Controller externe dans un d ploiement plusieurs noeuds l adresse IP de Platform Services Controller Pr requis Vous devez avoir re u de votre autorit de certification tierce ou d entreprise un certificat pour chaque machine m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format CRT m x509 version 3 m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment Proc dure 1 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad 2 Connectez vous chaque n ud et ajoutez VECS les nouveaux certificats de machine que vous avez re us de l autorit de certificatio
153. Sur Platform Services Controller ex cutez la commande suivante pour mettre jour le certificat SSL de machine dans le magasin MACHINE_SSL_CERT C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert new vmca ssl crt key ssl key priv m Sur chaque n ud de gestion ou d ploiement int gr ex cutez la commande suivante pour mettre jour le certificat SSL de machine dans le magasin MACHINE_SSL_CERT Vous devez mettre jour le certificat de chaque machine s par ment En effet chaque machine poss de un nom de domaine complet qui lui est propre C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert new vmca ssl crt key ssl key priv Suivant Vous pouvez galement remplacer les certificats de vos h tes ESXi Reportez vous Gestion de certificats pour les h tes ESXi page 152 VMware Inc 83 S curit vSphere 84 Apr s avoir remplac le certificat racine dans un d ploiement n uds multiples vous devez red marrer les services sur tous les noeuds vCenter Server avec une instance de Platform Services Contr
154. VLAN ou des segments de r seau s par s du r seau de gestion VMkernel pour emp cher les utilisateurs non autoris s d afficher le trafic Isoler le trafic VMotion Les informations de migration VMotion sont transmises en texte brut Toute personne ayant acc s au r seau sur lequel ces informations circulent peut les voir Les pirates potentiels peuvent intercepter du trafic vMotion pour obtenir le contenu de la m moire d une machine virtuelle Ils peuvent galement pr parer une attaque MiTM dans laquelle le contenu est modifi pendant la migration S parez le trafic VMotion du trafic de production sur un r seau isol Configurez le r seau de mani re qu il soit non routable c est dire assurez vous qu aucun routeur de niveau 3 n tend ce r seau et d autres r seaux pour emp cher un acc s au r seau de l ext rieur VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere Le groupe de ports VMotion doit se trouver dans un r seau VLAN d di sur un vSwitch commun vSwitch peut tre partag avec le trafic de production machine virtuelle condition que le VLAN du groupe de ports VMotion ne soit pas utilis par des machines virtuelles de production VMware Inc 251 S curit vSphere 252 VMware Inc Meilleures pratiques concernant plusieurs composants vSphere Certaines meilleures pratiques en mati re de s curit telles que la configuration de NTP dans votre environnement affectent plusieurs
155. VMware vCenter Server vmafdd dir cli service update name machine 29a45d00 60a7 11e4 96ff 00505689639a cert new machine 1 crt Remplacez le certificat de machine dans vmdir sur chaque n ud de gestion Par exemple si machine 6fd7f140 60a9 11e4 9e28 005056895a69 correspond l utilisateur de solution de machine sur vCenter Server ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name machine 6fd7f140 60a9 11e4 9e28 005056895a69 cert new machine 2 crt Remplacez le certificat d utilisateur de solution vpxd dans vmdir sur chaque n ud de gestion Par exemple si vpxd 6fd7f140 60a9 1 1e4 9e28 005056895a69 correspond l ID d utilisateur de solution vpxd ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vpxd 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vpxd crt Remplacez le certificat d utilisateur de solution vpxd extension dans vmdir sur chaque n ud de gestion Par exemple si vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 correspond l ID d utilisateur de solution vpxd extension ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vpxd extension crt Remplacez le certificat d utilisateur de solution vsphere webclient sur chaque n ud de gestion Par exemple si vsp
156. a ligne de commande vous tes invit le faire 5 Red marrez tous les services service control start all Suivant Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la strat gie de l entreprise l exige Si vous le faites vous devez actualiser ces certificats internes m Remplacez le certificat de signature vCenter Single Sign On Reportez vous Rafra chir le certificat racine du service d mission de jeton de s curit STS page 37 m Remplacez le certificat de service d annuaire VMware Reportez vous Remplacer le certificat de service d annuaire VMware page 99 Remplacer les certificats SSL de machine par des certificats personnalis s Apr s avoir re u les certificats personnalis s vous pouvez remplacer chaque certificat de machine Chaque machine doit avoir un certificat SSL de machine pour la communication s curis e avec d autres services Dans un d ploiement n uds multiples vous devez ex cuter les commandes de g n ration de certificat SSL de la machine sur chaque n ud Utilisez le param tre server pour d signer Platform Services Controller partir d un noeud vCenter Server avec une instance de Platform Services Controller externe Vous devez disposer des informations suivantes avant de pouvoir commencer remplacer les certificats m Mot de passe pour administrator vsphere local VMware Inc Chapitre 3 Certificats de s curit v
157. acement dans lequel vous devez attribuer des autorisations pour autoriser certaines op rations m N importe quelle op ration qui consomme l espace de stockage telle que la cr ation d un disque virtuel ou la prise d un snapshot exige le privil ge Banque de donn es Allouer l espace sur la banque de donn es cible ainsi que le privil ge d ex cuter l op ration elle m me m Le d placement d un objet dans la hi rarchie d inventaire exige les privil ges appropri s sur l objet lui m me l objet parent source tel qu un dossier ou un cluster et l objet parent de destination m Chaque h te et chaque cluster ont leur propre pool de ressources implicite qui contient toutes les ressources de cet h te ou de ce cluster Le d ploiement d une machine virtuelle directement sur un h te ou un cluster exige le privil ge Ressource Attribuer une machine virtuelle au pool de ressources Tableau 4 1 Privil ges requis pour les t ches courantes T che Privil ges requis R le applicable Cr er une machine virtuelle Dans le dossier ou le centre de donn es de destination Administrateur m Machine virtuelle Inventaire Cr er nouveau m Machine virtuelle Configuration Ajouter un nouveau disque en cas de cr ation d un nouveau disque virtuel m Machine virtuelle Configuration Ajouter un disque existant en cas d utilisation d un disque virtuel existant m Machine virtuelle Configuration P riph rique brut en cas d utilisation d un p riph rique
158. acer le certificat de service d annuaire VMware dans des environnement en mode mixte page 88 Remplacement manuel de certificats Dans des situations particuli res par exemple si vous voulez remplacer un seul type de certificat d utilisateur de solution vous ne pouvez pas utiliser l utilitaire vSphere Certificate Manager Dans ce cas vous pouvez utiliser les interfaces de ligne de commande incluses dans votre installation pour le remplacement de certificat R gles g n rales de d marrage et d arr t des services Pour certaines parties du remplacement manuel de certificat vous devez arr ter tous les services puis d marrer uniquement les services qui g rent l infrastructure de certificats Si vous n arr tez les services qu en cas de besoin vous pouvez r duire les interruptions Suivez ces r gles g n rales 78 N arr tez pas les services pour g n rer de nouvelles paires de cl publique priv e ou de nouveaux certificats Si vous tes le seul administrateur il n est pas n cessaire d arr ter les services lorsque vous ajoutez un nouveau certificat racine L ancien certificat racine demeure disponible et tous les services peuvent toujours s authentifier avec ce certificat Arr tez puis red marrez imm diatement tous les services apr s avoir ajout le certificat racine pour viter les probl mes avec vos h tes Si votre environnement inclut plusieurs administrateurs arr tez les services avant d ajouter u
159. achines virtuelles sur un h te unique Inventaire d h te Les privil ges d inventaire d h te contr lent l ajout des h tes l inventaire l ajout des h tes aux clusters et le d placement des h tes dans l inventaire Le tableau d crit les privil ges requis pour ajouter et d placer des h tes et des clusters dans l inventaire Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 14 Privil ges d inventaire d h te Nom de privil ge H te Inventaire Ajouter un h te au cluster Description Permet d ajouter un h te un cluster existant Requis sur Clusters H te Inventaire Ajouter un h te autonome Permet d ajouter un h te autonome Dossiers d h te H te Inventaire Cr er un cluster Permet de cr er un cluster Dossiers d h te H te Inventaire Modifier un cluster Permet de changer les propri t s d un cluster Clusters VMware Inc 271 S curit vSphere Tableau 10 14 Privil ges d inventaire d h te suite Nom de privil ge Description Requis sur H te Inventaire D placer un Permet de d placer un cluster ou un h te autonome d un dossier Clus
160. acine fichier key Proc dure 1 D marrez vSphere Certificat Manager sur une installation int gr e ou un Platform Services Controller externe et s lectionnez l option 2 2 S lectionnez l option 2 pour d marrer le remplacement des certificats et r pondre aux invites a Sp cifiez le chemin complet du certificat racine lorsque vous y tes invit b Si vous remplacez des certificats pour la premi re fois vous tes invit saisir des informations utilis es pour le certificat SSL de machine Ces informations qui incluent le domaine requis de la machine sont conserv es dans le fichier certool cfg 3 Si vous remplacez le certificat racine dans un d ploiement n uds multiples vous devez red marrer les services sur tous les vCenter Server 4 Dans les d ploiements n uds multiples r g n rez tous les certificats de chaque instance vCenter Server en utilisant les options 3 Remplacer les certificats SSL de la machine par des certificats sign s par VMCA et 6 Remplacer les certificats d utilisateurs de solution par des certificats sign s par VMCA Lorsque vous remplacer les certificats VMCA signe avec la cha ne compl te Suivant Selon votre environnement vous devrez ventuellement remplacer explicitement d autres certificats m Siune strat gie d entreprise vous impose de remplacer tous les certificats remplacez le certificat racine vmdir Reportez vous Remplacer le certificat de service d annuaire
161. activit SAN et restreindre l acc s aux p riph riques de stockage Vous pouvez prot ger l acc s au stockage dans votre environnement vSphere en utilisant le zonage et le masquage LUN avec vos ressources SAN Par exemple vous pouvez g rer des zones d finies pour des tests ind pendamment dans le r seau SAN afin qu elles n interf rent pas avec l activit des zones de production De m me vous pouvez configurer diff rentes zones pour diff rents services Lorsque vous configurez des zones tenez compte des groupes d h tes qui sont configur s sur le p riph rique SAN Les possibilit s de zonage et de masquage pour chaque commutateur et baie de disques SAN ainsi que les outils de gestion du masquage LUN sont sp cifiques du fournisseur Consultez la documentation de votre fournisseur SAN ainsi que la documentation Stockage vSphere Utilisation d informations d identification Kerberos pour NFS 4 1 Avec NFS version 4 1 ESXi prend en charge le m canisme d authentification Kerberos Kerberos est un service d authentification qui permet un client NFS 4 1 install sur ESXi de d montrer son identit un serveur NFS pr alablement au montage d un partage NFS Gr ce au chiffrement Kerberos permet de travailler sur une connexion r seau non s curis e L impl mentation vSphere de Kerberos pour NFS 4 1 prend en charge uniquement la v rification d identit pour le client et le serveur Il n assure pas l int grit des donn es
162. agation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad Remplacement du certificat existant dans vmdir puis dans VECS Pour les utilisateurs de solution vous devez ajouter les certificats dans cet ordre Par exemple dir cli service update name lt vpxd xxxx xxx 7c7b769cd9f4 gt cert vpxd crt vecs cli entry delete store vpxd alias vpxd vecs cli entry create store vpxd alias vpxd cert vpxd crt key vpxd priv REMARQUE Les utilisateurs de solution ne peuvent pas se connecter vCenter Single Sign On si vous ne remplacez pas le certificat dans vmdir 95 S curit vSphere 6 Red marrez tous les services service control start all Exemple Remplacer les certificats d utilisateurs de solution autorit de certification interm diaire 1 G n rez une paire de cl publique cl priv e pour chaque utilisateur de solution Cela inclut une paire pour l utilisateur de solution de machine sur chaque Platform Services Controller et chaque n ud de gestion et une paire pour chaque utilisateur de solution suppl ment
163. aire vpxd vpxd extension vsphere webclient sur chaque n ud de gestion a G n rez une paire de cl s pour l utilisateur de solution de machine d un d ploiement int gr ou pour l utilisateur de solution de machine de Platform Services Controller C gt C Program Files VMware vCenter Server vmcad certool genkey privkey machine key priv pubkey machine key pub b Facultatif Pour les d ploiements comportant un Platform Services Controller externe g n rez une paire de cl s pour l utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey machine key priv pubkey machine key pub c G n rez une paire de cl s pour l utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vpxd key priv pubkey vpxd key pub d G n rez une paire de cl s pour l utilisateur de solution vpxd extension sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vpxd extension key priv pubkey vpxd extension key pub e G n rez une paire de cl s pour l utilisateur de solution vsphere webclient sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vsphere webclient key priv pubkey vsphere webclient key pub 2 G n rez des certificats d uti
164. aitVMDIR wait 5 certool waitVMCA Patienter jusqu ce que le service VMCA d marre ou jusqu ce que le d lai sp cifi expire Combinez cette option d autres options pour planifier certaines t ches par exemple la g n ration de certificats Option Description wait Nombre facultatif de minutes attendre La valeur par d faut est 3 server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost port lt num_port gt Num ro de port facultatif La valeur par d faut est le num ro 389 Exemple certool waitVMCA selfca certool publish roots Force la mise jour des certificats racines Cette commande n cessite des privil ges d administration Option Description server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool publish roots VMware Inc 111 S curit vSphere R f rence des commandes de gestion certool Les commandes de gestion certool vous permettent d afficher de g n rer et de r voquer des certificats ainsi que d afficher des informations sur les certificats certool genkey G n re une paire de cl s l une priv e et l autre publique Vous pouvez ensuite utiliser ces fichiers pour g n rer un certificat sign par VMCA Vous pouvez provisionner des machines ou des utilisateurs de solution l aide du certificat Option Descriptio
165. amic Trunking Protocol n est pas activ sur les ports du commutateur physique qui sont connect s aux h tes ESXi 4 V rifiez r guli rement les ports du commutateur physique pour vous assurer qu ils sont correctement configur s comme ports de jonction s ils sont connect s des ports de jonction VLAN d un commutateur virtuel S curisation des ports du commutateur standard l aide de strat gies de s curit 234 Tout comme pour les adaptateurs r seau physiques un adaptateur r seau de machine virtuelle peut envoyer des trames qui semblent provenir d une autre machine ou emprunter l identit d une autre machine afin de pouvoir recevoir des trames r seau destin es cette machine Par cons quent tout comme les adaptateurs r seau physiques un adaptateur r seau de machine virtuelle peut tre configur afin de recevoir des trames destin es d autres machines Ces deux sc narios repr sentent un risque pour la s curit Lorsque vous cr ez un commutateur standard pour votre r seau vous ajoutez des groupes de ports dans vSphere Web Client pour imposer aux machines virtuelles et aux adaptateurs VMkernel une strat gie concernant le trafic syst me li au commutateur Dans le cadre de l ajout d un groupe de ports VMkernel ou d un groupe de ports de machine virtuelle un commutateur standard ESXi configure une strat gie de s curit pour les ports du groupe Vous pouvez utiliser ce profil de s curit pour garantir qu
166. ance permettent aux personnes en charge des machines virtuelles d effectuer des analyses de performance pr cises l int rieur du syst me d exploitation client Par d faut vSphere n expose pas les informations relatives l h te la machine virtuelle invit e La possibilit d envoyer des donn es de performance relatives l h te une machine virtuelle cliente est d sactiv e par d faut Ce param trage par d faut emp che une machine virtuelle d obtenir des informations d taill es sur l h te physique et rend les donn es de l h te indisponibles si une faille de la s curit de la machine virtuelle se produit REMARQUE La proc dure ci dessous illustre le processus simple Utilisez plut t vSphere ou l une des interfaces de ligne de commande vSphere vCLI PowerCLI et ainsi de suite pour effectuer cette t che sur tous les h tes simultan ment Proc dure 1 Sur le syst me ESXi h bergeant la machine virtuelle acc dez au fichier VMX Les fichiers de configuration des machines virtuelles se situent dans le r pertoire vmfs volumes datastore o datastore correspond au nom du p riph rique de stockage dans lequel sont stock s les fichiers de la machine virtuelle 2 Dans le fichier VMX v rifiez que le param tre suivant est d fini tools guestlib enableHostInfo FALSE 3 Enregistrez et fermez le fichier Vous ne pouvez pas r cup rer d informations de performance relatives l h te l int rieur de la mach
167. andes de pare feu ESXCLI d ESXi page 172 m Utilisez un VIB personnalis si le port que vous cherchez ouvrir n est pas inclus dans le profil de s curit Vous cr ez des VIB personnalis s avec l outil vibauthor disponible dans VMware Labs Pour installer le VIB personnalis vous devez modifier le niveau d acceptation de l h te ESXi sur CommunitySupported Voir l article 2007381 de la base de connaissances VMware REMARQUE Si vous contactez le support technique VMware pour examiner un probl me relatif un h te ESXi avec un VIB CommunitySupported install il se peut que le support VMware demande de d sinstaller le VIB CommunitySupported dans le cadre de la r solution du probl me afin de d terminer si ce VIB est associ au probl me tudi Concepts du pare feu d ESX i http link brightcove com services player bcpid2296383276001 bctid ref video_esxi_firewall_concepts Le comportement de l ensemble de r gles du client NFS nfsClient diff re de celui des autres ensembles de r gles Lorsque l ensemble de r gles du client NFS est activ tous les ports TCP sortants sont ouverts aux h tes de destination figurant dans la liste des adresses IP autoris es Consultez Comportement du pare feu client NFS page 171 pour plus d informations G rer les param tres du pare feu ESXi Vous pouvez configurer les connexions de pare feu entrantes et sortantes pour un agent de service ou de gestion dans vSphere Web Clie
168. annage de l initialisation vSphere Le message d erreur qui s affiche Vous pouvez galement voir le code de retour Ss1HandshakeFa i Led Il dans l interface utilisateur s agit d une erreur inhabituelle Elle indique que l adresse IP ou le FODN commence par Could not connect qui assure la r solution vers l h te vCenter Single Sign On n est pas to vCenter Single Sign on celle celui que voues avez utilis e pendant l installation de vCenter Single Sign On Dans TEMP VM_ssoreg log recherchez la ligne qui contient le message suivant host name in certificate did not match lt install configured FQDN or IP gt lt A gt or lt B gt or lt C gt A tant le nom de domaine complet que vous avez entr pendant l installation de vCenter Single Sign On B et C tant des alternatives autoris es g n r es par le syst me Corrigez la configuration pour utiliser le FQDN droite du signe dans le fichier journal Dans la plupart des cas utilisez le FQDN que vous avez sp cifi pendant l installation de vCenter Single Sign On Si aucune des alternatives n est possible dans votre configuration r seau r cup rez votre configuration vCenter Single Sign On SSL Impossible de se connecter l aide de l authentification de domaine Active Directory Vous vous connectez un composant de vCenter Server dans vSphere Web Client Vous utilisez votre nom d utilisateur et mot de passe Active Directory L authentification choue P
169. ant Importez le certificat vers ESXi Importer un certificat de serveur proxy dans ESXi Pour authentifier le serveur vSphere Authentication Proxy Server dans ESXi t l chargez le certificat du serveur proxy ESXi Vous pouvez utiliser l interface utilisateur de vSphere Web Client pour charger le certificat du serveur vSphere Authentication Proxy vers ESXi Pr requis Installez le service vSphere Authentication Proxy service CAM sur un h te Reportez vous Installer ou mettre niveau vSphere Authentication Proxy page 185 Exportez le certificat du serveur vSphere Authentication Proxy comme d crit dans Exporter le certificat de vSphere Authentication Proxy page 191 Proc dure 1 Acc dez l h te cliquez sur l onglet G rer puis sur Services d authentification 2 Cliquez sur Importer un certificat 3 Entrez le chemin complet du certificat du serveur proxy d authentification sur l h te et l adresse IP du serveur proxy d authentifciation Utilisez le format datastore name file path pour entrer le chemin d acc s au serveur proxy 4 Cliquez sur OK VMware Inc 191 S curit vSphere 192 Utiliser vSphere Authentication Proxy pour ajouter un h te un domaine Lorsque vous joignez un h te un domaine de service d annuaire vous pouvez utiliser le serveur vSphere Authentication Proxy pour l authentification au lieu de transmettre les informations d identification Active Directory fournies p
170. ant le mode de verrouillage et d autres fonctionnalit s int gr es Si vous configurez un h te de r f rence et apportez des modifications tous les h tes en fonction des profils d h te de cet h te ou si vous effectuez une gestion par scripts vous renforcez la protection de votre environnement en veillant ce que les modifications s appliquent tous les h tes Utilisez les fonctionnalit s suivantes pr sent es en d tail dans ce guide pour renforcer la protection des h tes ESXi g r s par vCenter Server Reportez vous galement au livre blanc S curit de VMware vSphere Hypervisor Limiter l acc s ESXi Par d faut les services ESXi Shell et SSH ne s ex cutent pas et seul l utilisateur racine peut se connecter l interface utilisateur de la console directe DCUI Si vous d cidez d activer l acc s ESXi ou SSH vous pouvez d finir des d lais d expiration pour limiter le risque d acc s non autoris VMware Inc 9 S curit vSphere Utiliser des utilisateur nomm s et le moindre privil ge R duire le nombre de ports de pare feu ESXi ouverts Automatiser la gestion de l h te ESXi Exploiter le mode de verrouillage V rifier l int grit du module VIB G rer les certificats ESXi Les h tes pouvant acc der l h te ESXi doivent disposer d autorisations de gestion de l h te Ces autorisations se d finissent sur l objet h te de vCenter Server qui g re l h te Par d faut l utilis
171. ant qu utilisateur disposant du r le d administrateur ou de super administrateur L utilisateur par d faut ayant le r le de super administrateur est l utilisateur racine 2 Ex cutez la commande pour activer la synchronisation de l heure bas e sur un serveur NTP timesync set mode NTP 3 Facultatif Ex cutez la commande pour v rifier que vous avez appliqu la synchronisation NTP timesync get La commande renvoie l indication que la synchronisation de l heure est en mode NTP Meilleures pratiques en mati re de s curit du stockage 256 Suivez les recommandations relatives la s curit de stockage pr sent es par votre fournisseur de s curit de stockage Vous pouvez galement tirer avantage du CHAP et du CHAP mutuel pour s curiser le stockage iSCSI masquer et affecter les ressources SAN et configurer les informations d identification Kerberos pour NFS 4 1 Reportez vous galement la documentation Administration de VMware Virtual SAN S curisation du stockage iSCSI Le stockage que vous configurez pour un h te peut comprendre un ou plusieurs r seaux de zone de stockage SAN utilisant iSCSI Lorsque vous configurez iSCSI sur un h te vous pouvez prendre plusieurs mesures pour r duire les risques de s curit iSCSI est un moyen d acc der aux p riph riques SCSI et d changer des enregistrements de donn es l aide du protocole TCP IP sur un port r seau plut t que via une connexion directe un p r
172. ante certool gencert privkey private key Locality Mountain View Sp cifiez Name pour remplacer le champ CN du nom de sujet du certificat m Pour les certificats d utilisateurs de solutions le nom est lt nom_utilisateur_solution gt lt domaine gt par convention mais vous pouvez le modifier si une autre convention est utilis e dans votre environnement m Pour les certificats SSL de machine le nom de domaine complet de la machine est utilis car le client SSL v rifie le champ CN du nom du sujet du certificat lors de la v rification du nom d h te de la machine tant donn qu une machine peut avoir plusieurs alias les certificats peuvent comporter l extension de champ Nom de remplacement du sujet qui vous permet de sp cifier d autres noms noms DNS adresses IP etc Toutefois VMCA autorise un seul nom DNS dans le champ Hostname et aucune autre option d alias Si l adresse IP est sp cifi e par l utilisateur elle est stock e galement dans SubA tName Le param tre Hostname sert sp cifier le nom DNS du Nom de remplacement du sujet du certificat R f rence des commandes d initialisation de certool Les commandes d initialisation certool vous permettent de g n rer des demandes de signature de certificat d afficher et de g n rer des certificats et des cl s qui sont sign s par VMCA d importer des certificats racines et d effectuer d autres op rations de gestion des certificats Dans de nombreux ca
173. ar l utilisateur Vous pouvez entrer le nom de domaine de l une des deux fa ons suivantes m name tld par exemple domain com Le compte est cr sous le r cipient par d faut M name tld container path par exemple domain com OU1 OU2 Le compte est cr sous une unit d organisation OU pr cise Pr requis m Connectez vous un syst me vCenter Server avec vSphere Web Client m Si ESXi est configur avec une adresse DHCP configurez une plage DHCP m Si ESXi est configur avec une adresse IP statique v rifiez que son profil associ est configur pour utiliser le service vSphere Authentication Proxy pour rejoindre un domaine afin que le serveur proxy d authentification puisse faire confiance l adresse IP ESXi m Si ESXi utilise un certificat sign par VMCA v rifiez que l h te a t ajout vCenter Server Ainsi le serveur proxy d authentification peut faire confiance ESXi m Si ESXi utilise un certificat sign par une autorit de certification et qu il n est pas provisionn par Auto Deploy v rifiez que le certificat de l autorit de certification a t ajout au magasin local des certificats de confiance du serveur proxy d authentification comme d crit dans Configurer un h te pour utiliser vSphere Authentication Proxy pour l authentification page 189 m Authentifiez le serveur vSphere Authentication Proxy sur l h te Proc dure 1 Acc dez l h te dans vSphere Web Client et cliq
174. are Inc Pour assurer un environnement ESXi s curis il est essentiel d isoler le trafic r seau Des r seaux diff rents requi rent un acc s et un niveau d isolation distincts Un r seau de gestion isole le trafic client le trafic de l interface de ligne de commande ou de l API ou le trafic des logiciels tiers du trafic normal Ce r seau doit tre accessible uniquement aux administrateurs syst me r seau et s curit Reportez vous Recommandations de s curit pour la mise en r seau d ESXi page 151 Vous pouvez ouvrir et fermer les ports de pare feu et s curiser les diff rents l ments du r seau virtuel s par ment Les r gles de pare feu associent les services avec les pare feu correspondants et peuvent ouvrir et fermer le pare feu ESXi en fonction de l tat du service Reportez vous ESXi page 166 Une strat gie de s curit de la mise en r seau assure la protection du trafic contre l emprunt d identit d adresse MAC et l analyse des ports ind sirables La r gle de s curit d un commutateur standard ou distribu est mise en uvre au niveau de la couche 2 couche de liaison de donn es de la pile de protocole r seau Les trois l ments de la strat gie de s curit sont le mode promiscuit les changements d adresse MAC et les Transmissions forg es Les instructions sont disponibles dans la documentation Mise en r seau vSphere Les m thodes utilis es pour s curiser un r sea
175. are Inc 85 S curit vSphere 86 e G n rez une paire de cl s pour l utilisateur de solution vsphere webclient sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vsphere webclient key priv pubkey vsphere webclient key pub G n rez des certificats d utilisateurs de solutions qui sont sign s par le nouveau certificat racine MCA pour l utilisateur de solution de machine sur chaque Platform Services Controller et chaque n ud de gestion et pour chaque utilisateur de solution suppl mentaire vpxd vpxd extension vsphere webclient sur chaque n ud de gestion REMARQUE Le param tre Name doit tre unique Il doit comprendre le nom du magasin de l utilisateur de solution par exemple vpxd ou vpxd extension permet de voir facilement la correspondance entre un certificat et un utilisateur de solution a Ex cutez la commande suivante sur le n ud Platform Services Controller pour g n rer un certificat d utilisateur de solution pour l utilisateur de solution de machine sur ce n ud C gt C Program Files VMware vCenter Server vmcad certool gencert cert new machine crt privkey machine key priv Name machine b G n rez un certificat pour l utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new machine crt privkey machine key priv Name machine s
176. asin Utilisez l option grant ou revoke Le propri taire du magasin contr le l int gralit de son magasin y compris l octroi et la r vocation des autorisations L administrateur poss de tous les privil ges sur tous les magasins y compris l octroi et la r vocation des autorisations Vous pouvez utiliser vecs cli get permissions name lt store name gt pour r cup rer les param tres actuels du magasin Option hame lt name gt Description Nom du magasin de certificats user lt username gt Nom unique de l utilisateur auquel les autorisations sont accord es grant read write Autorisation accorder lecture read ou criture write revoke read write Autorisation r voquer lecture read ou criture write Commande non prise en charge actuellement vecs cli entry create Cr ez une entr e dans VECS Utilisez cette commande pour ajouter une cl priv e ou un certificat un magasin Option store lt NameOfStore gt Description Nom du magasin de certificats alias lt Alias gt Alias facultatif du certificat Cette option est ignor e pour le magasin racine approuv cert lt certificate_file_path gt Chemin complet du fichier de certificat key lt key file path gt Chemin complet de la cl correspondant au certificat Facultatif 116 VMware Inc Chapitre 3 Certificats de s curit vSph
177. asse sont dict es par vCenter Single Sign On ou par la source d identit configur e qui peut tre Active Directory OpenLDAP ou le syst me d exploitation local du serveur vCenter Single Sign On non recommand Comportement de verrouillage Par d faut tous les utilisateurs notamment ceux qui disposent de privil ges d administrateur sont verrouill s apr s un nombre pr d fini de tentatives de connexion infructueuses successives Par d faut les utilisateurs sont verrouill s apr s cinq tentatives infructueuses successives en trois minutes Un compte verrouill est d verrouill automatiquement apr s cinq minutes Vous pouvez modifier ces valeurs par d faut l aide de la strat gie de verrouillage Reportez vous Modifier la strat gie de verrouillage de vCenter Single Sign On page 40 N importe quel utilisateur peut modifier son mot de passe l aide de la commande dir cli password change Si un utilisateur oublie le mot de passe l administrateur peut r initialiser le mot de passe l aide de la commande dir cli password reset Reportez vous Mots de passe ESXi phrases secr tes ESXi et verrouillage de compte page 149 pour une description des mots de passe des utilisateurs locaux d ESXi Configuration des sources d identit vCenter Single Sign On Lorsqu un utilisateur se connecte vCenter Single Sign On v rifie dans la source d identit par d faut si cet utilisateur peut s authentifier Vous pouvez a
178. assign es sur un objet parent Vous pouvez utiliser ce comportement de non prise en compte pour limiter l acc s client des zones sp cifiques de l inventaire Dans cet exemple des autorisations sont d finies sur deux objets diff rents pour deux groupes diff rents m Le r le 1 peut mettre des machines virtuelles sous tension m Le r le 2 peut prendre des snapshots de machines virtuelles m On accorde au groupes A le r le 1 sur le dossier de VM avec l autorisation d finie pour propager aux objets enfant m On accorde le groupes B le r le 2 sur VM B L utilisateur 1 qui appartient aux groupes A et B se connecte Puisque le r le 2 est assign un point inf rieur dans la hi rarchie que le r le 1 il ignore le r le 1 sur VM B L utilisateur 1 peut mettre sous tension VM A mais ne peut pas prendre des snapshots L utilisateur 1 peut prendre des snapshots de VM B mais ne peut pas les mettre sous tension VMware Inc 131 S curit vSphere Figure 4 4 Exemple 2 Autorisations d enfant ignorant des autorisations de parent groupe A r le 1 gt A Dossier VM l utilisateur 1 a des privil ges du r le 1 seulement Ha VM A groupe B r le 2 Em VM B l utilisateur 1 a des privil ges du r le 2 seulement Exemple 3 R le d utilisateur supprimant un r le de groupe Cet exemple illustre comment le r le attribu directement un utilisateur individuel remplace les privil ges associ s un r le attribu
179. at gie de mot de passe de vCenter Server Par d faut vCenter Server modifie automatiquement le mot de passe vpxuser tous les 30 jours Vous pouvez modifier cette valeur dans vSphere Web Client Proc dure 1 S lectionnez vCenter Server dans la hi rarchie des objets vSphere Web Client 2 Cliquez sur l onglet G rer puis sur le sous onglet Param tres 3 Cliquez sur Param tres avanc s et entrez VimPasswordExpirationInDays dans la case des filtres 4 Configurez VirtualCenter VimPasswordExpirationInDays pour qu il soit conforme vos exigences Protection de l h te Windows vCenter Server Prot gez l h te Windows contre les vuln rabilit s et les attaques lors de l ex cution de vCenter Server en s assurant que l environnement de l h te est aussi s curis que possible m G rez un syst me d exploitation une base de donn es ou un mat riel pris en charge pour le syst me vCenter Server Si vCenter Server ne s ex cute pas sur un syst me d exploitation pris en charge il est possible qu il ne fonctionne pas correctement ce qui le rend vuln rable aux attaquesvCenter Server m Veillez ce que les correctifs soient correctement install s sur le syst me vCenter Server Le serveur est moins vuln rable aux attaques si les correctifs du syst me d exploitation sont mis jour r guli rement m Prot gez le syst me d exploitation sur l h te vCenter Server La protection comprend un logiciel antivirus et un logiciel anti program
180. at expire Si un h te est ajout vCenter Server ou reconnect apr s une d connexion vCenter Server renouvelle le certificat si son tat est Expir Expiration Expiration prochaine ou Expiration imminente L tat est Expiration si la validit du certificat est inf rieure huit mois Expiration prochaine si la validit est inf rieure deux mois et Expiration imminente si elle est inf rieure un mois 4 Facultatif D s lectionnez les autres colonnes pour faciliter l observation de ce qui vous int resse Suivant Renouvelez les certificats qui sont sur le point d expirer Reportez vous Renouveler ou actualiser des certificats ESXi page 157 Afficher les d tails de certificat pour un h te ESXi sp cifique Pour les h tes ESXi 6 0 et versions ult rieures qui sont en mode VMCA ou en mode personnalis vous pouvez afficher les d tails du certificat dans vSphere Web Client Les informations sur le certificat peuvent tre utiles lors d un d bogage Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres VMware Inc Chapitre 5 S curisation des h tes ESXi S lectionnez Syst me puis cliquez sur Certificat Vous pouvez afficher les informations suivantes Ces informations sont disponibles uniquement dans la vue d h te unique Champ Description Objet Objet utilis lors de la g n ration du certificat metteur mett
181. ateur racine peut effectuer de nombreuses t ches Au lieu d autoriser les administrateurs se connecter l h te ESXi l aide du compte d utilisateur racine vous pouvez appliquer des privil ges de configuration de l h te diff rents divers utilisateurs nomm s partir de l interface de gestion des autorisations de vCenter Server Vous pouvez cr er des r les personnalis s attribuer des privil ges un r le et associer le r le un utilisateur nomm et un objet h te d ESXi en utilisant vSphere Web Client Dans une configuration h te unique vous g rez directement les utilisateurs Consultez la documentation de Gestion d un h te vSphere unique Par d faut les ports de pare feu de votre h te ESXi sont uniquement ouverts lorsque vous d marrez un service correspondant Vous pouvez utiliser les commandes de vSphere Web Client ESXCLI ou PowerCLI pour v rifier et g rer l tat des ports du pare feu Reportez vous ESXi page 166 Parce qu il est souvent important que les diff rents h tes d un m me centre de donn es soient synchronis s utilisez l installation bas e sur scripts ou vSphere Auto Deploy pour provisionner les h tes Vous pouvez g rer les h tes l aide de scripts Les profils d h tes constituent une alternative la gestion bas e sur scripts Vous configurez un h te de r f rence exportez le profil d h te et appliquez celui ci votre h te Vous pouvez appliquer le profil d h
182. ateurs de vCenter Server Les listes d utilisateurs d ESXi ne peuvent pas tre recherch es de la m me mani re Proc dure 1 Acc dez au syst me vCenter Server dans le navigateur d objets de vSphere Web Client 2 S lectionnez l onglet G rer et cliquez sur Param tres 3 Cliquez sur G n ral puis sur Modifier 4 S lectionnez Annuaire utilisateur 5 Modifiez les valeurs si n cessaire Option Description D lai d expiration de l annuaire D lai d expiration en secondes pour la connexion au serveur Active d utilisateurs Directory Cette valeur sp cifie le d lai maximal pendant lequel vCenter Server autorise l ex cution de la recherche sur le domaine s lectionn La recherche dans de grands domaines peut prendre du temps Limite de requ te Cochez cette case pour d finir le nombre maximal d utilisateurs et de groupes qui s affichent dans vCenter Server Taille limite de requ te Sp cifie le nombre maximal d utilisateurs et de groupes qui s affichent dans vCenter Server depuis le domaine s lectionn dans la bo te de dialogue Choisir les utilisateurs ou les groupes Si vous entrez 0 z ro tous les utilisateurs et groupes apparaissent 6 Cliquez sur OK VMware Inc 135 S curit vSphere Autorisations globales Les autorisations globales sont appliqu es un objet racine global qui peut couvrir plusieurs solutions la fois vCenter Server et vCenter Orchestrator par exemple Utilisez les autorisat
183. ation plus les certificats SSL sign s pour chaque Platform Services Controller ou n ud de gestion 101 S curit vSphere 102 2 R pertoriez les magasins TRUSTED_ROOTS et SSL de machine vecs cli store list a Assurez vous que le certificat racine actuel et tous les certificats SSL de machine sont sign s par VMCA b Prenez note des champs du num ro de s rie de l metteur et du CN du sujet c Facultatif l aide d un navigateur Web ouvrez une connexion HTTPS un n ud sur lequel le certificat sera remplac v rifiez les informations relatives au certificat et assurez vous qu elles correspondent celles du certificat SSL de machine 3 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad 4 Publiez le certificat racine personnalis qui correspond au certificat de signature de l autorit de certification tierce dir cli trustedcert publish cert lt my_custom_root gt Si vous ne sp cifiez pas de nom d utilisateur et de mot de passe sur l
184. ation 217 mise jour des approbations 104 Mise en r seau d ESXi 151 mises niveau et certificats d h tes 154 mode de certificat d empreinte esxi 160 mode de certificat personnalis esxi 160 mode de verrouillage strict 175 mode de verrouillage d sactiver 179 mode de verrouillage vSphere 6 0 et versions ult rieures 181 mode exclusivement VGA 222 mode promiscuit 235 236 mode verrouillage acc s DCUI 181 activation 178 179 comportement 177 DCUI Access 180 d faillance irr m diable de vCenter Server 180 Interface utilisateur de la console directe 179 versions de produit diff rentes 180 vSphere Web Client 178 mod les s curit de l h te 220 Modifications d adresse MAC 235 236 modifier un utilisateur Single Sign On 45 mots de passe changement de vCenter Single Sign On 47 pr sentation 14 Strat gies vCenter Single Sign On 39 mots de passe ESXi 14 mots de passe SSO 14 N Netflow 247 NFC activation de SSL 213 NFS 4 1 informations d identification Kerberos 258 nom d h te configuration 186 NTP 186 O op rations distance d sactivation dans la machine virtuelle 225 options de configuration certool 108 options de remplacement de certificat 55 outils de gestion des certificats 107 P param tre syst me avanc DCUI Access 180 param tres de synchronisation horaire 254 param tres du pare feu 168 pare feu acc s pour agents de gestion 167 acc s pour services 167
185. ation r seau 250 299 S curit vSphere 300 J jeton SAML 20 journalisation d sactivation pour les syst mes d exploitation invit s 226 s curit de l h te 202 journaux d chec d installation 210 L limiter les privil ges Op rations client 225 liste d utilisateurs exceptionnels 175 listes de recherche ajustement de grands domaines 135 logiciel anti virus installation 219 Lookup Service voir vCenter Lookup Service machines virtuelles copier et coller 224 d sactivation de la journalisation 226 d sactiver le copier coller 224 emp cher la d connexion de p riph riques dans vSphere Web Client 225 isolation 240 241 limitation de la taille variable d informations 226 privil ges d interaction 281 privil ges d inventaire 290 privil ges d op rations de syst me invit 281 privil ges de configuration 279 privil ges de gestion des snapshots 292 privil ges de provisionnement 290 Privil ges de r plication vSphere 293 s curisation 217 227 magasin de certificat VMware Endpoint 61 66 managed object browser d sactivation 151 masquage de LUN 258 meilleures pratiques autorisations 140 r les 140 s curit 253 Meilleures pratiques en mati re de s curit d ESXi 205 Meilleures pratiques en mati re de s curit de vCenter Server 207 meilleures pratiques en mati re de s curit du stockage 256 Meilleures pratiques pour vCenter Single Sign On 48 messages d information limit
186. ations install es vous pouvez vous assurer que toutes les machines virtuelles sont cr es avec une ligne de base connue du niveau de s curit m R duire l utilisation de la console de machine virtuelle page 220 La console de machine virtuelle joue pour la machine virtuelle le m me r le qu un moniteur sur un serveur physique Les utilisateurs qui acc dent une console de machine virtuelle disposent d un acc s aux commandes de gestion de l alimentation et de connectivit des p riph riques amovibles des machines virtuelles ce qui peut permettre une attaque malveillante sur ces derni res VMware Inc Chapitre 7 S curisation des machines virtuelles m Emp cher les machines virtuelles de r cup rer les ressources page 220 Lorsqu une machine virtuelle consomme une telle proportion des ressources de l h te que les autres machines virtuelles de l h te ne peuvent accomplir les fonctions pour lesquelles elles sont pr vues un d ni de service DoS peut survenir Pour emp cher une machine virtuelle de provoquer un Dos utilisez les fonctions de gestion des ressources de l h te telles que le param trage des partages et utilisez des pools de ressources m D sactiver les fonctions inutiles l int rieur des machines virtuelles page 221 Tout service fonctionnant sur une machine virtuelle fournit une possibilit d attaque En d sactivant des composants syst me inutiles la prise en charge de l application ou du service f
187. ats SSL de machine les certificats d utilisateurs de la solution et ceux de certains services internes Si vous annulez la publication du certificat racine VMCA vous devez remplacer le certificat de signature SSL utilis par vCenter Single Sign On Reportez vous Rafra chir le certificat racine du service d mission de jeton de s curit STS page 37 Vous devez galement remplacer le certificat VMware Directory Service vmdir Pr requis Demander un certificat pour vmdir pour votre autorit de certification tierce ou d entreprise VMware Inc 105 S curit vSphere Proc dure 1 Arr tez vmdir Linux service control stop vmdird Windows service control stop VMWareDirectoryService 2 Copiez le certificat et la cl que vous venez de g n rer l emplacement de vmdir Linux cp vmdir crt usr lib vmware vmdir share config vmdircert pem cp vmdir priv usr lib vmware vmdir share config vmdirkey pem Windows copy vmdir crt C programdata vmware vCenterServer cfg vmdird vmdircert pem copy vmdir priv C programdata vmware vCenterServer cfg vmdird vmdirkey pem 3 Red marrez vmdir partir de vSphere Web Client ou l aide de la commande service control Linux service control start vmdird Windows service control start VMWareDirectoryService Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte Pendant la mise niveau votre environnement peut comprendre te
188. ats de s curit vSphere d G n rez un certificat pour l utilisateur de solution vpxd extensions sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vpxd extension crt privkey vpxd extension key priv Name vpxd extension server lt psc ip or fqdn gt e G n rez un certificat pour l utilisateur de solution vsphere webclient sur chaque n ud de gestion en ex cutant la commande suivante C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vsphere webclient crt privkey vsphere webclient key priv Name vsphere webclient server lt psc ip or fqdn gt 3 Remplacez les certificats d utilisateurs de solutions dans VECS par les nouveaux certificats d utilisateurs de solutions REMARQUE Les param tres store et alias doivent correspondre exactement aux noms par d faut des services a Sur le n ud Platform Services Controller ex cutez la commande suivante pour remplacer le certificat d utilisateur de solution de machine C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store machine alias machine C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store machine alias machine cert new machine crt key machine key priv b Remplacez le certificat d utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMwar
189. au LUN sur lequel r side son disque virtuel VMFS Virtual Machine File System combine un syst me de fichiers distribu et un gestionnaire de volumes qui pr sente les volumes virtuels l h te ESXi La s curisation de la connexion avec le stockage rel ve de votre responsabilit Par exemple si vous utilisez un stockage iSCSI vous pouvez configurer votre environnement pour qu il utilise l authentification CHAP et si la strat gie de l entreprise l exige l authentification CHAP mutuelle en exploitant vSphere Web Client ou des CLI Reportez vous Meilleures pratiques en mati re de s curit du stockage page 256 ESXi prend en charge IPSec sur IPv6 Vous ne pouvez pas utiliser IPSec sur IPv4 Reportez vous S curit du protocole Internet page 243 De plus d terminez si VMware NSX pour vSphere est une solution ad quate pour s curiser la couche de mise en r seau dans votre environnement Mots de passe dans votre environnement vSphere 14 Les restrictions de mot de passe le verrouillage et l expiration dans votre environnement vSphere d pendent de plusieurs facteurs syst me vis par l utilisateur identit de l utilisateur et mode de d finition des r gles Mots de passe d ESXi Les restrictions de mot de passe ESXi sont d termin es par le module PAM Linux pam_passwdqc Reportez vous Mots de passe ESXi phrases secr tes ESXi et verrouillage de compte page 149 VMware Inc
190. autorit de certification racine cert lt certfile gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut privkey lt fichier_cl gt Nom du fichier de cl priv e Ce fichier doit tre cod au format PEM server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool rootca cert root cert privkey privatekey pem certool getdc Renvoie le nom de domaine que vmdir utilise par d faut VMware Inc Chapitre 3 Certificats de s curit vSphere Option Description server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost port lt num_port gt Num ro de port facultatif La valeur par d faut est le num ro 389 Exemple certool getdc certool waitVMDIR Patienter jusqu ce que le service d annuaire VMware d marre ou jusqu ce que le d lai sp cifi par wait expire Combinez cette option d autres options pour planifier certaines t ches par exemple le renvoi du nom de domaine par d faut Option Description wait Nombre facultatif de minutes attendre La valeur par d faut est 3 server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost port lt num_port gt Num ro de port facultatif La valeur par d faut est le num ro 389 Exemple certool w
191. biblioth ques locales Biblioth que contenu Mettre jour la biblioth que locale Biblioth que de Vous autorise mettre jour les propri t s d une biblioth que Biblioth que contenu Mettre jour la abonn e biblioth que abonn e Biblioth que de Vous autorise afficher les param tres de configuration Biblioth que contenu Afficher les param tres de configuration Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge VMware Inc 265 S curit vSphere Privil ges de banque de donn es Les privil ges de banque de donn es contr lent la capacit parcourir g rer et allouer l espace sur les banques de donn es Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 5 Privil ges de banque de donn es Nom de privil ge Banque de donn es Allouer de l espace Description Permet l allocation d espace sur une banque de donn es pour une machine virtuelle un snapshot un clone ou un disque virtuel Requis sur Centres de donn es Banque de donn es Parcourir une banque de donn es Permet la recherche de fichiers sur une banque de donn es
192. bles sur les p riph riques dans un r seau en empruntant l identit d un adaptateur r seau que le r seau r cepteur autorise Prot gez le trafic virtuel contre l emprunt d identit et les attaques de couche 2 d interception en configurant une strat gie de s curit sur les groupes de ports ou les ports La strat gie de s curit sur les groupes de ports distribu s et les ports inclut les options suivantes m Mode promiscuit reportez vous Fonctionnement en mode promiscuit page 236 m Modifications d adresse MAC reportez vous Modifications d adresse MAC page 236 m Transmissions forg es reportez vous Transmissions forg es page 236 Vous pouvez afficher et modifier les param tres par d faut en s lectionnant le commutateur virtuel associ l h te dans vSphere Web Client Consultez la documentation de Mise en r seau vSphere VMware Inc 235 S curit vSphere 236 Modifications d adresse MAC La r gle de s curit d un commutateur virtuel inclut une option Modifications d adresse MAC Cette option affecte le trafic qu une machine virtuelle re oit Lorsque l option Modifications d adresse Mac est d finie sur Accepter ESXi accepte les demandes de modification de l adresse MAC effective en une adresse diff rente de l adresse MAC initiale Lorsque l option Modifications d adresse Mac est d finie sur Rejeter ESXi n honore pas les demandes de modification de l adresse MAC effectiv
193. bles telles que des mots de passe en texte brut Pour viter que ces donn es ne soient divulgu es assurez vous que ce r seau est s curis notamment pour viter les attaques de l intercepteur Par exemple vous pouvez utiliser un r seau priv pour le trafic de la journalisation de la tol rance aux pannes 204 VMware Inc Chapitre 5 S curisation des h tes ESXi Meilleures pratiques de s curit ESXi Suivez les recommandations de s curit ESXi pour garantir l int grit de votre d ploiement vSphere Pour plus d informations consultez le Guide de s curisation renforc e Suivez les recommandations de s curit ESXi pour garantir l int grit de votre d ploiement vSphere V rifier le support d installation V rifier les CRL manuellement Surveiller le groupe Active Directory ESX Admins Fichiers de configuration Utiliser vmkfstools pour effacer les donn es sensibles VMware Inc V rifiez toujours le hachage SHAI apr s le t l chargement d une offre group e hors ligne ISO ou d un correctif pour garantir l int grit et l authenticit des fichiers t l charg s Si vous obtenez des supports physiques de VMware et si le sceau de s curit a t rompu retournez le logiciel VMware en demandant son remplacement Apr s avoir t l charg le support utilisez la somme MD5 pour v rifier l int grit du t l chargement Comparez la somme MD5 la valeur diffus e sur le site Web de V
194. bu un utilisateur sp cifique ayant un compte nomm Utilisez les possibilit s Active Directory d ESXi qui vous permettent de g rer les informations d identification Active Directory le cas ch ant IMPORTANT Si vous supprimez les privil ges d acc s de l utilisateur racine vous devez d abord cr er une autre autorisation au niveau de la racine ayant un autre utilisateur affect au r le d administrateur Privil ges vpxuser vCenter Server utilise les privil ges vpxuser pour g rer les activit s de l h te vCenter Server poss de des privil ges d administrateur sur l h te qu il g re Par exemple vCenter Server peut transf rer des machines virtuelles vers depuis des h tes et effectuer les changements de configuration requis pour prendre en charge des machines virtuelles L administrateur vCenter Server peut ex cuter sur l h te la majorit des t ches de l utilisateur racine mais aussi programmer des t ches utiliser des mod les etc Cependant l administrateur vCenter Server ne peut pas directement cr er supprimer ou modifier des utilisateurs et groupes locaux pour des h tes Ces t ches peuvent uniquement tre ex cut es par un utilisateur disposant des autorisations administrateur directement sur chaque h te REMARQUE Vous ne pouvez pas g rer vpxuser via Active Directory A AVERTISSEMENT Ne modifiez vpxuser en aucune fa on Ne modifiez pas son mot de passe Ne modifiez pas ses autorisations Dans
195. c dir cli service update Chapitre 3 Certificats de s curit vSphere Met jour le certificat pour un utilisateur de solution sp cifi c est dire une collection de services Apr s l ex cution de cette commande VECS applique la modification 5 minutes plus tard ou vous pouvez utiliser vecs cli force refresh pour forcer une actualisation Option name lt name gt Description Nom de l utilisateur de solution mettre jour cert lt cert_file gt Nom du certificat attribuer au service login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli user create Cr e un utilisateur normal dans vmdir Cette commande peut tre employ e pour des utilisateurs humains qui s authentifient aupr s de vCenter Single Sign On avec un nom d utilisateur et un mot de passe Utilisez cette commande uniquement lors du test de prototypes Option account lt name gt Description Nom de l utilisateur vCenter Single Sign On cr er user password lt password gt Mot de passe initial de l utilisateur first name lt name gt Pr nom de l
196. cat d utilisateur de solution de machine sur Platform Services Controller et l ensemble complet des utilisateurs de solution sur chaque n ud de gestion Pr requis Avant de commencer vous avez besoin d une demande de signature de certificat pour chaque machine de votre environnement Vous pouvez g n rer la demande de signature de certificat l aide de vSphere Certificate Manager ou explicitement 1 Pour g n rer la demande de signature de certificat l aide de vSphere Certificate Manager reportez vous G n rer des demandes de signature de certificat avec vSphere Certificate Manager certificats personnalis s page 75 2 Pour g n rer la demande de signature de certificat explicitement demandez un certificat pour chaque utilisateur de solutions sur chaque n ud partir de votre autorit de certification tierce ou d entreprise Le certificat doit r pondre aux exigences suivantes m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format CRT m x509 version 3 m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Chaque certificat d utilisateur de la solution doit avoir un param tre Subject diff rent Vous pouvez par exemple saisir le nom de l utilisateur de la solution tel que vpxd ou un autre identifiant unique m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment Reportez vous galement l article 2112014 de la base de connaissance
197. cation VMware recommande l utilisation d un utilisateur sp cial de service 5 Si vous avez configur une source d identit Active Directory comme serveur LDAP ou OpenLDAP cliquez sur Tester la connexion pour vous assurer que vous pouvez vous connecter la source d identit 6 Cliquez sur OK Suivant Lorsqu une source d identit est ajout e tous les utilisateurs peuvent tre authentifi s mais disposent du r le Aucun acc s Un utilisateur disposant de privil ges vCenter Server Modify permissions peut attribuer des privil ges des utilisateurs ou des groupes d utilisateurs pour leur permettre de se connecter vCenter Server ainsi que d afficher et de g rer des objets Reportez vous Ajouter une autorisation un objet d inventaire page 133 Param tres de source d identit Active Directory Si vous s lectionnez le type de source d identit Active Directory authentification Windows int gr e vous pouvez utiliser le compte de l ordinateur local en tant que nom de principal du service SPN Service Principal Name ou sp cifier un SPN de mani re explicite Vous pouvez utiliser cette option uniquement si le serveur vCenter Single Sign On est joint un domaine Active Directory REMARQUE Active Directory authentification Windows int gr e utilise toujours la racine de la for t du domaine Active Directory Pour configurer votre source d identit d authentification Windows int gr e avec un domaine enfa
198. cceptation vers l organisation d assistance du partenaire PartnerSupported Les VIB avec le niveau d acceptation PartnerSupported sont publi s par un partenaire en qui VMware a confiance Le partenaire effectue tous les tests VMware ne v rifie pas les r sultats Ce niveau est utilis pour une technologie nouvelle ou non courante que des partenaires souhaitent activer pour les syst mes VMware Actuellement les technologies VIB de pilotes telles que Infiniband ATAGE et SSD sont ce niveau avec des pilotes de mat riel non standard VMware dirige les appels d assistance pour les VIB avec ce niveau d acceptation vers l organisation d assistance du partenaire CommunitySupported Le niveau d acceptation CommunitySupported est destin aux VIB cr s par des individus ou des entreprises en dehors des programmes de partenariat de VMware Les VIB ce niveau d acceptation ne sont soumis aucun programme de test approuv par VMware et ne sont pas pris en charge par l assistance technique de VMware ou un partenaire de VMware Proc dure 1 Connectez vous chaque h te ESXi et v rifiez que le niveau d acceptation est d fini sur VMwareCertified ou VMwareAccepted en ex cutant la commande suivante esxcli software acceptance get 2 Sile niveau d acceptation de l h te n est pas VMwareCertified ou VMwareAccepted d terminez si l un des VIBs ne se trouve pas au niveau VMwareCertified ou VMwareAccepted en ex cutant les commandes suivantes
199. ccorder des privil ges ce groupe m Accordez des autorisations uniquement sur les objets lorsque cela est n cessaire et attribuez des privil ges uniquement aux utilisateurs ou aux groupes qui doivent en disposer Utiliser un nombre minimal d autorisations facilite la compr hension et la gestion de votre structure d autorisations m Si vous assignez un r le restrictif un groupe v rifiez que le groupes ne contient pas l utilisateur d administrateur ou d autres utilisateurs avec des privil ges administratifs Sinon vous pourriez involontairement limiter les privil ges des administrateurs dans les parties de la hi rarchie d inventaire o vous avez assign ce groupes le r le restrictif m Utilisez des dossiers pour grouper des objets Par exemple si vous souhaitez accorder une autorisation de modification sur un ensemble d h tes et afficher une autorisation sur un autre ensemble d h tes placez chaque ensemble d h tes dans un dossier VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere m Soyez prudent lorsque vous ajoutez une autorisation aux objets vCenter Server racine Les utilisateurs disposant de privil ges au niveau racine ont acc s des donn es globales sur vCenter Server telles que les r les les attributs personnalis s et les param tres vCenter Server m Dans la plupart des cas activez la propagation lorsque vous attribuez des autorisations un objet Ceci garant
200. ce d identit correspondante il attribue un jeton SAML cet utilisateur L utilisateur peut maintenant acc der d autres services de l environnement sans devoir s authentifier nouveau VMware Inc 25 S curit vSphere 26 Les objets visibles par l utilisateur et les op rations que celui ci peut effectuer d pendent g n ralement des param tres d autorisation de vCenter Server Les administrateurs vCenter Server attribuent ces autorisations partir de l interface G rer gt Autorisations de vSphere Web Client et non via vCenter Single Sign On Reportez vous Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere page 125 Utilisateurs de vCenter Single Sign On et de vCenter Server l aide de vSphere Web Client les utilisateurs s authentifient aupr s de vCenter Single Sign On en entrant leurs informations d identification sur la page de connexion de vSphere Web Client Une fois connect s vCenter Server les utilisateurs authentifi s peuvent afficher toutes leurs instances de vCenter Server ou d autres objets vSphere pour lesquels leur r le leur accorde des privil ges Aucune autre authentification n est requise Reportez vous Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere page 125 Apr s installation l utilisateur administrator vsphere local dispose d un acc s administrateur vCenter Single Sign On et vCenter Server Cet utilisateu
201. ce d annuaire tel qu Active Directory En cons quence il n est pas toujours possible voire m me souhaitable de conserver les utilisateurs du syst me d exploitation local comme utilisateurs authentifi s Utilisateurs autoris s se connecter apr s la mise niveau d une installation personnalis e Si vous mettez niveau un environnement l aide de l option d installation personnalis e Custom Install le r sultat d pend de vos choix initiaux m Si vCenter Single Sign On tait install sur le m me n ud que le syst me vCenter Server le r sulat est une installation avec un Platform Services Controller int gr m Si vCenter Single Sign On tait install sur un autre n ud que le syst me vCenter Server le r sulat est une installation avec un Platform Services Controller externe VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On m Si vous avez mis niveau partir de vSphere 5 0 vous pouvez s lectionner un Platform Services Controller externe ou int gr au cours de la mise niveau Les privil ges de connexion apr s la mise niveau d pendent de plusieurs facteurs Tableau 2 3 Privil ges de connexion apr s une mise niveau d un environnement d installation personnalis Version source vSphere 5 0 Acc s pour vCenter Single Sign On reconna t les utilisateurs de syst mes d exploitation locaux de la machine sur laquelle est install le Platform Ser
202. certification VMware VMCA met les certificats pour les h tes Si vous modifiez le certificat racine par d faut VMCA de mani re inclure une cha ne de certificats les certificats h tes incluent la cha ne compl te Mode d autorit de Vous permet de manuellement mettre jour et d utiliser des certificats qui ne certification sont pas sign s ou mis par VMCA personnalis e Mode d empreinte Peut tre utilis pour conserver les certificats 5 5 pendant l actualisation Utilisez ce mode uniquement temporairement dans des situations de d bogage O vSphere 6 0 utilise des certificats Dans vSphere 6 0 et version ult rieure l autorit de certification VMware VMCA provisionne votre environnement avec des certificats Ceci inclut les certificats SSL de la machine pour les connexions s curis es les certificats d utilisateurs de solutions pour l authentification vCenter Single Sign On et les certificats pour les h tes ESXi qui sont ajout s vCenter Server Les certificats suivants sont utilis s Tableau 3 2 Certificats dans vSphere 6 0 Certificat Provisionn par Stock Certificats ESXi VMCA par d faut Localement sur l h te ESXi Certificats SSL de la machine VMCA par d faut VECS Certificats d utilisateurs de VMCA par d faut VECS solutions Certificat de signature SSL Provisionn au cours de G rez ce certificat dans vSphere Web Client vCenter Single Sign On l installation Ne modifie
203. cessaire activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client Reportez vous Utiliser vSphere Web Client pour activer l acc s ESXi Shell page 198 m Tous les transferts de fichiers et autres communications se produisent lors d une session HTTPS s curis e L utilisateur servant authentifier la session doit disposer du privil ge H te Config AdvancedConfig sur l h te Pour plus d informations sur l attribution de privil ges par le biais de r les consultez Gestion des autorisations des composants vCenter page 132 Proc dure 1 Sauvegardez les certificats existants VMware Inc 163 S curit vSphere 164 2 Dans votre application de t l chargement traitez chaque fichier de la mani re suivante a Ouvrez le fichier b Publiez le fichier l un de ces emplacements Option Description Certificats https hostname host ssl_cert Cl s https hostname host ss1_key Les emplacements host ssl_cert et host ss1_key sont reli s aux fichiers de certificats dans etc vmware ss1 3 Red marrez l h te Suivant Mettez jour le magasin TRUSTED_ROOTS de vCenter Server Reportez vous Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s page 164 Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s Si vous configurez vos h tes ESXi pour qu ils utilisent des certificats personnalis s vous devez mettre
204. chaque n ud par un certificat personnalis Pr requis Avant de commencer vous avez besoin d une demande de signature de certificat pour chaque machine de votre environnement Vous pouvez g n rer la demande de signature de certificat l aide de vSphere Certificate Manager ou explicitement 1 Pour g n rer la demande de signature de certificat l aide de vSphere Certificate Manager reportez vous G n rer des demandes de signature de certificat avec vSphere Certificate Manager certificats personnalis s page 75 2 Pour g n rer la demande de signature de certificat explicitement demander un certificat pour chaque machine de votre autorit de certification tierce ou d entreprise Le certificat doit r pondre aux exigences suivantes m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format CRT m x509 version 3 m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment Reportez vous galement l article 2112014 de la base de connaissances Obtention de certificats vSphere depuis une autorit de certification Microsoft Proc dure 1 D marrez vSphere Certificate Manager et s lectionnez l option 1 76 VMware Inc Chapitre 3 Certificats de s curit vSphere 2 S lectionnez l option 2 pour d marrer le remplacement des certificats et r pondre aux invites vSphere Certificate Manager
205. chiers de machine virtuelle sur une banque de donn es apr s que la banque de donn es a t resign e Centres de donn es Banque de donn es Mettre jour les m tadonn es de la machine virtuelle Permet de mettre jour les m tadonn es de la machine virtuelle associ es une banque de donn es Centres de donn es Privil ges de cluster de banques de donn es Les privil ges de cluster de banques de donn es contr lent la configuration des clusters de banques de donn es du DRS de stockage Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e VMware Inc Chapitre 10 Privil ges d finis Tableau 10 6 Privil ges de cluster de banques de donn es Nom de privil ge Description Requis sur Cluster de banques de donn es Configurer un cluster de banques de donn es Permet la cr ation et la configuration de param tres pour les clusters de banques de donn es de Storage DRS Clusters de banques de donn es Privil ges de Distributed Switch Les privil ges de Distributed Switch contr lent la capacit effectuer des t ches associ es la gestion des instances de Distributed Switch Vous pouv
206. chines virtuelles simultan ment les performances des syst mes de votre environnement enregistrent une baisse importante Les pare feu et les logiciels anti virus peuvent exiger une grande quantit de virtualisation par cons quent vous pouvez quilibrer ces deux mesures en fonction des performances souhait es au niveau des machines virtuelles et tout particuli rement si vous pensez que vos machines virtuelles se trouvent dans un environnement totalement s curis Ports s rie Les ports s rie sont des interfaces permettant de connecter des p riph riques la machine virtuelle Ils sont souvent utilis s sur les syst mes physiques pour fournir une connexion directe de bas niveau la console d un serveur Un port s rie virtuel autorise le m me acc s une machine virtuelle Les ports s rie permettent un acc s de bas niveau qui n offre souvent pas de contr le renforc tel que journalisation ou privil ges VMware Inc 219 S curit vSphere 220 Utiliser des mod les pour d ployer des machines virtuelles Lorsque vous installez manuellement des syst mes d exploitation clients et des applications sur une machine virtuelle le risque existe que votre configuration soit incorrecte Gr ce l utilisation d un mod le pour capturer une image s curis e du syst me d exploitation de base sans applications install es vous pouvez vous assurer que toutes les machines virtuelles sont cr es avec une ligne de base connu
207. commande PowerShell pour l administration de composants vSphere vSphere PowerCLl inclut plus de 200 applets de commande un ensemble d exemples de scripts et une biblioth que de fonctions pour la gestion et l automatisation Reportez vous la Documentation de vSphere PowerCLl Interface de ligne de vCLI inclut un ensemble de commandes pour la gestion des h tes ESXi et commande de vSphere des machines virtuelles Le programme d installation qui installe galement VCLI le vSphere SDK for Perl s ex cute sur les syst mes Windows ou Linux et installe des commandes ESXCLI des commandes vicfg et un ensemble d autres commandes vCLI Reportez vous la Documentation de l interface de ligne de commande de vSphere partir de vSphere 6 0 vous pouvez galement utiliser l une des interfaces de script au vCloud Suite SDK comme le vCloud Suite SDK pour Python La fonctionnalit de ces interfaces est assez limit e dans vSphere 6 0 Proc dure 1 Cr ez un r le personnalis ayant des privil ges limit s Par exemple consid rez la cr ation d un r le disposant d un ensemble de privil ges pour la gestion d h tes mais sans privil ge pour la gestion de machines virtuelles du stockage ou de la mise en r seau Si le script que vous souhaitez utiliser extrait uniquement des informations vous pouvez cr er un r le disposant de privil ges de lecture seule pour l h te 2 Dans vSphere Web Client cr ez un compte de service et attrib
208. commandes CLI pour remplacer ces certificats Reportez vous la section Remplacer le certificat de service d annuaire VMware page 99 et Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 88 VMware Inc 65 S curit vSphere 66 Explorer les magasins de certificats partir de l interface Web Platform Services Controller Vous pouvez explorer les diff rents magasins compris dans VMware Endpoint Certificate Store partir de l interface Web Platform Services Controller Vous pouvez utiliser l interface pour ajouter et supprimer des entr es de certificats aux workflows de remplacement de certificats cependant l ajout ou la suppression de magasins de certificats n est pas recommand Consultez la section Pr sentation du magasin de certificats VMware Endpoint page 61 pour plus d informations sur les diff rents magasins dans VECS Pr requis Pour la plupart des t ches de gestion vous devez disposer d un mot de passe pour l administrateur du compte de domaine local administrator vsphere local ou d un domaine distinct si vous avez modifi le domaine lors de l installation Proc dure 1 Dans un navigateur Web connectez vous Platform Services Controller en sp cifiant l URL suivante dans un navigateur Web https psc_hostname_or_IP psc Dans un d ploiement int gr le nom d h te ou l adresse IP de Platform Services Controller est identique au nom d
209. compare l adresse MAC source que transmet le syst me d exploitation invit avec l adresse MAC effective de son adaptateur de machine virtuelle pour d terminer si elles correspondent Si elles ne correspondent pas l h te ESXi abandonne le paquet Le syst me d exploitation invit ne d tecte pas que son adaptateur de machine virtuelle ne peut pas envoyer de paquets l aide de l adresse MAC usurp e L h te ESXi intercepte les paquets avec des adresses usurp es avant leur livraison et le syst me d exploitation invit peut supposer que les paquets sont rejet s Fonctionnement en mode promiscuit Le mode promiscuit limine tout filtrage de r ception que l adaptateur de machine virtuelle peut effectuer afin que le syst me d exploitation invit re oive tout le trafic observ sur le r seau Par d faut l adaptateur de machine virtuelle ne peut pas fonctionner en mode promiscuit Bien que le mode promiscuit puisse tre utile pour le suivi de l activit r seau c est un mode de fonctionnement non s curis car les adaptateurs en mode promiscuit ont acc s aux paquets m me si certains de ces paquets sont re us uniquement par un adaptateur r seau sp cifique Cela signifie qu un administrateur ou un utilisateur racine dans une machine virtuelle peut potentiellement voir le trafic destin d autres syst mes d exploitation h tes ou invit s REMARQUE Dans certaines situations vous pouvez avoir une raison l gitime d
210. console directe de l h te ESXi et quitter le mode de verrouillage Seuls les comptes suivants peuvent acc der l interface utilisateur de la console directe m Comptes r pertori s dans la liste des utilisateurs exceptionnels pour le mode de verrouillage qui disposent des privil ges d administration sur l h te La liste des utilisateurs exceptionnels est destin e aux comptes de service qui ex cutent des t ches tr s sp cifiques L ajout d administrateurs ESXi cette liste serait contraire l objectif du mode de verrouillage VMware Inc 175 S curit vSphere m Les utilisateurs d finis dans l option avanc e DCUI Access de l h te Cette option sert d acc s de secours l interface utilisateur de la console directe en cas de perte de connexion avec vCenter Server Ces utilisateurs n ont pas besoin de disposer de privil ges d administration sur l h te Mode verrouillage strict En mode de verrouillage strict nouveau dans vSphere 6 0 le service DCUI est interrompu En cas de perte de la connexion avec vCenter Server si vSphere Web Client n est plus disponible l h te ESXi n est plus disponible non plus moins que les services ESXi Shell et SSH soient activ s et que des utilisateurs exceptionnels soient d finis Si vous ne pouvez pas r tablir la connexion avec le syst me vCenter Server vous devez r installer l h te Mode de verrouillage et services ESXi Shell et SSH Le mode de verrouillage strict interrompt
211. contenu Synchroniser l l ment de la biblioth que Autorise la synchronisation des l ments de biblioth que Biblioth que Configurez cette autorisation pour qu elle se propage tous les l ments de la biblioth que Biblioth que de Autorise la synchronisation des biblioth ques abonn es Biblioth que contenu Synchroniser la biblioth que abonn e Biblioth que de Autorise un utilisateur de solution ou un API examiner les plug ins Biblioth que contenu Introspection de de support de type pour Content Library Service type Biblioth que de Vous autorise mettre jour les param tres de configuration Biblioth que contenu Mettre jour les Aucun l ment d interface utilisateur de vSphere Web Client n est param tres de configuration associ ce privil ge Biblioth que de Vous autorise t l charger le contenu dans la biblioth que de Biblioth que contenu Mettre jour des contenu Vous permet galement de supprimer les fichiers d un fichiers l ment de biblioth que Biblioth que de Permet de mettre jour la biblioth que de contenu Biblioth que contenu Mettre jour la biblioth que Biblioth que de Permet de mettre jour les l ments de biblioth que Biblioth que Configurez contenu Mettre jour l l ment de biblioth que cette autorisation pour qu elle se propage tous les l ments de la biblioth que Biblioth que de Permet de mettre jour les
212. curit disponible dans vSphere Web Client Le profil de s curit est particuli rement utile pour la gestion d h te unique Si vous g rez plusieurs h tes pensez utiliser l une des lignes de commande CLI ou l un des kits de d veloppement logiciel SDK et automatiser la personnalisation ESXi ESXi contient un pare feu activ par d faut Lors de l installation le pare feu d ESXi est configur pour bloquer le trafic entrant et sortant sauf le trafic des services activ s dans le profil de s curit de l h te 166 VMware Inc Chapitre 5 S curisation des h tes ESXi R fl chissez bien avant d ouvrir des ports sur le pare feu car l acc s illimit aux services qui s ex cutent sur un h te ESXi peut exposer ce dernier aux attaques ext rieures et aux acc s non autoris s Pour minimiser les risques configurez le pare feu ESXi de mani re autoriser l acc s uniquement depuis les r seaux autoris s REMARQUE Le pare feu permet galement d utiliser les commandes ping ICMP Internet Control Message Protocol et autorise les communications avec les clients DHCP et DNS UDP uniquement Vous pouvez g rer les ports du pare feu d ESXi de la mani re suivante m Utilisez le profil de s curit de chacun des h tes dans vSphere Web Client Reportez vous G rer les param tres du pare feu ESXi page 167 m Utilisez les commandes ESXCLI dans la ligne de commande ou dans les scripts Reportez vous Comm
213. cuter VMware ne prend pas en charge la mise niveau de ces produits s ils ne proviennent pas d une source VMware Si vous utilisez un t l chargement ou un correctif provenant d une autre source cela risque de porter pr judice la s curit ou aux fonctions de l interface de gestion Visitez r guli rement les sites Web de fournisseurs tiers ainsi que la base de connaissances VMware pour conna tre les alertes de s curit correspondantes REMARQUE Suivez les instructions de s curit fournies par VMware propos es dans la page http www vmware com security Mots de passe ESXi phrases secr tes ESXi et verrouillage de compte Pour les h tes ESXi vous pouvez utiliser un mot de passe ou une phrase secr te Dans chaque cas vous devez vous assurer que le mot de passe ou la phrase secr te r pond aux conditions requises ESXi utilise le module Linux PAM pam_passwdac pour la gestion et le contr le des mots de passe Voir les pages de manuel concernanrt pam_passwdgc pour plus d informations Mots de passe d ESXi ESXi exige un mot de passe pour un acc s direct partir de l interface DCUI Direct Console User Interface d ESXi Shell de SSH ou de vSphere Client Lorsque vous cr ez un mot de passe composez le d un m lange de caract res de quatre classes diff rentes des lettres minuscules des lettres majuscules des chiffres et des caract res sp ciaux tels qu un caract re de soulignement ou un tiret partir
214. d finie dans l interface de configuration de vCenter Single Sign On d termine l expiration de votre mot de passe Par d faut les mots de passe de vCenter Single Sign On expirent apr s 90 jours mais les mots de passe d administrateur tels que le mot de passe d administrator vsphere local n expirent pas vSphere Web Client vous envoie un rappel lorsque votre mot de passe est sur le point d expirer Vous pouvez r initialiser un mot de passe expir si vous connaissez l ancien mot de passe Cette proc dure explique comment vous pouvez modifier un mot de passe Si votre mot de passe a expir un message vous invite le modifier Dans ce cas vous devez fournir l ancien mot de passe Si vous ne vous souvenez plus de votre mot de passe administrator vsphere local ou un autre membre du groupe Administrateurs dans vsphere local peut r initialiser le mot de passe en utilisant la commande dir cli password reset VMware Inc 47 S curit vSphere Proc dure 1 Connectez vous vSphere Web Client en utilisant vos informations d identification vCenter Single Sign On 2 Dans le volet de navigation sup rieur gauche du menu Aide cliquez sur votre nom d utilisateur pour d rouler le menu Vous pouvez galement s lectionner Administration gt Single Sign On gt Utilisateurs et groupes puis s lectionner Modifier un utilisateur dans le menu contextuel 3 S lectionnez Modifier le mot de passe et tapez votre mot de passe actuel
215. d au temps qui peut s couler avant que l utilisateur ne soit d connect d une session interactive inactive Les modifications du d lai d inactivit s appliquent lors de la prochaine connexion de l utilisateur ESXi Shell et n affectent pas les sessions existantes Vous pouvez sp cifier le d lai d expiration en secondes dans l interface DCUI Direct Console User Interface ou en minutes dans vSphere Web Client Proc dure 1 Dans le menu des options de mode de d pannage s lectionnez Modifier les d lais d ESXi Shell et de SSH et cliquez sur Entr e VMware Inc Chapitre 5 S curisation des h tes ESXi Entrez le d lai d expiration en secondes Vous devez red marrer le service SSH et le service ESXi Shell pour que le d lai soit pris en compte Appuyez sur Entr e et chap jusqu ce que vous reveniez au menu principal de l interface utilisateur de console directe Si la session est inactive les utilisateurs sont d connect s l expiration du d lai d attente Connexion au ESXi Shell pour une op ration de d pannage Effectuez des t ches de configuration d ESXi avec vSphere Web Client vSphere CLI ou vSphere PowerCLl Connectez vous au ESXi Shell anciennement mode support technique ou TSM uniquement des fins de d pannage Proc dure 1 Connectez vous au ESXi Shell en utilisant l une des m thodes suivantes m Si vous avez un acc s direct l h te appuyez sur la combinaison de touches Alt F1 pour ouv
216. de la configuration NTP avec les serveurs que vous fournissez 4 Facultatif Ex cutez la commande pour v rifier que vous avez appliqu les nouveaux param tres de la configuration NTP ntp get La commande renvoie une liste s par e par des espaces des serveurs configur s pour la synchronisation NTP Si la synchronisation NTP est activ e la commande renvoie l information pr cisant que la configuration NTP a l tat Actif Si la synchronisation NTP est d sactiv e la commande renvoie l information pr cisant que la configuration NTP a l tat Inactif Suivant Si la synchronisation NTP est d sactiv e vous pouvez configurer les param tres de synchronisation de l heure de vCenter Server Appliance de fa on la baser sur un serveur NTP Reportez vous Synchroniser l heure dans vCenter Server Appliance avec un serveur NTP page 256 VMware Inc 255 S curit vSphere Synchroniser l heure dans vCenter Server Appliance avec un serveur NTP Vous pouvez configurer les param tres de synchronisation de l heure dans vCenter Server Appliance pour qu ils soient bas s sur un serveur NTP Pr requis Configurez un ou plusieurs serveurs NTP Network Time Protocol dans la configuration de vCenter Server Appliance Reportez vous Ajouter ou remplacer les serveurs NTP dans la configuration de vCenter Server Appliance page 255 Proc dure 1 Acc dez l interpr teur de commande du dispositif et connectez vous en t
217. de relais RDM ou SCSI Sur l h te cluster ou pool de ressources de destination Administrateur Ressource Attribuer une machine virtuelle au pool de ressources de pool de ressources ou Administrateur VMware Inc 141 S curit vSphere Tableau 4 1 Privil ges requis pour les t ches courantes suite T che Privil ges requis Sur la banque de donn es ou le dossier de destination contenant une R le applicable Utilisateur de banque de donn es banque de Banque de donn es Allouer de l espace donn es ou Administrateur Sur le r seau auquel la machine virtuelle sera assign e Utilisateur R seau Assigner un r seau r seau ou Administrateur D ployer une machine Dans le dossier ou le centre de donn es de destination Administrateur virtuelle partir d un m Machine virtuelle Inventaire Cr er partir d un mod le d une mod le machine virtuelle existante m Machine virtuelle Configuration Ajouter un nouveau disque Sur un mod le ou un dossier des mod les Administrateur Machine virtuelle Provisionnement D ployer un mod le Sur l h te le cluster ou le pool de ressources de destination Administrateur Ressource Attribuer une machine virtuelle au pool de ressources Sur la banque de donn es de destination ou le dossier des banques de Utilisateur de donn es banque de Banque de donn es Allouer de l espace donn es ou Administrateur Sur le r seau auquel la machine virtuelle
218. de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration a AeA N Si cela est appropri d finissez les param tres suivants en les ajoutant ou en les modifiant Option Description svga vgaonly Si vous d finissez ce param tre sur TRUE les fonctions graphiques avanc es ne fonctionnent plus Seul le mode de console en cellule de caract re sera disponible Si vous utilisez ce param tre mks enable3d n a aucun effet REMARQUE Appliquez ces param tres uniquement aux machines virtuelles n ayant pas besoin d une carte vid o virtualis e mks enable3d D finissez ce param tre sur FALSE sur les machines virtuelles n ayant pas besoin d une fonctionnalit 3D 222 VMware Inc Chapitre 7 S curisation des machines virtuelles D sactiver les fonctions non expos es Les machines virtuelles VMware sont con ues pour fonctionner sur les deux syst mes vSphere et sur des plateformes de virtualisation h berg es comme Workstation et Fusion Certains param tres de machine virtuelle ne n cessitent pas d tre activ s lorsque vous ex cutez une machine virtuelle sur un syst me vSphere D sactivez ces param tres afin de r duire les possibilit s de faille Pr requis D sactivez la machine
219. de solution de machine sur Platform Services Controller m Un certificat d utilisateur de solution de machine sur chaque n ud de gestion m Un certificat pour chacun des utilisateurs de solutions suivants sur chaque n ud de gestion m utilisateur de solution vpxd m utilisateur de solution vpxd extension m utilisateur de solution vsphere webclient 2 Remplacez les certificats sur chaque n ud La pr cision de la proc dure d pend du type de remplacement de certificat que vous effectuez Reportez vous Gestion de certificats avec l utilitaire vSphere Certificate Manager page 69 Consultez les rubriques suivantes pour plus d informations m Remplacer les certificats d utilisateurs de solution par de nouveaux certificats sign s par VMCA page 84 m Remplacer les certificats d utilisateurs de solution autorit de certification interm diaire page 94 m Remplacer les certificats d utilisateurs de solution par des certificats personnalis s page 104 Si la strat gie d une entreprise exige que vous remplaciez tous les certificats vous devez galement remplacer le certificat du service d annuaire VMware vmdir sur Platform Services Controller Reportez vous Remplacer le certificat de service d annuaire VMware page 99 64 VMware Inc Chapitre 3 Certificats de s curit vSphere Remplacement des certificats dans les environnements qui incluent des solutions internes Certaines solutions t
220. difier la structure interne d un vApp vApp vApp telle que l information produit et les propri t s vApp Configuration d instance Permet de modifier la configuration d une instance vApp vApp de vApp telle que les strat gies 294 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 37 Privil ges de vApp suite Nom de privil ge Description Requis sur vApp Configuration de vApp Permet une extension ou une solution de vApp managedBy marquer un vApp comme tant g r par cette extension ou solution Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge vApp Configuration des ressources Permet de modifier la configuration des ressources vApp vApp d un vApp Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Privil ges vServices Les privil ges vServices contr lent la capacit cr er configurer et mettre niveau les d pendances vService des machines virtuelles et des vApp Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tablea
221. dir sur chaque n ud Les informations r pliqu es sont celles concernant les utilisateurs les certificats les licences pour les machines virtuelles cr es clon es ou migr es avec VMware VMotion etc Lorsque le lien de r plication est rompu par exemple cause d une panne du r seau ou de l indisponibilit d un n ud il n y a pas de convergence des modifications apport es la f d ration Un fois le n ud indisponible restaur chaque n ud tente de r cup rer l ensemble des modifications Par la suite toutes les instances de vmdir convergent vers un tat coh rent mais l obtention de cet tat coh rent peut prendre un certain temps si de nombreuses modifications ont eu lieu pendant qu un n ud tait indisponible Solution Votre environnement fonctionne normalement pendant que la r plication a lieu Ne tentez pas de r soudre le probl me sauf s il persiste pendant plus d une heure VMware Inc Certificats de s curit vSphere Les composants de vSphere utilisent SSL pour communiquer en toute s curit entre eux ainsi qu avec ESXi Les communications SSL garantissent la confidentialit et l int grit des donn es Les donn es sont prot g es et ne peuvent pas tre modifi es en cours de transit sans d tection Les certificats sont galement utilis s par des services vCenter Server tels que vSphere Web Client pour l authentification initiale aupr s de vCenter Single Sign On vCenter Single Sign On fournit
222. dispensable uniquement si m Votre environnement comprend la fois les services de vCenter Single Sign On 5 5 et de vCenter Single Sign On 6 0 m Les services de vCenter Single Sign On sont configur s pour r pliquer les donn es de vmdir m Vous envisagez de remplacer les certificats sign s par VMCA par d faut par les certificats personnalis s du n ud sur lequel le service de vCenter Single Sign On 6 0 est ex cut REMARQUE Dans la plupart des autres situations il est pr f rable d effectuer la mise niveau de l environnement complet avant de red marrer les services En r gle g n rale il n est pas recommand de remplacer le certificat du service d annuaire de VMware Proc dure 1 Sur le n ud sur lequel le services de vCenter Single Sign On 6 0 est ex cut remplacez le certificat et la cl SSL de vmdird Reportez vous Remplacer le certificat de service d annuaire VMware page 99 VMware Inc Chapitre 3 Certificats de s curit VSphere 2 Sur le n ud sur lequel le service de vCenter Single Sign On 5 5 est ex cut configurez l environnement de sorte que le service de vCenter Single Sign On 6 0 soit reconnu a Effectuez une sauvegarde de tous les fichiers de C ProgramData VMware CIS cfg vmdird b Faites une copie du fichier vmdircert pem sur le n ud 6 0 et renommez le lt sso_node2 domain com gt pem o lt sso_node2 domain com gt est le nom de domaine complet du n ud 6 0 c Copiez
223. e page 99 106 VMware Inc Chapitre 3 Certificats de s curit vSphere 2 Sur le n ud sur lequel le service de vCenter Single Sign On 5 5 est ex cut configurez l environnement de sorte que le service de vCenter Single Sign On 6 0 soit reconnu a Effectuez une sauvegarde de tous les fichiers de C ProgramData VMware CIS cfg vmdird b Faites une copie du fichier vmdircert pem sur le n ud 6 0 et renommez le lt sso_node2 domain com gt pem o lt sso_node2 domain com gt est le nom de domaine complet du n ud 6 0 c Copiez le certificat renomm dans C ProgramData VMware CIS cfg vmdird pour remplacer le certificat de r plication existant 3 Red marrez le service d annuaire de VMware sur toutes les machines o vous avez remplac les certificats Vous pouvez red marer le service partir de vSphere Web Client ou utiliser la commande service control Gestion des certificats et des services avec les commandes de l interface de ligne de commande Un groupe d interfaces de ligne de commande vous permet de g rer VMCA VMware Certificate Authority VECS VMware Endpoint Certificate Store et le service d annuaire de VMware vmdir L utilitaire vSphere Certificate Manager g re galement de nombreuses t ches associ es mais les interfaces de ligne de commande sont indispensables pour la gestion manuelle des certificats Tableau 3 5 Outils d interface de ligne de commande affect s la gestion des certificats et d
224. e Dans ce cas l utilisateur ne dispose plus des privil ges associ s au r le d fini sur l objet Proc dure 1 Acc dez l objet dans le navigateur d objets de vSphere Web Client 2 Cliquez sur l onglet G rer et s lectionnez Autorisations 3 Cliquer sur l l ment de ligne appropri pour s lectionner l utilisateur ou le groupes et la paire de r le 4 Cliquez sur Supprimer autorisations vCenter Server supprime le param tre d autorisation 134 VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Changer les param tres de validation d autorisation vCenter Server valide p riodiquement ses listes d utilisateurs et de groupes selon les utilisateurs et les groupes figurant dans l annuaire d utilisateurs Il supprime alors les utilisateurs ou les groupes qui n existent plus dans le domaine Vous pouvez d sactiver la validation ou modifier l intervalle entre les validations Si vos domaines comportent des milliers de groupes ou d utilisateurs ou si les recherches prennent trop de temps envisagez d ajuster les param tres de recherche Pour les versions de vCenter Server ant rieures vCenter Server 5 0 ces param tres s appliquent un annuaire Active Directory associ vCenter Server Pour vCenter Server 5 0 et versions ult rieures ces param tres s appliquent aux sources d identit de vCenter Single Sign On REMARQUE Cette proc dure s applique uniquement aux listes d utilis
225. e vCenter Single Sign On utilise le domaine par d faut pour authentifier un utilisateur qui se connecte sans nom de domaine Les utilisateurs qui appartiennent un domaine qui n est pas le domaine par d faut doivent inclure le nom de domaine lorsqu ils se connectent Lorsqu un utilisateur se connecte un syst me vCenter Server partir de vSphere Web Client le comportement de la connexion n est pas le m me selon que l utilisateur se trouve ou non dans le domaine par d faut c est dire le domaine d fini comme source d identit par d faut m Les utilisateurs qui se trouvent dans le domaine par d faut peuvent se connecter avec leurs nom d utilisateur et mot de passe m Les utilisateurs qui se trouvent dans un domaine qui a t ajout vCenter Single Sign On en tant que source d identit mais qui n est pas le domaine par d faut peuvent se connecter vCenter Server mais ils doivent sp cifier le domaine de l une des mani res suivantes m En incluant un pr fixe de nom de domaine par exemple MONDOMAINE utilisateur1 m En incluant le domaine par exemple utilisateurl mondomaine com m Les utilisateurs qui se trouvent dans un domaine qui n est pas une source d identit vCenter Single Sign On ne peuvent pas se connecter vCenter Server Si le domaine que vous ajoutez vCenter Single Sign On fait partie d une hi rarchie de domaines Active Directory d termine si les utilisateurs des autres domaines de la hi rarchie
226. e Active Directory authentification Windows int gr e dans vSphere Web Client vCenter Single Sign On vous permet de sp cifier un domaine Active Directory unique comme source d identit Le domaine peut avoir des domaines enfants ou tre un domaine racine de la for t L article 2064250 de la base de connaissances VMware traite des relations de confiance Microsoft Active Directory prises en charge par vCenter Single Sign On VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On m Active Directory sur LDAP vCenter Single Sign On prend en charge plusieurs sources d identit Active Directory sur LDAP Ce type de source d identit est inclus pour garantir la compatibilit avec le service vCenter Single Sign On int gr vSphere 5 1 Cette source d identit est nomm e Active Directory en tant que serveur LD AP dans vSphere Web Client m OpenLDAP 24 et versions ult rieures vCenter Single Sign On prend en charge plusieurs sources d identit OpenLDAP Cette source d identit est nomm e OpenLDAP dans vSphere Web Client m Utilisateurs du syst me d exploitation local Les utilisateurs du syst me d exploitation local sont les utilisateurs du syst me d exploitation sur lequel le serveur vCenter Single Sign On est en cours d ex cution La source d identit du syst me d exploitation local existe uniquement dans les d ploiements de base du serveur vCenter Single Sign On Elle n est pas disponible dans les
227. e Web Client le groupe est ajout au domaine vsphere local Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 S lectionnez l onglet Groupes et cliquez sur l ic ne Nouveau groupe 4 Entrez le nom et la description du groupe Vous ne pouvez pas modifier le nom du groupe apr s l avoir cr 5 Cliquez sur OK VMware Inc 45 S curit vSphere 46 Suivant m Ajoutez des membres au groupe Ajouter des membres un groupe vCenter Single Sign On Les membres d un groupe vCenter Single Sign On peuvent tre des utilisateurs ou d autres groupes issus d une ou de plusieurs sources d identit Vous pouvez ajouter de nouveaux membres partir de vSphere Web Client Vous pouvez ajouter des membres de groupes Microsoft Active Directory ou OpenLDAP un groupe vCenter Single Sign On Vous ne pouvez pas ajouter de groupes de sources d identit externes un groupe vCenter Single Sign On Les groupes r pertori s dans l onglet Groupes de vSphere Web Client appartiennent au domaine vsphere local Reportez vous Groupes du domaine vsphere local page 27
228. e Web Client pour activer l acc s ESXi Shell page 198 Vous pouvez utiliser vSphere Web Client pour activer un acc s local et distant SSH au service ESXi Shell et pour d finir le d lai d attente d inactivit et le d lai d attente de disponibilit m Utiliser l interface utilisateur de la console directe DCUI pour activer l acc s au service ESXi Shell page 199 L interface utilisateur de la console directe DCUI vous permet d interagir avec l h te localement en utilisant des menus textuels valuez avec soin si les exigences de votre environnement en mati re de s curit permettent l activation de l interface utilisateur de la console directe DCUI m Connexion au ESXi Shell pour une op ration de d pannage page 201 Effectuez des t ches de configuration d ESXi avec vSphere Web Client vSphere CLI ou vSphere PowerCLI Connectez vous au ESXi Shell anciennement mode support technique ou TSM uniquement des fins de d pannage VMware Inc 197 S curit vSphere 198 Utiliser vSphere Web Client pour activer l acc s ESXi Shell Vous pouvez utiliser vSphere Web Client pour activer un acc s local et distant SSH au service ESXi Shell et pour d finir le d lai d attente d inactivit et le d lai d attente de disponibilit REMARQUE Acc dez l h te l aide de vSphere Web Client d outils de ligne de commande distance wCLI et PowerCLI et d API publi es N activez pas l acc s distance l h te l
229. e comme Active Directory afin de g rer les groupes de travail et les utilisateurs Lorsque vous ajoutez un h te ESXi Active Directory le groupe DOMAIN ESXi Admins obtient un acc s administratif complet l h te s il existe Si vous ne voulez pas rendre disponible l acc s d administration complet consultez l article 1025569 de la base de connaissances VMware pour une solution Si un h te est provisionn avec Auto Deploy les informations d identification Active Directory ne peuvent pas tre stock es sur les h tes Vous pouvez utiliser vSphere Authentication Proxy pour joindre l h te un domaine Active Directory Comme une cha ne d approbation existe entre vSphere Authentication Proxy et l h te Authentication Proxy peut joindre l h te au domaine Active Directory Reportez vous Utiliser vSphere Authentication Proxy page 188 REMARQUE Lorsque vous d finissez des param tres de comptes d utilisateurs dans Active Directory vous pouvez limiter les ordinateurs auxquels un utilisateur peut se connecter en fonction du nom de ces ordinateurs Par d faut aucune restriction quivalente n est d finie pour un compte utilisateur Si vous d finissez cette limitation les requ tes Bind LDAP pour le compte utilisateur chouent avec le message LDAP binding not successful m me si la requ te provient d un ordinateur r f renc Vous pouvez viter ce probl me en ajoutant le nom netBIOS du serveur Active Directory la liste d
230. e configurer un commutateur virtuel standard ou distribu pour fonctionner en mode promiscuit par exemple si vous ex cutez un logiciel de d tection des intrusions r seau ou un renifleur de paquets VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere S curiser les commutateurs distribu s vSphere et les groupes de ports distribu s Les administrateurs disposent de plusieurs options pour s curiser un vSphere Distributed Switch dans leur environnement vSphere Proc dure 1 VMware Inc Pour les groupes de ports distribu s avec une liaison statique v rifiez que la fonction Extension automatique est d sactiv e Extension automatique est activ e par d faut dans vSphere 5 1 et versions ult rieures Pour d sactiver Extension automatique configurez la propri t autoExpand sous le groupe de ports distribu s avec vSphere Web Services SDK ou avec une interface de ligne de commande Reportez vous la documentation vSphere Web Services SDK Assurez vous que tous les ID VLAN priv s de tout vSphere Distributed Switch sont enti rement document s Si vous utilisez le balisage VLAN sur un dvPortgroup les ID de VLAN doivent correspondre aux ID des commutateurs VLAN externes en amont Si les ID de VLAN ne sont pas enti rement suivis une r utilisation erron e d ID peut permettre l tablissement de trafic entre des machines physiques et virtuelles non appropri es De la m me mani re si des ID de VL
231. e d identit Le syst me vous demande uniquement le nom du syst me d exploitation Si vous s lectionnez cette option tous les utilisateurs sur la machine sp cifi e sont visibles par vCenter Single Sign On m me si ces utilisateurs ne font pas partie d un autre domaine Cliquez sur Tester la connexion pour vous assurer que vous pouvez vous connecter la source d identit Cliquez sur OK Supprimer une source d identit vCenter Single Sign On Les utilisateurs vSphere sont d finis dans une source d identit Vous pouvez supprimer une source d identit de la liste des sources d identit enregistr es Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local Acc dez Administration gt Single Sign On gt Configuration Dans l onglet Sources d identit s lectionnez une source d identit et cliquez sur l ic ne Supprimer une source d identit Cliquez sur Oui lorsque vous tes invit confirmer Utiliser vCenter Single Sign On avec l authentification de session Windows Vous pouvez utiliser vCenter Single Sign On avec l authentification de session Windows SSPT Pour que la case cocher soit disponible sur la page de connexion le plug in d int gratio
232. e de console directe du mode de verrouillage strict et diff rent de celui du mode de verrouillage normal m En mode de verrouillage strict le service d interface utilisateur de la console directe est d sactiv m En mode de verrouillage normal les comptes de la liste des utilisateurs exceptionnels qui disposent des privil ges d administrateur et les utilisateurs sp cifi s dans le param tre syst me avanc DCUI Access peuvent acc der l interface de console directe m Si ESXi Shell ou SSH est activ et que l h te est plac en mode de verrouillage strict ou normal les comptes de la liste des utilisateurs exceptionnels qui disposent des privil ges d administrateur peuvent utiliser ces services ESXi Shell ou SSH est d sactiv pour tous les autres utilisateurs partir de vSphere 6 0 les sessions ESXi ou SSH des utilisateurs qui ne disposent pas de privil ges d administrateur sont termin es Tout acc s est connect la fois pour le mode de verrouillage strict et normal Tableau 5 9 Comportement du mode de verrouillage Service API vSphere Web Services Mode normal Tous les utilisateurs en fonction des autorisations Mode de verrouillage normal vCenter vpxuser Utilisateurs exceptionnels en fonction des autorisations vCloud Director vslauser s il est disponible Mode verrouillage strict vCenter vpxuser Utilisateurs exceptionnels en fonction des autorisations vCloud Director vslauser
233. e de la cha ne Cette approche associe la s curit d un certificat sign par une autorit de certification tierce l aspect pratique d une gestion automatis e des certificats Vous pouvez r aliser cette configuration en utilisant l utilitaire vSphere Certificate Manager les CLI ou l interface web Platform Services Controller Pr requis 1 G n rer la demande de signature de certificat 2 Modifiez le certificat que vous recevez et placez le certificat racine VMCA actuel en bas VMware Inc 67 S curit vSphere G n rer des demandes de signature de certificat avec vSphere Certificate Manager autorit de certification interm diaire page 71 explique les deux tapes Proc dure 1 Dans un navigateur Web connectez vous Platform Services Controller en sp cifiant l URL suivante dans un navigateur Web https psc_hostname_or_IP psc Dans un d ploiement int gr le nom d h te ou l adresse IP de Platform Services Controller est identique au nom d h te ou l adresse IP de vCenter Server 2 Sp cifier le nom d utilisateur et le mot passe d administrator vsphere local Si vous avez sp cifi un autre domaine lors de l installation connectez vous en tant qu administrator mydomain local 3 Pour ajouter le nouveau certificat racine la VMCA suivez ces tapes a Dans Certificats cliquez sur Autorit de certification et s lectionnez l onglet Certificat racine b Cliquez sur Ajouter un certificat ajo
234. e dossier 268 Les privil ges de dossier contr lent la capacit cr er et g rer des dossiers Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e VMware Inc Tableau 10 10 Privil ges de dossier Chapitre 10 Privil ges d finis Nom de privil ge Description Requis sur Dossier Cr er un dossier Permet de cr er un dossier Dossiers Dossier Supprimer un Permet de supprimer un dossier Dossiers dossier Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Dossier D placer un dossier Permet de d placer un dossier Dossiers Le privil ge doit tre pr sent la fois la source et la destination Dossier Renommer un Permet de modifier le nom d un dossier Dossiers dossier Privil ges globaux Les privil ges globaux contr lent un certain nombre de t ches globales associ es aux t ches aux scripts et aux extensions Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privi
235. e du niveau de s curit Vous pouvez utiliser des mod les qui contiennent un syst me d exploitation s curis dot de correctifs et correctement configur pour cr er d autres mod les propres des applications ou utiliser le mod le d application pour d ployer des machines virtuelles Proc dure Fournissez des mod les pour la cr ation de machines virtuelles qui comportent des d ploiements de syst mes d exploitation s curis s corrig s et correctement configur s Si possible d ployez galement les applications dans les mod les Assurez vous que les applications ne d pendent pas d informations sp cifiques la machine virtuelle d ployer Suivant Pour plus d informations sur les mod les reportez vous la documentation Administration d une machine virtuelle vSphere R duire l utilisation de la console de machine virtuelle La console de machine virtuelle joue pour la machine virtuelle le m me r le qu un moniteur sur un serveur physique Les utilisateurs qui acc dent une console de machine virtuelle disposent d un acc s aux commandes de gestion de l alimentation et de connectivit des p riph riques amovibles des machines virtuelles ce qui peut permettre une attaque malveillante sur ces derni res Proc dure 1 Utilisez des services natifs de gestion distance tels que des services de terminaux et SSH pour interagir avec les machines virtuelles Autorisez l acc s la console de machin
236. e en une adresse diff rente de l adresse MAC initiale Ce param tre prot ge l h te contre l emprunt d identit MAC Le port que l adaptateur de machine virtuelle a utilis pour envoyer la demande est d sactiv et l adaptateur de machine virtuelle ne re oit plus de trames jusqu ce que l adresse MAC effective corresponde l adresse MAC initiale Le syst me d exploitation invit ne d tecte pas que la demande de modification d adresse MAC n a pas t honor e REMARQUE L initiateur iSCSI repose sur la capacit obtenir les modifications d adresse MAC de certains types de stockage Si vous utilisez iSCSI ESXi avec un stockage iSCSI d finissez l option Modifications d adresse MAC sur Accepter Dans certaines situations vous pouvez avoir un besoin l gitime d attribuer la m me adresse MAC plusieurs adaptateurs par exemple si vous utilisez l quilibrage de la charge r seau Microsoft en mode monodiffusion Lorsque l quilibrage de la charge r seau Microsoft est utilis en mode multidiffusion standard les adaptateurs ne partagent pas les adresses MAC Transmissions forg es L option Transmissions forg es affecte le trafic transmis partir d une machine virtuelle Lorsque l option Transmissions forg es est d finie sur Accepter ESXi ne compare les adresses MAC source et effective Pour se prot ger d un emprunt d identit MAC vous pouvez d finir l option Transmissions forg es sur Rejeter Dans ce cas l h te
237. e fiable Pr requis Vous devez disposer de privil ges pour acc der au service vCenter Single Sign On Ces privil ges diff rent des privil ges vCenter Server Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou utilisateur avec des privil ges vCenter Single Sign On 2 Sur la page d accueil s lectionnez Administration puis Plug ins des clients dans Solutions 3 Examinez la liste de plug ins des clients VMware Inc 211 S curit vSphere Meilleures pratiques en mati re de s curit de vCenter Server Appliance Suivez toutes les meilleures pratiques de s curisation d un syst me vCenter Server pour s curiser vCenter Server Appliance Les tapes suppl mentaires vous permettent de renforcer la s curit de votre environnement Configurer NTP Assurez vous que tous les syst mes utilisent la m me source d heure relative en tenant compte du d calage de localisation pertinent et que la source d heure relative peut tre mise en corr lation avec une heure standard convenue telle que le Temps universel coordonn UTC La synchronisation des syst mes est essentielle pour assurer la validit des certificats NTP simplifie galement le suivi d un ventuel intrus dans les fichiers journaux Des r glages d heure incorrects compliquent l analyse et la corr lation de fichiers journaux pour d tecter d ventuelles attaques et compromettent la pr cision des audits Reportez vous
238. e l entreprise l impose remplacez les certificats sign s par VMCA par des certificats provenant d une autorit de certification approuv e une autorit de certification commerciale ou l autorit de certification d une organisation Les certificats par d faut se trouvent au m me emplacement que les certificats vSphere 5 5 Vous pouvez remplacer de plusieurs mani res les certificats par d faut par des certificats approuv s REMARQUE Vous pouvez galement utiliser les objets g r s vim CertificateManager et vim host CertificateManager dans vSphere Web Services SDK Reportez vous la documentation vSphere Web Services SDK Apr s avoir remplac le certificat vous devez mettre jour le magasin TRUSTED_ROOTS dans VECS sur le syst me vCenter Server qui g re l h te afin de garantir une relation de confiance entre vCenter Server et l h te ESXi m Configuration requise pour les demandes de signature de certificat ESXi page 162 Si vous souhaitez utiliser un certificat sign par une autorit de certification tierce que ce soit en utilisant VMCA en tant qu autorit subordonn e ou en recourant une autorit de certification personnalis e vous devez envoyer une demande de signature de certificat Certificate Signing Request CSR l autorit de certification m Remplacer le certificat et la cl par d faut dans ESXi Shell page 162 Vous pouvez remplacer les certificats ESXi sign s par VMCA par d faut dans ESXi Shell
239. e l h te emp che les syst mes d exploitation invit s de ses machines virtuelles d emprunter l identit d autres machines sur le r seau Cette fonction de s curit est impl ment e afin que le syst me d exploitation invit responsable de l emprunt d identit ne d tecte pas que l emprunt d identit a t emp ch VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere La strat gie de s curit d termine le niveau d intensit avec lequel vous appliquez la protection contre l emprunt d identit et les attaques d interception sur les machines virtuelles Pour utiliser correctement les param tres du profil de s curit vous devez comprendre comment les adaptateurs r seau de machines virtuelles contr lent les transmissions et la mani re dont les attaques sont contr es ce niveau Consultez la section Strat gies de s curit dans Mise en r seau vSphere S curiser les commutateurs standard vSphere Vous pouvez s curiser le trafic de commutation standard contre les attaques de couche 2 en limitant certains modes d adresses MAC l aide des param tres de s curit des commutateurs Chaque adaptateur r seau de la machine virtuelle dispose d une adresse MAC initiale et d une adresse MAC effective Adresse MAC initiale L adresse MAC initiale est attribu e lors de la cr ation de l adaptateur Bien que l adresse MAC initiale puisse tre reconfigur e partir de l ext rieur du syst me d exploitation in
240. e la source d identit vCenter Single Sign On renvoie un jeton qui repr sente l utilisateur pour vSphere Web Client 4 vSphere Web Client transmet le jeton au syst me vCenter Server VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On 5 vCenter Server v rifie aupr s du serveur vCenter Single Sign On que le jeton est valide et n a pas expir 6 Le serveur vCenter Single Sign On renvoie le jeton au syst me vCenter Server en exploitant la structure d autorisation de vCenter Server pour autoriser l acc s de l utilisateur L utilisateur peut d sormais s authentifier puis afficher et modifier les objets pour lesquels il poss de les privil ges pertinents REMARQUE Le r le Aucun acc s est attribu initialement chaque utilisateur Pour qu un utilisateur puisse se connecter un administrateur vCenter Server doit au moins lui attribuer le r le Lecture seule Reportez vous la section Ajouter une autorisation un objet d inventaire page 133 tablissement de liaison vCenter Single Sign On pour les utilisateurs de solution Les utilisateurs de solution sont des ensembles de services utilis s dans l infrastructure vCenter Server les extensions vCenter Server ou vCenter Server par exemple Les extensions VMware et ventuellement les extensions tierces peuvent galement s authentifier aupr s de vCenter Single Sign On Figure 2 2 tablissement de liaison vCenter Single Sign O
241. e passe 47 OpenLDAP 32 politique des mots de passe 39 r f rentiels d utilisateurs 30 service de jetons de s curit STS 37 sources d identit 30 32 utilisateurs verrouill s 40 VECS 61 vecs cli remplacement des certificats 39 VGT 239 vifs charger des certificats et cl s 195 VirtualCenter VimPasswordExpirationinDays 209 VLAN etiSCSI 257 s curit 238 s curit de la couche 2 239 VLAN hopping 239 VMCA afficher les certificats 122 certificats racines 89 certool 109 vmdircert pem 99 105 vmdirkey pem 99 105 vMotion s curisation avec VLAN et commutateurs virtuels 239 vpxd cert threshold 123 vpxd certmgmt mode 160 vpxuser 184 vServices privil ges 295 vSphere Authentication Proxy authentification 190 installer ou mettre niveau 185 188 vSphere Certificate Manager 73 vSphere Client ports de pare feu pour connexion directe 232 vSphere Distributed Switch 237 vSphere Network Appliance 247 vues de stockage privil ges 278 Z zonage 258 VMware Inc
242. e passe de vCenter Single Sign On page 47 Les utilisateurs du domaine vsphere local peuvent modifier le mot de passe de vCenter Single Sign On dans vSphere Web Client Les utilisateurs se trouvant dans d autres domaines changent leur mot de passe en suivant les r gles du domaine concern Vous pouvez modifier un mot de passe vCenter Single Sign On ou r initialiser un mot de passe expir dans vSphere Web Client ou en utilisant la commande dir cli password reset Ajouter des utilisateurs vCenter Single Sign On Les utilisateurs r pertori s dans l onglet Utilisateurs de vSphere Web Client sont internes vCenter Single Sign On et appartiennent au domaine vsphere local Vous pouvez s lectionner d autres domaines et afficher des informations sur les utilisateurs de ces domaines mais vous ne pouvez pas ajouter des utilisateurs aux autres domaines dans l interface de gestion de vCenter Single Sign On de vSphere Web Client Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 Si vsphere local n est pas le domaine s lectionn actuellement s lectionnez le dans le menu d roula
243. e port port Requis Sp cifiez le port source Le port source doit tre un nombre compris entre 0 et 65 535 destination port port Requis Sp cifiez le port de destination Le port source doit tre un nombre compris entre 0 et 65 535 upper layer protocol protocol Sp cifiez le protocole de couche sup rieure l aide d un des param tres suivants tcp udp m icmp6 m toutes flow direction direction Sp cifiez la direction dans laquelle vous souhaitez surveiller le trafic l aide de in ou out _ action action D finissez l action prendre lorsque le trafic avec les param tres sp cifi s est rencontr l aide des param tres suivants m none Ne faites rien m discard Ne permettez pas l entr e ou la sortie de donn es m ipsec Utilisez les informations d authentification et de chiffrement fournies dans l association de s curit pour d terminer si les donn es proviennent d une source de confiance sp mode mode Sp cifiez le mode soit tunnel ou transport sSa name security association name Requis Indiquez le nom de l association de s curit pour la r gle de s curit utiliser sp name name Requis Indiquez un nom pour la r gle de s curit 245 S curit vSphere Exemple Commande de nouvelle r gle de s curit L exemple suivant contient des sauts de ligne suppl mentaires pour des raisons de lisibilit es
244. e syst me utilise SNMP consultez la publication Surveillance et performances pour obtenir des 246 informations sur la configuration de SNMP 3 SNMP doit tre configur sur chaque h te ESXi Vous pouvez utiliser vCLI PowerCLI ou vSphere Web Services SDK pour la configuration VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere Utiliser des commutateurs virtuels avec l API vSphere Network Appliance uniquement si n cessaire Si vous n utilisez pas de produits faisant appel l API vSphere Network Appliance DvFilter ne configurez pas votre h te pour envoyer des informations sur le r seau une machine virtuelle Si l API vSphere Network Appliance est activ e un pirate peut tenter de connecter une machine virtuelle au filtre Cette connexion risque de donner d autres machines virtuelles sur l h te un acc s au r seau Si vous utilisez un produit qui fait appel cette API v rifiez que l h te est correctement configur Reportez vous aux sections sur DvFilter dans D veloppement et d ploiement des solutions vSphere des vServices et des agents ESX Si votre h te est configur pour utiliser l API assurez vous que la valeur du param tre Net DVFilterBindIpAddress correspond au produit qui utilise l API Proc dure 1 Pour s assurer que le param tre de noyau Net DVFilterBindIpAddress a la valeur appropri e localisez le param tre l aide de vSphere Web Client a S lectionnez l h te et cli
245. e vCenter Server vmafdd vecs cli entry delete store machine alias machine C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store machine alias machine cert new machine vc crt key machine vc key priv c Remplacez le certificat d utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store vpxd alias vpxd C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vpxd alias vpxd cert new vpxd crt key vpxd key priv d Remplacez le certificat d utilisateur de solution vpxd extension sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store vpxd extension alias vpxd extension C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vpxd extension alias vpxd extension cert new vpxd extension crt key vpxd extension key priv e Remplacez le certificat d utilisateur de solution vsphere webclient sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store vsphere webclient alias vsphere webclient C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vsphere webclient alias vsphere webclient cert new vsphere webclient crt key vsphere webclient key priv VMware Inc 97 S cur
246. e virtuelle uniquement lorsque cela est n cessaire 2 Limitez les connexions la console au nombre de connexions strictement n cessaires Par exemple dans un environnement hautement s curis limitez ce nombre une connexion Dans certains environnements vous pouvez augmenter cette limite en fonction du nombre de connexions simultan es requises pour effectuer des t ches normales Emp cher les machines virtuelles de r cup rer les ressources Lorsqu une machine virtuelle consomme une telle proportion des ressources de l h te que les autres machines virtuelles de l h te ne peuvent accomplir les fonctions pour lesquelles elles sont pr vues un d ni de service DoS peut survenir Pour emp cher une machine virtuelle de provoquer un Dos utilisez les fonctions de gestion des ressources de l h te telles que le param trage des partages et utilisez des pools de ressources Par d faut toutes les machines virtuelles d un h te ESXi partagent quitablement les ressources Vous pouvez utiliser les partages et les pools de ressources pour emp cher une attaque par d ni de service amenant une machine virtuelle consommer une quantit si importante des ressources de l h te que les autres machines virtuelles sur le m me h te ne peuvent pas remplir les fonctions pr vues N utilisez pas de limites si vous n en comprenez pas compl tement l impact VMware Inc Chapitre 7 S curisation des machines virtuelles Proc dure 1 F
247. eService Administrators peuvent acc der en criture toutes les donn es li es la gestion des licences et peuvent ajouter supprimer attribuer des touches s rie et en annuler l attribution pour toutes les ressources de produits enregistr es dans le service de licence Administrateurs Administrateurs du service d annuaire VMware vmdir Les membres de ce groupe peuvent effectuer des t ches d administration vCenter Single Sign On En g n ral il est d conseill d ajouter des membres ce groupe VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Exigences de mots de passe et comportement de verrouillage de vCenter Server Pour g rer votre environnement vous devez conna tre la strat gie de mot de passe vCenter Single Sign On les mots de passe vCenter Server et le comportement de verrouillage Mot de passe d administrateur VCenter Single Sign On Le mot de passe d administrator vsphere local doit satisfaire les exigences suivantes m Au moins 8 caract res Au moins un caract re minuscule m Au moins un caract re num rique m Au moins un caract re sp cial Le mot de passe d administrator vsphere local ne peut pas comporter plus de 20 caract res Seuls les caract res ASCII visibles sont autoris s Cela signifie par exemple que vous ne pouvez pas utiliser le caract re espace Mots de passe de vCenter Server Dans vCenter Server les exigences en mati re de mot de p
248. elle Interaction Interrompre Permet d interr ompre une machin e virtuell e sous tension Cette op rati on met l invit en mode veille Machines virtuelles VMware Inc 287 S curit vSphere Tableau 10 30 Interaction de machine virtuelle suite Descri Nom de privil ge ption Requis sur Interaction avec une machine virtuelle Interrompre Fault Tolerance Permet Machines virtuelles la suspen sion de Fault Tolera nce pour une machin e virtuell e Machine virtuelle Interaction Tester le basculement Permet Machines virtuelles de tester le bascule ment de Fault Tolera nce en faisant de la machin e virtuell e second aire la machin e virtuell e princip ale Machine virtuelle Interaction Tester le red marrage de la VM secondaire Permet Machines virtuelles de termin er une machin e virtuell e second aire pour une machin e virtuell e utilisan t Fault Tolera nce 288 VMware Inc Tableau 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction D sactiver la Fault Tolerance Descri ption Permet de mettre hors tension Fault Tolera nce pour une machin e virtuell e Chapitre 10 Privil ges d finis Requis sur Machines virtuelles Machine virtuelle Interaction Activer la Fault Tolerance Permet de mettre sous tension Fault Tolera nce pour une machin e virtuell e Machines virtu
249. elle joue pour la machine virtuelle le m me r le qu un moniteur sur un serveur physique Les utilisateurs qui acc dent une console de machine virtuelle disposent d un acc s aux commandes de gestion de l alimentation et de connectivit des p riph riques amovibles des machines virtuelles ce qui peut permettre une attaque malveillante sur ces derni res S curisation de la couche de mise en r seau virtuelle La couche de mise en r seau virtuelle comprend des adaptateurs r seau virtuels des commutateurs virtuels des commutateurs virtuels distribu s des ports et des groupes de ports ESXi utilise la couche r seau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs En outre ESXi utilise cette couche pour communiquer avec les SAN iSCSI le stockage NAS etc vSphere offre toutes les fonctionnalit s pour garantir une infrastructure de mise en r seau s curis e Vous pouvez s curiser s par ment chacun des l ments de l infrastructure commutateurs virtuels commutateurs virtuels distribu s ou adaptateurs r seau virtuels par exemple En outre tenez compte des directives suivantes d taill es dans la section Chapitre 8 S curisation de la mise en r seau vSphere page 229 Isoler le trafic r seau Utiliser des pare feu pour s curiser les l ments du r seau virtuel tudier les strat gies de s curit r seau S curiser la mise en r seau des machines virtuelles VMw
250. elles Machine virtuelle Interaction Installer VMware Tools Permet de monter et d mon ter le progra mme d instal lation CD de VMwa re Tools comme un CD ROM pour le syst m e d explo itation invit Machines virtuelles VMware Inc 289 S curit vSphere Privil ges d inventaire de machine virtuelle Les privil ges d inventaire de machine virtuelle contr lent l ajout le d placement et la suppression des machines virtuelles Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 31 Privil ges d inventaire de machine virtuelle Nom de privil ge Machine virtuelle Inventaire Cr er partir d un mod le d une machine virtuelle existante Description Permet la cr ation d une machine virtuelle bas e sur une machine virtuelle existante ou un mod le existant par clonage ou d ploiement partir d un mod le Requis sur Clusters h tes dossiers de machine virtuelle Machine virtuelle Inventaire Cr er nouveau Permet la cr ation d une machine virtuelle et l allocation de ressources pour son ex cution Clusters h tes dossiers de machine virtuelle Machine
251. elles du r seau Les contraintes de s curisation des machines virtuelles sont souvent identiques celles des machines physiques Les machines virtuelles sont isol es les unes des autres Une machine virtuelle ne peut pas lire ou crire sur la m moire d une autre machine virtuelle acc der ses donn es utiliser ses applications etc Cependant dans le r seau toute machine virtuelle ou groupes de machines virtuelles peut toujours tre la cible d un acc s non autoris partir d autres machines virtuelles et peut n cessiter une protection suppl mentaire par des moyens externes 230 VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere S curisation du r seau avec des pare feu Les administrateurs de s curit utilisent des pare feu pour prot ger le r seau ou les composants s lectionn s dans le r seau des intrusions Les pare feu contr lent l acc s aux p riph riques dans leur p rim tre en fermant toutes les voies de communication except pour celles que l administrateur d signe explicitement ou implicitement comme autoris es Les voies ou ports que les administrateurs ouvrent dans le pare feu autorisent le trafic entre les p riph riques sur les diff rents c t s du pare feu IMPORTANT Le pare feu ESXi d ESXi 5 5 n autorise pas le filtrage par r seau du trafic vMotion Par cons quent vous devez tablir des r gles sur votre pare feu externe pour vous assurer qu aucune connexion entrante
252. elles que VMware vCenter Site Recovery Manager ou VMware vSphere Replication sont toujours install es sur une autre machine que le syst me vCenter Server ou Platform Services Controller Si vous remplacez le certificat SSL machine par d faut sur le syst me vCenter Server ou Platform Services Controller une erreur de connexion se produit si la solution tente de se connecter au syst me vCenter Server Vous pouvez ex cuter le script 1s_update_certs pour r soudre le probl me Reportez vous l article 2109074 de la base de connaissances VMware pour obtenir plus de d tails Gestion de certificats avec l interface Web Platform Services Controller Vous pouvez afficher et g rer des certificats en vous connectant l interface Web Platform Services Controller Vous pouvez r aliser de nombreuses t ches de gestion de certificats via l utilitaire vSphere Certificate Manager ou l aide de cette interface Web L interface Web Platform Services Controller vous permet de r aliser ces t ches de gestion m Explorez les magasins de certificats actuels ajoutez et supprimez des magasins de certificat et ajoutez et supprimez des entr es de magasin de certificats m Explorez l instance de VMware Certificate Authority VMCA associ e ce Platform Services Controller m Renouvelez les certificats existants ou remplacez des certificats Des workflows de remplacement de certificats sont enti rement pris en charge dans l interface Web Platfo
253. ent un h te seuls les r les cr s directement sur l h te sont disponibles REMARQUE Si vous ajoutez un r le personnalis sans lui attribuer de privil ge il est cr comme r le Lecture seule avec trois privil ges d finis par le syst me System Anonymous System View et System Read Cr ation de r les dans vSphere Web Client http link brightcove com services player bcpid2296383276001 bctid ref video_creating_role_in_vsphere webclient R les syst me de vCenter Server Un r le est un ensemble pr d fini de privil ges Lorsque vous ajoutez des autorisations un objet vous associez un utilisateur ou un groupe un r le vCenter Server comprend plusieurs r les syst me que vous ne pouvez pas modifier R les syst me de vCenter Server vCenter Server ne fournit que tr s peu de r les par d faut Vous ne pouvez pas changer les privil ges associ s aux r les par d faut Les r les par d faut sont organis s de fa on hi rarchique chaque r le h rite des privil ges du r le pr c dent Par exemple le r le Administrateur h rite des privil ges du r le Lecture seule Les r les que vous cr ez vous m me n h ritent des privil ges d aucun r le syst me R le d administrateur Les utilisateurs assign s au r le Administrateur pour un objet sont autoris s afficher et ex cuter toutes les actions sur cet objet Ce r le comprend galement tous les privil ges inh rents au r le en lecture
254. ent et certificats 53 SSO voir Single Sign On voir Single Sign On SSO HA 52 SSPI 36 standard 234 stockage s curisation avec VLAN et commutateurs virtuels 239 stp 234 strat gie de mot de passe de vCenter Server 209 strat gie de s curit 234 strat gie des jetons Single Sign On 41 strat gies Mots de passe vCenter Single Sign On 39 s curit 245 Single Sign On 41 Single Sign On 39 verrouillage dans vCenter Single Sign On 40 strat gies de s curit cr ation 245 disponible 245 liste 245 suppression 246 STS voir service de jetons de s curit STS STS Security Token Service 22 Supprimer des utilisateurs de groupes 46 supprimer des utilisateurs Single Sign On 44 supprimer des utilisateurs vCenter Single Sign On 44 supprimer une source d identit 36 synchronisation de l heure bas e sur un serveur NTP 256 bas e sur VMware Tools 254 synchronisation de l heure bas e sur un serveur NTP 256 synchronisation de l heure bas e sur VMware Tools 254 synchronisation des horloges sur le r seau vSphere 253 synchroniser les horloges ESX ESXi sur le r seau vSphere 253 syslog 203 syst me d exploitation de l h te de vCenter Server s curisation renforc e 209 syst mes d exploitation client copier et coller 224 syst mes d exploitation invit activation des op rations copier et coller 224 303 S curit vSphere d sactivation de la journalisation 226 limitation de la taille variable d infor
255. entifier un acc s distant un h te Lorsque des utilisateurs ou des scripts essaient d acc der un h te avec SSH la cl fournit l authentification sans mot de passe Les cl s autoris es vous permettent d automatiser l authentification ce qui est utile lorsque vous crivez des scripts pour r aliser des t ches routini res Vous pouvez t l charger les types de cl s SSH suivants sur un h te m Fichier de cl s autoris es pour un utilisateur racine VMware Inc 195 S curit vSphere m Cl DSA m Cl DSA publique m CI RSA m Cl RSA publique IMPORTANT Ne modifiez pas manuellement le fichier etc ssh sshd_config Proc dure Dans l invite de commande utilisez la commande vifs pour charger la cl SSH l emplacement appropri vifs server hostname username username put filename host ssh_host_dsa_key_pub Type de cl s Emplacement Fichiers de cl s autoris es pour un host ssh_root_authorized keys utilisateur racine Vous devez b n ficier de tous les privil ges Administrateur pour t l charger ce fichier Cl s DSA host ssh_host_dsa_key Cl s DSA publiques host ssh_host_dsa_key_pub Cl s RSA host ssh_host_rsa_key Cl s RSA publiques host ssh_host_rsa_key_pub Charger une cl SSH l aide de HTTPS PUT Vous pouvez utiliser des cl s autoris es pour ouvrir une session sur un h te avec SSH Vous pouvez charger les cl s autoris es l aide de HTTPS PUT
256. er une autorit de certification externe Vous pouvez utiliser les certificats avec les diff rents processus de remplacement de certificat pris en charge Pr requis vSphere Certificate Manager vous invite fournir des informations Les invites d pendent de votre environnement et du type de certificat que vous souhaitez remplacer m Pour la g n ration d une demande de signature de certificat vous tes invit entrer le mot de passe de l utilisateur administrator vsphere local ou de l administrateur du domaine vCenter Single Sign On auquel vous vous connectez m Si vous g n rez une demande de signature de certificat dans un environnement avec une instance de Platform Services Controller externe vous tes invit entrer le nom d h te ou l adresse IP de Platform Services Controller m Pour g n rer une demande de signature du certificat SSL d une machine vous tes invit entrer les propri t s du certificat qui sont stock es dans le fichier certool cfg Pour la plupart des champs vous pouvez accepter les valeurs par d faut ou entrer des valeurs sp cifiques au site Le FQDN de la machine est requis Proc dure 1 Sur chaque machine de votre environnement d marrez vSphere Certificate Manager et s lectionnez l option 1 2 Fournissez le mot de passe et l adresse IP ou le nom d h te de Platform Services Controller si vous y tes invit VMware Inc 75 S curit vSphere 3 S lectionnez l option 1
257. er Single Sign On font partie du groupe Administrateurs du domaine vsphere local Acc dez Administration gt Single Sign On gt Configuration Cliquez sur l onglet Politiques et s lectionnez Politiques des mots de passe Cliquez sur Edit Modifiez les param tres de la strat gie de mot de passe Option Description Description Description de la strat gie de mot de passe Dur e de vie maximale Nombre maximal de jours d existence d un mot de passe au terme duquel l utilisateur doit le changer Restreindre la r utilisation Nombre de mots de passe pr c dents de l utilisateur qui ne peuvent tre s lectionn s Par exemple si un utilisateur ne peut r utiliser aucun des six derniers mots de passe tapez 6 Longueur maximale Nombre maximal de caract res autoris s dans le mot de passe Longueur minimale Le nombre minimum de caract res requis dans le mot de passe La longueur minimale ne doit pas tre inf rieure au minimum combin des exigences de caract res alphab tiques num riques et sp ciaux Exigences de caract res Nombre minimal de types de caract res diff rents requis dans le mot de passe Vous pouvez sp cifier le nombre de chaque type de caract re comme suit m Sp ciaux amp Alphab tiques A b c D Majuscules A B C Minuscules a b c Num riques 1 2 3 Le nombre minimal de caract res alphab tiques ne doit pas tre inf rieur aux exigence
258. er d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli group list R pertorie un groupe vmdir sp cifi Option name lt name gt Description Nom facultatif du groupe dans vmdir Cette option permet de v rifier l existence d un groupe login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli trustedcert publish Publie un certificat racine approuv dans vmdir Option cert lt file gt Description Chemin d acc s au fichier de certificat login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite
259. er des exemples de r les Les privil ges sont des contr les d acc s pr cis Vous pouvez regrouper ces privil ges dans des r les que vous pouvez ensuite mapper des utilisateurs ou des groupes Figure 4 1 Autorisations de vSphere Privil ge Privil ge Utilisateur ou groupe Pour attribuer des autorisations un objet suivez les tapes suivantes 1 Dans la hi rarchie d objets vCenter s lectionnez l objet auquel vous souhaitez appliquer l autorisation 2 S lectionnez le groupe ou l utilisateur qui doit avoir des privil ges sur l objet 3 S lectionnez le r le c est dire l ensemble de privil ges que le groupe ou l utilisateur doit avoir sur l objet Par d faut les autorisations se propagent c est dire que le groupe ou l utilisateur a le r le s lectionn sur l objet s lectionn et ses objets enfants VMware Inc 127 S curit vSphere Le mod le d autorisations permet d acc l rer la r alisation des t ches en offrant des r les pr d finis Vous pouvez galement combiner des privil ges pour cr er des r les personnalis s Voir Chapitre 10 Privil ges d finis page 261 pour obtenir une r f rence l ensemble des privil ges et aux objets auxquels vous pouvez appliquer les privil ges Voir Privil ges requis pour les t ches courantes page 141 pour consulter des exemples d ensembles de privil ges dont vous avez besoin pour effectuer ces t ches Dans de nombr
260. er l utilitaire vSphere Certificate Manager pour remplacer tous les certificats par des certificats personnalis s Avant de d marrer le processus vous devez envoyer des demandes de signature de certificat CSR votre autorit de certification Vous pouvez utiliser Certificate Manager pour g n rer les demandes de signature de certificat Une option consiste uniquement remplacer le certificat SSL de la machine puis d utiliser les certificats d utilisateurs de solutions fournies par VMCA Les certificats d utilisateurs de solutions sont utilis s uniquement pour la communication entre les composants de vSphere Lorsque vous utilisez des certificats personnalis s vous tes responsable du provisionnement de chaque n ud que vous ajoutez votre environnement avec les certificats personnalis s VMCA provisionne toujours des certificats sign s par VMCA et il vous incombe de remplacer ces certificats Vous pouvez employer l utilitaire vSphere Certificate Manager ou utiliser des interfaces de ligne de commande pour proc der au remplacement manuel des certificats Les certificats sont stock s dans VECS G n rer des demandes de signature de certificat avec vSphere Certificate Manager certificats personnalis s Vous pouvez utiliser vSphere Certificate Manager pour g n rer des demandes de signature de certificat CSR Certificate Signing Request que vous pouvez ensuite utiliser avec votre autorit de certification d entreprise ou envoy
261. er un d lai d attente de disponibilit pour ESXi Shell pour renforcer la s curit quand vous activez le shell La valeur du d lai d attente de disponibilit correspond au temps qui peut s couler avant de vous connecter suite l activation de ESXi Shell Lorsque le d lai est coul le service est d sactiv et les utilisateurs ne sont plus autoris s se connecter Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres VMware Inc Chapitre 5 S curisation des h tes ESXi 3 Dans Syst me s lectionnez Param tres syst me avanc s 4 S lectionnez UserVars ESXiShellTimeOut puis cliquez sur l ic ne Modifier 5 Saisissez le param tre de d lai d inactivit Vous devez red marrer le service SSH et le service ESXi Shell pour que le d lai soit pris en compte 6 Cliquez sur OK Si vous avez ouvert une session au moment de l expiration de ce d lai elle restera ouverte Cependant une fois que vous vous tes d connect ou que votre session est termin e les utilisateurs ne sont plus autoris s se connecter Cr er un d lai d expiration pour les sessions ESXi Shell inactives dans vSphere Web Client Si un utilisateur active ESXi Shell sur un h te mais oublie de se d connecter de la session la session inactive demeure connect e ind finiment La connexion ouverte peut augmenter les possibilit s qu une personne obtienne un acc s privil gi
262. er vmafdd vecs cli entry delete store vsphere webclient alias vsphere webclient C gt C Program Files VMware vCenter Server vmafdd vecs cli entry create store vsphere webclient alias vsphere webclient cert new vsphere webclient crt key vsphere webclient key priv 4 Mettez jour le service d annuaire VMware vmdir avec les nouveaux certificats d utilisateurs de solutions Vous tes invit entrer un mot de passe d administrateur vCenter Single Sign On a Ex cutez dir cli service list pour obtenir le suffixe d ID de service unique pour chaque utilisateur de solution Vous pouvez ex cuter cette commande sur un syst me Platform Services Controller ou vCenter Server C gt C Program Files VMware vCenter Server vmafdd dir cli gt dir cli service list output 1 machine 29a45d00 60a7 11e4 96fFfF 00505689639a 2 machine 6fd7f140 60a9 11e4 9e28 005056895a69 3 vpxd 6fd7f140 60a9 11e4 9e28 005056895a69 4 vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 5 vsphere webclient 6fd7f140 60a9 11e4 9e28 005056895a69 REMARQUE Lorsque vous r pertoriez les certificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine b Remplacez le c
263. ere vecs cli entry list Affichez la liste des entr es pr sentes dans un magasin sp cifi Option Description store lt NameOfStore gt Nom du magasin de certificats text Affiche une version du certificat lisible par l il humain vecs cli entry getcert R cup rez un certificat de VECS Vous pouvez envoyer le certificat vers un fichier de sortie ou l afficher en tant que texte lisible par l il humain Option Description store lt NameOfStore gt Nom du magasin de certificats alias lt Alias gt Alias du certificat output lt output_file_path gt Fichier dans lequel crire le certificat text Affiche une version du certificat lisible par l il humain vecs cli entry getkey R cup rez une cl stock e dans VECS Vous pouvez envoyer le certificat vers un fichier de sortie ou l afficher en tant que texte lisible par l il humain Option Description store lt NameOfStore gt Nom du magasin de certificats alias lt Alias gt Alias de la cl output lt output_file_path gt Fichier de sortie dans lequel crire la cl text Affiche une version de la cl lisible par l il humain vecs cli entry delete Supprimez une entr e dans un magasin de certificats Si vous supprimez une entr e dans VECS vous la supprimez d finitivement de VECS La seule exception est le certificat racine actuel VECS interroge vmdir pour obtenir un certificat racine
264. ere local Pour une s curit accrue envisagez de cr er des utilisateurs nomm s suppl mentaires dans le domaine vsphere local et de leur attribuer des privil ges d administration Vous pouvez ensuite cesser d utiliser administrator vsphere local Authentification dans diff rentes versions de vSphere Si un utilisateur se connecte un syst me vCenter Server version 5 0 ou version ant rieure vCenter Server authentifie l utilisateur en le validant par rapport un domaine Active Directory ou la liste des utilisateurs du syst me d exploitation local Dans vCenter Server 5 1 et les versions ult rieures les utilisateurs sont authentifi s par l interm diaire de vCenter Single Sign On REMARQUE Vous ne pouvez pas utiliser vSphere Web Client pour g rer vCenter Server version 5 0 ou versions ant rieures Mettez niveau vCenter Server vers la version 5 1 ou une version ult rieure Utilisateurs ESXi ESXi n est pas int gr vCenter Single Sign On Vous ajoutez explicitement l h te ESXi un domaine Active Directory Reportez vous Configurer un h te pour utiliser Active Directory page 186 VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Vous pouvez toujours cr er des utilisateurs ESXi locaux avec vSphere Client vCLI ou PowerCLl vCenter Server ne reconna t pas les utilisateurs qui sont locaux ESXi et ESXi ne reconna t pas les utilisateurs de vCenter Server
265. ermet d crire sur des fichiers associ s une machine virtuelle y compris les fichiers vmx les disques les journaux et les nvram H te racine ou vCenter Server Machine virtuelle Provisionnement Cl oner un mod le Permet de cloner un mod le Mod les Machine virtuelle Provisionnement Cl oner une machine virtuelle Permet de cloner une machine virtuelle existante et d allouer des ressources Machines virtuelles Machine virtuelle Provisionnement C r er un mod le partir d une machine virtuelle Permet de cr er un nouveau mod le partir d une machine virtuelle Machines virtuelles Machine virtuelle Provisionnement P ersonnaliser Permet de personnaliser le syst me d exploitation invit d une machine virtuelle sans d placer cette derni re Machines virtuelles Machine virtuelle Provisionnement D ployer un mod le Permet de d ployer une machine virtuelle partir d un mod le Mod les Machine virtuelle Provisionnement M arquer comme mod le Permet de marquer une machine virtuelle existante hors tension comme mod le Machines virtuelles Machine virtuelle Provisionnement M arquer comme machine virtuelle Permet de marquer un mod le existant comme machine virtuelle Mod les Machine virtuelle Provisionnement M odifier la sp cification de personnalisation Permet de cr er modifier ou supprimer des sp cifications de personnalisat
266. ermet la lecture ou la modification de param tres de configuration Racine vCenter Server d ex cution de vCenter Server Global Balise syst me Permet l ajout ou la suppression de balises syst me Racine vCenter Server Privil ges CIM d h te Les privil ges d h te CIM contr lent l utilisation du CIM pour la surveillance de la sant de l h te Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 12 Privil ges CIM d h te Nom de privil ge Description Requis sur H te CIM Interaction CIM Permettre un client d obtenir un billet pour l utilisation de services H tes CIM Privil ges de configuration d h te Les privil ges de configuration d h te contr lent la capacit configurer des h tes Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 13 Privil ges de configuration d h te
267. ers de banques de donn es privil ges 266 commandes de gestion certool 112 commutateur distribu 237 commutateurs distribu s autorisation 128 commutateurs standard et iSCSI 257 mode promiscuit 235 Modifications d adresse MAC 235 Transmissions forg es 235 compte utilisateur verrouill chec de SSO 51 configuration de services de machine virtuelle privil ges 292 configuration des h tes avec des scripts 146 connectivit du r seau limitation 210 connexion racine autorisations 132 184 console de machine virtuelle s curit de l h te 220 copie de fichiers r seau NFC 213 copier et coller d sactiv pour les syst mes d exploitation clients 224 machines virtuelles 224 syst mes d exploitation invit 224 couche r seau virtuelle et s curit 13 D dcui 184 DCUI Access 180 d connexion d un p riph rique emp cher dans vSphere Web Client 225 d lai d attente de disponibilit pour ESXi Shell 200 d lai d expiration ESXi Shell 199 200 d lai d expiration de l annuaire d utilisateurs 135 d lai d expiration de session inactive 199 200 d lais d attente ESXi Shell 198 param tre 198 demande de signature de certificat 71 75 Demande de signature de certificat CSR 71 75 demander des certificats 101 demandes de certificats g n ration 79 89 92 d sactivation journalisation pour les syst mes d exploitation invit s 226 SSL pour SDK de vSphere 201 taille variable d informations
268. ertificat de machine dans vmdir sur Platform Services Controller Par exemple si machine 29a45d00 60a7 11e4 96ff 00505689639a correspond l utilisateur de solution de machine sur Platform Services Controller ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name machine 29a45d00 60a7 11e4 96fFf 00505689639a cert new machine 1 crt VMware Inc 87 S curit vSphere 88 c Remplacez le certificat de machine dans vmdir sur chaque n ud de gestion Par exemple si machine 6fd7f140 60a9 11e4 9e28 005056895a69 correspond l utilisateur de solution de machine sur vCenter Server ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name machine 6fd7f140 60a9 11e4 9e28 005056895a69 cert new machine 2 crt d Remplacez le certificat d utilisateur de solution vpxd dans vmdir sur chaque n ud de gestion Par exemple si vpxd 6fd7f140 60a9 1 1e4 9e28 005056895a69 correspond l ID d utilisateur de solution vpxd ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vpxd 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vpxd crt e Remplacez le certificat d utilisateur de solution vpxd extension dans vmdir sur chaque n ud de gestion Par exemple si vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 correspond l ID d utilisateur de solution vpxd extens
269. ertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 15 Privil ges d op rations locales d h te Nom de privil ge H te Op rations locales Ajouter un h te vCenter Description Permet d installer et de supprimer des agents vCenter tels que vpxa et aam sur un h te Requis sur H te racine H te Op rations locales Cr er une machine virtuelle Permet de cr er une machine virtuelle enti rement nouvelle sur un disque sans l enregistrer sur l h te H te racine H te Op rations locales Supprimer une machine virtuelle Permet de supprimer une machine virtuelle sur le disque Cette op ration est autoris e pour les machines virtuelles enregistr es comme pour celles dont l enregistrement a t annul H te racine H te Op rations locales Extraire du contenu NVRAM Permet d extraire le contenu NVRAM d un h te H te Op rations locales G rer des groupes d utilisateurs Permet de g rer des comptes locaux sur un h te H te racine H te Op rations locales Reconfigurer une machine virtuelle Permet de reconfigurer une machine virtuelle H te racine H te Op rations locales R organisation de snapshots Permet de modifier la disposition des snapshots d une machine virtuelle H te racine 272 VMware Inc Chapitre 10 Privil ges d finis Privil ges de r plication d h te vSphere Les privil ges de vSphe
270. erver lt psc ip or fqdn gt c G n rez un certificat pour l utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vpxd crt privkey vpxd key priv Name vpxd server lt psc ip or fqdn gt d G n rez un certificat pour l utilisateur de solution vpxd extensions sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vpxd extension crt privkey vpxd extension key priv Name vpxd extension server lt psc ip or fqdn gt e G n rez un certificat pour l utilisateur de solution vsphere webclient sur chaque n ud de gestion en ex cutant la commande suivante C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vsphere webclient crt privkey vsphere webclient key priv Name vsphere webclient server lt psc ip or fqdn gt Remplacez les certificats d utilisateurs de solutions dans VECS par les nouveaux certificats d utilisateurs de solutions REMARQUE Les param tres store et alias doivent correspondre exactement aux noms par d faut des services a Sur le n ud Platform Services Controller ex cutez la commande suivante pour remplacer le certificat d utilisateur de solution de machine C gt C Program Files VMware vCenter Server vmafdd vecs cli entry delete store machine alias machine C gt C Program Files VMware
271. erveur d annuaire Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Sous Syst me s lectionnez Services d authentification La page Services d authentification affiche le service d annuaire et les param tres du domaine Utiliser vSphere Authentication Proxy 188 Lorsque vous utilisez vSphere Authentication Proxy il est inutile de transmettre les donn es d identification Active Directory l h te Les utilisateurs entrent le nom de domaine du serveur Active Directory et l adresse IP du serveur proxy d authentification lorsqu ils ajoutent un h te un domaine Lorsqu il est employ conjointement avec Auto Deploy vSphere Authentication Proxy s av re particuli rement utile Vous configurez un h te de r f rence pointant vers vSphere Authentication Proxy ainsi qu une r gle appliquant le profil de l h te de r f rence tout h te ESXi provisionn avec Auto Deploy M me si vous exploitez vSphere Authentication Proxy dans un environnement utilisant des certificats provisionn s par VMCA ou des certificats tiers le processus se d roule de mani re transparente dans la mesure o vous suivez les instructions d utilisation des certificats personnalis s avec Auto Deploy Reportez vous Utiliser des certificats personnalis s avec Auto Deploy page 164 REMARQUE Vous ne pouvez pas utiliser vSphere Authentication Proxy dans un environnement qu
272. es m Les commutateurs virtuels doivent tre connect s au m me r seau local physique VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere m Les commutateurs virtuels doivent se connecter une machine virtuelle commune qui peut tre utilis e pour la transmission de paquets Or aucune de ces situations ne se v rifie dans l exemple de configuration Si les administrateurs syst me souhaitent v rifier l absence de chemin commun de commutateur virtuel ils peuvent rechercher les ventuels points de contact partag s en examinant la disposition des commutateurs r seau dans vSphere Web Client Pour prot ger les ressources des machines virtuelles l administrateur syst me diminue le risque d attaque Dos et DDoS en configurant une r servation de ressources ainsi qu une limite applicable chaque machine virtuelle Il renforce la protection de l h te ESXi et des machines virtuelles en installant des pare feu sur la partie frontale et la partie principale de la zone d militaris e DMZ en v rifiant que l h te est prot g par un pare feu physique et en configurant les ressources de stockage r seau de telle sorte qu elles b n ficient toutes de leur propre commutateur virtuel S curit du protocole Internet La s curit du protocole Internet IPsec s curise les communications IP provenant de et arrivant sur l h te Les h tes ESXi prennent en charge IPsec utilisant IPv6 Lorsque vous configurez IPsec
273. es certificats SSL de machine 3 Remplacer les certificats d utilisateurs de solution autorit de certification interm diaire page 94 Une fois que vous avez remplac les certificats SSL de la machine vous pouvez remplacer les certificats d utilisateurs de solution 4 Remplacer le certificat de service d annuaire VMware page 99 Si vous d cidez d utiliser un nouveau certificat racine VMCA et que vous annulez la publication du certificat racine VMCA utilis lors du provisionnement de votre environnement vous devez remplacer les certificats SSL de machine les certificats d utilisateurs de la solution et ceux de certains services internes 5 Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 99 Pendant la mise niveau votre environnement peut comprendre temporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certificat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut Remplacer le certificat racine autorit de certification interm diaire La premi re tape du remplacement des certificats VMCA par des certificats personnalis s consiste g n rer un CSR et ajouter le certificat qui est renvoy au VMCA en tant que certificat racine Le certificat que vous envoyez pour tre sign doit r po
274. es d identit et l authentification STS Incidence de vCenter Single Sign On sur l installation partir de la version 5 1 vSphere inclut un service vCenter Single Sign On dans le cadre de l infrastructure de gestion de vCenter Server Cette modification a une incidence sur l installation de vCenter Server L authentification avec vCenter Single Sign On am liore la s curit de vSphere car les composants logiciels de vSphere communiquent entre eux en utilisant un m canisme d change de jetons s curis s et tous les autres utilisateurs s authentifient galement avec vCenter Single Sign On VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On partir de vSphere 6 0 vCenter Single Sign On est inclus dans un d ploiement int gr ou comme partie int grante du Platform Services Controller Le Platform Services Controller contient tous les services requis pour la communication entre les composants vSphere notamment vCenter Single Sign On l autorit de certification VMware VMware Lookup Service et le service de licence L ordre d installation est important Premi re installation Si votre installation est distribu e vous devez installer Platform Services Controller avant d installer vCenter Server ou de d ployer vCenter Server Appliance Pour un d ploiement int gr l installation s effectue automatiquement dans l ordre appropri Installations suivantes Pour environ huit instances de vCen
275. es h tes autoris s peuvent acc der vCenter Server m Utilisez les syst mes JumpBox afin de vous assurer que les clients Linux se trouvent derri re le saut V rifier les plug in install s Les extensions vSphere Web Client sont ex cut es avec le m me niveau de privil ge que l utilisateur qui est connect Une extension malveillante peut se faire passer pour un plug in utile et effectuer des op rations nuisibles notamment le vol d informations d identification ou la modification de la configuration syst me Pour augmenter la s curit utilisez une installation vSphere Web Client qui comporte uniquement des extensions autoris es provenant de sources fiables Une installation vCenter comprend l infrastructure d extensibilit vSphere Web Client qui offre la possibilit d tendre vSphere Web Client l aide de s lections de menu ou d ic nes de la barre d outils qui donnent acc s aux composants compl mentaires de vCenter ou des fonctionnalit s Web externes Cette flexibilit s accompagne du risque d introduire des fonctionnalit s non souhait es Par exemple si un administrateur installe un plug in dans une instance de vSphere Web Client le plug in peut alors ex cuter des commandes arbitraires gr ce au niveau de privil ge de cet administrateur Pour prot ger votre vSphere Web Client de tout risque ventuel vous pouvez examiner p riodiquement tous les plug ins install s et vous assurer qu ils proviennent d une sourc
276. es ordinateurs auxquels le compte utilisateur peut se connecter Pr requis m V rifiez que vous disposez d un domaine Active Directory Reportez vous la documentation de votre serveur d annuaire m Assurez vous que le nom d h te d ESXi est pleinement qualifi par le nom de domaine de la for t Active Directory fully qualified domain name host_name domain_name VMware Inc Chapitre 5 S curisation des h tes ESXi Proc dure 1 Synchronisez le temps entre ESXi et le syst me de service d annuaire en utilisant NTP Consultez la base des connaissances Synchroniser les horloges ESXi avec un serveur de temps r seau page 253 ou la base des connaissances VMware pour plus d informations sur la synchronisation de l heure ESXi avec un contr leur de domaine Microsoft 2 Assurez vous que les serveurs DNS que vous avez configur s pour l h te peuvent r soudre les noms d h tes des contr leurs Active Directory a Acc dez l h te dans le navigateur d objets de vSphere Web Client b Cliquez sur l onglet G rer puis cliquez sur Mise en r seau c Cliquez sur DNS et v rifiez que le nom de l h te et les informations sur le serveur DNS de l h te sont corrects Suivant Utilisez vSphere Web Client pour rejoindre un domaine de service d annuaire Pour les h tes provisionn s avec Auto Deploy configurez vSphere Authentication Proxy Reportez vous Utiliser vSphere Authentication Proxy page 188 Ajouter un h
277. es services associ s CLI Description Reportez vous certool G n re et g re les certificats et les R f rence des commandes cl s Fait partie de VMCA d initialisation de certool page 109 vecs cli G re les contenus des instances de R f rence des commandes vecs cli VMware Certificate Store Fait partie page 114 de VMAFD dir cli Cr e et met jour les certificats dans R f rence des commandes dir cli le service d annuaire VMware Fait page 118 partie de VMAFD Emplacements des outils de gestion des certificats Par d faut les emplacements des outils au sein de chaque n ud sont les suivants Windows C Program Files VMware vCenter Server vmafdd vecs cli exe C Program Files VMware vCenter Server vmafdd dir cli exe C Program Files VMware vCenter Server vmcad certool exe Linux usr lib vmware vmafd bin vecs cli usr lib vmware vmafd bin dir cli usr lib vmware vmca bin certool Si vous ex cutez les commandes partir d un n ud de gestion disposant d un Platform Services Controller externe vous pouvez sp cifier le Platform Services Controller avec le param tre server VMware Inc 107 S curit vSphere 108 Privil ges requis pour les op rations de gestion de certificats Pour la plupart des op rations de gestion de certificat vCenter vous devez tre membre du groupe CAAdmins du domaine vsphere local L utilisateur administrator vsphere local est membre du groupe CAAdmins
278. esoin d tre ouverts NFC 902 TCP La NFC Network File Copy copie de fichiers r seau fournit un service FTP capable de reconna tre les types de fichiers pour les composants vSphere ESXi utilise par d faut la technologie NFC pour des op rations comme la copie ou le transfert de donn es entre banques de donn es Service de clustering Virtual SAN 12345 23451 UDP Service d annuaire pour l adh sion au cluster Virtual SAN et la surveillance de ce dernier Utilise la multidifusion IP bas e sur UDP pour tablir les membres du cluster et distribuer les m tadonn es Virtual SAN tous les membres du cluster Si ce service est d sactiv Virtual SAN ne fonctionne pas Client DHCP 68 UDP Client DHCP pour IPv4 Client DNS 53 UDP Client DNS Fault Tolerance 8200 8100 8300 TCP UDP Trafic entre les h tes pour vSphere Fault Tolerance FT Service de routeur logique distribu NSX 6999 UDP Service de routeur distribu virtuel NSX Le port de pare feu associ ce service est ouvert lorsque les VIB NSX sont install s et que le module VDR Virtual Distributed Router est cr Si aucune instance de VDR n est associ e l h te le port n a pas besoin d tre ouvert Ce service s appelait Service de routeur logique distribu NSX dans les versions pr c dentes du produit Transport Virtual SAN 2233 TCP Transport de datagramme fiable pour V
279. estion des certificats 108 gestion des snapshots d une machine virtuelle 292 Gestionnaire d agent ESX 268 global 269 Groupe dvPort 293 h te CIM 270 interaction de machine virtuelle 281 inventaire d h te 271 inventory service 273 machine virtuelle 290 network 274 Op rations de syst me invit d une machine virtuelle 281 op rations locales d h te 272 performances 275 plug ins 268 profil d image 263 profils d h te 273 276 provisionnement de machine virtuelle 290 R gle de VRM 279 r plication d h te vSphere 273 R plication de machine virtuelle vSphere 293 ressources 276 Service de transfert 279 sessions 277 t ches 278 t ches planifi es 277 vApp 294 vCenter Inventory Service 273 vCenter Server 207 vServices 295 vues de stockage 278 Privil ges API du service de surveillance du stockage 278 Privil ges API SMS 278 privil ges de gestion des h tes utilisateur 184 privil ges de groupes de ports virtuels distribu s 293 privil ges de l utilisateur dcui dcui 184 privil ges de profil d image 263 privil ges et autorisations 132 privil ges globaux 269 privil ges requis pour des t ches communes 141 privil ges requis pour des t ches communes 141 profil de s curit 166 174 profils d h te privil ges 273 276 proxy d authentification 185 189 192 301 S curit vSphere 302 Q quitter l outil d automatisation 183 R recommandations de s curit 175
280. et des applications externes qui doivent continuer fonctionner en mode de verrouillage REMARQUE La liste des utilisateurs exceptionnels est destin e aux comptes de service qui ex cutent des t ches tr s sp cifiques pas aux administrateurs L ajout d utilisateurs administrateurs la liste des utilisateurs exceptionnels annule le mode de verrouillage Les utilisateurs exceptionnels sont des utilisateurs locaux d un h te ou des utilisateurs Active Directory disposant de privil ges d finis localement pour l h te ESXi Ils ne sont ni membres d un groupe Active Directory ni utilisateurs de vCenter Server Ces utilisateurs sont autoris s effectuer des op rations sur l h te en fonction de leurs privil ges Par exemple cela signifie que l utilisateur en lecture seule ne peut pas d sactiver le mode de verrouillage sur un h te Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me s lectionnez Profil de s curit 4 Dans le panneau mode verrouillage cliquez sur Modifier 5 Cliquez sur Utilisateurs exceptionnels et sur l ic ne repr sentant le signe plus pour ajouter des utilisateurs exceptionnels VMware Inc 181 S curit vSphere V rifier les niveaux d acceptation des h tes et des fichiers VIB Pour prot ger l int grit de l h te ESXi n autorisez pas les utilisateurs installer des VIB non sign s communautaires
281. et ne fournit aucun service de confidentialit Lorsque vous utilisez l authentification Kerberos les consid rations suivantes s appliquent m ESXi utilise Kerberos version 5 avec le domaine Active Directory et KDC Key Distribution Center m En tant qu administrateur vSphere vous sp cifiez les informations d identification Active Directory requises pour octroyer l acc s aux banques de donn es NFS 4 1 Kerberos un utilisateur NFS Le m me ensemble d informations d identification est utilis pour acc der toutes les banques de donn es Kerberos mont es sur cet h te m Lorsque plusieurs h tes ESXi partagent la m me banque de donn es NFS 4 1 vous devez utiliser les m mes informations d identification Active Directory pour tous les h tes qui acc dent la banque de donn es partag e Vous pouvez automatiser cela en d finissant l utilisateur dans les profils d h te et en appliquant le profil tous les h tes ESXi m NFS 4 1 ne prend pas en charge les montages AUTH_SYS et Kerberos simultan s m NFS 4 1 avec Kerberos ne prend pas en charge IPv6 Seul IPv4 est pris en charge 258 VMware Inc Chapitre 9 Meilleures pratiques concernant plusieurs composants vSphere V rifier que l envoi des donn es de performances de l h te aux invit s est d sactiv vSphere comprend des compteurs de performance de machine virtuelle lorsque VMware Tools est install sous des syst mes d exploitation Windows Les compteurs de perform
282. etc vmware ss1 rui key Lorsque vous remplacez le certificat et la cl d un h te l aide de l objet g r vim CertificateManager de vSphere Web Services SDK le certificat et la cl ant rieurs sont ajout s au fichier etc vmware ss1 rui bak REMARQUE Si vous remplacez le certificat l aide de HTTP PUT vifs ou partir d ESXi Shell les certificats existants ne sont pas ajout s au fichier bak Proc dure 1 Sur l h te ESXi acc dez au fichier etc vmware ss1 rui bak Le format du fichier est le suivant Host private key and certificate backup from 2014 06 20 08 02 49 961 2 Copiez le texte qui commence par BEGIN PRIVATE KEY et termine par END PRIVATE KEY dans le fichier etc vmware ssl rui cl Incluez BEGIN PRIVATE KEY et END PRIVATE KEY 3 Copiez le texte entre BEGIN CERTIFICATE et END CERTIFICATE dans le fichier etc vmware ssl rui crt Incluez BEGIN CERTIFICATE et END CERTIFICATE A 4 Red marrez l h te ou envoyez des v nements ssl_reset tous les services qui utilisent les cl s for s in etc init d do s grep ssl_reset gt dev null if 0 then s ssl_reset fi done Personnalisation des h tes avec le profil de s curit Vous pouvez personnaliser la plupart des param tres de s curit essentiels de votre h te via le panneau Profil de s
283. eul l utilisateur administrator vsphere local est autoris se connecter au syst me vCenter Server Cet utilisateur peut alors proc der comme suit 1 Ajouter une source d identit dans laquelle les utilisateurs et les groupes suppl mentaires sont d finis sur vCenter Single Sign On Reportez vous Ajouter une source d identit de vCenter Single Sign On page 32 2 Accorder des privil ges un utilisateur ou un groupe en s lectionnant un objet tel qu une machine virtuelle ou un syst me vCenter Server et en attribuant un r le de cet objet l utilisateur ou au groupe R les privil ges et autorisations http link brightcove com services player bcpid2296383276001 bctid ref video_roles_privileges_permissions_vsphere_web_ client Ce chapitre aborde les rubriques suivantes m Pr sentation des autorisations dans vSphere page 126 m Pr sentation du mod le d autorisation vCenter Server page 127 m H ritage hi rarchique des autorisations page 128 m Param tres d autorisation multiples page 130 m Gestion des autorisations des composants vCenter page 132 m Autorisations globales page 136 m Ajouter une autorisation globale page 136 m Utilisation des r les pour assigner des privil ges page 137 m Meilleures pratiques pour les r les et les autorisations page 140 m Privil ges requis pour les t ches courantes page 141 VMware Inc 125 S curit vSp
284. eur de vSphere Web Client n est associ ce privil ge T ches Mettre jour une Permet une extension de mettre niveau une t che d finie par Racine vCenter Server t che l utilisateur Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge 278 VMware Inc Privil ges Transfer Service Les privil ges Transfer Service sont internes VMware N utilisez pas ces privil ges Privil ges de r gle de VRM Les privil ges de strat gie VRM sont internes VMware N utilisez pas ces privil ges Privil ges de configuration de machine virtuelle Les privil ges de configuration de la machine virtuelle contr lent la capacit de configuration des options et des p riph riques de machine virtuelle Chapitre 10 Privil ges d finis Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 28 Privil ges de configuration de machine virtuelle Nom de privil ge Machine virtuelle Configuration Ajou ter un disque existant Description Permet l ajout d un disque virtuel existant une machine virtuelle Requis sur Machines virtuelles Machine virtuelle
285. eur du certificat Date de d but de validit Date laquelle le certificat a t g n r Date de fin de validit Date laquelle le certificat expire tat tat du certificat savoir l un des tats suivants Bon Fonctionnement normal Expiration Le certificat va bient t expirer Expiration La date d expiration du certificat se situe dans huit imminente mois ou moins par d faut Expiration Le certificat se situe 2 mois ou moins de sa date imminente d expiration par d faut Expir Le certificat n est pas valide car il a expir Renouveler ou actualiser des certificats ESXi Si l autorit de certification VMware VMCA attribue des certificats vos h tes ESXi 6 0 et version ult rieure vous pouvez renouveler ces certificats partir de vSphere Web Client Vous pouvez galement actualiser tous les certificats du magasin TRUSTED_ROOTS associ s vCenter Server Vous pouvez renouveler vos certificats lorsqu ils sont sur le point d expirer ou si vous souhaitez provisionner l h te avec un nouveau certificat pour d autres raisons Si le certificat a d j expir vous devez d connecter puis reconnecter l h te Par d faut vCenter Server renouvelle les certificats des h tes dont l tat est Expir Expire imm diatement ou Expiration chaque fois que l h te est ajout l inventaire ou qu il est reconnect Acc dez l h te dans l inventaire de vSphere Web Client S
286. eur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli trustedcert get R cup re un certificat racine approuv dans vmdir et l crit dans un fichier sp cifi Option Description id lt cert_ID gt ID du certificat r cup rer L ID s affiche dans la commande dir cli trustedcert list outcert lt path gt Chemin d criture du fichier de certificat outcrl lt path gt Chemin d criture du fichier de CRL Actuellement inutilis login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli password create Cr e un mot de passe al atoire qui r pond aux exigences en mati re de mot de passe Cette commande peut tre utilis e par des utilisateurs de solutions tierces VMware Inc 121 S curit vSphere Option Description login lt admin_user_id gt Par d faut administrator vsphere local Cet admin
287. eurs solutions la fois Par exemple si vCenter Server et vCenter Orchestrator sont install s vous pouvez accorder des autorisations sur tous les objets dans les deux hi rarchies d objets l aide d autorisations globales Les autorisations globales sont r pliqu es dans le domaine vsphere local Les autorisations globales ne fournissent pas d autorisations pour les services g r s via des groupes vsphere local Reportez vous Autorisations globales page 136 Appartenance un L utilisateur administrator vsphere local peut effectuer des t ches associ es groupe dans les des services inclus dans Platform Services Controller En outre les groupes vsphere local membres d un groupe vsphere local peuvent effectuer la t che correspondante Par exemple vous pouvez effectuer la gestion des licences si vous tes membre du groupe LicenseService Administrators Reportez vous Groupes du domaine vsphere local page 27 Autorisations d h te Si vous g rez un syst me ESXi autonome qui n est pas g r par un syst me ESXi local vCenter Server vous pouvez attribuer l un des r les pr d finis aux utilisateurs Consultez la documentation de Gestion d un h te vSphere unique VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Pr sentation du mod le d autorisation vCenter Server Le mod le d autorisation des syst mes vCenter Server repose sur l attribution d autorisations
288. eux cas les autorisations doivent tre d finies la fois sur un objet source et un objet de destination Par exemple si vous d placez une machine virtuelle vous devez disposer de certains privil ges sur cette machine virtuelle ainsi que sur le centre de donn es de destination Le mod le d autorisations des h tes ESXi autonomes est plus simple Reportez vous Affectation d autorisations pour ESXi page 183 Validation des utilisateurs de vCenter Server Les syst mes vCenter Server qui utilisent r guli rement un service d annuaire valident les utilisateurs et les groupes selon le domaine de l annuaire utilisateur La validation est effectu e intervalles r guliers comme sp cifi dans les param tres de vCenter Server Par exemple si un r le sur plusieurs objets est attribu l utilisateur Smith et que le nom d utilisateur est remplac par Smith dans le domaine l h te conclut que Smith n existe plus et supprime des objets vSphere les autorisations associ es cet utilisateur lors de la validation suivante De m me si l utilisateur Smith est supprim du domaine toutes les autorisations associ es cet utilisateur sont supprim es lors de la validation suivante Si un nouvel utilisateur Smith est ajout au domaine avant la validation suivante les autorisations des objets de l ancien utilisateur Smith sont remplac es par celles du nouvel utilisateur Smith H ritage hi rarchique des autorisations 128 Q
289. evez configurer une connexion par laquelle les h tes g r s peuvent recevoir des donn es Pour configurer une connexion pour recevoir des donn es ouvrez les ports au trafic des services tels que vSphere High Availability vMotion et vSphere Fault Tolerance Reportez vous ESXi page 166 pour consulter une description des fichiers de configuration de l acc s vSphere Web Client et des commandes de pare feu Reportez vous Ports de pare feu entrants et sortants pour les h tes ESXi page 168 pour obtenir une liste de ports Consultez l administrateur syst me du pare feu pour plus d informations sur la configuration des ports Connexion la console de la machine virtuelle via un pare feu Certains ports doivent tre ouverts pour la communication utilisateur et administrateur avec la console de machine virtuelle Les ports n cessitant d tre ouverts varient selon le type de console de machine virtuelle et si vous vous connectez via vCenter Server avec vSphere Web Client ou directement l h te ESXi depuis vSphere Client Connexion une console de machine virtuelle bas e sur une interface de navigation au moyen vSphere Web Client Lorsque vous vous connectez avec vSphere Web Client vous vous connectez toujours au syst me vCenter Server qui g re l h te ESXi et acc dez la console de machine virtuelle depuis l Si vous utilisez vSphere Web Client et que vous vous connectez une console de machine virtuelle ba
290. exploitation client qui est ex cut dans la machine virtuelle est expos aux m mes risques de s cutit qu une machine physique S curisez les machines virtuelles comme vous le feriez pour des machines physiques Ce chapitre aborde les rubriques suivantes m Limiter les messages d information entre les machines virtuelles et les fichiers VMX page 217 m Emp cher la r duction de disque virtuel page 218 m Recommandations en mati re de s curit des machines virtuelles page 218 Limiter les messages d information entre les machines virtuelles et les fichiers VMX Limitez les messages d information de la machine virtuelle vers le fichier VMX afin d viter de remplir la banque de donn es et de causer un d ni de service DoS Un d ni de service peut survenir quand vous ne contr lez pas la taille du fichier VMX d une machine virtuelle et que la somme d informations exc de la capacit de la banque de donn es Le fichier de configuration contenant les paires d informations nom valeur est limit par d faut 1 Mo Cette capacit est suffisante dans la plupart des cas mais vous pouvez modifier cette valeur si n cessaire Vous pouvez par exemple augmenter la limite si de grandes quantit s d informations personnalis es sont stock es dans le fichier de configuration REMARQUE tudiez soigneusement le volume d informations dont vous avez besoin Si le volume d informations exc de la capacit de la banque de do
291. ez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 7 Privil ges de vSphere Distributed Switch Nom de privil ge Commutateur distribu Cr er Description Autorise la cr ation d une instance de Distributed Switch Requis sur Centres de donn es dossiers r seau Commutateur distribu Supprimer Autorise la suppression d une instance de Distributed Switch Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Distributed switches Commutateur distribu Op ration de l h te Autorise le changement des membres h tes d une instance de Distributed Switch Distributed switches Commutateur Autorise la modification de la configuration d une instance de Distributed switches distribu Modifier Distributed Switch Commutateur Autorise le d placement d un vSphere Distributed Switch vers un autre Distributed switches distribu D placer dossier Distributed Switch Op ration de Network I O control Autorise la modification des param tres de ressources d un vSphere Distributed Switch
292. fa on globale et pour les sous unit s d enregistrement automatique Syslog global LogDir R pertoire dans lequel sont stock s les journaux Le r pertoire peut se trouver sur des volumes NFS ou VMES mont s Seul le r pertoire scratch situ sur le syst me de fichiers local subsiste apr s des red marrages Le r pertoire doit tre d fini sous la forme nom_banque_de_donn es chemin_du_ fichier le chemin se rapportant la racine du volume qui assure la sauvegarde de la banque de donn es Par exemple le chemin storage1 systemlogs cr e un mappage vers le chemin vmfs volumes storage1 systemlogs Syslog global logDirUnique Lorsque vous s lectionnez cette option un sous r pertoire est cr portant le nom de l h te ESXi dans le r pertoire sp cifi par Syslog global LogDir Il est utile d avoir un r pertoire unique si le m me r pertoire NFS est utilis par plusieurs h tes ESXi Syslog global LogHost H te distant vers lequel les messages syslog sont transf r s et port sur lequel l h te distant re oit les messages syslog Vous pouvez inclure le protocole et le port par exemple ssl hostName1 1514 Les protocoles UDP par d faut TCP et SSL sont pris en charge L h te distant doit avoir un syslog install et correctement configur pour recevoir les messages syslog transf r s Consultez la documentation du service syslog install sur l h te distant pour plus d informations sur la configuration 6 Facultatif Po
293. feux pour configurations avec vCenter Server Si vous acc dez aux h tes ESXi par l interm diaire de vCenter Server vous prot gez g n ralement vCenter Server l aide d un pare feu Ce pare feu fournit une protection de base votre r seau Il peut y avoir un pare feu entre les clients et vCenter Server En fonction de votre d ploiement il se peut aussi que vCenter Server et les clients se trouvent tous les deux derri re le pare feu L important est de s assurer qu un pare feu est pr sent sur ce que vous consid rez tre un point d entr e pour le syst me Pour obtenir la liste compl te des ports TCP et UDP y compris ceux de vSphere vMotion et vSphere Fault Tolerance consultez Ports TCP et UDP pour vCenter Server page 213 Les r seaux configur s avec vCenter Server peuvent recevoir des communications par l interm diaire de vSphere Web Client ou de clients de gestion de r seau tiers qui utilisent SDK pour communiquer avec l h te Pendant le fonctionnement normal vCenter Server coute les donn es de ses h tes et clients g r s sur les ports d sign s vCenter Server suppose aussi que ces h tes g r s coutent les donn s de vCenter Server sur les ports d sign s Si un pare feu est pr sent entre l un de ces l ments vous devez vous assurer que le pare feu a des ports ouverts pour prendre en charge le transfert des donn es VMware Inc 231 S curit vSphere Vous pouvez galement inclure des pare feu
294. ficat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut G n rer un nouveau certificat racine sign par VMCA Vous g n rez de nouveaux certificats sign s par l autorit de certification VMware VMCA avec l interface de ligne de commande certool et vous les publiez dans vmdir Dans un d ploiement plusieurs n uds vous ex cutez des commandes de g n ration de certificats racines sur Platform Services Controller Proc dure 1 G n rez un nouveau certificat auto sign et une cl priv e certool genselfcacert outprivkey lt key_file_path gt outcert lt cert_file_path gt config lt config_file gt VMware Inc 79 S curit vSphere 2 Remplacez le certificat racine existant par le nouveau certificat certool rootca cert lt cert_file_path gt privkey lt key_file_path gt La commande g n re le certificat et l ajoute vmdir puis VECS 3 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad 4 Faculta
295. fication des comptes disposant de privil ges d acc s en mode de verrouillage Vous pouvez sp cifier les comptes de service qui peuvent acc der l h te ESXi directement en les ajoutant la liste des utilisateurs exceptionnels Vous pouvez sp cifier un utilisateur qui peut acc der l h te ESXi en cas de d faillance irr m diable de vCenter Server Les actions par d faut que peuvent effectuer les diff rents comptes lorsque le mode de verrouillage est activ et le mode de modification du comportement par d faut d pendent de la version de l environnement vSphere m Dans les versions de vSphere ant rieures vSphere 5 1 seul l utilisateur racine peut se connecter l interface utilisateur de la console directe sur un h te ESXi en mode de verrouillage m Dans vSphere 5 1 et versions ult rieures vous pouvez ajouter un utilisateur au param tre syst me avanc DCUT Access pour chaque h te Cette option est con ue pour r pondre aux d faillances irr m diables de vCenter Server et le mot de passe de l utilisateur disposant de cet acc s est habituellement verrouill dans un coffre fort Un utilisateur de la liste DCUI Access n a pas besoin de disposer de tous les privil ges administratifs sur l h te m Dans vSphere 6 0 et versions ult rieures le param tre syst me avanc DCUI Access est toujours pris en charge En outre vSphere 6 0 et versions ult rieures prennent en charge une liste des utilisateurs exceptionnels dest
296. ficats d utilisateurs de solution Remplacez le certificat d utilisateur de solution de machine sur chaque n ud Platform Services Controller Remplacez les autres certificats d utilisateurs de solutions uniquement sur chaque n ud de gestion Utilisez le param tre server pour pointer vers Platform Services Controller lorsque vous ex cutez des commandes sur un n ud de gestion avec un Platform Services Controller externe REMARQUE Lorsque vous r pertoriez les certificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine Pr requis Chaque certificat d utilisateur de la solution doit avoir un param tre Subject diff rent Vous pouvez par exemple saisir le nom de l utilisateur de la solution tel que vpxd ou un autre identifiant unique VMware Inc Chapitre 3 Certificats de s curit vSphere Proc dure 1 VMware Inc Faites une copie de certool cfg supprimez les champs Nom Adresse IP Nom DNS et E mail puis remplacez le nom du fichier par sol_usr cfg par exemple Vous pouvez nommer les certificats de la ligne de commande dans le cadre de la g n ration Les autres informations ne sont pas n cessaires pour les utilisateurs de la solution S
297. fier les param tres de configuration Pr requis D sactivez la machine virtuelle VMware Inc Chapitre 7 S curisation des machines virtuelles Proc dure 1 a AeA N Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration Cliquez sur Ajouter ligne et tapez les valeurs suivantes dans les colonnes de nom et de valeur m Dans la colonne de nom isolation tools setinfo disable m Dans la colonne de valeur vrai Cliquez sur OK pour fermer la bo te de dialogue Param tres de configuration puis cliquez de nouveau sur OK viter d utiliser des disques ind pendants non persistants Lorsque vous utilisez des disques ind pendants non permanents des pirates peuvent supprimer toute vidence que la machine a t compromise en arr tant ou en red marrant le syst me Sans un enregistrement permanent des activit s sur une machine virtuelle une attaque risque de ne pas tre d cel e par les administrateurs Il convient donc d viter d utiliser des disques ind pendants non permanents Proc dure Assurez vous que l activit de la machine virtue
298. fin que la source et les cibles puissent communiquer m Entre les h tes ESXi et le stockage r seau tel que le stockage NFS ou iSCSI Ces ports ne sont pas sp cifiques VMware et vous pouvez les configurer en fonction des sp cifications de votre r seau Connexion vCenter Server via un pare feu vCenter Server utilise le port TCP 443 pour surveiller les transferts de donn es partir de ses clients Si vous disposez d un pare feu plac entre vCenter Server et ses clients vous devez configurer la connexion par l interm diaire de laquelle vCenter Server peut recevoir des donn es des clients Ouvrez le port TCP 443 dans le pare feu pour permettre vCenter Server de recevoir des donn es de vSphere Web Client La configuration du pare feu d pend de ce qui est utilis sur votre site Renseignez vous aupr s de l administrateur syst me de votre pare feu local Si vous ne souhaitez pas utiliser le port 443 comme port pour la communication entre vSphere Web Client et vCenter Server vous pouvez basculer sur un autre port en modifiant les param tres de vCenter Server partir de vSphere Web Client Consultez la documentation de Gestion de vCenter Server et des h tes Si vous utilisez encore vSphere Client consultez la documentation Administration de vSphere avec vSphere Client Pare feu pour configurations sans vCenter Server Vous pouvez connecter des clients directement votre r seau ESXi au lieu d utiliser vCenter Server Le
299. fournisseur de services SAML dans vCenter Single Sign On et l importation des m tadonn es vCenter Single Sign On dans votre fournisseur de services SAML afin que les deux fournisseurs partagent toutes les donn es Pr requis R cup rer les m tadonn es de votre fournisseur de services SAML Votre fournisseur doit tre un fournisseur de services SAML 2 0 Proc dure 1 Exportez les m tadonn es de votre fournisseur de services dans un fichier 2 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 3 Acc dez Administration gt Sign On gt Configuration 4 S lectionnez l onglet Fournisseurs de service SAML 5 Dans le champ M tadonn es de votre fournisseur de services SAMI cliquez sur Importer et collez les cha nes XML dans la bo te de dialogue ou cliquez sur Importer partir du fichier pour importer un fichier puis cliquez sur Importer 6 Dans le champ M tadonn es de votre fournisseur de services SAML cliquez sur T l charger et sp cifiez un emplacement de fichiers 7 Suivez les instructions de votre fournisseur de services SAML pour ajouter les m tadonn es vCenter Single Sign On ce fournisseur de services Gestion des strat gies vCenter Single Sign On Les strat
300. goureuse Le workflow recommand est le suivant 1 2 Obtenez les certificats que vous souhaitez utiliser Retirez tous les h tes du serveur vCenter Server Ajoutez le certificat racine de l autorit de certification personnalis e VECS D ployez les certificats de l autorit de certification personnalis e sur chaque h te et red marrez les services sur cet h te Passez au mode d autorit de certification personnalis e Reportez vous Changer le mode de certificat page 160 Ajoutez les h tes au syst me vCenter Server Passage du mode d autorit de certification personnalis e au mode VMCA Si vous utilisez le mode d autorit de certification personnalis e et en venez la conclusion que VMCA fonctionne mieux dans votre environnement vous pouvez proc der au changement de mode apr s une planification rigoureuse Le workflow recommand est le suivant 1 2 3 4 Retirez tous les h tes du syst me vCenter Server Sur le syst me vCenter Server retirez de VECS le certificat racine de l autorit de certification tierce Passez au mode VMCA Reportez vous Changer le mode de certificat page 160 Ajoutez les h tes au syst me vCenter Server REMARQUE Tout autre workflow pour ce mode peut entra ner un comportement impr visible VMware Inc 159 S curit vSphere 160 Conservation des certificats du mode d empreinte pendant la mise niveau Le passage du mode VMCA au mode d e
301. groupe vCenter Single Sign On page 45 Dans vCenter Single Sign On les groupes r pertori s dans l onglet Groupes sont internes vCenter Single Sign On Un groupe permet de cr er un conteneur pour un ensemble de membres d un groupe principaux m Ajouter des membres un groupe vCenter Single Sign On page 46 Les membres d un groupe vCenter Single Sign On peuvent tre des utilisateurs ou d autres groupes issus d une ou de plusieurs sources d identit Vous pouvez ajouter de nouveaux membres partir de vSphere Web Client m Supprimer des membres d un groupe vCenter Single Sign On page 46 Vous pouvez supprimer des membres d un groupe vCenter Single Sign On dans vSphere Web Client Lorsque vous supprimez un membre utilisateur ou groupe d un groupe local vous ne devez pas supprimer le membre du syst me VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On m Supprimer des utilisateurs de la solution vCenter Single Sign On page 47 vCenter Single Sign On affiche les utilisateurs de solution Un utilisateur de solution est une collection de services Plusieurs utilisateurs de solution vCenter Server sont pr d finis et s authentifient aupr s de vCenter Single Sign On dans le cadre de l installation Dans les situations de d pannage par exemple si une d sinstallation ne s effectue pas proprement vous pouvez supprimer des utilisateurs de solution individuels de vSphere Web Client m Changer le mot d
302. gules Vous pouvez utiliser les formats d adresse suivants m 192 168 0 0 24 m 192 168 1 2 2001 1 64 m fd3e 29a6 0a81 e478 64 6 Cliquez sur OK Ports de pare feu entrants et sortants pour les h tes ESXi vSphere Web Client vous permet d ouvrir et de fermer les ports de pare feu pour chaque service ou encore d autoriser le trafic provenant d adresses IP s lectionn es Le tableau ci dessous r pertorie les pare feu pour les services g n ralement install s Il est possible de disposer de services et de ports de pare feu suppl mentaires en installant d autres VIB sur l h te VMware Inc Tableau 5 5 Connexions de pare feu entrantes Service Serveur CIM Port 5988 TCP Chapitre 5 S curisation des h tes ESXi Commentaire Serveur pour CIM Common Information Model Serveur s curis CIM 5989 TCP Serveur s curis pour CIM SLP CIM 427 TCP UDP Le client CIM utilise le Service Location Protocol version 2 SLPv2 pour rechercher des serveurs CIM DHCPv 546 TCP UDP Client DHCP pour IPv6 DVSSync 8301 8302 UDP Les ports DVSSync permettent de synchroniser les tats des ports virtuels distribu s entre les h tes pour lesquels l enregistrement et la lecture VMware FT sont activ s Seuls les ports des h tes qui ex cutent des machines virtuelles principales ou de sauvegarde doivent tre ouverts Sur les ports qui n utilisent pas VMware FT ces ports n ont pas b
303. guration Affic her les param tres de connexion Permet de configurer les options de la console distante d une machine virtuelle Machines virtuelles VMware Inc 279 S curit vSphere Tableau 10 28 Privil ges de configuration de machine virtuelle suite Nom de privil ge Machine virtuelle Configuration D v elopper un disque virtuel Description Permet d tendre la taille d un disque virtuel Requis sur Machines virtuelles virtuelle Configuration M moire virtuelle Machine Permet d attacher une machine virtuelle un p riph rique USB Machines virtuelles virtuelle Configuration P ri h berg sur h te ph rique USB h te Machine Permet de changer la quantit de m moire allou e la machine Machines virtuelles Machine virtuelle Configuration Mod ifier les param tres de p riph rique Permet de changer les propri t s d un p riph rique existant Machines virtuelles Machine virtuelle Configuration Inter roger la compatibilit avec Fault Tolerance Permet de contr ler si une machine virtuelle est compatible avec Fault Tolerance Machines virtuelles Machine virtuelle Configuration Inter roger les fichiers sans propri taire Permet d interroger des fichiers sans propri taire Machines virtuelles Machine virtuelle Configuration P ri ph rique brut Permet d ajouter ou de retirer un mappage de disque brut ou un p riph rique de relais
304. h te ou l adresse IP de vCenter Server 2 Sp cifier le nom d utilisateur et le mot passe d administrator vsphere local Si vous avez sp cifi un autre domaine lors de l installation connectez vous en tant qu administrator mydomain local 3 Sous Certificats cliquez sur Magasin de certificats et explorez le magasin 4 S lectionnez le magasin dans le magasin VECS VMware Endpoint Certificate Store que vous souhaitez explorer partir du menu d roulant La section Pr sentation du magasin de certificats VMware Endpoint page 61 d crit le contenu des magasins individuels 5 Pour supprimer une entr e du magasin s lectionn cliquez sur l ic ne Supprimer une entr e Par exemple si vous remplacez le certificat existant vous pouvez ensuite supprimer l ancien certificat racine Supprimez des certificats uniquement si vous tes s r qu ils ne sont plus utilis s 6 Pour afficher les d tails du certificat cliquez sur l ic ne Afficher les d tails Remplacer les certificats par de nouveaux certificats sign s par VMCA depuis l interface web Platform Services Controller Si un certificat est sur le point d expirer ou si vous pensez qu il a t compromis vous pouvez renouveler le certificat Lorsque vous renouvelez un certificat VMCA le remplace par un nouveau certificat portant une signature VMCA Vous pouvez renouveler les certificats s lectionn s ou tous les certificats de votre environnement depuis l interface web P
305. here Pr sentation des autorisations dans vSphere 126 La principale mani re d autoriser un utilisateur ou un groupe dans vSphere consiste avoir recours aux autorisations vCenter Server Selon la t che que vous souhaitez effectuer vous aurez ventuellement besoin d une autre autorisation vSphere 6 0 et versions ult rieures permet des utilisateurs privil gi s d accorder d autres utilisateurs des autorisations d ex cution de t ches des mani res suivantes Ces approches sont pour la plupart mutuellement exclusives cependant vous pouvez attribuer des autorisations globales pour accorder certains utilisateurs des droits sur l int gralit de la solution et des autorisations vCenter Server locales pour accorder d autres utilisateurs des droits sur des syst mesvCenter Server individuels Autorisations Le mod le d autorisation des syst mes vCenter Server repose sur vCenter Server l attribution d autorisations sur des objets dans la hi rarchie d objets de cette instance de vCenter Server Chaque autorisation accorde un utilisateur ou un groupe un ensemble de privil ges c est dire un r le sur l objet s lectionn Par exemple vous pouvez s lectionner un h te ESXi et attribuer un r le un groupe d utilisateurs pour attribuer ces utilisateurs les privil ges correspondants sur cet h te Autorisations globales Les autorisations globales sont appliqu es un objet racine global qui peut couvrir plusi
306. here pour des exemples d utilisation d ESXCLI pour manipuler des pare feu et des r gles de pare feu Tableau 5 7 Commandes du pare feu Commande Description esxcli network firewall get Renvoie l tat activ ou d sactiv du pare feu et r pertorie les actions par d faut esxcli network firewall set default action D finir sur True pour transmettre les paquets par d faut D finir sur False pour rejeter les paquets par d faut esxcli network firewall set enabled Activer ou d sactiver le pare feu d ESXi esxcli network firewall load Charger le module du pare feu et les fichiers de configuration d ensemble de r gles esxcli network firewall refresh Actualiser la configuration du pare feu en lisant les fichiers d ensemble de r gles si le module du pare feu est charg esxcli network firewall unload D truire les filtres et d charger le module du pare feu esxcli network firewall ruleset list R pertorier les informations des ensembles de r gles esxcli network firewall ruleset set allowed D finir sur True pour permettre l acc s toutes les adresses all IP D finir sur False pour utiliser une liste d adresses IP autoris es esxcli network firewall ruleset set enabled D finir sur True pour activer l ensemble de r gles sp cifi ruleset id lt string gt D finir sur False pour le d sactiver esxcli network firewall ruleset allowedip list R pertorier les adresses IP autoris e
307. here webclient 6fd7f140 60a9 1 1e4 9e28 005056895a69 correspond l ID d utilisateur de solution vsphere webclient ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vsphere webclient 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vsphere webclient crt VMware Inc Chapitre 3 Certificats de s curit vSphere Remplacer le certificat de service d annuaire VMware Si vous d cidez d utiliser un nouveau certificat racine VMCA et que vous annulez la publication du certificat racine VMCA utilis lors du provisionnement de votre environnement vous devez remplacer les certificats SSL de machine les certificats d utilisateurs de la solution et ceux de certains services internes Si vous annulez la publication du certificat racine VMCA vous devez remplacer le certificat de signature SSL utilis par vCenter Single Sign On Reportez vous Rafra chir le certificat racine du service d mission de jeton de s curit STS page 37 Vous devez galement remplacer le certificat VMware Directory Service vmdir Pr requis Demander un certificat pour vmdir pour votre autorit de certification tierce ou d entreprise Proc dure 1 Arr tez vmdir Linux service control stop vmdird Windows service control stop VMWareDirectoryService 2 Copiez le certificat et la cl que vous venez de g n rer l emplacement de vmdir Linux cp vmdir crt usr lib vmware vmd
308. i prend uniquement en charge IPv6 Installer ou mettre niveau vSphere Authentication Proxy Installez vSphere Authentication Proxy pour permettre aux h tes ESXi de rejoindre un domaine sans utiliser les informations d identification Active Directory vSphere Authentication Proxy renforce la s curit des h tes d marr s par PXE et des h tes provisionn s l aide d Auto Deploy en vitant de stocker les informations d identification Active Directory dans la configuration de l h te Si une version ant rieure de vSphere Authentication Proxy est install e sur votre syst me cette proc dure met niveau vSphere Authentication Proxy vers la version actuelle Vous pouvez installer vSphere Authentication Proxy sur la m me machine que le syst me vCenter Server associ ou sur une machine diff rente disposant d une connexion r seau vCenter Server vSphere Authentication Proxy est pris en charge par vCenter Server version 5 0 et versions ult rieures Le service vSphere Authentication Proxy se lie une adresse IPv4 pour communiquer avec vCenter Server et ne prend pas en charge IPv L instance de vCenter Server peut tre install e sur une machine h te dans un environnement r seau en mode IPv4 uniquement en mode mixte IPv4 IPv6 ou en mode IPv6 uniquement mais la machine qui se connecte vCenter Server via vSphere Web Client doit disposer d une adresse IPv4 pour que le service vSphere Authentication Proxy fonctionne Pr req
309. i vous configurez une source d identit OpenLDAP consultez l article 2064977 de la base de connaissances VMware pour connna tre les conditions pr alables suppl mentaires Tableau 2 6 Active Directory en tant que serveur LDAP et param tres OpenLDAP Champ Nom Description Nom de la source d identit Nom de domaine DN de base des utilisateurs Nom unique de base pour les utilisateurs Nom de domaine Nom de domaine complet du domaine par exemple exemple com N entrez pas une adresse IP dans ce champ 34 VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Tableau 2 6 Active Directory en tant que serveur LDAP et param tres OpenLDAP suite Champ Description Alias du domaine Pour les sources d identit Active Directory le nom NetBIOS du domaine Ajoutez le nom NetBIOS du domaine Active Directory en tant qu alias de la source d identit si vous utilisez les authentifications SSPI Pour les sources d identit OpenLDAP le nom du domaine en lettres majuscules est ajout si vous ne sp cifiez pas d alias DN de base des groupes Nom unique de base pour les groupes URL du serveur principal Serveur LDAP du contr leur de domaine principale du domaine Utilisez le format suivant Idap hostname port ou Idaps hostname port Le port est g n ralement 389 pour Idap connections et 636 pour Idaps connections Pour les d ploiements de contr leurs multi domai
310. i vous laissez les informations par d faut les certificats g n r s peuvent tre source de confusion G n rez une paire de fichiers de cl publique priv e et un certificat pour chaque utilisateur de solution puis transmettez le fichier de configuration que vous venez de personnaliser Par exemple certool genkey privkey vpxd priv pubkey vpxd pub certool gencert privkey vpxd priv cert vpxd crt Name VPXD_1 config sol_usr cfg Recherchez le nom de chaque utilisateur de la solution dir cli service list Vous pouvez utiliser l ID unique renvoy lorsque vous remplacez les certificats L entr e et la sortie peuvent se pr senter comme suit C Program Files VMware vCenter Server vmafdd gt dir cli service list Enter password for administrator vsphere local 1 machine 1d364500 4b45 11e4 96c2 020011c98db3 vpxd 1d364500 4b45 11e4 96c2 020011c98db3 3 vpxd extension 1d364500 4b45 11e4 96c2 020011c98db3 4 vsphere webclient 1d364500 4b45 11e4 96c2 020011c98db3 N Lorsque vous r pertoriez les certificats d utilisateurs de solution dans un d ploiement n uds multiples la liste dir cli contient tous les utilisateurs de solution de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine Arr tez tous les services et d marrez ceux qui g rent la cr ation la prop
311. ible de provoquer le blocage de l h te ESXi cependant il peut th oriquement exister d autres mani res d exploiter ces interruptions VMware Inc S curisation des syst mes vCenter Server La s curisation de vCenter Server comporte notamment le fait de veiller la s curit de l h te sur lequel vCenter Server fonctionne en respectant les meilleures pratiques en mati re d attribution des privil ges et des r les et en v rifiant l int grit des clients qui se connectent au vCenter Server Ce chapitre aborde les rubriques suivantes Meilleures pratiques de s curit de vCenter Server page 207 V rifier les empreintes des h tes ESXi h rit s page 212 V rifier que la validation des certificats SSL sur Network File Copy est activ e page 213 Ports TCP et UDP pour vCenter Server page 213 Acc s l outil de surveillance du mat riel bas sur la surveillance CIM page 215 Meilleures pratiques de s curit de vCenter Server Le respect des meilleures pratiques de s curit de vCenter Server vous aide garantir l int grit de votre environnement vSphere Meilleures pratiques pour le contr le d acc s vCenter Server Contr lez strictement l acc s aux diff rents composants de vCenter Server pour augmenter la s curit du syst me Les directives suivantes contribuent garantir la s curit de votre environnement Utiliser des comptes nomm s VMware Inc Si le co
312. icat de votre autorit de certification qui r ponde aux conditions requises m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format PEM VMware prend en charge PKCS8 et PKCS1 cl s RSA Lorsque des cl s sont ajout es VECS elles sont converties en PKCS8 VMware Inc Chapitre 5 S curisation des h tes ESXi m x509 version 3 m Pour les certificats racines l extension d autorit de certification doit tre d finie sur true et la signature de certification doit figurer dans la liste de conditions requises m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Format CRT m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment Nom du certificat et fichiers de cl s rbd ca crt et rbd ca key Proc dure 1 Sauvegardez les certificats ESXi par d faut Les certificats se situent l emplacement etc vmware rbd ss1 Dans vSphere Web Client arr tez le service Auto Deploy a S lectionnez Administration puis cliquez sur Configuration syst me sous D ploiement b Cliquez sur Services c Cliquez avec le bouton droit sur le service que vous souhaitez arr ter et s lectionnez Arr ter Sur le syst me qui ex cute le service Auto Deploy dans etc vmware rbd ss1 remplacez rbd ca crt et rbd ca key par votre certificat personnalis et votre fichier de cl Sur le syst me qui ex cute le service Auto Deploy mettez jour le magasin TRUSTED_ROOTS da
313. ificat des h tes ESXi Mode de certificat Description Autorit de certification VMware par d faut Par d faut l autorit de certification VMware est utilis e comme autorit de certification pour les certificats des h tes ESXi VMCA est l autorit de certification racine par d faut mais elle peut tre d finie comme autorit de certification interm diaire vers une autre autorit de certification Dans ce mode les utilisateurs peuvent g rer des certificats dans vSphere Web Client Ce mode est galement utilis si VMCA est un certificat subordonn Autorit de certification personnalis e Certains clients pr f rent g rer leur propre autorit de certification externe Dans ce mode les clients sont responsables de la gestion des certificats et ne peuvent pas les g rer depuis vSphere Web Client Mode d empreinte vSphere 5 5 utilisait le mode d empreinte et ce mode est toujours disponible comme option de secours pour vSphere 6 0 N utilisez ce mode que si vous rencontrez des probl mes insolubles avec l un des deux autres modes Certains services vCenter 6 0 et versions ult rieures ne fonctionnent pas correctement en mode d empreinte Utilisation de certificats ESXi personnalis s Si la strat gie de votre entreprise impose l utilisation d une autorit de certification racine autre que VMCA vous pouvez changer le mode de certification de votre environnement apr s avoir proc d une planification ri
314. ification et une infrastructure d change de jetons de s curit Lorsqu un utilisateur ou un utilisateur de solution peut s authentifier dans vCenter Single Sign On il re oit un jeton SAML Par la suite l utilisateur peut utiliser le jeton SAML pour s authentifier aupr s des services vCenter L utilisateur peut ensuite r aliser les actions pour lesquels il dispose des privil ges Comme le trafic est chiffr pour toutes les communications et que seuls les utilisateurs authentifi s peuvent r aliser les actions pour lesquels ils disposent des privil ges votre environnement est s curis partir de vSphere 6 0 vCenter Single Sign On est int gr Platform Services Controller Platform Services Controller contient les services partag s prenant en charge vCenter Server et les composants vCenter Server Ces services comprennent vCenter Single Sign On l autorit de certification VMware le service de licence et Lookup Service Pour plus d informations sur Platform Services Controller reportez vous la section Installation et configuration de vSphere Pour l tablissement de liaison initial les utilisateurs s authentifient avec un nom d utilisateur et un mot de passe tandis que les utilisateurs de solution s authentifient par le biais d un certificat Pour plus d informations sur le remplacement des certificats des utilisateurs de solution reportez vous la section Chapitre 3 Certificats de s curit vSphere page 53 U
315. ification interm diaire Certificat d autorit Certificat d autorit Certificat d autorit de certification de certification racine de certification d entreprise Certificat machine Ne pas utiliser VMCA provisionner avec des certificats personnalis s Vous pouvez remplacer les certificats sign s par VMCA existants par des certificats personnalis s Si vous utilisez cette approche vous tes responsable de l int gralit du provisionnement et de la surveillance des certificats Figure 3 3 Les certificats externes sont stock s directement dans VECS Autorit de certification Inutilis externe commerciale ou d entreprise D ploiement hybride Vous pouvez demander VMCA de fournir une partie des certificats mais utiliser des certificats personnalis s pour d autres parties de votre infrastructure Par exemple comme les certificats d utilisateur de solution sont utilis s uniquement pour s authentifier aupr s de vCenter Single Sign On envisagez de demander VMCA de provisionner ces certificats Remplacez les certificats SSL machine par des certificats personnalis s pour s curiser tout le trafic SSL VMware Inc 57 S curit vSphere 58 Remplacement des certificats ESXi Pour les h tes ESXi vous pouvez modifier le comportement de provisionnement de certificats partir de vSphere Web Client Mode d autorit de Lorsque vous renouvelez des certificats partir de vSphere Web Client
316. ificats VMCA autorit de certification interm diaire Dans un d ploiement plusieurs n uds qui utilise VMCA comme autorit de certification interm diaire vous devez remplacer explicitement les certificats d utilisateurs de solutions Vous devez d abord remplacer le certificat racine VMCA sur le n ud Platform Services Controller puis vous pouvez remplacer les certificats sur les n uds vCenter Server pour faire signer les certificats par toute la cha ne Vous pouvez galement utiliser cette option pour remplacer les certificats d utilisateurs de solutions qui sont alt r s ou sur le point d expirer Pr requis m Red marrez explicitement tous les n uds vCenter Server si vous avez remplac le certificat racine VMCA dans un d ploiement plusieurs n uds m Vous devez disposer des informations suivantes pour ex cuter Certificate Manager avec cette option m Mot de passe pour administrator vsphere local VMware Inc Chapitre 3 Certificats de s curit vSphere m Le nom d h te ou l adresse IP de Platform Services Controller si vous utilisez un syst me vCenter Server disposant d un Platform Services Controller externe Proc dure 1 D marrez vSphere Certificate Manager et s lectionnez l option 6 2 R pondez aux invites vSphere Certificate Manager remplace tous les certificats d utilisateurs de solutions Remplacer tous les certificats par des certificats personnalis s Certificate Manager Vous pouvez employ
317. ificats de s curit vSphere page 53 Pour une protection suppl mentaire supprimez explicitement les certificats r voqu s ou qui ont expir ainsi que les installations qui ont chou vCenter Server et les services associ s sont prot g s par la structure d authentification vCenter Single Sign On La premi re fois que vous installez le logiciel vous sp cifiez un mot de passe pour l utilisateur administrator vsphere local et seul ce domaine est disponible en tant que source d identit Vous pouvez ajouter d autres sources d identit Active Directory ou LDAP et d finir une source d identit par d faut Dor navant les utilisateurs qui peuvent s authentifier aupr s d une source d identit ont la possibilit d afficher des objets et d effectuer des t ches dans la mesure o ils y ont t autoris s Reportez vous Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On page 19 11 S curit vSphere Attribuer des r les aux utilisateurs ou aux groupes Configurer NTP Pour optimiser la journalisation chaque autorisation octroy e pour un objet peut tre associ e un utilisateur ou groupe nomm ainsi qu un r le pr d fini ou personnalis Le mod le d autorisations vSphere 6 0 procure une grande flexibilit en offrant la possibilit d autoriser les utilisateurs et les groupes de diverses fa ons Reportez vous la section Pr sentation des autorisations dans vSphere
318. ificats tiers avec vSphere page 100 VMware Inc 21 S curit vSphere 22 Composants vCenter Single Sign On vCenter Single Sign On inclut Security Token Service STS un serveur d administration vCenter Lookup Service et le service d annuaire VMware vmdir Le service d annuaire VMware est galement utilis pour la gestion des certificats Au moment de l installation les composants sont d ploy s sous la forme d un d ploiement int gr ou en tant qu l ments de Platform Services Controller STS Security Token Service Serveur d administration Service d annuaire VMware vmdir Identity Management Service Le services STS envoie des jetons SAML Security Assertion Markup Language Ces jetons de s curit repr sentent l identit d un utilisateur dans l un des types de sources d identit pris en charge par vCenter Single Sign On Les jetons SAML permettent aux utilisateurs humains et aux utilisateurs de solutions qui s authentifient aupr s de vCenter Single Sign On d utiliser tous les services vCenter pris en charge par vCenter Single Sign On sans devoir se r authentifier aupr s de chaque service Le service vCenter Single Sign On attribue un certificat de signature tous les jetons pour les signer et stocke ces certificats sur le disque Le certificat du service est galement stock sur le disque Le serveur d administration autorise les utilisateurs disposant des privil ges d administrateur
319. ign On HTTPS 8000 par d faut Requ tes de vMotion 8109 VMware Syslog Collector 9090 Acc s HTTPS vSphere Web Client aux consoles des machines virtuelles Permet vCenter Server Appliance de communiquer avec le trafic de la console distante vSphere Web Client 9443 Acc s HTTP vSphere Web Client aux h tes ESXi 10080 Inventory Service 11711 vCenter Single Sign On LDAP environnements mis niveau depuis vSphere 5 5 11712 vCenter Single Sign On LDAPS environnements mis niveau depuis vSphere 5 5 12721 Service VMware Identity Management 15005 Gestionnaire d agent ESX EAM Un agent ESX peut tre une machine virtuelle ou un VIB optionnel L agent tend les fonctions d un h te ESXi pour fournir les services additionnels que requiert une solution vSphere telle que NSX v ou vRealize Automation 15007 vService Manager VSM Ce service enregistre les extensions de vCenter Server Ouvrez ce port uniquement si cela est requis par les extensions que vous pr voyez d utiliser En plus de ces ports vous pouvez configurer d autres ports en fonction de vos besoins VMware Inc Chapitre 6 S curisation des syst mes vCenter Server Acc s l outil de surveillance du mat riel bas sur la surveillance CIM Le syst me CIM Mod le de donn es unifi Common Information Model fournit une interface permettant la gestion au niveau du mat riel partir d applications distantes utilisant un ensemble d API standard Pour
320. il ges sont appliqu s n importe quel utilisateur ou groupe auquel le r le modifi a t attribu Si vous cr ez ou modifiez un r le sur un syst me vCenter Server qui fait partie du m me domaine vCenter Single Sign On que les autres syst mes vCenter Server le service d annuaire VMware vmdir propage les modifications que vous apportez tous les autres syst mes vCenter Server du groupe Cependant les attributions de r les des utilisateurs et objets sp cifiques ne sont pas partag es entre les syst mes vCenter Server Pr requis V rifiez que vous tes connect en tant qu utilisateur avec des privil ges d administrateur Proc dure 1 Connectez vous vCenter Server avec vSphere Web Client 2 S lectionnez Accueil cliquez sur Administration puis cliquez sur R les 3 S lectionnez un r le puis cliquez sur le bouton Modifier une action de r le 4 S lectionnez ou d s lectionnez des privil ges pour le r le puis cliquez sur OK Meilleures pratiques pour les r les et les autorisations 140 Utilisez les meilleures pratiques pour les r les et les autorisations afin de maximiser la s curit et la g rabilit de votre environnement vCenter Server VMware recommande les meilleures pratiques suivantes lorsque vous configurez les r les et les autorisations dans votre environnement vCenter Server m Lorsque cela est possible attribuez un r le un groupe plut t qu des utilisateurs individuels pour a
321. il puis remplacez le nom du fichier par sol_usr cfg par exemple Vous pouvez nommer les certificats de la ligne de commande dans le cadre de la g n ration Les autres informations ne sont pas n cessaires pour les utilisateurs de la solution Si vous laissez les informations par d faut les certificats g n r s peuvent tre source de confusion 2 G n rez une paire de fichiers de cl publique priv e et un certificat pour chaque utilisateur de solution puis transmettez le fichier de configuration que vous venez de personnaliser Par exemple certool genkey privkey vpxd priv pubkey vpxd pub certool gencert privkey vpxd priv cert vpxd crt Name VPXD_1 config sol_usr cfg 3 Recherchez le nom de chaque utilisateur de la solution dir cli service list Vous pouvez utiliser l ID unique renvoy lorsque vous remplacez les certificats L entr e et la sortie peuvent se pr senter comme suit C Program Files VMware vCenter Server vmafdd gt dir cli service list Enter password for administrator vsphere local 1 machine 1d364500 4b45 11e4 96c2 020011c98db3 vpxd 1d364500 4b45 11e4 96c2 020011c98db3 3 vpxd extension 1d364500 4b45 11e4 96c2 020011c98db3 4 vsphere webclient 1d364500 4b45 11e4 96c2 020011c98db3 N Lorsque vous r pertoriez les certificats d utilisateurs de solution dans un d ploiement n uds multiples la liste dir cli contient tous les utilisateurs de solution de tous les n uds Ex cute
322. ilisateurs de vCenter Single Sign On sont enregistr s dans le domaine vsphere local de vCenter Single Sign On Vous pouvez v rifier les strat gies de mot de passe vCenter Single Sign On partir de vSphere Web Client Connectez vous en tant que administrator vsphere local et s lectionnez Configuration gt R gles gt R gles de mots de passe Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes Cliquez sur l onglet Users Cliquez droit sur l utilisateur et s lectionnez Modifier l utilisateur a amp OO N Effectuez les modifications sur l utilisateur Vous ne pouvez pas modifier le nom d utilisateur de l utilisateur Le mot de passe doit r pondre aux exigences des r gles de mot de passe du syst me 6 Cliquez sur OK Ajouter un groupe vCenter Single Sign On Dans vCenter Single Sign On les groupes r pertori s dans l onglet Groupes sont internes vCenter Single Sign On Un groupe permet de cr er un conteneur pour un ensemble de membres d un groupe principaux Lorsque vous ajoutez un groupe vCenter Single Sign On dans l interface d administration de vSpher
323. ilisez les certificats sign s par VMCA par d faut vous devez VMware VMCA vous assurer que l h te proxy d authentification approuve le certificat VMCA a Ajoutez manuellement le certificat VMCA au magasin de certificats des autorit s de certification racine approuv es b Ajoutez le certificat sign par VMCA root cer au magasin local des certificats de confiance sur le syst me sur lequel le service proxy d authentification est install Vous trouverez le fichier dans C ProgramData VMware CIS data vmca c Red marrez le service vSphere Authentication Proxy Certificat sign par l autorit de Ajoutez le certificat sign par l autorit de certification cod DER au certification tierce magasin local des certificats de confiance sur le syst me sur lequel le service proxy d authentification est install et red marrez le service vSphere Authentication Proxy m Pour Windows 2003 copiez le fichier du certificat sur C Documents and Settings All Users Application Data VMware vSphere Authentication Proxy trust m Pour Windows 2008 copiez le fichier du certificat sur C Program Data VMware vSphere Authentication Proxy trust Configuration de vSphere Authentication Proxy Vos h tes ESXi peuvent utiliser vSphere Authentication Proxy s ils disposent des informations de certificat associ es Vous ne devez authentifier le serveur qu une seule fois REMARQUE ESXi et le serveur vSphere Authentication Proxy doivent tre e
324. ille m adresse IP facultatif m E mail m Nom de l h te savoir le nom de domaine complet de la machine dont vous souhaitez remplacer le certificat Si le nom de l h te ne correspond pas au nom de domaine complet le remplacement du certificat ne se fait pas correctement et votre environnement risque de devenir instable m Adresse IP du Platform Services Controller si vous ex cutez la commande sur un n ud de gestion Pr requis m Red marrez explicitement tous les n uds vCenter Server si vous avez remplac le certificat racine VMCA dans un d ploiement plusieurs n uds m Vous devez disposer des informations suivantes pour ex cuter Certificate Manager avec cette option m Mot de passe pour administrator vsphere local m Nom de domaine complet de la machine pour laquelle vous souhaitez g n rer un nouveau certificat sign par VMCA Toutes les autres propri t s sont configur es par d faut sur les valeurs pr d finies mais peuvent tre modifi es m Le nom d h te ou l adresse IP de Platform Services Controller si vous utilisez un syst me vCenter Server disposant d un Platform Services Controller externe Proc dure 1 D marrez vSphere Certificate Manager et s lectionnez l option 3 2 R pondez aux invites Certificate Manager enregistre les informations dans le fichier certool cfg vSphere Certificate Manager remplace le certificat machine SSL Remplacer les certificats d utilisateurs de solutions par des cert
325. in e aux comptes de service qui doivent se connecter directement l h te Les comptes d administrateur disposant des privil ges d administrateur qui se trouvent dans la liste des utilisateurs exceptionnels peuvent se connecter ESXi Shell En outre ces utilisateur peuvent se connecter l interface DCUI d un h te en mode de verrouillage normal et quitter ce m me mode Sp cifiez les utilisateurs exceptionnels dans vSphere Web Client REMARQUE Les utilisateurs exceptionnels sont des utilisateurs locaux d un h te ou des utilisateurs Active Directory disposant de privil ges d finis localement pour l h te ESXi Les utilisateurs qui sont membres d un groupe Active Directory perdre leurs autorisations lorsque l h te est en mode de verrouillage 180 VMware Inc Chapitre 5 S curisation des h tes ESXi Option avanc e Ajouter des utilisateurs DCUI Access L option avanc e DCUI Access a pour objectif principal de vous permettre de quitter le mode de verrouillage en cas de d faillance irr m diable lorsque vous ne pouvez pas acc der l h te partir de vCenter Server Vous ajoutez des utilisateurs la liste en modifiant les param tres avanc s de l h te partir de vSphere Web Client REMARQUE Les utilisateurs de la liste DCUT Access peuvent modifier les param tres du mode de verrouillage quels que soient leurs privil ges Cela peut avoir un impact sur la s curit de votre h te Pour les comptes de service
326. ine virtuelle Configuration de d lais d expiration pour ESXi Shell et vSphere Web Client Pour emp cher des intrus d utiliser une session inactive veillez configurer des d lais d expiration pour ESXi Shell et vSphere Web Client D lai d expiration d ESXi Shell Pour ESXi Shell vous pouvez configurer les d lais d expiration suivants pour vSphere Web Client partir de l interface utilisateur de console directe DCUT D lai d expiration de la La valeur du d lai d attente de disponibilit correspond au temps qui peut disponibilit s couler avant de vous connecter suite l activation de ESXi Shell Lorsque le d lai est coul le service est d sactiv et les utilisateurs ne peuvent plus se connecter D lai d inactivit Le d lai d inactivit correspond au temps qui peut s couler avant que l utilisateur ne soit d connect d une session interactive inactive Les modifications du d lai d inactivit s appliquent lors de la prochaine connexion de l utilisateur ESXi Shell et n affectent pas les sessions existantes VMware Inc 259 S curit vSphere D lai d expiration de vSphere Web Client Par d faut les sessions vSphere Web Client prennent fin apr s 120 minutes Vous pouvez modifier ce param tre par d faut dans le fichier webclient properties ainsi que cela est indiqu dans la documentation Gestion de vCenter Server et des h tes 260 VMware Inc Privil ges d finis Les tableaux suivan
327. inistrateur du domaine vCenter Single Sign On auquel vous vous connectez m Si vous g n rez une demande de signature de certificat dans un environnement avec une instance de Platform Services Controller externe vous tes invit entrer le nom d h te ou l adresse IP de Platform Services Controller m Pour g n rer une demande de signature du certificat SSL d une machine vous tes invit entrer les propri t s du certificat qui sont stock es dans le fichier certool cfg Pour la plupart des champs vous pouvez accepter les valeurs par d faut ou entrer des valeurs sp cifiques au site Le FQDN de la machine est requis Proc dure 1 D marrez vSphere Certificate Manager et s lectionnez l option 2 2 Fournissez le mot de passe et l adresse IP ou le nom d h te de Platform Services Controller si vous y tes invit 3 S lectionnez l option 1 pour g n rer la CSR et r pondez aux invites Dans le cadre du processus vous devez fournir un r pertoire Certificate Manager place les fichiers root_signing_cert csr et root_signing_cert key dans le r pertoire 4 Demandez ou g n rez un certificat et nommez le fichier root_signing_cert cer VMware Inc 71 S curit vSphere 72 5 Dans un diteur de texte combinez les certificats pour que le certificat racine VMCA initial se trouve dans la partie inf rieure et que le certificat racine de l autorit de certification se trouve dans la partie sup rieure puis enregistrez
328. ion ESXi ne prend en charge ni Secure Remote Protocol SRP ni les m thodes d authentification par cl publique d iSCSI L authentification Kerberos ne peut s utiliser qu avec NFS 4 1 ESXi prend en charge l authentification CHAP ainsi que l authentification CHAP mutuel La documentation Stockage vSphere explique comment s lectionner la meilleure m thode d authentification pour votre p riph rique iSCSI et comment configurer CHAP Assurez vous que le secrets CHAP sont uniques Le secret d authentification mutuelle de chaque h te doit tre diff rent Dans la mesure du possible le secret doit galement tre diff rent pour chaque client s authentifiant aupr s du serveur De la sorte si un h te unique est compromis le pirate ne peut pas cr er un autre h te arbitraire et s authentifier aupr s du p riph rique de stockage Lorsqu il existe un secret partag unique la compromission d un h te peut permettre un pirate de s authentifier aupr s du p riph rique de stockage Protection d un SAN iSCSI Lorsque vous planifiez la configuration iSCSI prenez des mesures pour optimiser la s curit globale de votre SAN iSCSI Votre configuration iSCSI pr sente le m me niveau de s curit que votre r seau IP Par cons quent en appliquant de bonnes normes de s curit lors de la configuration de votre r seau vous aidez la protection de votre stockage iSCSI Vous trouverez ci dessous des suggestions sp cifiques pour applique
329. ion Racine vCenter Server Machine virtuelle Provisionnement Pr omouvoir des disques Permet de promouvoir des op rations sur les disques d une machine virtuelle Machines virtuelles Machine virtuelle Provisionnement Li re les sp cifications de personnalisation Permet de lire une sp cification de personnalisation Machines virtuelles VMware Inc 291 S curit vSphere Privil ges de configuration de services de machine virtuelle Les privil ges de configuration de services de machine virtuelle contr lent qui peut ex cuter une t che de surveillance de gestion sur la configuration des services Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e REMARQUE Dans vSphere 6 0 n attribuez pas et ne supprimez pas ce privil ge l aide de vSphere Web Client Tableau 10 33 Privil ges de configuration de services de machine virtuelle Nom de privil ge Machine virtuelle Configuration des services Autoriser les notifications Description Permet la g n ration et la consommation de notifications sur l tat des services Machine virtuelle Configuration des services Autoriser l interrogati
330. ion ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vpxd extension crt f Remplacez le certificat d utilisateur de solution vsphere webclient sur chaque n ud de gestion Par exemple si vsphere webclient 6fd7f140 60a9 1 1e4 9e28 005056895a69 correspond l ID d utilisateur de solution vsphere webclient ex cutez la commande suivante C gt C Program Files VMware vCenter Server vmafdd dir cli service update name vsphere webclient 6fd7f140 60a9 11e4 9e28 005056895a69 cert new vsphere webclient crt Suivant Red marrez tous les services sur chaque n ud Platform Services Controller et chaque n ud de gestion Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte Pendant la mise niveau votre environnement peut comprendre temporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certificat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut Le certificat SSL du service d annuaire VMware est utilis par vmdir pour l tablissement de liaison entre les n uds du Platform Services Controller qui effectuent la r plication de vCenter Single Sign On Cette proc dure est in
331. ion des fichiers journaux ESXi 202 Les fichiers journaux constituent un l ment important dans le d pannage des attaques et l obtention d informations relatives aux failles de s curit de l h te Une journalisation effectu e sur un serveur d di centralis et s curis peut contribuer viter la falsification des journaux La journalisation distance fournit galement un enregistrement des contr les long terme Prenez les mesures suivantes pour renforcer la s curit de l h te Configurez la journalisation permanente d une banque de donn es Les journaux des h tes ESXi sont stock s par d faut dans le syst me de fichiers in memory Par cons quent ils sont perdus lorsque vous red marrez l h te et seules 24 heures de donn es de journalisation sont stock es Lorsque vous activez la journalisation permanente vous obtenez un enregistrement d di de l activit du serveur disponible pour l h te La journalisation distance vers un h te central vous permet de collecter des fichiers journaux sur un h te central o vous pouvez surveiller tous les h tes l aide d un outil unique Vous pouvez galement effectuer une analyse cumul e et une recherche de donn es de journalisation pouvant r v ler des informations concernant des choses comme des attaques coordonn es sur plusieurs h tes Configurez un syslog distance s curis sur les h tes ESXi utilisant une ligne de commande distante comme vCLI ou Po
332. ions globales pour accorder un utilisateur ou un groupe des privil ges pour tous les objets dans l ensemble des hi rarchies d objets Un objet racine se trouve dans la hi rarchie d objets de chaque solution L objet racine global agit comme un objet parent sur chaque objet de la solution Vous pouvez attribuer des autorisations globales des utilisateurs ou des groupes et choisir le r le de chaque utilisateur ou de chaque groupe Le r le d termine l ensemble de privil ges Vous pouvez attribuer un r le pr d fini ou cr er des r les personnalis s Reportez vous Utilisation des r les pour assigner des privil ges page 137 Il est important de faire la distinction entre les autorisations vCenter Server et les autorisations globales Autorisations Dans la plupart des cas vous appliquez une autorisation un objet vCenter Server d inventaire vCenter Server tel qu un h te ESXi ou une machine virtuelle ce moment l vous sp cifiez qu un utilisateur ou un groupe dispose d un ensemble de privil ges appel r le sur l objet Autorisations globales Les autorisations globales accordent un utilisateur ou un groupe des privil ges permettant d afficher ou de g rer tous les objets dans chaque hi rarchie d inventaire de votre d ploiement Si vous affectez une autorisation globale sans s lectionner Propager les utilisateurs ou les groupes associ s cette autorisation n ont pas acc s aux objets de la hi
333. iph rique SCSI Dans les transactions iSCSI des blocs de donn es SCSI brutes sont encapsul s dans des enregistrements iSCSI et transmis au p riph rique demandant ou l utilisateur Les SAN iSCSI vous permettent d utiliser efficacement les infrastructures Ethernet existantes pour permettre aux h tes d acc der aux ressources de stockage qu ils peuvent partager de mani re dynamique Les SAN iSCSI offrent une solution de stockage conomique pour les environnements reposant sur un pool de stockage pour servir de nombreux utilisateurs Comme pour tout syst me en r seau vos SAN iSCSI peuvent tre soumis des d faillances de s curit REMARQUE Les contraintes et les proc dures de s curisation d un SAN iSCSI sont semblables celles des adaptateurs iSCSI mat riels que vous pouvez utiliser avec les h tes et celles des iSCSI configur s directement via l h te VMware Inc Chapitre 9 Meilleures pratiques concernant plusieurs composants vSphere S curisation des p riph riques iSCSI Un moyen permettant de s curiser les p riph riques iSCSI des intrusions ind sirables consiste demander que l h te ou l initiateur soit authentifi par le p riph rique iSCSI ou la cible chaque fois que l h te tente d acc der aux donn es sur la LUN cible L objectif de l authentification consiste prouver que l initiateur a le droit d acc der une cible ce droit tant accord lorsque vous configurez l authentificat
334. iquez sur Configuration syst me 3 Cliquez sur N uds puis s lectionner le n ud pour lequel vous souhaitez afficher ou g rer des certificats 4 Cliquez sur l onglet G rer puis cliquez sur Autorit de certification 5 Cliquez sur le type de certificat pour lequel vous voulez afficher des informations relatives au certificat Option Description Certificats actifs Affiche les certificats actifs y compris les informations de validation les concernant L ic ne verte de date de fin de validit change lorsque la date d expiration du certificat approche Certificats r voqu s Affiche la liste des certificats r voqu s Non pris en charge dans cette version Certificats expir s R pertorie les certificats arriv s expiration Certificats racine Affiche les certificats racines disponibles pour cette instance de l autorit de certification vCenter 6 S lectionnez un certificat et cliquez sur le bouton Afficher les d tails du certificat pour afficher les d tails du certificat Les d tails comprennent le nom du sujet l metteur la validit et l algorithme D finir le seuil pour les avertissements d expiration du certificat vCenter Depuis vSphere 6 0 vCenter Server g re tous les certificats du magasin VECS VMware Endpoint Certificate Store et met une alarme lorsque le d lai d expiration d un certificat est inf rieur ou gal 30 jours Vous pouvez modifiez le d lai d avertissement l aide de l option avanc e vpxd cert
335. ir share config vmdircert pem cp vmdir priv usr lib vmware vmdir share config vmdirkey pem Windows copy vmdir crt C programdata vmware vCenterServer cfg vmdird vmdircert pem copy vmdir priv C programdata vmware vCenterServer cfg vmdird vmdirkey pem 3 Red marrez vmdir partir de vSphere Web Client ou l aide de la commande service control Linux service control start vmdird Windows service control start VMWareDirectoryService Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte Pendant la mise niveau votre environnement peut comprendre temporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certificat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut Le certificat SSL du service d annuaire VMware est utilis par vmdir pour l tablissement de liaison entre les n uds du Platform Services Controller qui effectuent la r plication de vCenter Single Sign On Cette proc dure est indispensable uniquement si m Votre environnement comprend la fois les services de vCenter Single Sign On 5 5 et de vCenter Single Sign On 6 0 m Les services de vCenter Single Sign On sont configur s pour r pliquer les donn es de vmdir VMware Inc 99 S curit vSphere 100 m Vous envisagez
336. irectory lorsqu ils ajoutent un h te un domaine Installer ou mettre niveau vSphere Authentication Proxy Installez vSphere Authentication Proxy pour permettre aux h tes ESXi de rejoindre un domaine sans utiliser les informations d identification Active Directory vSphere Authentication Proxy renforce la s curit des h tes d marr s par PXE et des h tes provisionn s l aide d Auto Deploy en vitant de stocker les informations d identification Active Directory dans la configuration de l h te Si une version ant rieure de vSphere Authentication Proxy est install e sur votre syst me cette proc dure met niveau vSphere Authentication Proxy vers la version actuelle Vous pouvez installer vSphere Authentication Proxy sur la m me machine que le syst me vCenter Server associ ou sur une machine diff rente disposant d une connexion r seau vCenter Server vSphere Authentication Proxy est pris en charge par vCenter Server version 5 0 et versions ult rieures Le service vSphere Authentication Proxy se lie une adresse IPv4 pour communiquer avec vCenter Server et ne prend pas en charge IPv L instance de vCenter Server peut tre install e sur une machine h te dans un environnement r seau en mode IPv4 uniquement en mode mixte IPv4 IPv6 ou en mode IPv6 uniquement mais la machine qui se connecte vCenter Server via vSphere Web Client doit disposer d une adresse IPv4 pour que le service vSphere Authentication Proxy fonction
337. irtual SAN Exploite TCP et est employ pour les E S de stockage Virtual SAN Si ce service est d sactiv Virtual SAN ne fonctionne pas Serveur SNMP 161 UDP Permet l h te de se connecter un serveur SNMP Serveur SSH 22 TCP Requis pour l acc s SSH vMotion 8000 TCP Requis pour la migration de machines virtuelles avec vMotion vSphere Web Client 902 443 TCP Connexions client VMware Inc 169 S curit vSphere Tableau 5 5 Connexions de pare feu entrantes suite Service vsanvp Port 8080 TCP Commentaire Fournisseur de distributeur VSAN VASA Utilis pour le service de gestion du stockage SMS inclus dans vCenter pour acc der aux informations relatives la conformit aux capacit s et aux profils de stockage Virtual SAN Si le service est d sactiv Virtual SAN Storage Profile Based Management SPBM ne fonctionne pas vSphere Web Access 80 TCP Page de bienvenue avec liens de t l chargement pour diff rentes interfaces Tableau 5 6 Connexions de pare feu sortantes Service SLP CIM Port 427 TCP UDP Commentaire Le client CIM utilise le Service Location Protocol version 2 SLPv2 pour rechercher des serveurs CIM DHCPv 547 TCP UDP Client DHCP pour IPv6 DVSSync 8301 8302 UDP Les ports DVSSync permettent de synchroniser les tats des ports virtuels distribu s entre les h tes pour
338. irtuelle vSphere Nom de privil ge Description Requis sur Machine virtuelle vSphere Permet de configurer la r plication de la machine virtuelle Machines virtuelles Replication Configurer la r plication Machine virtuelle vSphere Permet de d clencher la synchronisation compl te la synchronisation Machines virtuelles Replication G rer la en ligne ou la synchronisation hors ligne d une r plication r plication Machine virtuelle vSphere Permet de contr ler la r plication Machines virtuelles Replication Surveiller la r plication Privil ges du groupe dvPort Les privil ges de groupes de ports virtuels distribu s contr lent la capacit cr er supprimer et modifier les groupes de ports virtuels distribu s Le tableau d crit les privil ges requis pour cr er et configurer des groupes de ports virtuels distribu s Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 36 Privil ges de groupes de ports virtuels distribu s Nom de privil ge Description Requis sur Groupe dvPort Cr er Permet de cr er un groupe de ports virtuels distribu s Groupes de ports virtuels Groupe dvPort Supprimer Permet de s
339. is es 2 3 VMware Inc Dans le fichier journal recherchez les messages suivants Le fichier journal contient un sortie de toutes les tentatives d installation Situez le dernier message qui affiche Initializing registration provider Message java net ConnectException La connexion a expir connect Cause et solution L adresse IP est erron e un pare feu bloque l acc s vCenter Single Sign On ou vCenter Single Sign On est surcharg Assurez vous qu aucun pare feu ne bloque le port vCenter Single Sign On par d faut 7444 et que l ordinateur sur lequel vCenter Single Sign On est install dispose de suffisamment de capacit de CPU d E S et de RAM java net ConnectException Connection refused connect L adresse IP ou le nom de domaine complet est erron e et le service vCenter Single Sign On n a pas d marr ou a d marr au cours de la minute coul e V rifiez que vCenter Single Sign On fonctionne en contr lant l tat du service vCenter Single Sign On sous Windows et du daemon vmware sso sous Linux Red marrez le service Si cette proc dure ne r sout pas le probl me consultez la section r cup ration du Guide de d pannage de vSphere 49 S curit vSphere Message Cause et solution Code d tat inattendu 404 chec Red marrez vCenter Single Sign On Si cette proc dure ne r sout pas le du serveur SSO lors de probl me consultez la section R cup ration du Guide de d p
340. isateurs exceptionnels partir de vSphere Web Client Lorsque l h te passe en mode de verrouillage normal ces utilisateurs ne perdent pas leurs autorisations et peuvent se connecter l interface DCUI Pour plus d informations consultez Sp cifier les utilisateurs exceptionnels du mode de verrouillage page 181 En mode de verrouillage strict le service DCUI est interrompu Il est donc impossible d utiliser l authentification par carte puce pour acc der l h te Cl s SSH ESXi Vous pouvez utiliser des cl s SSH pour restreindre contr ler et s curiser l acc s un h te ESXi En utilisant une cl SSH vous pouvez permettre des utilisateurs ou des scripts approuv s de se connecter un h te sans sp cifier le mot de passe Vous pouvez copier la cl SSH sur l h te en utilisant la commande vifs de l interface de ligne de commande vSphere Pour obtenir des informations sur l installation et l utilisation de l ensemble de commandes de l interface de ligne de commande vSphere reportez vous D marrage avec les interfaces de ligne de commande vSphere Il est galement possible d utiliser HTTPS PUT pour copier la cl SSK sur l h te Au lieu de g n rer les cl s en externe et de les t l charger vous pouvez les cr er sur l h te ESXi et les t l charger Reportez vous l article 1002866 de la base de connaissances VMware L activation de SSH et l ajout de cl s SSH l h te comportent des risques inh rents e
341. isez un pare feu local sur le syst me Windows sur lequel le syst me vCenter Server s ex cute ou utilisez un pare feu de r seau Incluez des restrictions d acc s bas es sur l IP afin que seuls les composants n cessaires puissent communiquer avec le syst me vCenter Server 210 VMware Inc Chapitre 6 S curisation des syst mes vCenter Server Envisager la restriction d utilisation de clients Linux Les communications entre les composants clients et un syst me vCenter Server ou des h tes ESXi sont prot g es par d faut par un chiffrement SSL Les versions Linux de ces composants n effectuent pas de validation de certificats Envisagez de restreindre l utilisation de ces clients M me si vous avez remplac les certificats sign s par VMCA sur le syst me vCenter Server et sur les h tes ESXi par des certificats qui sont sign s par une autorit de certification tierce certaines communications avec les clients Linux sont toujours vuln rables aux attaques de l intercepteur Les composants suivants sont vuln rables lorsqu ils fonctionnent sur le syst me d exploitation Linux m Commandes vCLI m Scripts vSphere SDK pour Perl m Programmes crits l aide de vSphere Web Services SDK Vous pouvez assouplir la restriction de l utilisation des clients Linux condition d assurer un contr le ad quat m Limitez l acc s au r seau de gestion exclusivement aux syst mes autoris s m Utilisez des pare feux pour vous assurer que seuls l
342. issent avec les syst mes d exploitation et les applications invit s de la machine virtuelle VMware ne prend pas en charge la configuration d un port diff rent pour cette fonction S curiser le commutateur physique S curisez le commutateur physique sur chaque h te ESXi pour emp cher les pirates d obtenir acc s l h te et ses machines virtuelles Pour garantir la meilleure protection de vos h tes assurez vous que la configuration des ports du commutateur physique d sactive le protocole STP Spanning Tree Protocol et que l option de non n gociation est configur e pour les liaisons de jonction entre les commutateurs physiques externes et les commutateurs virtuels en mode VST Virtual Switch Tagging Proc dure 1 Connectez vous au commutateur physique et assurez vous que le protocole Spanning Tree est d sactiv ou que PortFast est configur pour tous les ports de commutateur physique qui sont connect s aux h tes ESXi 2 Pour des machines virtuelles qui effectuent un pontage ou un routage v rifiez p riodiquement que la configuration du premier port de commutateur physique en amont d sactive BPDU Guard et PortFast et active le protocole Spanning Tree Dans vSphere 5 1 et versions ult rieures pour prot ger le commutateur physique des attaques de d ni de service DoS vous pouvez activer le filtrage BPDU invit sur les h tes ESXi 3 Connectez vous au commutateur physique et assurez vous que le protocole DTP Dyn
343. istrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli password reset Permet un administrateur de r initialiser le mot de passe d un utilisateur Si vous tes un utilisateur non administrateur et souhaitez r initialiser un mot de passe utilisez plut t la commande dir cli password change Option Description account Nom du compte auquel attribuer un nouveau mot de passe new Nouveau mot de passe de l utilisateur sp cifi login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli password change Permet un utilisateur de modifier son mot de passe Vous devez tre l utilisateur qui poss de le compte pour apporter cette modification Les administrateurs peuvent employer dir cli password reset pour r initialiser n importe quel mot de passe Option Description account Nom du compte current Mot de
344. it telles que l isolation du CPU l isolation de la m moire et l isolation des p riph riques Vous pouvez configure des fonctionnalit s suppl mentaires comme le mode de verrouillage le remplacement de certificats et l authentification par carte puce pour renforcer la s curit Un h te ESXi est galement prot g par un pare feu Vous pouvez ouvrir les ports au trafic entrant et sortant selon vos besoins mais limitez l acc s aux services et aux ports L utilisation du mode verrouillage ESXi et la limitation de l acc s ESXi Shell peuvent galement contribuer s curiser davantage l environnement partir de vSphere 6 0 les h tes ESXi participent l infrastructure de certificats Les h tes sont provisionn s l aide de certificats sign s par l autorit de certification VMware VMCA par d faut Pour plus d informations sur la s curit d ESXi reportez vous au livre blanc VMware ESXi Ce chapitre aborde les rubriques suivantes m Utiliser des scripts pour g rer des param tres de configuration d h te page 146 m Configurer des h tes ESXi avec des profils d h te page 147 m Recommandations g n rales de s curit pour ESXi page 148 m Gestion de certificats pour les h tes ESXi page 152 m Personnalisation des h tes avec le profil de s curit page 166 m Affectation d autorisations pour ESXi page 183 m Utilisation d Active Directory pour g rer des utilisateurs ESXi
345. it vSphere 4 Mettez jour le service d annuaire VMware vmdir avec les nouveaux certificats d utilisateurs de solutions Vous tes invit entrer un mot de passe d administrateur vCenter Single Sign On a 98 Ex cutez dir cli service list pour obtenir le suffixe d ID de service unique pour chaque utilisateur de solution Vous pouvez ex cuter cette commande sur un syst me Platform Services Controller ou vCenter Server C gt C Program Files VMware vCenter Server vmafdd dir cli gt dir cli service list output 1 machine 29a45d00 60a7 11e4 96fFfF 00505689639a machine 6fd7f140 60a9 11e4 9e28 005056895a69 vpxd 6fd7f140 60a9 11e4 9e28 005056895a69 vpxd extension 6fd7f140 60a9 11e4 9e28 005056895a69 vsphere webclient 6fd7f140 60a9 11e4 9e28 005056895a69 a AUN REMARQUE Lorsque vous r pertoriez les certificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine Remplacez le certificat de machine dans vmdir sur Platform Services Controller Par exemple si machine 29a45d00 60a7 11e4 96ff 00505689639a correspond l utilisateur de solution de machine sur Platform Services Controller ex cutez la commande suivante C gt C Program Files
346. it que quand de nouveaux objets sont ins r s dans la hi rarchie d inventaire ils h ritent des autorisations et sont accessibles aux utilisateurs m Utilisez le r le Aucun Acc s pour masquer des zones sp cifiques de la hi rarchie si vous souhaitez emp cher l acc s de certains utilisateurs ou groupes aux objets qui se trouvent dans cette partie de la hi rarchie d objets m Les modifications apport es aux licences sont appliqu es tous les syst mes vCenter Server qui sont li s au m me Platform Services Controller ou aux Platform Services Controller se trouvant dans le m me domaine vCenter Single Sign On m me si l utilisateur ne dispose pas de privil ges sur tous les syst mes vCenter Server Privil ges requis pour les t ches courantes Beaucoup de t ches exigent des autorisations sur plus d un objet dans l inventaire Vous pouvez passer en revue les privil ges requis pour ex cuter les t ches et le cas ch ant les r les mod les appropri s Le tableau suivant r pertorie les t ches courantes qui exigent plusieurs privil ges Vous pouvez ajouter des autorisations des objets d inventaire en associant un utilisateur l un des r les pr d finis Vous pouvez galement cr er des r les personnalis s avec l ensemble des privil ges que vous pr voyez d utiliser plusieurs fois Si la t che que vous souhaitez ex cuter ne se trouve pas dans ce tableau les r gles suivantes peuvent vous aider d terminer l empl
347. ivil ges de dossier page 268 Privil ges globaux page 269 Privil ges CIM d h te page 270 Privil ges de configuration d h te page 270 Inventaire d h te page 271 Privil ges d op rations locales d h te page 272 Privil ges de r plication d h te vSphere page 273 Privil ges de profil d h te page 273 Privil ges du fournisseur Inventory Service page 273 Privil ges de balisage Inventory Service page 273 261 S curit vSphere m Privil ges de r seau page 274 m Privil ges de performances page 275 m Privil ges d autorisations page 275 m Privil ges de stockage bas sur le profil page 276 m Privil ges de ressources page 276 m Privil ges de t che planifi e page 277 m Privil ges de sessions page 277 m Privil ges de vues de stockage page 278 m Privil ges de t ches page 278 m Privil ges Transfer Service page 279 m Privil ges de r gle de VRM page 279 m Privil ges de configuration de machine virtuelle page 279 m Privil ges d op rations d invit de machine virtuelle page 281 m Privil ges d interaction de machine virtuelle page 281 m Privil ges d inventaire de machine virtuelle page 290 m Privil ges de provisionnement de machine virtuelle page 290 m Privil ges de configuration de services de machine virtuelle page 292 m Privil ges
348. ivres ou sur Internet V rifiez que toute fonctionnalit inutile est d sactiv e pour minimiser les points d attaque potentiels De nombreuses fonctionnalit s peu utilis es sont d sactiv es par d faut Supprimez le mat riel inutile et d sactivez certaines fonctionnalit s comme HFSG ou le copier coller entre la machine virtuelle et une console distante Reportez vous D sactiver les fonctions inutiles l int rieur des machines virtuelles page 221 Les mod les de machine virtuelle vous permettent de configurer le syst me d exploitation afin qu il respectent des conditions requises sp cifiques puis de cr er d autres machines virtuelles avec les m mes param tres Pour modifier les param tres apr s le d ploiement initial vous pouvez utiliser les scripts PowerCLl par exemple Cette documentation explique de nombreuses t ches en utilisant vSphere Web Client pour illustrer le processus mais les scripts optimisent la coh rence de l environnement Dans les environnements de grande envergure vous pouvez grouper les machines virtuelles dans des dossiers pour optimiser les scripts VMware Inc Minimiser l utilisation de la console de machine virtuelle Chapitre 1 S curit dans l environnement vSphere Reportez vous Utiliser des mod les pour d ployer des machines virtuelles page 220 Consultez Administration d une machine virtuelle vSphere pour plus d informations La console de machine virtu
349. jouter des sources d identit en supprimer et modifier celles par d faut La configuration de vCenter Single Sign On s effectue dans vSphere Web Client Pour configurer vCenter Single Sign On vous devez disposer des privil ges d administrateur de vCenter Single Sign On Les privil ges d administrateur vCenter Single Sign On sont diff rents du r le d administrateur sur vCenter Server ou ESXi Par d faut seul l utilisateur administrator vsphere local poss de les privil ges d administrateur sur le serveur vCenter Single Sign On dans une nouvelle installation m Sources d identit pour vCenter Server avec vCenter Single Sign On page 30 Gr ce aux sources d identit vous pouvez associer un ou plusieurs domaines vCenter Single Sign On Un domaine est un r f rentiel d utilisateurs et de groupes que le serveur vCenter Single Sign On peut utiliser pour l authentification des utilisateurs VMware Inc 29 S curit vSphere 30 m D finir le domaine par d faut de vCenter Single Sign On page 31 Chaque source d identit de vCenter Single Sign On est associ e un domaine vCenter Single Sign On utilise le domaine par d faut pour authentifier un utilisateur qui se connecte sans nom de domaine Les utilisateurs qui appartiennent un domaine qui n est pas le domaine par d faut doivent inclure le nom de domaine lorsqu ils se connectent m Ajouter une source d identit de vCenter Single Sign On page 32 Les utilisateurs peuve
350. l ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 11 Privil ges globaux Nom de privil ge Global Agir en tant que vCenter Server Description Permet la pr paration ou le lancement d une op ration d envoi vMotion ou d une op ration de r ception vMotion Requis sur Racine vCenter Server Global Annuler une t che Permet l annulation d une t che en cours d ex cution ou en file d attente Objet d inventaire associ la t che Global Planification de capacit Permet l activation de l utilisation de la planification de capacit pour pr voir la consolidation de machines physiques en machines virtuelles Racine vCenter Server Global Diagnostics Permet la r cup ration d une liste de fichiers de diagnostic d un en t te de journal de fichiers binaires ou d un groupe de diagnostic Pour viter d ventuelles failles de s curit limitez ce privil ge au r le d administrateur vCenter Server Racine vCenter Server Global D sactiver m thodes Permet des serveurs d extensions de vCenter Server de d sactiver des op rations sur des objets g r s par vCenter Server Racine vCenter Server Global Activer des Permet aux serveurs d extensions vCenter Server d activer certaines Racine vCenter Server m thodes op rations sur des objets g
351. l ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli service list R pertorie les utilisateurs de solutions que dir cli conna t Option login lt admin_user_id gt Description Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli service delete Supprime un utilisateur de solution dans vmdir Lorsque vous supprimez l utilisateur de solution tous les services associ s deviennent inaccessibles tous les n uds de gestion qui utilisent cette instance de vmdir Option hname Description Nom de l utilisateur de solution supprimer login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer 118 VMware In
352. l article 206250 de la base de connaissances VMware pour plus de d tails sur les configurations prises en charge et non prises en charge Groupes du domaine vsphere local Le domaine vsphere local comprend plusieurs groupes pr d finis Attribuez les utilisateurs l un de ces groupes pour leur permettre d effectuer les actions correspondantes Pour tous les objets de la hi rarchie de vCenter Server les autorisations sont attribu es en couplant un utilisateur et un r le avec l objet Par exemple vous pouvez s lectionner un pool de ressources et attribuer les privil ges de lecture de ce pool de ressources un groupe d utilisateurs en leur attribuant le r le correspondant Pour certains services qui ne sont pas g r s directement par vCenter Server les privil ges sont d termin s par l appartenance l un des groupes vCenter Single Sign On Par exemple tout utilisateur qui est membre du groupe Administrateur peut g rer vCenter Single Sign On Tout utilisateur membre du groupe CAAdmins peut g rer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService Administrators peut g rer les licences Les groupes suivants sont pr d finis dans vsphere local REMARQUE Un grand nombre de ces groupes sont internes vsphere local ou donnent aux utilisateurs des privil ges d administration de haut niveau Avant d ajouter des utilisateurs l un de ces groupes r fl chissez bien aux risques encourus
353. l ou d un autre domaine AVERTISSEMENT Si vous supprimez l utilisateur administrateur du domaine vsphere local vous ne pourrez plus vous connecter vCenter Single Sign On R installez vCenter Server et ses composants 44 Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 S lectionnez l onglet Utilisateurs puis le domaine vsphere local 4 Dansla liste des utilisateurs s lectionnez celui que vous souhaitez supprimer et cliquez sur l ic ne Supprimer Soyez prudent lorsque vous effectuez cette op ration car elle est irr versible VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Modifier un utilisateur de vCenter Single Sign On Vous pouvez modifier le mot de passe ou d autres informations d un utilisateur de vCenter Single Sign On partir de vSphere Web Client Vous ne pouvez pas renommer d utilisateurs dans le domaine vsphere local Vous ne pouvez donc pas renommer administrator vsphere local Vous pouvez cr er des utilisateurs suppl mentaires ayant les m mes privil ges que administrator vsphere local Les ut
354. la source d identit par d faut Les utilisateurs d un domaine non d fini par d faut peuvent sp cifier le domaine au moment de leur connexion DOMAIN user ou user DOMAIN Utilisation de vCenter Single Sign On avec vSphere Lorsqu un utilisateur se connecte un composant vSphere component ou lorsqu un utilisateur de solution vCenter Server acc de un autre service vCenter Server vCenter Single Sign On proc de l authentification Les utilisateurs doivent tre authentifi s aupr s de vCenter Single Sign On et disposer de privil ges suffisants pour interagir avec les objets vSphere vCenter Single Sign On authentifie la fois les utilisateurs de solutions et les autres utilisateurs m Les utilisateurs de solutions repr sentent un ensemble de services au sein de votre environnement vSphere Durant l installation VMCA attribue par d faut un certificat chaque utilisateur de solution L utilisateur de solution emploie ce certificat pour s authentifier aupr s de vCenter Single Sign On vCenter Single Sign On met un jeton SAML pour l utilisateur de solution Celui ci peut alors interagir avec d autres services au sein de l environnement m Lorsque d autres utilisateurs se connectent l environnement par exemple partir de vSphere Web Client vCenter Single Sign On demande un nom d utilisateur et un mot de passe Si vCenter Single Sign On trouve un utilisateur poss dant ces informations d identification dans la sour
355. la strat gie de mot de passe de vCenter Single Sign On page 39 et Modifier la strat gie de verrouillage de vCenter Single Sign On page 40 Ces mots de passe expirent apr s 90 jours par d faut bien que les administrateurs puissent modifier l expiration dans le cadre de la strat gie de mot de passe Si un utilisateur oublie son mot de passe vsphere local un administrateur peut r initialiser ce mot de passe l aide de la commande dir cli Autres utilisateurs Les restrictions de mot de passe le verrouillage et l expiration de tous les autres utilisateurs sont d termin s par le domaine source d identit aupr s duquel l utilisateur peut s authentifier vCenter Single Sign On prend en charge une source d identit par d faut et les utilisateurs peuvent se connecter vSphere Client simplement avec leur nom d utilisateur Le domaine d termine les param tres de mot de passe Si des utilisateurs veulent se connecter en tant qu utilisateur dans un domaine qui n est pas le domaine par d faut ils peuvent inclure le nom de domaine c est dire sp cifier utilisateur domaine ou domaine utilisateur Les param tres de mot de passe des domaines s appliquent galement dans ce cas Mots de passe pour les utilisateurs de l interface utilisateur de la console directe de vCenter Server Appliance vCenter Server Appliance est une machine virtuelle bas e sur Linux pr configur e et optimis e pour l ex cution de vCenter Server e
356. latform Services Controller Pr requis Pour la gestion des certificats vous devez fournir le mot de passe de l administrateur du domaine local administrator vsphere local par d faut Si vous renouvelez des certificats pour un syst me vCenter Server il vous faut galement fournir les informations d identification vCenter Single Sign On pour un utilisateur poss dant des privil ges d administration sur le syst me vCenter Server VMware Inc Chapitre 3 Certificats de s curit vSphere Proc dure 1 Dans un navigateur Web connectez vous Platform Services Controller en sp cifiant l URL suivante dans un navigateur Web https psc_hostname_or_IP psc Dans un d ploiement int gr le nom d h te ou l adresse IP de Platform Services Controller est identique au nom d h te ou l adresse IP de vCenter Server 2 Sp cifier le nom d utilisateur et le mot passe d administrator vsphere local Si vous avez sp cifi un autre domaine lors de l installation connectez vous en tant qu administrator mydomain local 3 Sous Certificats s lectionnez Gestion des certificats et sp cifiez l adresse et le nom d h te de Platform Services Controller ainsi que le nom d utilisateur et le mot de passe de l administrateur du domaine local administrator vsphere local par d faut 4 Renouveler le certificat SSL de la machine pour le syst me local a Cliquez sur l onglet Certificats de machine b Cliquez sur Renouveler et r pondez Oui
357. le si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 32 Privil ges de provisionnement de machine virtuelle Nom de privil ge Machine virtuelle Provisionnement A utoriser l acc s au disque Description Permet d ouvrir un disque sur une machine virtuelle pour l acc s al atoire en lecture et en criture Utilis en majeure partie pour le montage distant de disque Requis sur Machines virtuelles Machine virtuelle Provisionnement A utoriser l acc s au disque en lecture seule Permet d ouvrir un disque sur une machine virtuelle pour montage distant de disque l acc s al atoire en lecture Utilis en majeure partie pour le Machines virtuelles 290 VMware Inc Tableau 10 32 Privil ges de provisionnement de machine virtuelle suite Nom de privil ge Machine virtuelle Provisionnement A utoriser le t l chargement de machines virtuelles Description Permet de lire des fichiers associ s une machine virtuelle y compris les fichiers vmx les disques les journaux et les nvram Chapitre 10 Privil ges d finis Requis sur H te racine ou vCenter Server Machine virtuelle Provisionnement A utoriser le chargement de fichiers de machines virtuelles P
358. les certificats personnalis s m me si ces certificats ont expir ou sont non valides Le workflow de mise niveau recommand d pend des certificats actuels H te provisionn avec Si votre h te utilise actuellement des certificats d empreinte des certificats des certificats VMCA lui sont automatiquement attribu s dans le cadre du processus de d empreinte mise niveau REMARQUE Vous ne pouvez pas provisionner des h tes h rit s avec des certificats VMCA Vous devez proc der une mise niveau vers ESXi 6 0 ou une version ult rieure H te provisionn avec Si votre h te est provisionn avec des certificats personnalis s g n ralement des certificats des certificats sign s par une autorit de certification tierce ces certificats personnalis s restent en place Modifiez le mode de certification Personnalis pour vous assurer que les certificats ne sont pas remplac s accidentellement REMARQUE Si votre environnement est en mode VMCA et que vous actualisez les certificats dans vSphere Web Client tous les certificats existants sont remplac s par des certificats sign s par VMCA Par la suite vCenter Server surveille les certificats et affiche des informations notamment sur l expiration des certificats dans vSphere Web Client Si vous d cidez de ne pas mettre niveau vos h tes vers vSphere 6 0 ou version ult rieure les h tes conservent les certificats que vous utilisez actuellement m me
359. les modifications requises ont t effectu es apr s l ex cution de la commande Configurer des h tes ESXi avec des profils d h te Les profils d h te vous permettent de d finir des configurations standard pour vos h tes ESXi et d automatiser la conformit avec ces param tres de configuration Les profils d h te permettent de contr ler de nombreux aspects de la configuration de l h te notamment la m moire le stockage la mise en r seau etc Il est possible de configurer les profils d h te d un h te de r f rence partir de vSphere Web Client et d appliquer un profil d h te tous les h tes partageant les caract ristiques de l h te de r f rence Vous pouvez galement utiliser les profils d h te pour surveiller les h tes la recherche de modifications de la configuration des h tes Consultez la documentation de Profils d h te vSphere Vous pouvez associer le profil d h te un cluster afin de l appliquer tous ses h tes Proc dure 1 Configurez l h te de r f rence conform ment aux sp cifications et cr ez le profil d h te 2 Associez le profil un h te ou un cluster 3 Appliquez le profil d h te de l h te de r f rence tous les autres h tes ou clusters VMware Inc 147 S curit vSphere Recommandations g n rales de s curit pour ESXi Pour prot ger un h te ESXi contre les intrusions et autorisations ill gales VMware impose des contraintes au niveau de plusieurs param
360. lient Pour acqu rir un jeton SAML l utilisateur pr sente les informations d identification principales au serveur de jetons s curis s STS Les informations d identification principales d pendent du type d utilisateur Utilisateur de solution Certificat valide Autres utilisateurs Nom d utilisateur et mot de passe disponibles dans une source d identit vCenter Single Sign On Le STS authentifie l utilisateur l aide des informations d identification principales et cr e un jeton SAML contenant les attributs de l utilisateur Le service STS signe le jeton SAML avec son certificat de signature STS puis attribue le jeton un utilisateur Par d faut le certificat de signature STS est g n r par VMCA Une fois qu un utilisateur dispose d un jeton SAML ce dernier est envoy dans le cadre des demandes HTTP de l utilisateur ventuellement via divers proxies Seul le destinataire pr vu le fournisseur de services peut utiliser les informations du jeton SAML VMware Inc 37 S curit vSphere 38 Vous pouvez remplacer le certificat de signature STS existant dans vSphere Web Client si votre strat gie d entreprise l exige ou si vous souhaitez mettre jour un certificat qui a expir Ne remplacez pas le fichier qui r side dans le syst me de fichiers Si vous le faites des erreurs inattendues et difficiles d boguer se produiront Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator
361. lisateurs de solutions qui sont sign s par le nouveau certificat racine MCA pour l utilisateur de solution de machine sur chaque Platform Services Controller et chaque n ud de gestion et pour chaque utilisateur de solution suppl mentaire vpxd vpxd extension vsphere webclient sur chaque n ud de gestion REMARQUE Le param tre Name doit tre unique Il doit comprendre le nom du magasin de l utilisateur de solution par exemple vpxd ou vpxd extension permet de voir facilement la correspondance entre un certificat et un utilisateur de solution a Ex cutez la commande suivante sur le n ud Platform Services Controller pour g n rer un certificat d utilisateur de solution pour l utilisateur de solution de machine sur ce n ud C gt C Program Files VMware vCenter Server vmcad certool gencert cert new machine crt privkey machine key priv Name machine b G n rez un certificat pour l utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new machine crt privkey machine key priv Name machine server lt psc ip or fqdn gt c G n rez un certificat pour l utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vpxd crt privkey vpxd key priv Name vpxd server lt psc ip or fqdn gt 96 VMware Inc Chapitre 3 Certific
362. lisateurs de solutions sont utilis s pour l authentification avec vCenter Single Sign On vCenter Single Sign On v rifie que le certificat est valide mais ne v rifie pas d autres attributs de certificat Dans un d ploiement int gr tous les certificats d utilisateur de la solution se trouvent sur le m me syst me Les magasins de certificats d utilisateurs de solutions sont inclus dans VECS sur chaque n ud de gestion et chaque d ploiement int gr m machine Utilis par le gestionnaire de composants le serveur de licences et le service de journalisation REMARQUE Le certificat d utilisateurs de solution de machine n a rien voir avec le certificat SSL de machine Le certificat d utilisateur de solution de machine est utilis pour l change de jetons SAML le certificat SSL de machine est utilis pour les connexions SSL s curis es d une machine m vpxd Magasin du d mon de service vCenter vpxd sur les n uds de gestion et les d ploiements int gr s vpxd utilise le certificat d utilisateur de solution de ce magasin pour s authentifier aupr s de vCenter Single Sign On m vpxd extensions Magasin d extensions vCenter Inclut le service Auto Deploy Inventory Service et d autres services ne faisant pas partie d autres utilisateurs de solution m vsphere webclient Magasin vSphere Web Client Inclut galement certains services suppl mentaires tels que le service de graphiques de performance Le magasin de
363. lle est consign e distance sur un serveur s par par exemple un serveur syslog ou un collecteur d v nements Windows quivalent Si la journalisation distance des v nements n est pas configur e pour l invit scsiX Y mode doit prendre l une des valeurs suivantes m Pas pr sent m Non d fini sur ind pendant non permanent Lorsque le mode non permanent n est pas activ vous ne pouvez pas remettre une machine virtuelle un tat connu lors du red marrage du syst me VMware Inc 227 S curit vSphere 228 VMware Inc S curisation de la mise en r seau vSphere La s curisation de la mise en r seau vSphere constitue une part essentielle de la protection de votre environnement Vous s curisez diff rents composants vSphere de diff rentes mani res Pour plus d informations sur la mise en r seau dans l environnement vSphere reportez vous la documentation Mise en r seau vSphere Ce chapitre aborde les rubriques suivantes Introduction la s curit du r seau vSphere page 229 S curisation du r seau avec des pare feu page 231 S curiser le commutateur physique page 234 S curisation des ports du commutateur standard l aide de strat gies de s curit page 234 S curiser les commutateurs standard vSphere page 235 S curiser les commutateurs distribu s vSphere et les groupes de ports distribu s page 237 S curisation des machines virt
364. lus utiliser l outil de remplacement des certificats vSphere 5 5 qui tait disponible pour les installations vSphere 5 5 car la nouvelle architecture se traduit par la distribution et le placement d un service diff rent Un nouvel utilitaire de ligne de commande vSphere Certificate Manager est disponible pour la plupart des t ches de gestion de certificats Interfaces de certificat vCenter Pour vCenter Server vous pouvez afficher et remplacer les certificats avec les outils et les interfaces ci apr s Utilitaire vSphere Effectuez toutes les t ches courantes de remplacement de certificat partir Certificate Manager de la ligne de commande Interfaces de ligne de Effectuez toutes les t ches de gestion de certificats avec dir cli certool et commande de gestion vecs cli de certificats Gestion des certificats Affichez les certificats y compris les informations d expiration vSphere Web Client Pour ESXi effectuez la gestion des certificats partir de vSphere Web Client Les certificats sont provisionn s par VMCA et ne sont stock s localement que sur l h te ESXi non pas dans vmdir ou VECS Reportez vous Gestion de certificats pour les h tes ESXi page 152 Certificats vCenter pris en charge Pour vCenter Server Platform Services Controller et pour les machines et services associ s les certificats suivants sont pris en charge m Certificats qui sont g n r s et sign s par l autorit de certification VMware
365. m Assurez vous que des p riph riques non autoris s ne sont pas connect s et supprimez les p riph riques inutiles ou inutilis s m D sactivez les p riph riques virtuels inutiles au sein d une machine virtuelle VMware Inc 221 S curit vSphere m Assurez vous qu aucun p riph rique n est connect sans n cessit une machine virtuelle Les ports s rie et parall les sont rarement utilis s pour les machines virtuelles dans un centre de donn es Quant aux lecteurs CD DVD ils ne sont g n ralement connect s que lors de l installation du logiciel Proc dure 1 Ouvrez une session sur un syst me vCenter Server au moyen de vSphere Web Client 2 Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres 3 V rifiez chaque p riph rique mat riel et assurez vous que vous souhaitez qu il soit connect V rifiez notamment les p riph riques suivants m Lecteurs de disquettes m Ports s rie m Ports parall les m contr leurs USB m lecteurs de CD ROM D sactiver les fonctionnalit s d affichage inutilis es Les pirates peuvent utiliser une fonctionnalit d affichage inutilis e comme vecteur d insertion de code malveillant dans votre environnement D sactivez les fonctionnalit s qui ne sont pas utilis es dans votre environnement Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool
366. machines est galement inclus sur chaque n ud Platform Services Controller Magasin de sauvegardes de vSphere Certificate Manager Utility BACKUP_STORE Utilis par VMCA VMware Certificate Manager pour prendre en charge la restauration de certificat Seul l tat le plus r cent est stock en tant que sauvegarde vous ne pouvez pas revenir en arri re de plus d une tape Autres magasins D autres magasins peuvent tre ajout s par des solutions Par exemple la solution Virtual Volumes ajoute un magasin SMS Ne modifiez pas les certificats dans ces magasins sauf si la documentation VMware ou la base de connaissances VMware vous y invite REMARQUE Les CRLS ne sont pas pris en charge dans vSphere 6 0 N anmoins la suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS Le service vCenter Single Sign On conserve le certificat de signature de jeton et son certificat SSL sur le disque Vous pouvez modifier le certificat de signature de jeton partir de vSphere Web Client REMARQUE Ne modifiez aucun fichier de certificat sur le disque sauf sur instruction de la documentation VMware ou des articles de la base de connaissances Toute modification pourrait donner lieu un comportement impr visible VMware Inc Chapitre 3 Certificats de s curit vSphere Certains certificats sont stock s dans le syst
367. mations 226 T t ches privil ges 278 t ches planifi es privil ges 277 taille variable d informations des syst mes d exploitation invit s d sactivation 226 limitation 226 transferts de fichiers HGFS 223 transmissions forg es 236 Transmissions forg es 235 TRUSTED ROOTS 164 U UserVars ActiveDirectoryVerifyCAMCertifcate 190 utilisateurs ajouter des utilisateurs locaux 43 d sactivation de Single Sign On 44 modification de Single Sign On 45 recherche 135 supprimer du groupe 46 utilisateurs de solution 47 Utilisateurs de solution Single Sign On 47 utilisateurs et autorisations 125 utilisateurs et groupes 46 utilisateurs exceptionnels du mode de verrouillage 175 Utilitaire vSphere Certificate Manager 69 V VApp privil ges 294 vCenter Inventory Service balisage 273 privil ges 273 vCenter Lookup Service 22 vCenter Server connexion via un pare feu 232 ports de pare feu 231 privil ges 207 vCenter Server Appliance ajout de serveurs NTP 255 connexion impossible 50 meilleures pratiques de s curit 212 param tres de synchronisation horaire 254 synchronisation de l heure bas e sur un serveur NTP 256 synchronisation de l heure bas e sur VMware Tools 254 vCenter Sever Appliance remplacement des serveurs NTP 255 vCenter Single Sign On Active Directory 35 domaines 31 LDAP 35 OpenLDAP 35 sources d identit 35 vCenter Single Sign On Active Directory 32 LDAP 32 modification de mot d
368. me malveillant m Sur chaque ordinateur Windows de l infrastructure v rifiez que les param tres de configuration d h te des services Bureau distance RDP sont d finis afin de garantir le niveau de chiffrement le plus lev conform ment aux directives standard du march ou aux instructions internes Pour obtenir des informations sur la compatibilit des syst mes d exploitation et des bases de donn es reportez vous Matrices de compatibilit vSphere VMware Inc 209 S curit vSphere Suppression de certificats expir s ou r voqu s et de journaux d installations ayant chou La conservation de certificats expir s ou r voqu s ou des journaux d installation de vCenter Server g n r s lors de l chec d une installation sur votre syst me vCenter Server peut compromettre la s curit de votre environnement La suppression des certificats expir s ou r voqu s est n cessaire pour les raisons suivantes m Siles certificats expir s ou r voqu s ne sont pas supprim s du syst me vCenter Server l environnement peut tre expos une attaque MiTM m Dans certains cas un fichier journal contenant le mot de passe d une base de donn es en texte clair est cr sur le syst me lors d un chec d installation de vCenter Server Un attaquant qui s introduit dans le syst me vCenter Server peut r ussir acc der ce mot de passe et en m me temps la base de donn es vCenter Server Limitation de la con
369. mont Si les ID VLAN ne sont pas enti rement suivis une r utilisation erron e d ID peut permettre l tablissement de trafic entre des machines physiques et virtuelles non appropri es De m me si les ID VLAN sont erron s ou manquants le trafic entre les machines physiques et virtuelles peut tre bloqu un endroit o le trafic devrait normalement passer Assurez vous que les ID VLAN de tous les commutateurs virtuels distribu s sont enti rement document s Les VLAN priv s PVLAN des commutateurs virtuels distribu s n cessitent des ID VLAN principaux et secondaires Ces ID doivent correspondre aux ID des commutateurs PVLAN externes en amont Si les ID VLAN ne sont pas enti rement suivis une r utilisation erron e d ID peut permettre l tablissement de trafic entre des machines physiques et virtuelles non appropri es De m me si des ID PVLAN sont erron s ou manquants le trafic entre les machines physiques et virtuelles peut tre bloqu l o vous souhaitez faire passer le trafic V rifiez que les liaisons de jonction VLAN sont connect es uniquement des ports de commutateur physiques qui fonctionnent comme des liaisons de jonction Lorsque vous connectez un commutateur virtuel un port de jonction VLAN vous devez configurer correctement le commutateur virtuel et le commutateur physique au port de liaison montante Si le commutateur physique n est pas configur correctement les trames avec l en t te VLAN 802 1q so
370. mporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certificat SSL du n ud sur lequel le service vCenter Single Sign On est ex cut Le certificat SSL du service d annuaire VMware est utilis par vmdir pour l tablissement de liaison entre les n uds du Platform Services Controller qui effectuent la r plication de vCenter Single Sign On Cette proc dure est indispensable uniquement si m Votre environnement comprend la fois les services de vCenter Single Sign On 5 5 et de vCenter Single Sign On 6 0 m Les services de vCenter Single Sign On sont configur s pour r pliquer les donn es de vmdir m Vous envisagez de remplacer les certificats sign s par VMCA par d faut par les certificats personnalis s du n ud sur lequel le service de vCenter Single Sign On 6 0 est ex cut REMARQUE Dans la plupart des autres situations il est pr f rable d effectuer la mise niveau de l environnement complet avant de red marrer les services En r gle g n rale il n est pas recommand de remplacer le certificat du service d annuaire de VMware Proc dure 1 Sur le n ud sur lequel le services de vCenter Single Sign On 6 0 est ex cut remplacez le certificat et la cl SSL de vmdird Reportez vous Remplacer le certificat de service d annuaire VMwar
371. mpreinte peut tre n cessaire si vous rencontrez des probl mes avec les certificats VMCA En mode d empreinte le syst me vCenter Server v rifie uniquement la pr sence et le format d un certificat mais pas sa validiti Voir Changer le mode de certificat page 160 pour plus d informations Passage du mode d empreinte au mode VMCA Si vous utilisez le mode d empreinte et que vous souhaitez commencer utiliser des certificats sign s par VMCA le changement n cessite de la planification Le workflow recommand est le suivant 1 Retirez tous les h tes du syst me vCenter Server 2 Passez au mode de certification VMCA Reportez vous Changer le mode de certificat page 160 3 Ajoutez les h tes au syst me vCenter Server REMARQUE Tout autre workflow pour ce mode peut entra ner un comportement impr visible Passage du mode d autorit de certification personnalis au mode d empreinte Si vous rencontrez des probl mes avec votre autorit de certification personnalis e envisagez de passer temporairement au mode d empreinte Le changement s effectue de fa on transparente si vous suivez les instructions de la section Changer le mode de certificat page 160 Apr s le changement de mode le syst me vCenter Server v rifie uniquement le format du certificat et ne v rifie plus la validit du certificat proprement dit Passage du mode d empreinte au mode d autorit de certification personnalis e Si vous
372. mpte d administrateur Windows local dispose actuellement de droits administratifs complets sur vCenter Server supprimez ces droits d acc s et accordez les un ou plusieurs comptes d administrateurs nomm s de vCenter Server Accordez des droits administratifs complets aux administrateurs qui doivent en disposer N accordez pas ce privil ge un groupe dont la composition ne fait pas l objet d un contr le strict REMARQUE partir de vSphere 6 0 l administrateur local n a plus de droits administratifs complets sur vCenter Server par d faut L emploi d utilisateurs du syst me d exploitation local n est pas recommand Installez vCenter Server en utilisant un compte de service plut t qu un compte Windows Le compte de service doit tre un administrateur sur la machine locale Assurez vous que les applications utilisent des comptes de service uniques lors d une connexion un syst me vCenter Server 207 S curit vSphere Minimiser l acc s vitez d autoriser les utilisateurs se connecter directement la machine h te vCenter Server Les utilisateurs qui sont connect s vCenter Server peuvent potentiellement provoquer des dommages intentionnellement ou non en modifiant les param tres et les processus Ils ont galement un acc s potentiel aux informations d identification de vCenter par exemple le certificat SSL Autorisez uniquement les utilisateurs ayant des t ches l gitimes effectuer se connecter au
373. n genkey Requis pour g n rer une cl publique et une cl priv e privkey lt fichier_cl gt Nom du fichier de cl priv e pubkey lt fichier_cl Nom du fichier de cl publique server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool genkey privkey lt filename gt pubkey lt filename gt certool gencert G n re un certificat partir du serveur VMCA Cette commande utilise les informations fournies dans certool cfg ou dans le fichier de configuration sp cifi Option Description gencert Requis pour g n rer un certificat cert lt certfile gt Nom du fichier de certificat Ce fichier doit tre cod au format PEM privkey lt fichier_cl gt Nom du fichier de cl priv e Ce fichier doit tre cod au format PEM config lt fichier_config gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool gencert privkey lt filename gt cert lt filename gt certool getrootca Imprime le certificat d autorit de certification racine actuel dans un format lisible par l il humain Si vous ex cutez cette commande partir d un n ud de gestion utilisez le nom de machine du n ud Platform Services Controller pour r cup rer
374. n Le nouveau certificat doit figurer dans le magasin de certificats local de toutes les machines pour que celles ci puissent communiquer sur SSL vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert lt cert file path gt key lt key file path gt 3 Red marrez tous les services service control start all Exemple Remplacer les certificats SSL de machine par des certificats personnalis s Vous pouvez remplacer le certificat SSL de machine sur chaque n ud en suivant la m me proc dure 1 VMware Inc Tout d abord supprimez le certificat existant dans VECS C Program Files VMware vCenter Server vmafdd vecs cli entry delete store MACHINE_SSL_CERT alias __MACHINE_CERT 103 S curit vSphere 2 Ensuite ajoutez le certificat de remplacement C Program Files VMware vCenter Server vmafdd vecs cli entry create store MACHINE_SSL_CERT alias __MACHINE_CERT cert E custom certs ms ca signed ssl custom w1 vim cat dhcp 094 eng vmware com crt key E custom certs ms ca signed ssl custom x3 vim cat dhcp 1128 Vmware com priv Suivant Vous pouvez galement remplacer les certificats de vos h tes ESXi Reportez vous Gestion de certificats pour les h tes ESXi page 152 Apr s avoir remplac le certificat racine dans un d ploiement n uds multiples vous devez red marrer les services sur tous
375. n configurant une strat gie de s curit sur les groupes de ports ou les ports La strat gie de s curit sur les groupes de ports distribu s et les ports inclut les options suivantes m Mode promiscuit reportez vous Fonctionnement en mode promiscuit page 236 m Modifications d adresse MAC reportez vous Modifications d adresse MAC page 236 m Transmissions forg es reportez vous Transmissions forg es page 236 Pour consulter les param tres actuels et les modifier s lectionnez G rer des groupes de ports distribu s dans le menu contextuel bouton droit de la souris du Distributed Switch puis s lectionnez S curit dans l assistant Consultez la documentation de Mise en r seau vSphere 237 S curit vSphere S curisation des machines virtuelles avec des VLAN 238 Le r seau peut tre l une des parties les plus vuln rables d un syst me Votre r seau de machines virtuelles n cessite autant de protection que votre r seau physique L utilisation des VLAN peut permettre d am liorer la s curit r seau dans votre environnement Les VLAN sont un sch ma de r seau standard IEEE avec des m thodes de balisage sp cifiques qui permettent le routage des paquets uniquement vers les ports faisant partie du VLAN S ils sont configur s correctement les VLAN fournissent un moyen fiable pour prot ger un ensemble de machines virtuelles des intrusions accidentelles et nuisibles Les VLAN vous
376. n es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration O1 A N Ajoutez ou modifiez les param tres suivants Nom Valeur isolation tools diskWiper disable TRUE isolation tools diskShrink disable TRUE 6 Cliquez sur OK Lorsque vous d sactivez cette fonction vous ne pouvez plus r duire des disques de machines virtuelles lorsqu une banque de donn es vient manquer d espace Recommandations en mati re de s curit des machines virtuelles 218 Suivez les recommandations suivantes pour garantir l int grit de votre d ploiement vSphere m Protection g n rale d une machine virtuelle page 219 Une machine virtuelle est pour l essentiel l quivalent d un serveur physique Il convient de prendre les m mes mesures de s curit pour les machines virtuelles et les syst mes physiques m Utiliser des mod les pour d ployer des machines virtuelles page 220 Lorsque vous installez manuellement des syst mes d exploitation clients et des applications sur une machine virtuelle le risque existe que votre configuration soit incorrecte Gr ce l utilisation d un mod le pour capturer une image s curis e du syst me d exploitation de base sans applic
377. n nouveau certificat racine et red marrez le apr s l ajout d un nouveau certificat Arr tez les services juste avant d effectuer les t ches suivantes m Supprimer un certificat d utilisateur de solution de machine ou tout certificat d utilisateur de solution dans VECS m Remplacer un certificat d utilisateur de solution dans vmdir service d annuaire VMware VMware Inc Chapitre 3 Certificats de s curit VSphere Remplacer les certificats existants sign s par l autorit de certification VMware VMCA par de nouveaux certificats Si le certificat racine VMCA expire dans un avenir proche ou si vous voulez le remplacer pour d autres raisons vous pouvez g n rer un nouveau certificat racine et l ajouter au service d annuaire VMware Vous pouvez alors g n rer de nouveaux certificats SSL de machine et certificats d utilisateurs de solutions au moyen du nouveau certificat racine Faites appel l utilitaire vSphere Certificate Manager pour remplacer les certificats dans la plupart des cas Si vous avez besoin d un contr le pr cis ce sc nario fournit des instructions pas pas permettant de remplacer l ensemble complet de certificats au moyen de commandes d interface de ligne de commande Vous pouvez remplacer uniquement des certificats individuels au moyen de la proc dure indiqu e dans la t che correspondante Pr requis Seul l utilisateur administrator vsphere local ou d autres utilisateurs du groupe peuvent effectuer de
378. n du client doit tre install L utilisation de SSPI acc l re l ouverture de session pour l utilisateur qui est actuellement connect une machine Pr requis Votre domaine Windows doit tre correctement configur Reportez vous l article 2064250 de la base de connaissances VMware VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Proc dure 1 Acc dez la page de connexion de vSphere Web Client 2 Si la case cocher Utiliser l authentification de session Windows n est pas disponible cliquez sur T l charger le plug in d int gration de client en bas de la page de connexion 3 Sile navigateur bloque l installation en mettant des erreurs de certificat ou en ex cutant un bloqueur de fen tres contextuelles suivez les instructions d aide du navigateur pour r soudre le probl me 4 Fermez les autres navigateurs si vous y tes invit Apr s l installation le plug in est disponible pour tous les navigateurs Si votre navigateur le requiert vous devrez peut tre autoriser le plug in pour des sessions individuelles ou pour toutes les sessions 5 Quittez et red marrez le navigateur Apr s le red marrage vous pouvez s lectionner la case cocher Utiliser l authentification de session Windows Gestion du service d mission de jeton de s curit STS Le service d mission de jeton de s curit STS de vCenter Single Sign On est un service Web qui met valide e
379. n mesure de s authentifier Assurez vous que cette fonction d authentification est toujours activ e Si vous d sactivez l authentification vous pouvez utiliser la bo te de dialogue Param tres avanc s pour d finir l attribut UserVars ActiveDirectoryVerifyCAMCertifcate sur 0 190 VMware Inc Chapitre 5 S curisation des h tes ESXi Exporter le certificat de vSphere Authentication Proxy Pour authentifier vSphere Authentication Proxy dans ESXi vous devez fournir ESXi le certificat du serveur proxy Pr requis Installez le service vSphere Authentication Proxy service CAM sur un h te Reportez vous Installer ou mettre niveau vSphere Authentication Proxy page 185 Proc dure 1 Sur le syst me du serveur proxy d authentification utilisez IIS Manager pour exporter le certificat Option Action Pour IIS 6 a Cliquez avec le bouton droit de la souris sur Site Web de gestion des comptes d ordinateur b S lectionnez Propri t s gt S curit d annuaire gt Afficher le certificat Pour IIS 7 a Cliquez sur Site Web de gestion des comptes d ordinateur dans le volet de gauche b S lectionnez Liaisons pour ouvrir la bo te de dialogue Liaisons de sites An S lectionnez la liaison https d S lectionnez diter gt Afficher le certificat SSL 2 S lectionnez D tails gt Copier vers un fichier 3 S lectionnez les options Ne pas exporter la cl priv e et X 509 cod en base 64 CER Suiv
380. n pour les utilisateurs de solution Utilisateur de solution vCenter Single Sign On vCenter Server Pour les utilisateurs de solution l interaction se d roule comme suit 1 L utilisateur de solution tente de se connecter un service vCenter 2 L utilisateur de solution est redirig vers vCenter Single Sign On Si l utilisateur de solution est nouveau dans vCenter Single Sign On il doit pr senter un certificat valide 3 Sile certificat est valide vCenter Single Sign On attribue un jeton SAML jeton de support l utilisateur de solution Le jeton est sign par vCenter Single Sign On 4 L utilisateur de solution est ensuite redirig vers vCenter Single Sign On et peut effectuer des t ches selon les autorisations qui lui sont attribu es 5 La prochaine fois que l utilisateur de solution devra s authentifier il pourra utiliser le jeton SAML pour se connecter vCenter Server Cet tablissement de liaison est automatique par d faut car VMCA provisionne les utilisateurs de solution l aide de certificats pendant le d marrage Si la strat gie de l entreprise requiert des certificats sign s par une autorit de certification tierce vous pouvez remplacer les certificats d utilisateur de solution par ces certificats sign s par une autorit de certification tierce Si ces certificats ne sont pas valides vCenter Single Sign On attribue un jeton SAML l utilisateur de solution Reportez vous Utiliser des cert
381. n sur un syst me vCenter Server au moyen de vSphere Web Client 2 Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres 3 Cliquez sur Options VM puis cliquez sur Modifier la configuration 4 Assurez vous que les valeurs suivantes sont dans les colonnes de nom et de valeur ou cliquez sur Ajouter ligne pour les ajouter Nom Valeur recommand e isolation tools copy disable vrai isolation tools paste disable vrai isolation tools setGUlOptions enabl false e Ces options crasent les valeurs entr es dans Panneau de configuration de VMware Tools sur le syst me d exploitation invit 5 Cliquez sur OK 6 Facultatif Si vous avez modifi les param tres de configuration red marrez la machine virtuelle Limitation de l exposition des donn es sensibles copi es dans le presse papiers Par d faut les op rations Copier et Coller sont d sactiv es pour les h tes afin d viter d exposer les donn es sensibles copi es dans le presse papiers Lorsque les op rations Copier et Coller sont activ es sur une machine virtuelle utilisant VMware Tools vous pouvez copier et coller des donn es entre le syst me d exploitation invit et la console distante D s que la fen tre de la console s affiche les utilisateurs et les processus ne disposant pas de privil ges d acc s et utilisant la machine virtuelle peuvent acc der au presse papiers de sa console Si un utilisateur copie des informa
382. nd aire pour une machin e virtuell e utilisan t Fault Tolera nce Requis sur Machines virtuelles Machine virtuelle Interaction Glisser d placer Permet le glisser d plac er de fichiers entre une machin e virtuell eetun client distant Machines virtuelles Machine virtuelle Interaction Activer Fault Tolerance Permet d activ er la machin e virtuell e second aire pour une machin e virtuell e utilisan t Fault Tolera nce Machines virtuelles 284 VMware Inc Tableau 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction Gestion par VIX API du syst me d exploitation invit Descri ption Permet de g rer le syst m e d explo itation de la machin e virtuell e via VIX API Chapitre 10 Privil ges d finis Requis sur Machines virtuelles Machine virtuelle Interaction Injecter des codes de balayage HID USB Permet l injecti on de codes de balaya ge HID USB Machines virtuelles Machine virtuelle Interaction Interruption reprise Permet l interr uption ou la reprise de la machin e virtuell e Machines virtuelles Machine virtuelle Interaction Ex cuter des op rations d effacement ou de r duction Permet d effect uer des op rati ons d efface ment ou de r ducti on sur la machin e virtuell e Machines virtuelles VMware Inc 285 S curit vSphere Tablea
383. ndre aux exigences suivantes m Taille de la cl 2 048 bits ou plus VMware Inc 89 S curit vSphere m Format PEM VMware prend en charge PKCS8 et PKCS1 cl s RSA Lorsque des cl s sont ajout es VECS elles sont converties en PKCS8 m x509 version 3 m Pour les certificats racines l extension d autorit de certification doit tre d finie sur true et la signature de certification doit figurer dans la liste de conditions requises m Assurez vous que l heure de tous les n uds de votre environnement est synchronis e m Aucune limite explicite la longueur de la cha ne de certificats VMCA utilise la valeur par d faut OpenSSL qui est de dix certificats m VMCA ne prend pas en charge l utilisation de certificats comportant des caract res g n riques ou plusieurs noms DNS m Vous ne pouvez pas cr er d autorit s de certification filiales de VMCA VMCA valide les attributs suivants du certificat lorsque vous remplacez le certificat racine m Taille de cl de 2 048 bits ou plus m Utilisation de la cl Signature de certification m Contrainte de base Autorit de certification du type de sujet Proc dure 1 G n rez une demande de signature de certificat et envoyez la votre autorit de certification Suivez les instructions de votre autorit de certification 2 Pr parez un fichier de certificat qui inclut le certificat VMCA sign ainsi que la cha ne compl te de l autorit de certification de vot
384. ne Pr requis m Installez Microsoft NET Framework 3 5 sur la machine sur laquelle vous voulez installer vSphere Authentication Proxy m V rifiez que vous disposez des privil ges d administrateur m V rifiez que la machine h te est dot e d un processeur et d un syst me d exploitation compatibles m V rifiez que la machine h te poss de une adresse IPv4 valide Vous pouvez installer vSphere Authentication Proxy sur une machine dans un environnement r seau exclusivement en mode IPv4 ou en mode mixte IPv4 IPv6 mais vous ne pouvez pas installer vSphere Authentication Proxy sur une machine dans un environnement exclusivement en mode IPv6 m Si vous installez vSphere Authentication Proxy sur une machine h te Windows Server 2008 R2 t l chargez et installez le correctif logiciel Windows d crit dans Windows KB Article 981506 sur le site Web support microsoft com Si vous n installez pas ce correctif l initialisation de vSphere Authentication Proxy Adapter choue Ce probl me est accompagn de messages d erreur consign s dans camadapter log similaires chec de la liaison du site Web CAM avec CTL et chec de l initialisation de CAMAdapter m T l chargez le programme d installation vCenter Server Collectez les informations suivantes pour terminer l installation ou la mise niveau m L emplacement d installation de vSphere Authentication Proxy si vous n utilisez pas l emplacement par d faut VMware Inc 185 S curit
385. ne fois qu un utilisateur a pu s authentifier dans vCenter Single Sign On vous pouvez l autoriser r aliser certaines t ches Dans la plupart des cas vous attribuez des privil ges vCenter Server mais vSphere propose galement d autres mod les d autorisation Reportez vous Pr sentation des autorisations dans vSphere page 126 Ce chapitre aborde les rubriques suivantes m Comprendre vCenter Single Sign On page 20 m Configuration des sources d identit vCenter Single Sign On page 29 m Gestion du service d mission de jeton de s curit STS page 37 m Gestion des strat gies vCenter Single Sign On page 39 m Gestion des utilisateurs et des groupes vCenter Single Sign On page 42 m Recommandations en mati re de s curit pour vCenter Single Sign On page 48 m D pannage de vCenter Single Sign On page 48 VMware Inc 19 S curit vSphere Comprendre vCenter Single Sign On 20 Pour g rer efficacement vCenter Single Sign On vous devez comprendre l architecture sous jacente et son impact sur l installation et les mises niveau Protection de votre environnement par vCenter Single Sign On vCenter Single Sign On permet aux composants vSphere de communiquer entre eux au moyen d un m canisme d change de jetons s curis au lieu d obliger les utilisateurs s authentifier s par ment pour chaque composant vCenter Single Sign On utilise une combinaison de STS Securit
386. ne installation par d faut vous pouvez modifier l tat des services suivants dans vSphere Web Client Tableau 5 8 Services ESXi du profil de s curit Service Par d faut Description TU de Direct Console En cours d ex cution Le service DCUI Direct Console User Interface vous permet d interagir avec un h te ESXi partir de l h te de la console locale l aide de menus textuels ESXi Shell Arr t ESXi Shell est disponible dans l interface DCUI et inclut un ensemble de commandes int gralement prises en charge et un ensemble de commandes assurant le d pannage et la correction Vous devez activer l acc s ESXi Shell dans la console directe de chaque syst me Vous pouvez activer l acc s ESXi Shell ou acc der ESXi Shell avec SSH SSH Arr t Service client SSH de l h te qui permet les connexions distance via SSH Secure Shell D mon d association bas sur la En cours d ex cution Association bas e sur la charge charge Serveur d authentification de Arr t Partie du service Active Directory Lorsque vous s curit locale Service configurez ESXi pour Active Directory ce service Active Directory d marre Redirecteur d E S Service Arr t Partie du service Active Directory Lorsque vous Active Directory configurez ESXi pour Active Directory ce service d marre Serveur de connexion au r seau Arr t Partie du service Active Directory Lorsque vous Service Active Directo
387. nectivit r seau vCenter Server Pour plus de s curit vitez d installer le syst me vCenter Server sur un r seau autre qu un r seau de y gestion et assurez vous que le trafic de gestion vSphere circule sur un r seau restreint En limitant la connectivit du r seau vous limitez l ventualit de certains types d attaque vCenter Server requiert uniquement l acc s un r seau de gestion Evitez de placer le syst me vCenter Server sur d autres r seaux tels que vos r seaux de production ou de stockage ou sur tout r seau ayant acc s Internet vCenter Server n a pas besoin d un acc s au r seau sur lequel vMotion fonctionne vCenter Server requiert une connectivit r seau vers les syst mes suivants m Tous les h tes ESXi m La base de donn es vCenter Server m D autres syst mes vCenter Server si les syst mes vCenter Server appartiennent un domaine vCenter Single Sign On commun des fins de r plication des balises des autorisations etc m Des syst mes autoris s ex cuter des clients de gestion Par exemple vSphere Web Client un syst me Windows sous lequel vous utilisez PowerCLI ou tout autre client SDK m Des syst mes qui ex cutent des composants compl mentaires tels que VMware vSphere Update Manager m Des services d infrastructure tels que DNS Active Directory et NTP m D autres syst mes qui ex cutent des composants essentiels la fonctionnalit du syst me vCenter Server Util
388. nes Active Directory le port est g n ralement 3268 pour ldap connections et 3269 pour Idaps connections Un certificat qui tablit la confiance du point terminal LDAP du serveur Active Directory est requis lorsque vous utilisez Idaps dans l URL LDAP principale ou secondaire URL secondaire du serveur Adresse du serveur LDAP d un contr leur de domaine secondaire utilis pour le basculement Choisir un certificat Si vous souhaitez utiliser LDAPS avec la source d identit de votre serveur LDAP Active Directory et OpenLDAP le bouton Choisir un certificat devient disponible une fois que vous avez tap Ldaps dans le champ d URL Aucune URL secondaire n est requise Nom d utilisateur ID d un utilisateur du domaine qui dispose au minimum d un acc s en lecture seule au nom de domaine DN de base pour les utilisateurs et les groupes Mot de passe Mot de passe de l utilisateur sp cifi par Nom d utilisateur Modifier une source d identit de vCenter Single Sign On Les utilisateurs vSphere sont d finis dans une source d identit Vous pouvez modifier les d tails d une source d identit associ e vCenter Single Sign On Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du d
389. ngle Sign On peut g rer des utilisateurs et des groupes du domaine vsphere local dans vSphere Web Client L utilisateur administrateur de vCenter Single Sign On peut effectuer les t ches suivantes m Ajouter des utilisateurs vCenter Single Sign On page 43 Les utilisateurs r pertori s dans l onglet Utilisateurs de vSphere Web Client sont internes vCenter Single Sign On et appartiennent au domaine vsphere local m D sactiver et activer des utilisateurs de vCenter Single Sign On page 44 Lorsqu un compte d utilisateur vCenter Single Sign On est d sactiv l utilisateur ne peut pas ouvrir de session sur le serveur vCenter Single Sign On tant que le compte n est pas r activ par un administrateur Vous pouvez d sactiver et activer des utilisateurs dans l interface vSphere Web Client m Supprimer un utilisateur vCenter Single Sign On page 44 Vous pouvez supprimer des utilisateurs qui se trouvent dans le domaine vsphere local partir de vCenter Single Sign On En revanche vous ne pouvez pas supprimer de vSphere Web Client des utilisateurs du syst me d exploitation local ou d un autre domaine m Modifier un utilisateur de vCenter Single Sign On page 45 Vous pouvez modifier le mot de passe ou d autres informations d un utilisateur de vCenter Single Sign On partir de vSphere Web Client Vous ne pouvez pas renommer d utilisateurs dans le domaine vsphere local Vous ne pouvez donc pas renommer administrator vspherelocal m Ajouter un
390. ni re h rit e Tableau 10 8 Gestionnaire d agent ESX Nom de privil ge Description Requis sur Gestionnaire d agent Permet de d ployer une machine virtuelle d agent sur un h te ou un Machines virtuelles ESX Config cluster Gestionnaire d agent Permet d apporter des modifications une machine virtuelle d agent Machines virtuelles ESX Modifier telles que la mise hors tension ou la suppression de la machine virtuelle Affichage d agent Permet d afficher une machine virtuelle d agent Machines virtuelles ESX Affichage Privil ges d extension Les privil ges d extension contr lent la capacit installer et g rer des extensions Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 9 Privil ges d extension Nom de privil ge Description Requis sur Extension Enregistrer une Permet d enregistrer une extension plug in Racine vCenter Server tendue Extension Annuler Permet d annuler l enregistrement d une extension plug in Racine vCenter Server l enregistrement d une tendue Extension Mettre jour une Permet de mettre jour une extension plug in Racine vCenter Server tendue Privil ges d
391. nistrator vsphere local 1 machine 1d364500 4b45 11e4 96c2 020011c98db3 2 vpxd 1d364500 4b45 11e4 96c2 020011c98db3 3 vpxd extension 1d364500 4b45 11e4 96c2 020011c98db3 4 vsphere webclient 1d364500 4b45 11e4 96c2 020011c98db3 Lorsque vous r pertoriez les certificats d utilisateurs de solution dans un d ploiement n uds multiples la liste dir cli contient tous les utilisateurs de solution de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine 3 Pour chaque utilisateur de solution remplacez le certificat existant dans VECS puis dans vmdir Vous devez ajouter les certificats dans cet ordre vecs cli entry delete store vpxd alias vpxd vecs cli entry create store vpxd alias vpxd cert vpxd crt key vpxd priv dir cli service update name lt vpxd xxxx xxx xxxxxx gt cert vpxd crt REMARQUE Les utilisateurs de solutions ne peuvent pas s authentifier aupr s de vCenter Single Sign On si vous ne remplacez pas le certificat dans vmdir 4 Red marrez tous les services service control start all Remplacer le certificat de service d annuaire VMware Si vous d cidez d utiliser un nouveau certificat racine VMCA et que vous annulez la publication du certificat racine VMCA utilis lors du provisionnement de votre environnement vous devez remplacer les certific
392. nn es un d ni de service peut se produire La limite par d faut de 1 Mo s applique m me si le param tre tools setInfo sizeLimit n est pas r pertori dans les options avanc es Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration O1 A N Ajoutez ou modifiez le param tre tools setInfo sizeLimit VMware Inc 217 S curit vSphere Emp cher la r duction de disque virtuel Les utilisateurs non administratifs du syst me d exploitation client peuvent r duire les disques virtuels La r duction d un disque virtuel exige de l espace inutilis sur le disque Cependant si vous r duisez un disque virtuel de fa on r p t e le disque peut devenir indisponible et provoquer un d ni de service Pour viter cela d sactivez la possibilit de r duction des disques virtuels Pr requis m D sactivez la machine virtuelle m V rifiez que vous disposez des privil ges racine ou d administrateur sur la machine virtuelle Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de don
393. ns VECS pour utiliser vos nouveaux certificats vecs cli entry delete store TRUSTED_ROOTS alias rbd_cert vecs cli entry create store TRUSTED_ROOTS alias rbd_cert cert etc vmware rbd ssl rbd ca crt Windows C Program Files VMware vCenter Server vmafdd vecs cli exe Linux usr lib vmware vmafd bin vecs cli Cr ez un fichier castore pem contenant tout ce qui se trouve dans TRUSTED_ROOTS et placez le dans le r pertoire etc vmware rbd ss1 En mode personnalis vous tes responsable de la gestion de ce fichier D finissez le mode de certificat du syst me vCenter Server sur Personnalis Reportez vous Changer le mode de certificat page 160 Red marrez le service vCenter Server et d marrez le service Auto Deploy La prochaine fois que vous provisionnerez un h te configur pour utiliser Auto Deploy le serveur Auto Deploy g n rera un certificat l aide du certificat racine que vous venez d ajouter au magasin TRUSTED _ROOTS VMware Inc 165 S curit vSphere Restaurer les fichiers de certificat et de cl ESXi Lorsque vous remplacez un certificat sur un h te ESXi l aide de vSphere Web Services SDK le certificat et la cl ant rieurs sont ajout s un fichier bak Vous pouvez restaurer les certificats pr c dents en d pla ant les informations du fichier bak vers les fichiers de certificat et de cl actuels Le certificat et la cl de l h te r sident dans etc vmware ss1 rui crt et
394. nt Vous ne pouvez pas ajouter des utilisateurs aux autres domaines 4 Dans l onglet Utilisateurs cliquez sur l ic neNouvel utilisateur 5 Tapez un nom d utilisateur et un mot de passe pour le nouvel utilisateur Vous ne pouvez pas modifier le nom d utilisateur apr s sa cr ation Le mot de passe doit r pondre aux exigences des r gles de mot de passe du syst me 6 Facultatif Tapez le pr nom et le nom de famille du nouvel utilisateur 7 Facultatif Entrez une adresse e mail et une description pour l utilisateur 8 Cliquez sur OK Lorsque vous ajoutez un utilisateur celui ci ne dispose initialement d aucun privil ge lui donnant la possibilit d effectuer des op rations de gestion Suivant Ajoutez l utilisateur un groupe du domaine vsphere local par exemple au groupe d utilisateurs pouvant administrer VMCA CAAdmins ou au groupe d utilisateurs pouvant administrer vCenter Single Sign On Administrators Reportez vous la section Ajouter des membres un groupe vCenter Single Sign On page 46 VMware Inc 43 S curit vSphere D sactiver et activer des utilisateurs de vCenter Single Sign On Lorsqu un compte d utilisateur vCenter Single Sign On est d sactiv l utilisateur ne peut pas ouvrir de session sur le serveur vCenter Single Sign On tant que le compte n est pas r activ par un administrateur Vous pouvez d sactiver et activer des utilisateurs dans l interface vSphere Web Client Les comptes d utilisa
395. nt renvoy es vers un commutateur qui n attend par leur arriv e 249 S curit vSphere Adoption de solides pratiques d isolation de r seau 250 L adoption de solides pratiques d isolation r seau am liore de fa on significative la s curit r seau de l environnement vSphere Isoler le r seau de gestion Le r seau de gestion vSphere donne acc s l interface de gestion vSphere sur chaque composant Les services s ex cutant sur l interface de gestion offrent la possibilit pour un pirate d obtenir un acc s privil gi aux syst mes Les attaques distance sont susceptibles de commencer par l obtention d un acc s ce r seau Si un pirate obtient acc s au r seau de gestion cela lui fournit une base pour mener d autres intrusions Contr lez strictement l acc s au r seau de gestion en le prot geant au niveau de s curit de la machine virtuelle la plus s curis e s ex cutant sur un h te ou un cluster ESXi Quelle que soit la restriction du r seau de gestion les administrateurs doivent avoir acc s ce r seau pour configurer les h tes ESXi et le syst me vCenter Server Placez le groupe de ports de gestion vSphere dans un VLAN d di sur un commutateur commun vSwitch peut tre partag avec le trafic de production machine virtuelle condition que le VLAN du groupe de ports de gestion de vSphere ne soit pas utilis par les machines virtuelles de production V rifiez que le segment r seau n est pas r
396. nt dans votre for t Active Directory reportez vous l article 2070433 de la base de connaissances VMware S lectionnez Utiliser un compte d ordinateur pour acc l rer la configuration Si vous pr voyez de renommer l ordinateur local sur lequel s ex cute vCenter Single Sign On il est pr f rable de sp cifier un SPN de mani re explicite REMARQUE Dans vSphere 5 5 vCenter Single Sign On utilise le compte de la machine m me si vous sp cifiez le SPN Reportez vous l article 2087978 de la base de connaissances VMware VMware Inc 33 S curit vSphere Tableau 2 5 Ajouter des param tres de source d identit Champ Nom de domaine Description Nom de domaine complet FDQN du domaine N entrez pas une adresse IP dans ce champ Utiliser un compte d ordinateur S lectionnez cette option pour utiliser le compte de l ordinateur local en tant que SPN Lorsque vous s lectionnez cette option vous sp cifiez uniquement le nom de domaine Si vous pr voyez de renommer l ordinateur ne s lectionnez pas cette option Utiliser le Nom du service principal SPN S lectionnez cette option si vous pr voyez de renommer l ordinateur local Vous devez sp cifier un SPN un utilisateur pouvant s authentifier aupr s de la source d identit et un mot de passe pour cet utilisateur Nom du service principal SPN SPN permettant Kerberos d identifier le service Active Directory Incluez le domaine dans le
397. nt mode support technique ou TSM est d sactiv par d faut sur ESXi Vous pouvez activer l acc s local et distant au shell si n cessaire Activez le ESXi Shell uniquement des fins de d pannage Le ESXi Shell peut tre activ et d sactiv que l h te fonctionne en mode verrouillage ou non Reportez vous Comportement du mode de verrouillage page 177 ESXi Shell Activez ce service pour acc der localement au ESXi Shell SSH Activez ce service pour acc der distance au ESXi Shell en utilisant SSH Vous pouvez t l charger des cl s SSH sur vos h tes Reportez vous Cl s SSH ESXi page 195 Interface utilisateur de Lorsque vous activez ce service en mode verrouillage vous pouvez vous la console directe connecter localement l interface utilisateur de la console directe en tant DCUI qu utilisateur racine puis d sactiver le mode verrouillage Vous pouvez ensuite acc der l h te via une connexion directe vSphere Client ou en activant le ESXi Shell L utilisateur racine et les utilisateurs disposant du r le d administrateur peuvent acc der au ESXi Shell Les utilisateurs du groupe Active Directory ESX Admins re oivent automatiquement le r le d Administrateur Par d faut seul l utilisateur racine peut ex cuter des commandes syst me telles que vmware v en utilisant ESXi Shell REMARQUE N activez pas le ESXi Shell tant que vous n avez pas r ellement besoin d un acc s m Utiliser vSpher
398. nt ou sur la ligne de commande REMARQUE Si diff rents services ont des r gles de port qui se chevauchent l activation d un service peut implicitement activer d autres services Vous pouvez sp cifier les adresses IP qui sont autoris es acc der chacun des services sur l h te afin d viter ce probl me Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Cliquez sur Profil de s curit vSphere Web Client affiche la liste des connexions entrantes et sortantes actives avec les ports de pare feu correspondants 4 Dans la section Pare feu cliquez sur Modifier L cran affiche des ensembles de r gles de pare feu avec le nom de la r gle et les informations associ es VMware Inc 167 S curit vSphere 168 5 S lectionnez les ensembles de r gles activer ou d s lectionnez ceux d sactiver Colonne Description Ports entrants et port sortants Les ports que vSphere Web Client ouvre pour le service Protocole Protocole utilis par un service Processus Statut des d mons associ s au service 6 Pour certains services vous pouvez g rer les d tails du service m Utilisez les boutons D marrer Arr ter ou Red marrer pour modifier temporairement l tat d un service m Modifier la strat gie de d marrage pour que le service d marre avec l h te ou avec l utilisation du port 7 Pour certains services vous pouvez
399. nt se connecter vCenter Server uniquement s ils se trouvent dans un domaine qui a t ajout comme source d identit vCenter Single Sign On Les utilisateurs administrateurs de vCenter Single Sign On peuvent ajouter des sources d identit partir de vSphere Web Client m Modifier une source d identit de vCenter Single Sign On page 35 Les utilisateurs vSphere sont d finis dans une source d identit Vous pouvez modifier les d tails d une source d identit associ e vCenter Single Sign On m Supprimer une source d identit vCenter Single Sign On page 36 Les utilisateurs vSphere sont d finis dans une source d identit Vous pouvez supprimer une source d identit de la liste des sources d identit enregistr es m Utiliser vCenter Single Sign On avec l authentification de session Windows page 36 Vous pouvez utiliser vCenter Single Sign On avec l authentification de session Windows SSPT Pour que la case cocher soit disponible sur la page de connexion le plug in d int gration du client doit tre install Sources d identit pour vCenter Server avec vCenter Single Sign On Gr ce aux sources d identit vous pouvez associer un ou plusieurs domaines vCenter Single Sign On Un domaine est un r f rentiel d utilisateurs et de groupes que le serveur vCenter Single Sign On peut utiliser pour l authentification des utilisateurs Une source d identit est un ensemble de donn es d utilisateurs et de groupes Les donn es d
400. nts par des certificats sign s par une autorit de certification tierce Reportez vous Gestion de certificats pour les h tes ESXi page 152 VMware Inc Authentification par carte puce Verrouillage de compte ESXi Chapitre 1 S curit dans l environnement vSphere partir de vSphere 6 0 ESXi prend en charge l option d authentification par carte puce plut t que par nom d utilisateur et mot de passe Reportez vous Configuration de l authentification par carte puce pour ESXi page 193 partir de vSphere 6 0 le verrouillage des comptes est pris en charge pour l acc s via SSH et vSphere Web Services SDK L interface de console directe DCUI et ESXi Shell ne prennent pas en charge le verrouillage de compte Par d faut un nombre maximal de dix tentatives de connexion chou es est autoris avant le verrouillage du compte Par d faut le compte est d verrouill au bout de deux minutes Reportez vous Mots de passe ESXi phrases secr tes ESXi et verrouillage de compte page 149 Les consid rations de s curit pour les h tes autonomes sont identiques bien que les t ches de gestion puissent diff rer Consultez la documentation de Gestion d un h te vSphere unique S curisation des syst mes vCenter Server et services associ s Votre syst me vCenter Server et les services associ s sont prot g s par l authentification via vCenter Single Sign On ainsi que par l autorisation
401. objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 26 Privil ges de vues de stockage Nom de privil ge Description Requis sur Vues de stockage Configurer le service Permet aux utilisateurs ayant des privil ges d utiliser Racine vCenter Server tous les API du service de surveillance du stockage Utilisez Vues de stockage Affichage pour les privil ges des API en lecture seule du service de surveillance du stockage Vues de stockage Affichage Permet aux utilisateurs ayant des privil ges d utiliser les Racine vCenter Server API en lecture seule du service de surveillance du stockage Privil ges de t ches Les privil ges de t ches contr lent la capacit des extensions cr er et mettre jour des t ches sur vCenter Server Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 27 Privil ges de t ches Nom de privil ge Description Requis sur T ches Cr er une t che Permet une extension de cr er une t che d finie par l utilisateur Racine vCenter Server Aucun l ment d interface utilisat
402. ode de certificat est VMCA valeur par d faut et si l utilisateur effectue une actualisation des certificats partir de vSphere Web Client les certificats sign s par l autorit de certification VMware VMCA remplacent les certificats personnalis s m Pour les composants vCenter Server ce qui se produit d pend de l environnement existant m Si vous effectuez la mise niveau d une installation simple vers un d ploiement int gr les certificats personnalis s de vCenter Server sont conserv s Apr s la mise niveau votre environnement fonctionne comme auparavant m Si vous mettez niveau un d ploiement multi site dans lequel vCenter Single Sign On se trouve sur une machine diff rente des autres composants vCenter Server le processus de mise niveau cr e un d ploiement plusieurs n uds qui inclut un n ud Platform Services Controller et un ou plusieurs n uds de gestion 54 VMware Inc Chapitre 3 Certificats de s curit vSphere Dans ce sc nario les certificats existants de vCenter Server et de vCenter Single Sign On sont conserv s en tant que certificats SSL de la machine VMCA attribue un certificat sign par VMCA chaque utilisateur de solution collection de services vCenter Un utilisateur de solution n utilise ce certificat que pour s authentifier aupr s de vCenter Single Sign On de sorte qu il peut ne pas tre n cessaire de remplacer les certificats d utilisateurs de solutions Vous ne pouvez p
403. oin pour assurer la s curit de l environnement Les ressources de s curit VMware notamment les alertes et les t l chargements de s curit sont disponibles en ligne Tableau 1 2 Ressources de s curit VMware disponibles sur le Web Rubrique Strat gie de s curit VMware alertes de s curit jour t l chargements de s curit et discussions sur des th mes li s la s curit Ressource http www vmware com go security Politique de l entreprise en mati re de r ponse s curitaire http www vmware com support policies security_response html VMware s engage vous aider maintenir un environnement s curis Dans ce cadre les probl mes de s curit sont corrig s rapidement La politique VMware en mati re de r ponse s curitaire fait tat de notre engagement li la r solution d ventuelles vuln rabilit s de nos produits Politique de support logiciel tiers http www vmware com support policies VMware prend en charge un grand nombre de syst mes de stockage et d agents logiciels tels que les agents de sauvegarde ou les agents de gestion syst me Vous trouverez la liste des agents outils et autres logiciels prenant en charge ESXi en cherchant sur http www vmware com vmtn resources les guides de compatibilit ESXi Il existe sur le march un nombre de produits et de configurations tel quel VMware ne peut pas tous les tester Si un produit ou une configuration sp
404. oller externe Remplacer les certificats d utilisateurs de solution par de nouveaux certificats sign s par VMCA Apr s avoir remplac les certificats SSL de la machine vous pouvez remplacer tous les certificats des utilisateurs de solutions Les certificats d utilisateurs de solutions doivent tre valides ils ne sont pas arriv s expiration mais l infrastructure de certificats n utilise aucune des autres informations d un certificat Remplacez le certificat d utilisateur de solution de machine sur chaque n ud Platform Services Controller Remplacez les autres certificats d utilisateurs de solutions uniquement sur chaque n ud de gestion Utilisez le param tre server pour pointer vers Platform Services Controller lorsque vous ex cutez des commandes sur un n ud de gestion avec un Platform Services Controller externe REMARQUE Lorsque vous r pertoriez les certificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine Pr requis Soyez pr t arr ter tous les services et d marrer ceux qui g rent la propagation et le stockage des certificats Proc dure 1 Faites une copie de certool cfg supprimez les champs Nom Adresse IP Nom DNS et E ma
405. omaine vsphere local 2 Acc dez Administration gt Single Sign On gt Configuration 3 Cliquez sur l onglet Sources d identit 4 Cliquez avec le bouton droit sur la source d identit dans le tableau et s lectionnez Modifier la source d identit VMware Inc 35 S curit vSphere 36 Modifiez les param tres de source d identit Les options disponibles d pendent du type de source d identit s lectionn Option Description Active Directory authentification Utilisez cette option pour les mises en uvre Active Directory natives Si Windows int gr e vous souhaitez utiliser cette option la machine sur laquelle le service vCenter Single Sign On s ex cute doit se trouver dans un domaine Active Directory Reportez vous la section Param tres de source d identit Active Directory page 33 Active Directory comme serveur Cette option est disponible des fins de compatibilit descendante Elle LDAP n cessite la sp cification du contr leur de domaine et d autres informations Reportez vous la section Param tres de source d identit du serveur LDAP Active Directory et du serveur OpenLDAP page 34 OpenLDAP Utilisez cette option pour une source d identit OpenLDAP Reportez vous la section Param tres de source d identit du serveur LDAP Active Directory et du serveur OpenLDAP page 34 LocalOS Utilisez cette option pour ajouter le syst me d exploitation local comme sourc
406. on Maintenance Permet de mettre l h te en mode maintenance et hors de ce H tes mode ainsi que d arr ter et de red marrer l h te H te Configuration Configuration Permet de modifier la configuration de l h te H tes de la m moire H te Configuration Configuration Permet de configurer le r seau le pare feu et le r seau de H tes du r seau vMotion H te Configuration Alimentation Permet de configurer les param tres de gestion de H tes l alimentation de l h te H te Configuration Interroger un Permet de demander les correctifs installables et de les H tes correctif installer sur l h te H te Configuration Profil de Permet de configurer les services Internet tels que le H tes s curit et pare feu protocole SSH Telnet SNMP et le pare feu de l h te H te Configuration Configuration Permet de g rer des partitions de la banque de donn es et de H tes de la partition de stockage diagnostic de VMFS Les utilisateurs disposant de ce privil ge peuvent rechercher de nouveaux p riph riques de stockage et g rer l iSCSI H te Configuration Gestion du Permet des extensions de manier le syst me de fichiers sur H tes syst me l h te H te Configuration Ressources Permet de mettre jour la configuration de la hi rarchie des H tes syst me ressources syst me H te Configuration Configuration Permet de modifier la commande de d marrage et d arr t H tes du d marrage automatique de machine virtuelle automatique des m
407. on Requis sur Machine virtuelle Gestion Permet de cr er un nouveau snapshot de l tat actuel de la machine Machines virtuelles des snapshots Cr er un virtuelle snapshot Machine virtuelle Gestion Permet de supprimer un snapshot de l historique de snapshots Machines virtuelles des snapshots Supprimer un snapshot 292 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 34 Privil ges d tat de machine virtuelle suite Nom de privil ge Description Requis sur Machine virtuelle Gestion Permet de renommer un snapshot avec un nouveau nom une Machines virtuelles des snapshots Renommer nouvelle description ou les deux un snapshot Machine virtuelle Gestion Permet de param trer la machine virtuelle l tat o elle tait un Machines virtuelles des snapshots R tablir le snapshot donn snapshot Privil ges vSphere Replication de machine virtuelle Les privil ges vSphere Replication de machine virtuelle contr lent l utilisation de la r plication par VMware vCenter Site Recovery Manager pour les machines virtuelles Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 35 R plication de machine v
408. on de notifications d v nements globales Permet de d terminer la pr sence ventuelle de notifications Machine virtuelle Configuration de service G rer les configurations de service Permet la cr ation la modification et la suppression de services de machine virtuelle Machine virtuelle Configuration de service Modifier une configuration de service Permet la modification d une configuration de services d une machine virtuelle existante Machine virtuelle Configuration de service Interroger les configurations de service Permet la r cup ration d une liste de services de machine virtuelle Machine virtuelle Configuration de service Lire une configuration de service Permet la r cup ration d une configuration de services d une machine virtuelle existante Privil ges de gestion des snapshots d une machine virtuelle Les privil ges de gestion des snapshots d une machine virtuelle contr lent la capacit prendre supprimer renommer et restaurer des snapshots Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 34 Privil ges d tat de machine virtuelle Nom de privil ge Descripti
409. onctionnant sur le syst me vous r duisez le nombre de composants susceptibles d tre attaqu s Protection g n rale d une machine virtuelle Une machine virtuelle est pour l essentiel l quivalent d un serveur physique Il convient de prendre les m mes mesures de s curit pour les machines virtuelles et les syst mes physiques Respectez ces recommandations pour prot ger votre machine virtuelle Correctifs et autres Maintenez toutes vos mesures de s curit jour y compris en appliquant les protections correctifs appropri s Il est tout particuli rement important de ne pas n gliger les machines virtuelles dormantes d sactiv es et de suivre les mises jour les concernant Par exemple assurez vous que le logiciel antivirus les produits anti spyware la d tection d intrusion et toute autre protection sont activ s pour chaque machine virtuelle dans votre infrastructure virtuelle Vous devez galement vous assurer de disposer de suffisamment d espace pour les journaux des machines virtuelles Analyses antivirus Comme chaque machine virtuelle h berge un syst me d exploitation standard vous devez le prot ger des virus en installant antivirus En fonction de votre utilisation habituelle de la machine virtuelle vous pouvez installer galement un pare feu Planifiez l ex cution de scan de virus tout particuli rement en cas de d ploiement incluant un grand nombre de machines virtuelles Si vous scannez toutes les ma
410. onnect s un h te ESXi si le protocole Spanning Tree est activ afin d viter les boucles au sein du r seau de commutateurs physiques Si le protocole Portfast n est pas configur des probl mes de performance et de connectivit sont potentiellement craindre Assurez vous que le trafic r seau d un Distributed Virtual Switch est envoy uniquement aux adresses IP de collecteurs autoris s Les exportations Netflow ne sont pas chiffr es et peuvent contenir des informtions sur le r seau virtuel ce qui accro t le risque de succ s d une attaque de l intercepteur Si une exportation Netflow est n cessaire assurez vous que toutes les adresses IP Netflow cibles sont correctes 247 S curit vSphere 248 Assurez vous que seuls les administrateurs autoris s ont acc s aux composants de mise en r seau en utilisant des contr les d acc s bas s sur r les Par exemple les administrateurs de machines virtuelles ne devraient pouvoir acc der qu aux groupes de ports dans lesquels leurs machines virtuelles r sident Les administrateurs r seau doivent disposer d autorisations pour tous les composants du r seau virtuel mais pas d un acc s aux machines virtuelles Le fait de limiter l acc s r duit le risque d erreur de configuration qu elle soit accidentelle ou d lib r e et renforce les concepts essentiels de s curit que sont la s paration des devoirs et le moindre privil ge Assurez vous que les groupes de ports ne sont pa
411. onnement Vous pouvez utiliser les param tres avanc s de vCenter Server pour passer au mode d empreinte ou d autorit de certification personnalis e N utilisez le mode d empreinte que comme option de secours VMware Inc Chapitre 5 S curisation des h tes ESXi Proc dure 1 S lectionnez le syst me vCenter Server qui g re les h tes et cliquez sur Param tres 2 Cliquez sur Param tres avanc s puis sur Modifier 3 Dans le champ Filtre entrez certmgmt pour afficher uniquement les cl s de gestion des certificats 4 D finissez vpxd certmgmt mode sur personnalis si vous souhaitez g rer vos propres certificats ou sur empreinte si vous pr f rez utiliser temporairement le mode d empreinte puis cliquez sur OK 5 Red marrez le service vCenter Server Remplacement de certificats et de cl s SSL pour ESXi Selon la strat gie de s curit de votre entreprise vous devrez peut tre remplacer le certificat SSL d fini par d faut pour ESXi par un certificat sign par une autorit de certification tierce sur chaque h te Par d faut les composants vSphere utilisent le certificat sign par VMCA et la cl cr s lors de l installation Si vous supprimez accidentellement le certificat sign par VMCA supprimez l h te de son syst me vCenter Server puis ajoutez le de nouveau Lorsque vous ajoutez l h te vCenter Server demande un nouveau certificat VMCA et provisionne l h te l aide de celui ci Si la strat gie d
412. orm Services Controller page 65 m Gestion de certificats avec l utilitaire vSphere Certificate Manager page 69 m Remplacement manuel de certificats page 78 m Gestion des certificats et des services avec les commandes de l interface de ligne de commande page 107 m Afficher les certificats vCenter dans vSphere Web Client page 122 m D finir le seuil pour les avertissements d expiration du certificat vCenter page 123 VMware Inc 53 S curit vSphere Pr sentation de la gestion de certificats L impact de la nouvelle infrastructure de certificats d pend des exigences de votre environnement selon que vous effectuez une installation nouvelle ou une mise niveau et selon que vous envisagez ESXi ou vCenter Server Administrateurs qui ne remplacent pas les certificats VMware Si vous tes un administrateur qui ne remplace pas actuellement les certificats VMware VMCA peut prendre en charge toute la gestion des certificats pour vous VMCA fournit aux composants de vCenter Server et aux h tes ESXi des certificats qui utilisent VMCA comme autorit de certification racine Si vous effectuez une mise niveau vers vSphere 6 partir d une version pr c dente de vSphere tous les certificats auto sign s sont remplac s par des certificats sign s par VMCA Administrateurs qui remplacent les certificats VMware par des certificats personnalis s Pour les installations nouvelles les administrateurs dispo
413. ormances contr lent la modification de param tres statistiques de performances Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 20 Privil ges de performances Nom de privil ge Description Requis sur Performances Modifier des Permet la cr ation la suppression et la mise jour d intervalles de Racine vCenter Server intervalles collecte de donn es de performance Privil ges d autorisations Les privil ges d autorisations contr lent l attribution des r les et des autorisations Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 21 Privil ges d autorisations Nom de privil ge Description Requis sur Autorisations Modifier une Permet de d finir une ou plusieurs r gles d autorisation sur une entit Tout objet plus objet autorisation ou met jour des r gles ventuellement d j pr sentes pour parent l u
414. ou d saffecter une dans l inventaire vCenter Server balise vSphere Inventory Service Balisage Permet de cr er une balise Tout objet vSphere Cr er une balise vSphere Inventory Service Balisage Permet de cr er une cat gorie de balise Tout objet vSphere Cr er une cat gorie de balises vSphere Inventory Service Balisage Permet la cr ation d une tendue de balise Tout objet vSphere Cr er une tendue de balise vSphere Inventory Service Balisage Permet de supprimer une cat gorie de balise Tout objet vSphere Supprimer une balise vSphere Inventory Service Balisage Permet de supprimer une cat gorie de balise Tout objet vSphere Supprimer une cat gorie de balises vSphere Inventory Service Balisage Permet la suppression d une tendue de balise Tout objet vSphere Supprimer une tendue de balise vSphere Inventory Service Balisage Permet de modifier une balise Tout objet vSphere Modifier une balise vSphere Inventory Service Balisage Permet la modification d une cat gorie de balise Tout objet vSphere Modifier une cat gorie de balises vSphere Inventory Service Balisage Permet la modification d une tendue de balise Tout objet vSphere Modifier une tendue de balise vSphere Inventory Service Balisage Permet la modification du champ UsedBy pour Tout objet vSphere Modifier le champ UsedBy une cat gorie de balise d une cat gorie Inventory Service Balisage Permet la modification du champ UsedBy pour Tout objet vSphe
415. our du magasin TRUSTED_ROOTS Vous pouvez galement g rer explicitement les certificats et les cl s dans VECS l aide des commandes vecs cli Reportez vous R f rence des commandes vecs cli page 114 VECS inclut les magasins suivants Tableau 3 4 Magasins dans VECS Magasin Description Magasin de certificats SSL de la machine m Utilis par le service de proxy inverse sur chaque MACHINE_SSL_CERT n ud vSphere m Utilis par le service d annuaire VMware vmdir sur les d ploiements int gr s et sur chaque n ud Platform Services Controller Tous les services de vSphere 6 0 communiquent par l interm diaire d un proxy invers qui utilise le certificat SSL de machine Pour la compatibilit descendante les services 5 x utilisent toujours des ports sp cifiques En cons quence certains services tels que vpxd ont toujours leur port ouvert Magasin de certificats racine approuv s Contient tous les certificats racines approuv s TRUSTED_ROOTS VMware Inc 61 S curit vSphere 62 Tableau 3 4 Magasins dans VECS suite Magasin Magasins d utilisateurs de solution m virtuelle m vpxd m vpxd extensions m vsphere webclient Description VECS inclut un magasin pour chaque utilisateur de solution L objet de chaque certificat d utilisateur de solution doit tre unique par exemple le certificat de la machine ne peut pas avoir le m me objet que le certificat vpxd Les certificats d uti
416. ournissez chaque machine virtuelle juste ce qu il faut de ressources CPU et m moire pour fonctionner correctement 2 Utilisez les partages pour assurer des ressources suffisantes aux machines virtuelles essentielles 3 Regroupez les machines virtuelles dont les exigences sont identiques dans des pools de ressources 4 Dans chaque pool de ressources conservez la configuration par d faut des partages pour veiller ce que chaque machine virtuelle du pool b n ficie d peu pr s la m me priorit face aux ressources Avec ce param tre une machine virtuelle individuelle ne peut pas utiliser plus de ressources que les autres machines virtuelles du pool de ressources Suivant Consultez la documentation Gestion des ressources vSphere pour de plus amples informations sur les partages et les limites D sactiver les fonctions inutiles l int rieur des machines virtuelles Tout service fonctionnant sur une machine virtuelle fournit une possibilit d attaque En d sactivant des composants syst me inutiles la prise en charge de l application ou du service fonctionnant sur le syst me vous r duisez le nombre de composants susceptibles d tre attaqu s En r gle g n rale les machines virtuelles n exigent pas autant de services et de fonctions que les serveurs physiques Lorsque vous virtualisez un syst me valuez si une fonction ou un service est n cessaire Proc dure m D sactivez les services inutilis s dans le sys
417. out l exception ventuellement des r seaux h bergeant d autres entit s de gestion par exemple en liaison avec vSphere Replication Assurez vous notamment que le trafic des machines virtuelles de production ne peut pas tre rout vers ce r seau Autorisez l acc s la fonctionnalit de gestion d une mani re strictement contr l e en utilisant l une des approches suivantes m Pour les environnements particuli rement sensibles configurez une passerelle contr l e ou une autre m thode contr l e pour acc der au r seau de gestion Par exemple obligez les administrateurs se connecter au r seau de gestion via un r seau VPN et autorisez l acc s uniquement aux administrateurs approuv s m Configurez des syst mes JumpBox qui ex cutent des clients de gestion Isoler le trafic de stockage Assurez vous que le trafic de stockage IP est isol Le stockage IP inclut iSCSI et NFS Les machines virtuelles peuvent partager des commutateurs virtuels et des VLAN avec des configurations de stockage IP Ce type de configuration peut exposer du trafic de stockage IP des utilisateurs de machine virtuelle non autoris s Le stockage IP est fr quemment non chiffr toute personne ayant acc s ce r seau peut le voir Pour emp cher les utilisateurs non autoris s voir le trafic de stockage IP s parez logiquement le trafic du r seau de stockage IP du trafic de production Configurez les adaptateurs de stockage IP sur des
418. p lacement du fichier d change Permet de changer la r gle de placement du fichier d change d une machine virtuelle Machines virtuelles 280 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 28 Privil ges de configuration de machine virtuelle suite Nom de privil ge Description Requis sur Machine Permet d autoriser le d chiffrement d une machine virtuelle Machines virtuelles virtuelle Configuration D v errouiller machine virtuelle Machine Permet la mise niveau de la version de compatibilit des machines Machines virtuelles virtuelle Configuration Mett virtuelles re niveau la compatibilit de machine virtuelle Privil ges d op rations d invit de machine virtuelle Les privil ges d op rations d invit de machine virtuelle contr lent la capacit interagir avec les fichiers et les programmes au sein du syst me d exploitation invit d une machine virtuelle avec l API Pour obtenir plus d informations sur ces op rations consultez la documentation R f rence API de VMware vSphere Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 29 Op rations de syst me invit d
419. page 185 m Utiliser vSphere Authentication Proxy page 188 m Configuration de l authentification par carte puce pour ESXi page 193 m Cl s SSH ESXi page 195 m Utilisation du ESXi Shell page 197 m Modifier les param tres proxy Web ESXi page 201 m Consid rations relatives la s curit dans vSphere Auto Deploy page 202 m Gestion des fichiers journaux ESXi page 202 m Meilleures pratiques de s curit ESXi page 205 VMware Inc 145 S curit vSphere Utiliser des scripts pour g rer des param tres de configuration d h te 146 Dans les environnements comportant de nombreux h tes la gestion des h tes avec des scripts est plus rapide et moins susceptible de provoquer des erreurs que la gestion des h tes depuis vSphere Web Client vSphere inclut plusieurs langages de script pour la gestion des h tes Reportez vous la Documentation sur la ligne de commande de vSphere et la Documentation sur les API DSK de vSphere pour obtenir des informations de r f rence et des astuces de programmation et pour acc der des communaut s VMware afin d obtenir des conseils suppl mentaires sur la gestion par scripts La documentation de l administrateur de vSphere est principalement ax e sur l utilisation de vSphere Web Client pour la gestion vSphere PowerCLli VMware vSphere PowerCLi fournit une interface PowerShell Windows l API de vSphere vSphere PowerCLl inclut des applets de
420. par ESXi pour soutenir les acc s des clients Web a t modifi il ex cute uniquement les fonctions requises pour les t ches d administration et de surveillance effectu es par un client Web Par cons quent ESXi n est pas vuln rable aux probl mes de s curit Tomcat signal s lors d utilisations massives m VMware assure la surveillance de toutes les alertes de s curit susceptibles d affecter la s curit d ESXi et envoie un correctif de s curit en cas de besoin m Les services non s curis s tels que FTP et Telnet ne sont pas install s et les ports associ s ces services sont ferm s par d faut Vous trouverez facilement des services plus s curis s tels que SSH et SFTP Il est donc conseill de les privil gier et d viter d utiliser les services non s curis s Par exemple utilisez Telnet avec SSL pour acc der aux ports s rie virtuels si SSH n est pas disponible et que vous devez utiliser Telnet Si vous devez utiliser des services non s curis s et que l h te b n ficie d un niveau suffisant de s curit vous pouvez ouvrir des ports explicitement pour les prendre en charge Mesures de s curit suppl mentaires Tenez compte des recommandations suivantes lorsque vous valuez la s curit de l h te et l administration Limiter l acc s Si vous d cidez d activer l acc s l interface DCUI Direct Console User Interface ESXi Shell ou SSH impose des strat gies de s curit d acc s strictes 14
421. parer des machines physiques connect es un m me r seau Cr ation de plusieurs r seaux sur un h te ESXi Le syst me ESXi a t con u pour vous permettre de connecter certains groupes de machines virtuelles au r seau interne ainsi que d autres groupes au r seau externe et enfin d autres groupes aux deux r seaux le tout sur le m me h te Cette capacit est une extension de l isolation de machines virtuelles elle est associ e une optimisation de la planification d utilisation des fonctions de r seau virtuel Figure 8 3 R seaux externes r seaux internes et DMZ configur e sur un h te ESXi unique ESXi Mise en r seau externe Mise en r seau interne utilisateur interne VM 3 utilisateur interne serveur pare feu utilisateur interne utilisateur interne adaptateurs r seau physique Mise en r seau Mise en r seau Mise en r seau Mise en r seau Externe 1 Interne 2 Externe 2 Interne 1 Dans la figure l administrateur syst me a configur un h te dans trois zones diff rentes de machine virtuelle sur le serveur FTP dans les machines virtuelles et dans la zone d militaris e DMZ Chacune de ces zones a une fonction sp cifique Serveur FTP La machine virtuelle 1 est configur e avec logiciel FTP et sert de zone de r tention des donn es envoy es de et vers des ressources ext rieures formulaires et collat raux localis s par un fournisseur par exemple Cette machine virtuelle est
422. passe actuel de l utilisateur qui poss de le compte new Nouveau mot de passe de l utilisateur qui poss de le compte Afficher les certificats vCenter dans vSphere Web Client 122 Vous pouvez afficher les certificats connus de l autorit de certification vCenter VMCA pour savoir si les certificats actifs sont sur le point d expirer v rifier les certificats expir s et consulter l tat du certificat racine Vous devez effectuer toutes les t ches de gestion des certificats au moyen des interfaces de ligne de commande de gestion des certificats Vous pouvez afficher les certificats associ s l instance de VMCA incluse dans votre d ploiement int gr ou fournie avec Platform Services Controller Les informations relatives aux certificats sont r pliqu es dans les instances du service d annuaire VMware vmdir Lorsque vous tentez d afficher les certificats dans vSphere Web Client vous tes invit entrer un nom d utilisateur et un mot de passe Sp cifiez le nom et le mot de passe d un utilisateur disposant de privil ges pour l autorit de certification VMware c est dire un utilisateur du groupe CAAdmins vCenter Single Sign On VMware Inc Chapitre 3 Certificats de s curit vSphere Proc dure 1 Connectez vous vCenter Server en tant que administrator vsphere local ou un autre utilisateur du groupe CAAdmins vCenter Single Sign On 2 S lectionnez Administration cliquez sur D ploiement puis cl
423. phere Les composants d un environnement vSphere sont s curis s d origine par un nombre de fonctionnalit s telles que les certificats l autorisation un pare feu sur chaque h te ESXi un acc s limit etc Vous pouvez modifier la configuration par d faut de plusieurs mani res vous pouvez notamment d finir des autorisations sur des objets vCenter ouvrir des ports de pare feu ou modifier les certificats par d faut Ces interventions permettent de b n ficier d une flexibilit maximale pour la s curisation des syst mes vCenter Server des h tes ESXi et des machines virtuelles Une pr sentation haut niveau de diff rents aspects de vSphere qui n cessitent une certaine attention vous aide planifier votre strat gie de s curit Vous pouvez galement tirer parti d autres ressources de s curit de vSphere sur le site Web VMware Ce chapitre aborde les rubriques suivantes m S curisation de l hyperviseur ESXi page 9 m S curisation des syst mes vCenter Server et services associ s page 11 m S curisation des machines virtuelles page 12 m S curisation de la couche de mise en r seau virtuelle page 13 m Mots de passe dans votre environnement vSphere page 14 m Meilleures pratiques en mati re de s curit et ressources de s curit page 16 S curisation de l hyperviseur ESXi L hyperviseur ESXi est s curis par nature Vous pouvez accro tre la protection des h tes ESXi en utilis
424. piez les certificats utiliser dans etc vmware ssl 4 Renommer le nouveau certificat et la cl dans rui crt et rui key 5 Red marrez l h te apr s avoir install le nouveau certificat Vous pouvez galement mettre l h te en mode de maintenance installer le nouveau certificat utiliser l interface utilisateur de console directe DCUT pour red marrer les agents de gestion puis configurer l h te pour quitter le mode de maintenance Suivant Mettez jour le magasin TRUSTED_ROOTS de vCenter Server Reportez vous Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s page 164 VMware Inc Chapitre 5 S curisation des h tes ESXi Remplacer un certificat et une cl par d faut l aide de la commande vifs Vous pouvez remplacer les certificats ESXi par d faut sign s par l autorit de certification VMware VMCA l aide de la commande vifs Pr requis m Si vous souhaitez utiliser des certificats sign s par une autorit de certification tierce g n rez la demande de certificat envoyez la l autorit de certification et stockez les certificats sur chaque h te ESXi m Si n cessaire activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client Reportez vous Utiliser vSphere Web Client pour activer l acc s ESXi Shell page 198 m Tous les transferts de fichiers et autres communications se produisent lors d une session HTTPS s curis e L utilisateur se
425. plusieurs instances de Platform Services Controller et si l une des instances de Platform Services Controller devient indisponible votre environnement continue fonctionner Lorsque le Platform Services Controller devient nouveau disponible les donn es de l utilisateur et les autres informations sont g n ralement r pliqu es dans les 60 secondes Dans certains cas particuliers cependant la r plication peut prendre du temps Probl me Dans certaines situations par exemple lorsque votre environnement comprend plusieurs instances de Platform Services Controller en diff rents lieux et que vous apportez des modifications significatives pendant qu une instance de Platform Services Controller est indisponible vous ne voyez pas imm diatement la r plication entre les instances du service d annuaire VMware Ainsi vous ne voyez pas un nouvel utilisateur ajout l instance de Platform Services Controller disponible dans l autre instance tant que la r plication n est pas termin e Cause Pendant le fonctionnement normal les modifications apport es une instance du service d annuaire VMware vmdir dans une instance de Platform Services Controller n ud s affichent dans son partenaire de r plication direct approximativement dans les 60 secondes suivantes Selon la topologie de r plication les modifications apport es un n ud devront peut tre se propager sur des n uds interm diaires avant de parvenir chaque instance de vm
426. pour g n rer la demande de signature de certificat r pondez aux invites et quittez Certificate Manager Dans le cadre du processus vous devez fournir un r pertoire Certificate Manager place le certificat et les fichiers cl s dans le r pertoire 4 Si vous souhaitez remplacer tous les certificats d utilisateurs de solutions red marrez Certificate Manager 5 S lectionnez l option 5 6 Fournissez le mot de passe et l adresse IP ou le nom d h te de Platform Services Controller si vous y tes invit 7 S lectionnez l option 1 pour g n rer les demandes de signature de certificat r pondez aux invites et quittez Certificate Manager Dans le cadre du processus vous devez fournir un r pertoire Certificate Manager place le certificat et les fichiers cl s dans le r pertoire Sur chaque n ud de Platform Services Controller Certificate Manager g n re un certificat et une paire de cl s Sur chaque n ud vCenter Server Certificate Manager g n re quatre certificats et paires de cl s Suivant Effectuez le remplacement de certificats Remplacer le certificat SSL de machine par un certificat personnalis Le certificat SSL de machine est utilis par le service de proxy inverse sur chaque n ud de gestion Platform Services Controller et chaque d ploiement int gr Chaque machine doit avoir un certificat SSL de machine pour la communication s curis e avec d autres services Vous pouvez remplacer le certificat sur
427. propager le changement toutes les instances de vmdir service d annuaire VMware publiez le nouveau certificat racine dans vmdir en fournissant le chemin complet de chaque fichier Par exemple dir cli trustedcert publish cert rootcal crt La r plication entre les n uds vmdir se produit toutes les 30 secondes Il n est pas n cessaire d ajouter le certificat racine VECS de fa on explicite car VECS interroge vmdir concernant les fichiers de certificat racine toutes les 5 minutes 6 Facultatif Le cas ch ant vous pouvez forcer une op ration d actualisation de VECS vecs cli force refresh 7 Red marrez tous les services service control start all Exemple Remplacement du certificat racine Remplacez le certificat racine VMCA par le certificat racine VMCA personnalis en utilisant la commande certool avec l option rootca C gt C Program Files VMware vCenter Server vmcad certool rootca cert C custom certs root pem privkey C custom certs root key Lorsque vous ex cutez cette commande elle m Ajoute le nouveau certificat racine personnalis l emplacement des certificats dans le syst me de fichiers m Ajoute le certificat racine personnalis au magasin TRUSTED_ROOTS dans VECS m Ajoute le certificat racine personnalis vmdir Suivant Vous pouvez supprimer le certificat racine VMCA initial du magasin de certificats si la strat gie de l entreprise l exige Si vous le faites vou
428. puce cochez la case Activer l authentification par carte puce et cliquez sur OK D sactiver l authentification par carte puce D sactiver l authentification par carte puce pour revenir l authentification par nom d utilisateur et mot de passe par d faut pour la connexion l interface DCUI d ESXi Proc dure 1 Dans vSphere Web Client acc dez l h te 2 Cliquez sur l onglet G rer puis sur Param tres 3 Sous Syst me s lectionnez Services d authentification Vous voyez l tat actuel de l authentification par carte puce et la liste des certificats import s 4 Dans le panneau Authentification par carte puce cliquez sur Modifier 5 Surla page Authentification par carte puce d cochez la case Activer l authentification par carte puce puis cliquez sur OK Authentification d informations d identification d utilisateur en cas de probl mes de connectivit Si le serveur de domaine Active Directory AD n est pas accessible vous pouvez vous connecter l interface DCUI ESXi avec l authentification par nom d utilisateur et mot de passe pour r aliser des op rations de secours sur l h te Exceptionnellement il est possible que le serveur de domaine AD ne soit pas accessible pour authentifier les informations d identification de l utilisateur sur la carte puce par exemple suite des probl mes de connectivit une panne de r seau ou un sinistre En cas de perte de connexion avec le serveur AD vou
429. puce de circuit int gr Beaucoup d organismes publics et de grandes entreprises utilisent l authentification deux facteurs bas e sur carte puce pour renforcer la s curit de leurs syst mes et respecter les r glementations de s curit Lorsque l authentification par carte puce est activ e sur un h te ESXi l interface DCUI vous invite entrer une combinaison valide de carte puce et de PIN au lieu de l invite par d faut qui vous demande d entrer un nom d utilisateur et un mot de passe 1 Lorsque vous ins rez la carte puce dans le lecteur de carte puce l h te ESXi lit les informations d identification qui s y trouvent 2 L interface DCUI ESXi affiche votre ID de connexion et vous invite entrer votre PIN 3 Une fois que vous avez entr le PIN l h te ESXi tablit la correspondance entre celui ci et le PIN stock sur la carte puce et v rifie le certificat de la carte puce l aide d Active Directory 4 Une fois le certificat de la carte puce v rifi ESXi vous connecte l interface DCUI Si vous pr f rez passer l authentification par nom d utilisateur et mot de passe via l interface DCUI appuyez sur F3 La puce de la carte se verrouille si vous entrez plusieurs codes PIN incorrects cons cutifs trois en g n ral Si une carte puce est verrouill e seul le personnel s lectionn peut la d verrouiller Activer l authentification par carte puce Activez l authentification pa
430. quement si vous utilisez un serveur Active Directory LDAP et un serveur OpenLDAP et que vous sp cifiez une URL 1daps pour le serveur L onglet Magasin d approbations de sources d identit reste vide pour les autres types de sources d identit ou pour le trafic Ldap Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Acc dez Administration gt Single Sign On gt Configuration 3 Cliquez sur l onglet Certificats puis sur le sous onglet Magasin d approbations des sources d identit 4 Recherchez le certificat et v rifiez la date d expiration dans la zone de texte Date de fin de validit Vous verrez peut tre un avertissement en haut de l onglet indiquant qu un certificat est sur le point d expirer VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Ajouter un fournisseur de services SAML Si vous disposez d un fournisseur de services SAML externe dans votre environnement vous pouvez ajouter les m tadonn es de votre fournisseur au fournisseur d identit VMware inclus avec vCenter Single Sign On Par la suite votre fournisseur de services SAML peut tre utilis Ce processus implique l importation des m tadonn es de votre
431. quez sur l onglet G rer b Dans Syst me s lectionnez Param tres syst me avanc s c Faites d filer jusqu Net DVFilterBindIpAddress et v rifiez que le param tre a une valeur vide L ordre des param tres n est pas strictement alphab tique Tapez DVFilter dans le champ Filtre pour afficher tous les param tres associ s Si vous n utilisez pas les param tres DvFilter assurez vous que la valeur est vide Si vous utilisez des param tres DvFilter assurez vous que la valeur du param tre correspond celle qu emploie le produit qui utilise DvFilter Meilleures pratiques en mati re de s curit de la mise en r seau vSphere L observation des recommandations en mati re de s curit contribue garantir l int grit de votre d ploiement vSphere Recommandations g n rales de s curit pour la mise en r seau En mati re de s curisation de votre environnement r seau la premi re tape consiste respecter les recommandations de s curit g n rales s appliquant aux r seaux Vous pouvez ensuite vous concentrer sur des points sp ciaux comme la s curisation du r seau l aide de pare feu ou du protocole IPsec VMware Inc Assurez vous que les ports du commutateur physique sont configur s avec Portfast si le protocole STP Spanning Tree Protocol est activ tant donn que les commutateurs virtuels VMware ne prennent pas en charge le STP Portfast doit tre configur sur les ports de commutateur physique c
432. r d faut m L adresse et les informations d identification du vCenter Server auquel vSphere Authentication Proxy doit se connecter adresse IP ou nom port HTTP nom d utilisateur et mot de passe m Le nom d h te ou l adresse IP pour identifier vSphere Authentication Proxy sur le r seau Proc dure 1 Ajoutez au domaine la machine h te sur laquelle vous aller installer le service proxy d authentification 2 Utilisez le compte Administrateur de domaine pour vous connecter la machine h te 3 Dans l inventaire du logiciel d installation faites un double clic sur le fichier autorun exe pour lancer l installation 4 S lectionnez VMware vSphere Authentication Proxy et cliquez sur Installer 5 Suivez les invites de l assistant pour terminer l installation ou la mise niveau Au cours de l installation le service d authentification s enregistre dans l instance vCenter Server o Auto Deploy est enregistr Lorsque vous installez le service vSphere Authentication Proxy le programme d installation cr e un compte de domaine avec les privil ges appropri s pour ex cuter le service proxy d authentification Le nom de compte commence par le pr fixe CAM et est associ un mot de passe 32 caract res g n r de fa on al atoire Le mot de passe n expire jamais Ne changez pas les param tres du g n raux Configurer un h te pour utiliser vSphere Authentication Proxy pour l authentification Apr s avoir install le service
433. r VMCA 1 G n rez une paire de cl publique cl priv e pour chaque utilisateur de solution Cela inclut une paire pour l utilisateur de solution de machine sur chaque Platform Services Controller et chaque n ud de gestion et une paire pour chaque utilisateur de solution suppl mentaire vpxd vpxd extension vsphere webclient sur chaque n ud de gestion a G n rez une paire de cl s pour l utilisateur de solution de machine d un d ploiement int gr ou pour l utilisateur de solution de machine de Platform Services Controller C gt C Program Files VMware vCenter Server vmcad certool genkey privkey machine key priv pubkey machine key pub b Facultatif Pour les d ploiements comportant un Platform Services Controller externe g n rez une paire de cl s pour l utilisateur de solution de machine sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey machine key priv pubkey machine key pub c G n rez une paire de cl s pour l utilisateur de solution vpxd sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vpxd key priv pubkey vpxd key pub d G n rez une paire de cl s pour l utilisateur de solution vpxd extension sur chaque n ud de gestion C gt C Program Files VMware vCenter Server vmcad certool genkey privkey vpxd extension key priv pubkey vpxd extension key pub VMw
434. r carte puce afin de demander aux utilisateurs d entrer une combinaison de carte puce et de PIN pour se connecter l interface DCUI ESXi Pr requis m Configurez l infrastructure de mani re prendre en charge l authentification par carte puce avec par exemple des comptes dans le domaine Active Directory des lecteurs de cartes puce et des cartes puce m Configurez ESXi pour joindre un domaine Active Directory qui prend en charge l authentification par carte puce Pour plus d informations consultez Utilisation d Active Directory pour g rer des utilisateurs ESXi page 185 m Utilisez vSphere Web Client pour ajouter des certificats racines Reportez vous Gestion de certificats pour les h tes ESXi page 152 Proc dure 1 Dans vSphere Web Client acc dez l h te 2 Cliquez sur l onglet G rer puis sur Param tres 3 Sous Syst me s lectionnez Services d authentification Vous voyez l tat actuel de l authentification par carte puce et la liste des certificats import s 4 Dans le panneau Authentification par carte puce cliquez sur Modifier VMware Inc 193 S curit vSphere 194 5 Dans la bo te de dialogue Modifier les param tres d authentification par carte puce s lectionnez la page Certificats 6 Ajoutez des certificats d autorit de certification CA approuv s certificats CA racines et interm diaires par exemple 7 Ouvrez la page Authentification par carte
435. r de bonnes normes de s curit Protection des donn es transmises Le premier risque de s curit dans les SAN iSCSI est qu un attaquant puisse renifler les donn es de stockage transmises Prenez des mesures suppl mentaires pour emp cher les attaquants de voir ais ment les donn es iSCSI Ni l adaptateur iSCSI du mat riel ni l initiateur iSCSI d ESXi ne chiffre les donn es qu ils transmettent vers les cibles et obtiennent de celles ci rendant ainsi les donn es plus vuln rables aux attaques par reniflage Permettre vos machines virtuelles de partager des commutateurs standard et des VLAN avec votre configuration iSCSI expose potentiellement le trafic iSCSI une mauvaise utilisation par un attaquant de machine virtuelle Afin de garantir que les intrus ne peuvent pas couter les transmissions iSCSI assurez vous qu aucune des machines virtuelles ne peut voir le r seau de stockage iSCSI Si vous utilisez un adaptateur iSCSI mat riel vous pouvez effectuer cette op ration en vous assurant que l adaptateur iSCSI et l adaptateur de r seau physique ESXi ne sont pas connect s par inadvertance en dehors de l h te pour partager un commutateur ou un autre l ment Si vous configurez iSCSI directement via l h te ESXi vous pouvez effectuer cette op ration en configurant le stockage iSCSI via un commutateur standard diff rent de celui utilis par vos machines virtuelles En plus de prot ger le SAN iSCSI en lui attribuant un comm
436. r peut alors ajouter des sources d identit d finir la source d identit par d faut et g rer les utilisateurs et les groupes dans le domaine vCenter Single Sign On vsphere local Tous les utilisateurs pouvant s authentifier aupr s de vCenter Single Sign On ont la possibilit de r initialiser leur mot de passe m me si celui ci a expir condition qu ils le connaissent Reportez vous Changer le mot de passe de vCenter Single Sign On page 47 Seuls les administrateurs vCenter Single Sign On peuvent r initialiser le mot de passe des utilisateurs qui n en ont plus Utilisateurs administrateurs de vCenter Single Sign On L interface d administration de vCenter Single Sign On est accessible partir de vSphere Web Client Pour configurer vCenter Single Sign On et g rer les utilisateurs et les groupes vCenter Single Sign On l utilisateur administrator vsphere local ou un utilisateur du groupe d administrateurs vCenter Single Sign On doit se connecter vSphere Web Client Apr s authentification cet utilisateur peut acc der l interface d administration de vCenter Single Sign On partir de vSphere Web Client et g rer les sources d identit et les domaines par d faut sp cifier les strat gies de mot de passe et effectuer d autres t ches d administration Reportez vous Configuration des sources d identit vCenter Single Sign On page 29 REMARQUE Vous ne pouvez pas renommer l utilisateur administrator vsph
437. ration du certificat partir de vSphere 6 0 vous pouvez afficher des informations sur l expiration des certificats qui sont sign s par VMCA ou par une autorit de certification tierce dans vSphere Web Client Vous pouvez afficher les informations de tous les h tes qui sont g r s par un syst me vCenter Server ou les informations d h tes individuels Une alarme jaune se d clenche si le certificat est dans l tat Expiration prochaine inf rieure 8 mois Une alarme rouge se d clenche si le certificat est dans l tat Expiration imminente inf rieure 2 mois Provisionnement d ESXi et VMCA Lorsque vous d marrez un h te ESXi partir d un support d installation l h te dispose initialement d un certificat automatiquement g n r Lorsque l h te est ajout au syst me vCenter Server il est provisionn avec un certificat sign par VMCA comme autorit de certification racine Le processus est similaire pour les h tes qui sont provisionn s avec Auto Deploy Cependant comme ces h tes ne stockent pas d tat le certificat sign est stock par le serveur Auto Deploy dans son magasin de certificats local Le certificat est r utilis lors des d marrages suivants des h tes ESXi Un serveur Auto Deploy fait partie d un d ploiement int gr ou d un n ud de gestion Si VMCA n est pas disponible lorsqu un h te Auto Deploy d marre pour la premi re fois l h te tente d abord de se connecter puis effectue des mises
438. re Modifier le champ UsedBy d une balise une balise Privil ges de r seau Les privil ges de r seau contr lent les t ches associ es la gestion du r seau Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 19 Privil ges de r seau Nom de privil ge Description Requis sur R seaux machines virtuelles R seau Assigner un r seau Permet l attribution d un r seau une machine virtuelle R seaux machines virtuelles R seau Configurer Permet la configuration d un r seau 274 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 19 Privil ges de r seau suite Nom de privil ge Description Requis sur R seau D placer un r seau Permet de d placer un r seau entre des dossiers R seaux Le privil ge doit tre pr sent la fois la source et la destination R seau Supprimer Permet la suppression d un r seau R seaux Ce privil ge est viter Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Privil ges de performances Les privil ges de perf
439. re Replication d h te contr lent l utilisation de la r plication de machine virtuelle par VMware vCenter Site Recovery Manager pour un h te Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 16 Privil ges de r plication d h te vSphere Nom de privil ge Description Requis sur H te vSphere Autorise la gestion de la r plication de machine virtuelle sur cet h te H tes Replication G rer la r plication Privil ges de profil d h te Les privil ges de profil d h te contr lent les op rations li es la cr ation et la modification des profils d h te Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 17 Privil ges de profil d h te Nom de privil ge Description Requis sur Profil d h te Effacer Permet d effacer les informations li es au profil Racine vCenter Server Profil d h te Cr
440. re Web Client Apr s l installation certains services s ex cutent par d faut tandis que d autres sont arr t s Dans certains cas une configuration suppl mentaire est n cessaire avant qu un service devienne disponible dans l interface utilisateur de vSphere Web Client Par exemple le service NTP permet d obtenir des informations horaires pr cises mais ce service fonctionne uniquement lorsque les ports requis sont ouverts dans le pare feu Pr requis Connectez vous vCenter Server avec vSphere Web Client Proc dure 1 Acc dez un h te dans l inventaire vSphere Web Client puis s lectionnez le 2 Cliquez sur l onglet G rer puis sur Param tres 3 Sous Syst me s lectionnez Profil de s curit et cliquez sur Modifier 4 Acc dez au service que vous souhaitez modifier 5 Dans le volet D tails du service s lectionnez D marrer Arr ter ou Red marrer pour une modification ponctuelle de l tat de l h te ou faites votre choix dans le menu R gle d marrage pour modifier l tat de l h te lors des red marrages m D marrer automatiquement si ports ouverts et arr ter quand tous ports ferm s param tre par d faut pour ces services Si un port est ouvert le client tente de contacter les ressources r seau du service Si certains ports sont ouverts mais que le port d un service particulier est ferm la tentative choue Lorsque le port sortant applicable est ouvert le service termine son d marrage m D ma
441. re autorit de certification tierce ou de votre autorit de certification d entreprise et enregistrez le fichier par exemple sous le nom rootcal crt Vous pouvez le faire en copiant tous les certificats de l autorit de certification au format PEM dans un fichier unique Vous devez commencer par le certificat racine VMCA et terminer par le certificat racine CA PEM Par exemple 3 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad 90 VMware Inc Chapitre 3 Certificats de s curit vSphere 4 Remplacez l autorit de certification racine VMCA existante certool rootca cert rootcal crt privkey root1 key Lorsque vous ex cutez cette commande elle m Ajoute le nouveau certificat racine personnalis l emplacement des certificats dans le syst me de fichiers m Ajoute le certificat racine personnalis au magasin TRUSTED_ROOTS dans VECS apr s un d lai m Ajoute le certificat racine personnalis vmdir apr s un d lai 5 Facultatif Pour
442. re de VMCA une autorit de certification interm diaire Certificate Manager page 71 Vous pouvez faire de VMCA une autorit de certification interm diaire en suivant les invites de l utilitaire Certificate Manager la fin du processus VMCA signe tous les nouveaux certificats avec la cha ne compl te Si vous le souhaitez vous pouvez utiliser Certificate Manager pour remplacer tous les certificats existants par de nouveaux certificats sign s par VMCA 5 Remplacer tous les certificats par des certificats personnalis s Certificate Manager page 75 Vous pouvez employer l utilitaire vSphere Certificate Manager pour remplacer tous les certificats par des certificats personnalis s Avant de d marrer le processus vous devez envoyer des demandes de signature de certificat CSR votre autorit de certification Vous pouvez utiliser Certificate Manager pour g n rer les demandes de signature de certificat VMware Inc 69 S curit vSphere 70 Restaurer la derni re op ration effectu e via la republication des anciens certificats Lorsque vous effectuez une op ration de gestion de certificats en utilisant vSphere Certificate Manager l tat actuel du certificat est stock dans le magasin BACKUP_STORE de VECS avant le remplacement des certificats Vous pouvez restaurer la derni re op ration effectu e et revenir l tat ant rieur REMARQUE L op ration de restauration restaure le contenu de BACKUP_STORE Si vous ex cu
443. re de s curit et ressources de s curit 16 2 Authentification vSphere l aide de vCenter Single Sign On 19 Comprendre vCenter Single Sign On 20 Configuration des sources d identit vCenter Single Sign On 29 Gestion du service d mission de jeton de s curit STS 37 Gestion des strat gies vCenter Single Sign On 39 Gestion des utilisateurs et des groupes vCenter Single Sign On 42 Recommandations en mati re de s curit pour vCenter Single Sign On 48 D pannage de vCenter Single Sign On 48 3 Certificats de s curit vSphere 53 Pr sentation de la gestion de certificats 54 Gestion de certificats avec l interface Web Platform Services Controller 65 Gestion de certificats avec l utilitaire vSphere Certificate Manager 69 Remplacement manuel de certificats 78 Gestion des certificats et des services avec les commandes de l interface de ligne de commande 107 Afficher les certificats vCenter dans vSphere Web Client 122 D finir le seuil pour les avertissements d expiration du certificat vCenter 123 4 T ches de gestion des utilisateurs et des autorisations de vSphere 125 VMware Inc Pr sentation des autorisations dans vSphere 126 Pr sentation du mod le d autorisation vCenter Server 127 H ritage hi rarchique des autorisations 128 Param tres d autorisation multiples 130 Gestion des autorisations des composants vCenter 132 Autorisations globales 136 Ajouter une autorisation globale 136 Utilisation des r les pour a
444. re webclient Magasin vSphere Web Client Inclut galement certains services suppl mentaires tels que le service de graphiques de performance Le magasin de machines est galement inclus sur chaque n ud Platform Services Controller VMware Inc 59 S curit vSphere Certificats vCenter Single Sign On Les certificats vCenter Single Sign On ne sont pas stock s dans VECS et ne sont pas g r s avec des outils de gestion de certificats En r gle g n rale les modifications ne sont pas n cessaires mais dans des situations sp ciales vous pouvez remplacer ces certificats Certificat de signature vCenter Single Sign On Certificat SSL du service d annuaire VMware Le service vCenter Single Sign On inclut un fournisseur d identit qui met des jetons SAML utilis s dans vSphere des fins d authentification Un jeton SAML repr sente l identit de l utilisateur et contient galement des informations d appartenance au groupe Lorsque vCenter Single Sign On met des jetons SAML il signe chacun d eux avec le certificat de signature pour permettre aux clients de vCenter Single Sign On de v rifier que le jeton SAML provient d une source de confiance vCenter Single Sign On met des jetons d tenteurs de cl SAML pour les utilisateurs de solution et des jetons au porteur pour les autres utilisateurs qui se connectent avec un nom d utilisateur et un mot de passe Vous pouvez remplacer ce certificat dans vSphere Web Client
445. res suivantes Le syst me d exploitation invit peut g n rer une erreur PCI ou PCIe irr cup rable Une telle erreur n alt re pas les donn es mais peut bloquer l h te ESXi De telles erreurs peuvent se produire en raison de bogues et d incompatibilit s dans les p riph riques mat riels qui sont relay s ou en raison de probl mes de pilotes du syst me d exploitation invit Le syst me d exploitation invit peut g n rer une op ration DMA Direct Memory Access qui provoque une erreur de page IOMMU sur l h te ESXi par exemple si l op ration DMA cible une adresse situ e hors de la m moire de la machine virtuelle Sur certaines machines le microprogramme de l h te configure les fautes IOMMU pour signaler une erreur irr m diable via une interruption non masquable NMI ce qui entra ne le blocage de l h te ESXi Ce probl me peut tre d des dysfonctionnements de pilotes du syst me d exploitation invit Si le syst me d exploitation sur l h te ESXi n utilise pas le remappage d interruption le syst me d exploitation invit peut injecter une interruption fallacieuse dans l h te ESXi sur n importe quel vecteur ESXi utilise actuellement le remappage d interruptions sur les plates formes Intel offrant cette possibilit le remappage d interruption fait partie de l ensemble de fonctionnalit s Intel VT d ESXi n utilise pas le mappage d interruptions sur les plates formes AMD Une interruption fallacieuse est suscept
446. ressources ressources Privil ges de t che planifi e Les privil ges de t che planifi e contr lent la cr ation l dition et la suppression de t ches planifi es Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 24 Privil ges de t che planifi e Nom de privil ge Description Requis sur T che planifi e Cr er des Permet de planifier une t che Requis en plus des privil ges pour Tout objet t ches ex cuter l action programm e au moment de l tablissement de la planification T che planifi e Modifier la Permet de reconfigurer les propri t s de t che planifi e Tout objet t che T che planifi e Supprimer Permet de supprimer une t che planifi e de la file d attente Tout objet la t che T che planifi e Ex cuter Permet d ex cuter la t che planifi e imm diatement Tout objet une t che La cr ation et l ex cution d une t che planifi e exigent galement l autorisation d ex cuter l action associ e Privil ges de sessions Les privil ges de sessions contr lent la capacit des extensions ouvrir des sessions sur le syst me vCenter Server Vous pouvez d finir ce privil ge
447. rir la page de connexion de la console physique de la machine m Si vous vous connectez l h te distance utilisez SSH ou une autre connexion distance pour ouvrir une session sur l h te Entrez un nom d utilisateur et un mot de passe reconnus par l h te Modifier les param tres proxy Web ESXi Lorsque vous modifiez les param tres proxy Web vous devez prendre en compte plusieurs recommandations de s curit utilisateur et de chiffrement REMARQUE Red marrez le processus h te apr s avoir modifi les r pertoires h tes ou les m canismes d authentification VMware Inc Ne configurez aucun certificat utilisant un mot de passe ou une phrase secr te ESXi ne prend pas en charge les proxies Web qui utilisent des mots de passe ou des phrases secr tes galement appel s cl s chiffr es Si vous configurez un proxy Web qui n cessite un mot de passe ou une phrase secr te les processus ESXi ne peuvent pas d marrer correctement Pour assurer la prise en charge du chiffrement des noms d utilisateur des mots de passe et des paquets SSL est activ par d faut pour les connexions vSphere Web Services SDK Si vous souhaitez configurer ces connexions afin qu elles ne chiffrent pas les transmissions d sactivez SSL pour votre connexion vSphere Web Services SDK en rempla ant le param tre de connexion HTTPS par HTTP Envisagez de mettre hors tension SSL uniquement si vous avez cr un environnement parfaitement
448. rm Services Controller tandis que d autres requi rent galement l utilisation d interfaces de ligne de commande Par exemple vous utilisez l utilitaire de gestion de certificats vSphere pour g n rer des demandes de signature de certificat CSR et pour utiliser des certificats personnalis s Workflows pris en charge Remplacer tous les Vous pouvez ajouter un nouveau certificat racine VMCA et renouveler tous certificats par des les certificats de votre environnement dans l interface Web certificats sign s par Platform Services Controller l autorit de certification VMware VMCA Faire de VMCA une Vous pouvez g n rer une CSR l aide de l utilitaire de gestion de certificats autorit de certificat vSphere modifier le certificat que vous avez re u de la CSR pour ajouter interm diaire VMCA la cha ne puis ajouter la cha ne de certificats et la cl priv e votre environnement dans l onglet Gestion de certificats de l interface Web Platform Services Controller Vous pouvez ensuite renouveler tous les certificats dans l interface Web Platform Services Controller de sorte que VMCA fournisse tous les utilisateurs de machines et de solutions des certificats sign s par la cha ne compl te Si vous devez remplacer le certificat racine du service d annuaire VMware vmdir ou si la strat gie d entreprise exige que vous remplaciez le certificat vCenter Single Sign On dans un environnement en mode mixte vous pouvez utiliser des
449. rmet de cr er un pool de ressources Pools de ressources clusters Ressource Migrer une machine virtuelle hors tension Permet de migrer une machine virtuelle hors tension vers un autre pool de ressources ou un autre h te Machines virtuelles Ressource Migrer une machine virtuelle sous tension Permet de migrer une machine virtuelle hors tension vers un autre pool de ressources ou un autre h te l aide de vMotion Ressource Modifier un pool de ressources Permet de changer les allocations d un pool de ressources Pools de ressources Ressource D placer un pool de ressources Permet de d placer un pool de ressources Le privil ge doit tre pr sent la fois la source et la destination Pools de ressources Ressource Interroger vMotion Permet d interroger la compatibilit g n rale de la fonction vMotion d une machine virtuelle avec un ensemble d h tes Racine vCenter Server 276 VMware Inc Chapitre 10 Privil ges d finis Tableau 10 23 Privil ges de ressources suite Nom de privil ge Description Requis sur Ressource Supprimer un pool de Permet de supprimer un pool de ressources Pools de ressources ressources Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Ressource Renommer un pool de Permet de renommer un pool de ressources Pools de
450. robl me Vous ajoutez une source d identit Active Directory vCenter Single Sign On mais les utilisateurs ne parviennent pas se connecter vCenter Server Cause Les utilisateurs se connectent leur domaine par d faut l aide de leur nom d utilisateur et mot de passe Pour tous les autres domaines ils doivent inclure le nom de domaine utilisateur domaine ou DOMAINE utilisateur Si vous utilisez vCenter Server Appliance d autres probl mes peuvent se produire Solution Pour tous les d ploiements de vCenter Single Sign On vous pouvez modifier la source d identit par d faut Une fois la modification effectu e les utilisateurs peuvent se connecter la source d identit par d faut l aide de leur nom d utilisateur et mot de passe uniquement Pour configurer votre source d identit d authentification Windows int gr e avec un domaine enfant dans votre for t Active Directory reportez vous l article 2070433 de la base de connaissances VMware Par d faut l authentification Windows int gr e utilise le domaine racine de votre for t Active Directory Si vous utilisez vCenter Server Appliance et que la modification de la source d identit par d faut ne r sout pas le probl me effectuez l une des interventions de d pannage suppl mentaires suivantes 1 Synchronisez les horloges entre vCenter Server Appliance et les contr leurs de domaine Active Directory 50 VMware Inc Chapitre 2 Authentification v
451. rrer et arr ter avec h te le service d marre peu de temps apr s le d marrage de l h te et se ferme juste avant l arr t de l h te Plut t semblable l option D marrer automatiquement si ports ouverts et arr ter quand tous ports ferm s cette option signifie que le service tente r guli rement d effectuer sa t che telle que contacter le serveur NTP sp cifi Si le port a t ferm mais est rouvert par la suite le client commence effectuer sa t che peu apr s 174 VMware Inc Chapitre 5 S curisation des h tes ESXi m D marrer et arr ter manuellement L h te pr serve les param tres de service d termin s par l utilisateur quels que soient les ports ouverts ou non Lorsqu un utilisateur d marre le service NTP ce service reste en ex cution tant que l h te est aliment Si le service est d marr et que l h te est mis hors tension le service est arr t dans le cadre du processus d arr t mais d s que l h te est mis sous tension le service red marre et conserve l tat d termin par l utilisateur REMARQUE Ces param tres s appliquent uniquement aux param tres de service qui sont configur s par le biais de vSphere Web Client ou aux applications cr es avec vSphere Web Services SDK Les configurations effectu es par d autres moyens par exemple dans ESXi Shell ou avec les fichiers de configuration ne sont pas modifi es par ces param tres Mode verrouillage Pour augmenter le niveau de
452. rs ou les processus de machines virtuelles de d connecter les p riph riques Les utilisateurs et processus sans privil ges racine ou administrateur au sein d une machine virtuelle ont la possibilit de connecter ou d connecter des p riph riques comme les adaptateurs r seau et les lecteurs de CD ROM ainsi que la capacit de modifier les param tres des p riph riques Afin de renforcer la s curit des machines virtuelles supprimez ces p riph riques Si vous ne souhaitez pas supprimer en permanence un p riph rique vous pouvez emp cher un utilisateur ou un processus de machine virtuelle de d connecter ce p riph rique du syst me d exploitation invit Pr requis D sactivez la machine virtuelle VMware Inc 225 S curit vSphere 226 Proc dure 1 Trouvez la machine virtuelle dans l inventaire vSphere Web Client a S lectionnez un centre de donn es un dossier un cluster un pool de ressources ou un h te b Cliquez sur l onglet Objets associ s puis cliquez sur Machines virtuelles Cliquez avec le bouton droit sur la machine virtuelle et cliquez surModifier les param tres S lectionnez Options VM Cliquez sur Avanc es puis cliquez sur Modifier la configuration a AeA OO N V rifiez que les valeurs suivantes sont dans les colonnes de nom et de valeur ou cliquez sur Ajouter ligne pour les ajouter Nom Valeur isolation device connectable disabl true e isolation device edit disable true
453. rsions ult rieures l autorit de certification VMware VMCA provisionne chaque nouvel h te ESXi avec un certificat sign dont VMCA est l autorit de certification racine par d faut Le provisionnement s effectue lorsque l h te est explicitement ajout vCenter Server ou dans le cadre d une installation ou d une mise niveau vers ESXi 6 0 ou version ult rieure Vous pouvez afficher et g rer ces certificats dans vSphere Web Client ou l aide de l API vim CertificateManager dans vSphere Web Services SDK Vous ne pouvez pas afficher ou g rer des certificats ESXi l aide des interfaces de ligne de commande de gestion de certificats disponibles pour la gestion des certificats vCenter Server Certificats dans vSphere 5 5 et dans vSphere 6 0 Lorsqu ESXi et vCenter Server communiquent ils utilisent SSL pour presque tout le trafic de gestion Dans vSphere 5 5 et versions ant rieures les points de terminaison SSL sont s curis s uniquement par une combinaison de nom d utilisateur mot de passe et empreinte Les utilisateurs peuvent remplacer les certificats autosign s correspondants par leur propres certificats Reportez vous au Centre de documentation vSphere 5 5 Dans vSphere 6 0 et versions ult rieures vCenter Server prend en charge les modes de certificat suivants pour les h tes ESXi 152 VMware Inc Chapitre 5 S curisation des h tes ESXi Tableau 5 1 Modes de certificat des h tes ESXi Mode de certificat Description
454. rtificats sign s par VMCA expirent au moment de l expiration du certificat racine c est dire au terme d une p riode maximale de dix ans Figure 3 1 Les certificats sign s par VMCA sont stock s dans VECS VMCA Sign Certificat d autorit de certification Certificat machine VECS Faire de VMCA une autorit de certificat interm diaire Vous pouvez remplacer le certificat racine VMCA par un certificat qui est sign par une autorit de certification d entreprise ou une autorit de certification tierce VMCA signe le certificat racine personnalis chaque fois qu il provisionne des certificats ce qui en fait une autorit de certification interm diaire REMARQUE Si vous effectuez une nouvelle installation qui inclut un Platform Services Controller externe installez d abord le Platform Services Controller et remplacez le certificat racine VMCA Installez ensuite d autres services ou ajoutez des h tes ESXi votre environnement Si vous effectuez une nouvelle installation avec un Platform Services Controller int gr remplacez le certificat racine VMCA avant d ajouter des h tes ESXi Dans ce cas tous les certificats sont sign s par l int gralit de la cha ne et vous n avez pas g n rer de nouveaux certificats VMware Inc Chapitre 3 Certificats de s curit vSphere Figure 3 2 Les certificats sign s par une autorit de certification tierce ou d entreprise utilisent VMCA comme autorit de cert
455. rtir d un CD m Machine virtuelle Interaction Configurer un support de disquette en cas d installation partir d une disquette m Machine virtuelle Interaction Installer VMware Tools 142 VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Tableau 4 1 Privil ges requis pour les t ches courantes suite T che Privil ges requis R le applicable Sur une banque de donn es contenant l image ISO de support Utilisateur d installation avanc de Banque de donn es Parcourir une banque de donn es en cas machines d installation partir d une image ISO sur une banque de donn es virtuelles ou Sur la banque de donn es sur laquelle vous chargez l image ISO de FAIRE GRAN support d installation m Banque de donn es Parcourir une banque de donn es m Banque de donn es Op rations de fichier de niveau inf rieur Migrer une machine Sur la machine virtuelle ou le dossier des machines virtuelles Administrateur virtuelle avec vMotion m Ressource Migrer une machine virtuelle sous tension de pool de m Ressource Attribuer une machine virtuelle au pool de M ressources si la destination est un pool de ressources diff rent de la source Sur l h te le cluster ou le pool de ressources de destination si Administrateur diff rent de la source de pool de Ressource Attribuer une machine virtuelle au pool de ressources ressources ou Administrateur Migrer froid relocaliser Sur
456. rtuelle 293 Privil ges du groupe dvPort 293 Privil ges de vApp 294 Privil ges vServices 295 Index 297 VMware Inc Table des mati res S curit vSphere 6 VMware Inc propos de la s curit de vSphere S curit vSphere fournit des informations sur la s curisation de votre environnement vSphere pour VMware vCenter Server et VMware ESXi Pour vous aider prot ger votre environnement vSphere cette documentation d crit les fonctionnalit s de s curit disponibles et les mesures prendre pour prot ger votre environnement des attaques Outre ce document VMware publie un Guide de s curisation renforc e pour chaque version de vSphere Ces guides sont disponibles la page http www vmware com security hardening guides html Le Guide de s curisation renforc e est une feuille de calcul comprenant des entr es pour diff rents probl mes potentiels de s curit Il offre des l ments pour trois profils de risque Ce document S curit vSphere ne contient pas d informations concernant le profil de risque 1 environnement imposant une s curit maximale comme les installations gouvernementales top secr tes Public cible Ces informations sont destin es aux administrateurs syst me Windows ou Linux exp riment s qui ma trisent les technologies de machine virtuelle et les op rations de centre de donn es VMware Inc T S curit vSphere 8 VMware Inc S curit dans l environnement vS
457. rvant authentifier la session doit disposer du privil ge H te Config AdvancedConfig sur l h te Pour plus d informations sur l attribution de privil ges par le biais de r les consultez Gestion des autorisations des composants vCenter page 132 Proc dure 1 Sauvegardez les certificats existants 2 G n rez une demande de certificat en suivant les instructions de l autorit de certification 3 Lorsque vous avez le certificat utilisez la commande vifs pour t l charger le certificat l emplacement appropri sur l h te partir d une connexion SSH vers l h te vifs server hostname username username put rui crt host ssl_cert vifs server hostname username username put rui key host ssl_key 4 Red marrez l h te Suivant Mettez jour le magasin vCenter Server TRUSTED_ROOTS Reportez vous Mettre jour le magasin TRUSTED_ROOTS de vCenter Server Certificats personnalis s page 164 Remplacer un certificat par d faut l aide de HTTPS PUT Vous pouvez utiliser des applications tierces pour t l charger des certificats et une cl Les applications prenant en charge les op rations HTTPS PUT utilisent l interface HTTPS incluse avec ESXi Pr requis m Si vous souhaitez utiliser des certificats sign s par une autorit de certification tierce g n rez la demande de certificat envoyez la l autorit de certification et stockez les certificats sur chaque h te ESXi m Si n
458. ry configurez ESXi pour Active Directory ce service d marre Processus NTP Arr t D mon NTP Network Time Protocol Serveur CIM En cours d ex cution Service pouvant tre utilis par les applications CIM Common Information Model Serveur SNMP Arr t D mon SNMP Reportez vous Surveillance et performances vSphere pour obtenir des informations sur la configuration de SNMP v1 v2 et v3 Serveur Syslog Arr t D mon Syslog Vous pouvez activer syslog partir des Param tres syst me avanc s de vSphere Web Client Reportez vous Installation et configuration de vSphere Agent vSphere haute Arr t Prend en charge la fonctionnalit vSphere High disponibilit Availability VMware Inc 173 S curit vSphere Tableau 5 8 Services ESXi du profil de s curit suite Service Par d faut Description D mon vProbe Arr t D mon vProbe Agent VMware vCenter En cours d ex cution Agent vCenter Server Autorise un syst me vCenter Server se connecter un h te ESXi Sp cifiquement vpxa est le conduit de communication au d mon de l h te qui communique avec le noyau ESXi X Org Server Arr t X Org Server Cette fonctionnalit facultative est utilis e en interne pour les graphiques 3D des machines virtuelles Activer ou d sactiver un service dans le profil de s curit Vous pouvez activer ou d sactiver l un des services r pertori s dans le profil de s curit depuis vSphe
459. s la plus commune d entre elles tant WS MAN Ne fournissez pas aux applications distantes des informations d identification racine permettant d acc der l interface CIM Cr ez plut t un compte de service sp cifique ces applications et accordez un acc s en lecture seule aux informations CIM tous les comptes locaux d finis sur le syst me ESXi ainsi qu tous les r les d finis dans vCenter Server Proc dure 1 Cr ez un compte de service sp cifique aux applications CIM 2 Accordez un acc s en lecture seule aux informations CIM tous les comptes locaux d finis sur le syst me ESXi ainsi qu tous les r les d finis dans vCenter Server 3 Facultatif Si l application requiert un acc s en criture l interface CIM cr ez un r le s appliquant au compte de service avec seulement deux privil ges m H te Config SystemManagement Gestion du syst me m H te CIM CIMInteraction Interaction CIM Ce r le peut tre local pour l h te ou d fini centralement sur vCenter Server selon le mode de fonctionnement de l application de contr le Lorsqu un utilisateur se connecte l h te avec le compte de service cr pour les applications CIM l utilisateur dispose uniquement des privil ges SystemManagement Gestion du syst me et CIMinteraction Interaction CIM ou d un acc s en lecture seule VMware Inc 215 S curit vSphere 216 VMware Inc S curisation des machines virtuelles Le syst me d
460. s Obtention de certificats vSphere depuis une autorit de certification Microsoft VMware Inc 77 S curit vSphere Proc dure 1 2 D marrez vSphere Certificate Manager et s lectionnez l option 5 S lectionnez l option 2 pour d marrer le remplacement des certificats et r pondre aux invites vSphere Certificate Manager vous invite fournir les informations suivantes m Mot de passe pour administrator vsphere local m Certificat et cl de l utilisateur de solution de machine m Si vous ex cutez vSphere Certificate Manager sur un n ud Platform Services Controller vous tes invit saisir le certificat et la cl vpxd crt et vpxd key pour l utilisateur de solution de machine m Si vous ex cutez vSphere Certificate Manager sur un n ud de gestion ou sur un d ploiement int gr vous tes invit indiquer l ensemble complet de certificats et de cl s vpxd crt et vpxd key pour tous les utilisateurs de solution Suivant Selon votre environnement vous devrez ventuellement remplacer explicitement d autres certificats Si une strat gie d entreprise vous impose de remplacer tous les certificats remplacez le certificat racine vmdir Reportez vous Remplacer le certificat de service d annuaire VMware page 99 Si vous proc dez une mise niveau partir d un environnement vSphere 5 x vous devrez ventuellement remplacer le certificat vCenter Single Sign On dans vmdir Reportez vous Rempl
461. s e sur une interface de navigation l acc s suivant doit tre possible m Le pare feu doit autoriser vSphere Web Client acc der vCenter Server par le port 9443 m Le pare feu doit autoriser vCenter Server acc der ESXi par le port 902 Connexion une console de machine virtuelle autonome au moyen vSphere Web Client Si vous utilisez vSphere Web Client et que vous vous connectez une console de machine virtuelle autonome l acc s suivant doit tre possible m Le pare feu doit autoriser vSphere Web Client acc der vCenter Server par le port 9443 m Le pare feu doit autoriser la console de machine virtuelle acc der vCenter Server par le port 9443 et l h te ESXi par le port 902 Connexion aux h tes ESXi directement avec vSphere Client Vous pouvez utiliser la console de machine virtuelle vSphere Client si vous vous connectez directement un h te ESXi REMARQUE N utilisez pas vSphere Client pour vous connecter directement aux h tes g r s par un syst me vCenter Server Si vous apportez des modifications de tels h tes depuis vSphere Client votre environnement devient instable VMware Inc 233 S curit vSphere Le pare feu doit autoriser l acc s l h te ESXi sur les ports 443 et 902 vSphere Client utilise le port 902 pour fournir une connexion pour les activit s MKS du syst me d exploitation invit sur les machines virtuelles C est par ce port que les utilisateurs interag
462. s pouvez vous connecter l interface DCUI ESXi l aide des informations d identification de l utilisateur ESXi local Cela vous permet d effectuer des diagnostics et d autres op rations de secours Le recours la connexion par nom d utilisateur et mot de passe est consign Une fois la connectivit avec Active Directory restaur e l authentification par carte puce est r activ e REMARQUE La perte de connectivit r seau avec vCenter Server n affecte pas l authentification par carte puce si le serveur de domaine Active Directory AD est disponible Utilisation de l authentification par carte puce en mode de verrouillage Lorsqu il est activ le mode de verrouillage sur l h te ESXi renforce la s curit de l h te et limite l acc s l interface DCUI Le mode de verrouillage peut d sactiver la fonctionnalit d authentification par carte puce En mode de verrouillage normal seuls les utilisateurs r pertori s dans la liste des utilisateurs exceptionnels et disposant de privil ges d administration peuvent acc der l interface DCUI Les utilisateurs exceptionnels sont des utilisateurs locaux d un h te ou des utilisateurs Active Directory disposant d autorisations d finies localement pour l h te ESXi Si vous souhaitez utiliser l authentification par carte VMware Inc Chapitre 5 S curisation des h tes ESXi puce en mode de verrouillage normal vous devez ajouter les utilisateurs la liste des util
463. s t ches de gestion de certificats Reportez vous Ajouter des membres un groupe vCenter Single Sign On page 46 Proc dure 1 G n rer un nouveau certificat racine sign par VMCA page 79 Vous g n rez de nouveaux certificats sign s par l autorit de certification VMware VMCA avec l interface de ligne de commande certool et vous les publiez dans vmdir 2 Remplacer les certificats SSL de la machine par des certificats sign s par VMCA page 81 Une fois que vous avez g n r un nouveau certificat racine sign par VMCA vous pouvez remplacer tous les certificats SSL de machine de votre environnement 3 Remplacer les certificats d utilisateurs de solution par de nouveaux certificats sign s par VMCA page 84 Apr s avoir remplac les certificats SSL de la machine vous pouvez remplacer tous les certificats des utilisateurs de solutions Les certificats d utilisateurs de solutions doivent tre valides ils ne sont pas arriv s expiration mais l infrastructure de certificats n utilise aucune des autres informations d un certificat 4 Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 88 Pendant la mise niveau votre environnement peut comprendre temporairement la fois vCenter Single Sign On version 5 5 et vCenter Single Sign On version 6 0 Vous devez prendre des mesures suppl mentaires pour remplacer le certificat SSL du service d annuaire VMware si vous remplacez le certi
464. s vous soumettez un fichier de configuration une commande certool Reportez vous Modification de la configuration de certool page 108 Vous trouverez des exemples d utilisation la section Remplacer les certificats existants sign s par l autorit de certification VMware VMCA par de nouveaux certificats page 79 certool initcsr G n rez une demande de signature de certificat La commande g n re un fichier PKCS10 et une cl priv e Option Description initcsr Requis pour g n rer les demandes de signature de certificat privkey lt fichier_cl gt Nom du fichier de cl priv e pubkey lt fichier_cl gt Nom du fichier de cl publique csrfile lt fichier_csr gt Nom du fichier de demandes de signature de certificat envoyer au fournisseur d autorit de certification config lt fichier_config gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut Exemple certool initcsr privkey lt filename gt pubkey lt filename gt csrfile lt filename gt VMware Inc 109 S curit vSphere 110 certool selfca Cr e un certificat auto sign et provisionne le serveur VMCA avec une autorit de certification racine auto sign e Cette option offre une m thode tr s simple pour provisionner le serveur VMCA Si vous pr f rez vous pouvez provisionner le serveur VMCA l aide d un certificat racine tiers Ainsi
465. s combin es de lettres majuscules et minuscules Dans vSphere 6 0 et versions ult rieures les caract res non ASCII sont pris en charge dans les mots de passe Dans les versions pr c dentes de vCenter Single Sign On les caract res pris en charge sont plus limit s Caract res identiques adjacents Nombre maximal de caract res adjacents identiques autoris s dans le mot de passe Le nombre doit tre sup rieur 0 Par exemple si vous entrez 1 le mot de passe suivant n est pas autoris p word Cliquez sur OK Modifier la strat gie de verrouillage de vCenter Single Sign On Une strat gie de verrouillage de vCenter Single Sign On sp cifie les conditions dans lesquelles le compte vCenter Single Sign On d un utilisateur est verrouill lorsque ce dernier tente de se connecter avec des informations d identification incorrectes Vous pouvez modifier la r gle de verrouillage Si un utilisateur se connecte vsphere local plusieurs reprises l aide d un mot de passe incorrect il est verrouill La strat gie de verrouillage vous permet de sp cifier le nombre maximal de tentatives de connexion infructueuses et le d lai entre deux tentatives La r gle indique galement le d lai qui doit s couler avant que le compte soit automatiquement d verrouill REMARQUE La strat gie de verrouillage s applique aux comptes d utilisateurs et non aux comptes syst me tels qu administrator vsphere local VMware Inc
466. s configur s sur la valeur du VLAN natif Les commutateurs physiques utilisent VLAN 1 comme VLAN natif Les trames sur un VLAN natif ne sont pas balis es avec un 1 ESXi n a pas de VLAN natif Les trames pour lesquelles le VLAN est sp cifi dans le groupe de ports comportent une balise mais les trames pour lesquelles le VLAN n est pas sp cifi dans le groupe de ports ne sont pas balis es Ceci peut cr er un probl me car les machines virtuelles balis es avec un 1 appartiendront au VLAN natif du commutateur physique Par exemple les trames sur le VLAN 1 d un commutateur physique Cisco ne sont pas balis es car VLANI est le VLAN natif sur ce commutateur physique Cependant les trames de l h te ESXi sp cifi es comme VLAN 1 sont balis es avec un 1 le trafic de l h te ESXi destin au VLAN natif n est donc pas achemin correctement car il porte la balise 1 au lieu de ne pas tre balis Le trafic du commutateur physique provenant du VLAN natif n est pas visible car il n est pas balis Si le groupe de ports du commutateur virtuel ESXi utilise l ID du VLAN natif le trafic provenant des machines virtuelles sur ce port n est pas visible pour le VLAN natif sur le commutateur car le commutateur attend un trafic non balis Assurez vous que les groupes de ports ne sont pas configur s sur des valeurs VLAN r serv es par les commutateurs physiques en amont Les commutateurs physiques r servent certains ID de VLAN des fins internes et n
467. s d inventaire h ritent des autorisations d un objet parent unique dans la hi rarchie Par exemple un centre de donn es h rite des autorisations de son dossier parent du centre de donn es ou du centre de donn es de parent Les machines virtuelles h ritent des autorisations du dossier parent de machine virtuelle et simultan ment l h te le cluster ou le pool de ressources parent Par exemple pour d finir des autorisations pour un Distributed Switch et ses groupes de ports distribu s associ s d finissez les autorisations sur un objet parent tel qu un dossier ou un centre de donn es Vous devez galement s lectionner l option pour propager ces autorisations aux objets enfant VMware Inc 129 S curit vSphere Les autorisations prennent plusieurs formes dans la hi rarchie Entit s g r es Les utilisateurs privil gi s peuvent d finir des autorisations sur des entit s g r es m Clusters m Centres de donn es m Banques de donn es m Clusters de banques de donn es m Dossiers m H tes m R seaux except vSphere Distributed Switches m Groupes de ports distribu s m Pools de ressources m Mod les m Machines virtuelles m vSphere vApps Entit s globales Vous ne pouvez pas modifier les autorisations sur des entit s qui d rivent les autorisations du syst me vCenter Server racine m Champs personnalis s m Licences m R les m Intervalles de statistiques m Sessions Param tres d autorisation
468. s de l ensemble de r gles sp cifi esxcli network firewall ruleset allowedip add Autoriser l acc s l ensemble de r gles partir de l adresse IP ou de la plage d adresses IP sp cifi e esxcli network firewall ruleset allowedip Supprimer l acc s l ensemble de r gles partir de remove l adresse IP ou de la plage d adresses IP sp cifi e esxcli network firewall ruleset rule list Lister les r gles de chaque ensemble de r gles du pare feu 172 VMware Inc Chapitre 5 S curisation des h tes ESXi Personnalisation des services ESXi partir du profil de s curit Un h te ESXi inclut plusieurs services s ex cutant par d faut D autres services par exemple SSH sont inclus dans le profil de s curit de l h te Vous pouvez activer et d sactiver ces services en fonction des besoins si la strat gie de l entreprise l autorise Utiliser vSphere Web Client pour activer l acc s ESXi Shell page 198 est un exemple de proc dure d activation d un service REMARQUE L activation de services affecte la s curit de votre h te N activez un service que si cela est strictement n cessaire Les services disponibles varient en fonction des VIB install s sur l h te ESXi Vous ne pouvez pas ajouter de services sans installer un VIB Certains produits VMware par exemple vSphere HA installent des VIB sur des h tes et rendent disponibles des services et les ports de pare feu correspondants Dans u
469. s devez actualiser ces certificats internes m Remplacez le certificat de signature vCenter Single Sign On Reportez vous Rafra chir le certificat racine du service d mission de jeton de s curit STS page 37 m Remplacez le certificat de service d annuaire VMware Reportez vous Remplacer le certificat de service d annuaire VMware page 99 VMware Inc 91 S curit vSphere 92 Remplacer les certificats SSL de la machine autorit de certification interm diaire Apr s avoir re u le certificat sign de l autorit de certification et en avoir fait le certificat racine VMCA vous pouvez remplacer tous les certificats SSL de machine Cette proc dure est en grande partie identique celle mise en uvre pour le remplacement par un certificat qui utilise VMCA comme autorit de certification N anmoins dans ce cas VMCA signe tous les certificats avec la cha ne compl te Chaque machine doit avoir un certificat SSL de machine pour la communication s curis e avec d autres services Dans un d ploiement n uds multiples vous devez ex cuter les commandes de g n ration de certificat SSL de la machine sur chaque n ud Utilisez le param tre server pour d signer Platform Services Controller partir d un noeud vCenter Server avec une instance de Platform Services Controller externe Pr requis Pour chaque certificat SSL de machine le SubjectAltName doit contenir DNS Name lt Machine FQDN gt
470. s devez avoir le privil ge Certificates G rer les certificats Vous pouvez d finir ce privil ge partir de vSphere Web Client Modification de la configuration de certool Lorsque vous ex cutez certool gencert et certaines autres commandes d initialisation ou de gestion de certificats l interface de ligne de commande lit toutes les valeurs d un fichier de configuration Vous pouvez modifier le fichier existant remplacer le fichier de configuration par d faut certool cfg au moyen de l option config lt nom de fichier gt ou remplacer diff rentes valeurs sur la ligne de commande Le fichier de configuration comporte plusieurs champs poss dant les valeurs par d faut suivantes Country US Name Acme Organization AcmeOrg OrgUnit AcmeOrg Engineering State California VMware Inc Chapitre 3 Certificats de s curit vSphere Locality Palo Alto IPAddress 127 0 0 1 Email email acme com Hostname server acme com Vous pouvez modifier les valeurs de la configuration comme suit m Cr ez une sauvegarde du fichier de configuration puis modifiez celui ci Si vous utilisez le fichier de configuration par d faut il est inutile de le sp cifier Autrement par exemple si vous avez modifi le nom du fichier de configuration utilisez l option de ligne de commande config m Remplacez la valeur du fichier de configuration sur la ligne de commande Par exemple pour remplacer Locality ex cutez la commande suiv
471. s fichiers ssl key priv et ssl key pub sont cr s dans le r pertoire actuel VMware Inc Chapitre 3 Certificats de s curit vSphere 3 G n rez le nouveau certificat SSL de machine Ce certificat est sign par VMCA Si vous remplacez le certificat racine VMCA par un certificat personnalis VMCA signe tous les certificats avec la cha ne compl te m Sur un n ud Platform Services Controller ou une installation int gr e C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vmca ssl crt privkey ssl key priv config ssl config cfg m Sur vCenter Server installation externe C gt C Program Files VMware vCenter Server vmcad certool gencert cert new vmca ssl crt privkey ssl key priv config ssl config cfg server lt psc ip or fqdn gt Le fichier new vmca ss1 crt est cr dans le r pertoire actuel 4 Facultatif R pertoriez le contenu de VECS C Program Files VMware vCenter Server vmafdd vecs cli store list m R sultat sur Platform Services Controller MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine m R sultat sur vCenter Server output on vCenter MACHINE_SSL_CERT TRUSTED_ROOTS TRUSTED_ROOT_CRLS machine vpxd vpxd extension vsphere webclient sms 5 Remplacez le certificat SSL de machine dans VECS par le nouveau certificat SSL de machine Les valeurs store et alias doivent correspondre exactement aux noms par d faut m
472. s il est disponible Fournisseurs CIM Utilisateurs disposant des privil ges d administrateur sur l h te vCenter vpxuser Utilisateurs exceptionnels en fonction des autorisations vCloud Director vslauser s il est disponible vCenter vpxuser Utilisateurs exceptionnels en fonction des autorisations vCloud Director vslauser s il est disponible Interface utilisateur de la console directe DCUI Utilisateurs disposant des privil ges d administrateur sur l h te et utilisateurs de l option avanc e DCUI Access Utilisateurs d finis dans l option avanc e DCUI Access Utilisateurs exceptionnels disposant des privil ges d administrateur sur l h te Le service de l interface DCUI est arr t VMware Inc 177 S curit vSphere 178 Tableau 5 9 Comportement du mode de verrouillage suite Service ESXi Shell s il est activ Mode normal Utilisateurs disposant des privil ges d administrateur sur l h te Mode de verrouillage normal Utilisateurs d finis dans l option avanc e DCUI Access Utilisateurs exceptionnels disposant des privil ges d administrateur sur l h te Mode verrouillage strict Utilisateurs d finis dans l option avanc e DCUI Access Utilisateurs exceptionnels disposant des privil ges d administrateur sur l h te SSH s il est activ Utilisateurs disposant des privil ges d administrateur sur l h te Utilisateurs d finis
473. s multiples vous devez red marrer les services sur tous les noeuds vCenter Server avec une instance de Platform Services Controller externe Faire de VMCA une autorit de certification interm diaire Certificate Manager Vous pouvez faire de VMCA une autorit de certification interm diaire en suivant les invites de l utilitaire Certificate Manager la fin du processus VMCA signe tous les nouveaux certificats avec la cha ne compl te Si vous le souhaitez vous pouvez utiliser Certificate Manager pour remplacer tous les certificats existants par de nouveaux certificats sign s par VMCA G n rer des demandes de signature de certificat avec vSphere Certificate Manager autorit de certification interm diaire Vous pouvez utiliser vSphere Certificate Manager pour g n rer des demandes de signature de certificat CSR Certificate Signing Request que vous pouvez ensuite utiliser avec votre autorit de certification d entreprise ou envoyer une autorit de certification externe Vous pouvez utiliser les certificats avec les diff rents processus de remplacement de certificat pris en charge Pr requis vSphere Certificate Manager vous invite fournir des informations Les invites d pendent de votre environnement et du type de certificat que vous souhaitez remplacer m Pour la g n ration d une demande de signature de certificat vous tes invit entrer le mot de passe de l utilisateur administrator vsphere local ou de l adm
474. s personnalis s 137 S sauvegarder les certificats ESXi 166 SDK ports du pare feu et console de machine virtuelle 233 s curisation de la mise en r seau 229 s curisation de vCenter Server Appliance 212 s curisation renforc e du syst me d exploitation de l h te de vCenter Server 209 s curit autorisations 132 certification 16 couche de virtualisation 9 couche r seau virtuelle 13 DMZ sur un h te 240 241 h te 148 machines virtuelles avec VLAN 238 meilleures pratiques 253 politique VMware 16 ports de commutateur standard 234 235 Stockage iSCSI 256 vCenter Server 11 VLAN hopping 239 s curit d Image Builder 182 s curit de l h te cl s autoris es 152 console de machine virtuelle 220 d sactivation du MOB 151 donn es de performance 259 gestion des ressources 220 journalisation 202 managed object browser 151 outils CIM 215 r duction de disque virtuel 218 utilisation des mod les 220 VIB non sign s 182 S curit de l hyperviseur 9 s curit de la mise en r seau 247 s curit de vCenter Server 207 210 S curit de vSphere Web Client 259 s curit des machines virtuelles d sactiver les fonctions 223 meilleures pratiques 218 param tres VMX 223 s curit du commutateur standard 239 S curit du protocole Internet IPsec 243 s curit du r seau 229 VMware Inc s curit du VLAN 239 s curit et p riph riques PCI 206 serveur d annuaire affichage 188 serveur de gestion des comp
475. s qui ont besoin d un acc s direct l h te pensez plut t ajouter des utilisateurs la liste des utilisateurs exceptionnels Les utilisateurs exceptionnels peuvent uniquement ex cuter les t ches pour lesquelles ils ont des privil ges Reportez vous Sp cifier les utilisateurs exceptionnels du mode de verrouillage page 181 Proc dure 1 Acc dez l h te dans le navigateur d objets de vSphere Web Client 2 Cliquez sur l onglet G rer puis s lectionnezParam tres 3 Cliquez sur Param tres syst me avanc s puis s lectionnez le param tre DCUI Access 4 Cliquez sur Modifier et saisissez les noms d utilisateur s par s par des virgules L utilisateur racine est inclus par d faut Pensez supprimer la racine de la liste DCUI Access et sp cifier un compte nomm pour un meilleur contr le 5 Cliquez sur OK Sp cifier les utilisateurs exceptionnels du mode de verrouillage Dans vSphere 6 0 et versions ult rieures vous pouvez ajouter des utilisateurs la liste des utilisateurs exceptionnels dans vSphere Web Client Ces utilisateurs ne perdent pas leurs autorisations lorsque l h te entre en mode de verrouillage Il est logique d ajouter des comptes de services tels qu un agent de sauvegarde la liste des utilisateurs exceptionnels Les utilisateurs exceptionnels ne perdent pas leurs privil ges lorsque l h te entre en mode de verrouillage Habituellement ces comptes repr sentent des solutions tierces
476. s r seaux configur s sans vCenter Server re oivent des communications via vSphere Client l une des interfaces de ligne de commande de vSphere les vSphere Web Services SDK ou des clients tiers Les besoins de pare feu sont en majeure partie les m mes qu en pr sence de vCenter Server mais il y a plusieurs diff rences cl s m Tout comme pour les configurations comprenant vCenter Server assurez vous qu un pare feu est pr sent pour prot ger votre couche ESXiou en fonction de votre configuration vos clients et votre couche ESXi Ce pare feu fournit une protection de base votre r seau 232 VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere m La licence pour ce type de configuration fait partie du module ESXi que vous installez sur chacun des h tes Comme la licence r side sur le serveur un serveur de licences distinct n est pas n cessaire Un pare feu entre le serveur de licences et le r seau ESXi n est donc pas n cessaire Vous pouvez configurer des ports de pare feu l aide d ESXCLI en utilisant vSphere Client ou des r gles de pare feu Reportez vous ESXi page 166 Connexion des h tes ESXi via des pare feu Si un pare feu se trouve entre deux h tes ESXi et que vous souhaitez autoriser des transactions entre les h tes ou utiliser vCenter Server pour effectuer des activit s sources ou cibles telles que du trafic vSphere High Availability vSphere HA une migration un clonage ou vMotion vous d
477. sent de ces choix si la strat gie de l entreprise exige des certificats sign s par une autorit de certification tierce ou de l entreprise ou demande des informations de certificats personnalis es m Remplacez le certificat racine VMCA par un certificat sign par une autorit de certification Dans ce sc nario le certificat VMCA est un certificat interm diaire de cette autorit de certification tierce VMCA fournit aux composants de vCenter Server et aux h tes ESXi des certificats qui incluent la cha ne compl te de certificats m Sila strat gie d une entreprise n autorise pas les certificats interm diaires dans la cha ne vous devez remplacer les certificats de fa on explicite Vous pouvez utiliser l utilitaire vSphere Certificate Manager ou effectuer le remplacement manuel des certificats en utilisant les interfaces de ligne de commande de gestion de certificats Lors de la mise niveau d un environnement qui utilise des certificats personnalis s vous pouvez conserver certains des certificats m Les h tes ESXi conservent leurs certificats personnalis s pendant la mise niveau Assurez vous que le processus de mise niveau de vCenter Server ajoute tous les certificats racines pertinents au magasin TRUSTED_ROOTS dans VECS sur vCenter Server Apr s la mise niveau de vCenter Server les administrateurs peuvent d finir le mode de certification sur Personnalis voir Changer le mode de certificat page 160 Si le m
478. serveur Cette option est disponible des fins de compatibilit descendante Elle LDAP n cessite la sp cification du contr leur de domaine et d autres informations Reportez vous la section Param tres de source d identit du serveur LDAP Active Directory et du serveur OpenLDAP page 34 VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On Option Description OpenLDAP Utilisez cette option pour une source d identit OpenLDAP Reportez vous la section Param tres de source d identit du serveur LDAP Active Directory et du serveur OpenLDAP page 34 LocalOS Utilisez cette option pour ajouter le syst me d exploitation local comme source d identit Le syst me vous demande uniquement le nom du syst me d exploitation Si vous s lectionnez cette option tous les utilisateurs sur la machine sp cifi e sont visibles par vCenter Single Sign On m me si ces utilisateurs ne font pas partie d un autre domaine REMARQUE Si le compte d utilisateur est verrouill ou d sactiv les authentifications et les recherches d utilisateurs et de groupes dans le domaine Active Directory chouent Le compte d utilisateur doit disposer d un acc s en lecture seule sur l UO utilisateur et du groupe et il doit tre en mesure de lire les attributs de l utilisateur et du groupe Il s agit de la configuration du domaine Active Directory par d faut pour ce qui est des autorisations d authentifi
479. seule Si vous disposez du r le d administrateur sur un objet vous pouvez attribuer des privil ges des utilisateurs individuels ou des groupes Si vous disposez du r le d administrateur dans vCenter Server vous pouvez attribuer des privil ges des utilisateurs et des groupes dans la source d identit vCenter Single Sign On par d faut Les services d identit pris en charge incluent Windows Active Directory et OpenLDAP 2 4 138 VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Par d faut l utilisateur administrator vsphere local a le r le d administrateur sur vCenter Single Sign On et vCenter Server apr s l installation Cet utilisateur peut ensuite associer d autres utilisateurs disposant du r le d administrateur dans vCenter Server r le Aucun acc s Les utilisateurs assign s au r le aucun acc s pour un objet ne peuvent en aucun cas afficher ou modifier l objet Les nouveaux utilisateurs et groupes sont assign s ce r le par d faut Vous pouvez modifier le r le par objet Les utilisateurs administrator vsphere local racine et vpxuser sont les seuls utilisateurs auxquels n est pas attribu le r le Aucun acc s par d faut Ils sont en revanche assign s au r le Administrateur Vous pouvez enti rement supprimer toute autorisation de l utilisateur racine ou lui accorder le r le Aucun acc s du moment que vous commencez par cr er une autorisation de remplacement au niveau
480. si l h te est g r par un syst me vCenter Server qui utilise des certificats VMCA 154 VMware Inc Chapitre 5 S curisation des h tes ESXi Les h tes qui sont provisionn s par Auto Deploy obtiennent toujours de nouveaux certificats lors de leur premier d marrage avec le logiciel ESXi 6 0 Lorsque vous mettez niveau un h te qui est provisionn par Auto Deploy le serveur Auto Deploy g n re une demande de signature de certificat CSR pour l h te et la soumet VMCA VMCA stocke le certificat sign pour l h te Lorsque le serveur Auto Deploy provisionne l h te il r cup re le certificat de VMCA et l inclut dans le cadre du processus de provisionnement Vous pouvez utiliser Auto Deploy avec des certificats personnalis s Param tres par d faut des certificats ESXi Lorsque vCenter Server met une demande de signature de certificat CSR aupr s d un h te ESXi il utilise les param tres par d faut La plupart des valeurs par d faut conviennent de nombreuses situations mais les informations sp cifiques l entreprise peuvent tre modifi es Envisagez de changer les informations sur l entreprise et l emplacement Vous pouvez modifier un grand nombre des param tres par d faut l aide de vSphere Web Client Reportez vous Modifier les param tres par d faut de certificat page 158 Tableau 5 3 Param tres CSR Param tre Valeur par d faut Option avanc e Taille de la cl 2048 N A Algori
481. si le certificat a t r voqu Certificate ACTIVE dans le cas contraire Option Description status Requis pour v rifier l tat d un certificat cert lt certfile gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut server lt serveur gt Nom facultatif du serveur VMCA Par d faut la commande utilise localhost Exemple certool status cert lt filename gt certool genselfcacert G n re un certificat auto sign en fonction des valeurs fournies dans le fichier de configuration Cette commande g n re un certificat pr dat de trois jours pour viter les conflits de fuseau horaire VMware Inc 113 S curit vSphere 114 Option Description genselfcacert Requis pour g n rer un certificat auto sign outcert lt fichier_cert gt Nom du fichier de certificat Ce fichier doit tre cod au format PEM outprivkey lt fichier_cl gt Nom du fichier de cl priv e Ce fichier doit tre cod au format PEM config lt fichier_config gt Nom facultatif du fichier de configuration D fini sur certool cfg par d faut Exemple certool genselfcert privkey lt filename gt cert lt filename gt R f rence des commandes vecs cli Le groupe de commandes vecs cli vous permet de g rer les instances de VECS VMware Certificate Store Utilisez ces commandes en conjonction avec dir cli et certool pour g rer votre
482. sions Magasin d extensions vCenter Inclut le service Auto Deploy Inventory Service et d autres services ne faisant pas partie d autres utilisateurs de solution m vsphere webclient Magasin vSphere Web Client Inclut galement certains services suppl mentaires tels que le service de graphiques de performance Le magasin de machines est galement inclus sur chaque n ud Platform Services Controller VMware Inc 115 S curit vSphere Tableau 3 6 Magasins dans VECS suite Magasin Magasin de sauvegardes de vSphere Certificate Manager Utility BACKUP_STORE Description Utilis par VMCA VMware Certificate Manager pour prendre en charge la restauration de certificat Seul l tat le plus r cent est stock en tant que sauvegarde vous ne pouvez pas revenir en arri re de plus d une tape Autres magasins D autres magasins peuvent tre ajout s par des solutions Par exemple la solution Virtual Volumes ajoute un magasin SMS Ne modifiez pas les certificats dans ces magasins sauf si la documentation VMware ou la base de connaissances VMware vous y invite REMARQUE Les CRLS ne sont pas pris en charge dans vSphere 6 0 N anmoins la suppression du magasin TRUSTED_ROOTS_CRLS peut endommager votre infrastructure de certificats Ne supprimez pas et ne modifiez pas le magasin TRUSTED_ROOTS_CRLS Exemple vecs cli store list vecs cli store permissions Accorde ou r voque des autorisations du mag
483. sole directe et appuyez sur F2 pour acc der au menu de Personnalisation du syst me b S lectionnez Voir les informations de support L empreinte h te figure dans la colonne de droite 6 Si l empreinte correspond cochez la case V rifier c t de l h te Les h tes non s lectionn s sont d connect s apr s avoir cliqu sur OK 7 Cliquez sur OK 212 VMware Inc Chapitre 6 S curisation des syst mes vCenter Server V rifier que la validation des certificats SSL sur Network File Copy est activ e La NFC Network File Copy copie de fichiers r seau fournit un service FTP capable de reconna tre les types de fichiers pour les composants vSphere partir de vSphere 5 5 ESXi utilise par d faut NFC pour les op rations telles que la copie et le d placement de donn es entre les banques de donn es mais si la fonction est d sactiv e vous devrez l activer Lorsque SSL sur NFC est activ les connexions entre les composants de vSphere via le protocole NFC sont s curis es Cette connexion permet d viter des attaques de l intercepteur au sein d un centre de donn es Dans la mesure o l utilisation de NFC via SSL entra ne une d gradation des performances vous pouvez envisager de d sactiver ce param tre avanc dans certains environnements de d veloppement REMARQUE D finissez explicitement cette valeur sur true si vous utilisez des scripts pour v rifier la valeur Proc dure 1 Connectez vous vCen
484. solution ou une r f rence un jeton de solution Cette valeur indique le nombre de fois qu un jeton d tenteur de cl peut tre d l gu 41 S curit vSphere Option Description Dur e de vie maximale d un jeton de Avec les jetons au porteur l authentification repose sur la simple support possession du jeton Les jetons au porteur sont destin s tre utilis s pour une op ration unique court terme Un jeton au porteur ne v rifie ni l identit de l utilisateur ni l entit qui envoie la demande Cette valeur sp cifie la dur e de vie d un jeton au porteur avant que celui ci doive tre r dit Dur e de vie maximale d un jeton de Avec les jetons d tenteurs de cl l authentification repose sur les art facts d tenteur de cl de s curit int gr s au jeton Les jetons d tenteurs de cl peuvent tre utilis s pour la d l gation Un client peut obtenir un jeton d tenteur de cl et le d l guer une autre entit Le jeton contient les demandes pour identifier l exp diteur et le d l gu Dans l environnement vSphere un vCenter Server obtient des jetons d l gu s de la part d un utilisateur et les utilise pour effectuer des op rations Cette valeur d termine la dur e de vie d un jeton d tenteur de cl avant que celui ci soit marqu comme non valide 5 Cliquez sur OK Gestion des utilisateurs et des groupes vCenter Single Sign On 42 Un utilisateur administrateur de vCenter Si
485. sp cifier explicitement les adresses IP partir desquelles les connexions sont autoris es Reportez vous Ajouter des adresses IP autoris es pour un h te ESXi page 168 8 Cliquez sur OK Ajouter des adresses IP autoris es pour un h te ESXi Par d faut le pare feu de chaque service autorise l acc s toutes les adresses IP Pour restreindre le trafic modifiez chaque service pour autoriser uniquement le trafic provenant de votre sous r seau de gestion Vous pouvez galement annuler la s lection de certains services si votre environnement ne les utilise pas Vous pouvez utiliser vSphere Web Client vCLI ou PowerCLI pour mettre jour la liste des adresses IP autoris es d un service Par d faut toutes les adresses IP sont autoris es pour un service Ajout d adresses IP autoris es au pare feu ESXi http link brightcove com services player bcpid2296383276001 bctid ref video_adding_allowed_IP_to_esxi_firewall Proc dure 1 Acc dez l h te dans l inventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me cliquez sur Profil de s curit 4 Dans la section Pare feu cliquez sur Modifier puis s lectionnez un service dans la liste 5 Dans la section Adresses IP autoris es d s lectionnez Autoriser les connexions de toutes les adresses IP puis saisissez les adresses IP des r seaux autoris s se connecter l h te S parez les adresses IP avec des vir
486. ssigner des privil ges 137 Meilleures pratiques pour les r les et les autorisations 140 Privil ges requis pour les t ches courantes 141 S curit vSphere 5 S curisation des h tes ESXi 145 Utiliser des scripts pour g rer des param tres de configuration d h te 146 Configurer des h tes ESXi avec des profils d h te 147 Recommandations g n rales de s curit pour ESXi 148 Gestion de certificats pour les h tes ESXi 152 Personnalisation des h tes avec le profil de s curit 166 Affectation d autorisations pour ESXi 183 Utilisation d Active Directory pour g rer des utilisateurs ESXi 185 Utiliser vSphere Authentication Proxy 188 Configuration de l authentification par carte puce pour ESXi 193 Cl s SSH ESXi 195 Utilisation du ESXi Shell 197 Modifier les param tres proxy Web ESXi 201 Consid rations relatives la s curit dans vSphere Auto Deploy 202 Gestion des fichiers journaux ESXi 202 Meilleures pratiques de s curit ESXi 205 6 S curisation des syst mes vCenter Server 207 Meilleures pratiques de s curit de vCenter Server 207 V rifier les empreintes des h tes ESXi h rit s 212 V rifier que la validation des certificats SSL sur Network File Copy est activ e 213 Ports TCP et UDP pour vCenter Server 213 Acc s l outil de surveillance du mat riel bas sur la surveillance CIM 215 7 S curisation des machines virtuelles 217 Limiter les messages d information entre les machines virtuelles et les fichiers VMX 217
487. strateur sont pr d finis sur vCenter Server et ne peuvent pas tre modifi s D autres r les par exemple Administrateur de pool de ressources sont des exemples de r les pr d finis Vous pouvez cr er des r les personnalis s totalement nouveaux ou cloner et modifier des exemples de r les Privil ges Les privil ges sont des contr les d acc s pr cis Vous pouvez regrouper ces privil ges dans des r les que vous pouvez ensuite mapper des utilisateurs ou des groupes Vous pouvez attribuer des autorisations des objets sur diff rents niveaux de la hi rarchie Vous pouvez par exemple attribuer des autorisations un objet d h te ou de dossier qui inclut tous les objets d h te Reportez vous H ritage hi rarchique des autorisations page 128 Vous pouvez galement attribuer des autorisations un objet racine global pour appliquer les autorisations l ensemble des objets dans toutes les solutions Reportez vous Autorisations globales page 136 Ajouter une autorisation un objet d inventaire Apr s avoir cr des utilisateurs et des groupes et avoir d fini des r les vous devez affecter les utilisateurs et les groupes et leurs r les aux objets appropri s d inventaire Vous pouvez attribuer les m mes autorisations plusieurs objets en m me temps en d pla ant les objets vers un dossier et en d finissant les autorisations du dossier Lorsque vous attribuez des autorisations dans vSphere
488. sur un h te vous activez l authentification et le chiffrement des paquets entrants et sortants Le moment et la mani re dont le trafic IP est chiffr d pendent de la fa on dont vous avez configur les associations de s curit et les r gles de s curit du syst me Une association de s curit d termine comment le syst me chiffre le trafic Lorsque vous cr ez une association de s curit vous indiquez la source et la destination les param tres de chiffrement et le nom de l association de s curit Une strat gie de s curit d termine le moment auquel le syst me doit chiffrer le trafic La strat gie de s curit comprend les informations de source et de destination le protocole et la direction du trafic chiffrer le mode transport ou tunnel et l association de s curit utiliser Liste des associations de s curit disponibles ESXi peut fournir une liste de toutes les associations de s curit disponibles pour l utilisation par les r gles de s curit Cette liste inclut les associations de s curit cr es par l utilisateur et les associations de s curit que VMkernel a install es l aide d Internet Key Exchange Vous pouvez obtenir une liste des associations de s curit disponibles l aide de la commande vSphere CLI esxcli Proc dure Dans l invite de commande entrez la commande esxcli network ip ipsec sa list ESXi affiche une liste de toutes les associations de s curit disponibles
489. sur vCenter Single Sign On configurer le serveur vCenter Single Sign On et g rer les utilisateurs et les groupes dans vSphere Web Client Au d part seul l utilisateur administrator your_domain_name dispose de ces privil ges Dans vSphere 5 5 il s agissait obligatoirement de l utilisateur administrator vsphere local Dans vSphere 6 0 vous pouvez modifier le domaine vSphere lors de l installation de vCenter Server ou du d ploiement de vCenter Server Appliance avec une nouvelle instance de Platform Services Controller Attribuez au domaine un nom diff rent que celui du domaine Microsoft Active Directory ou OpenLDAP Le service d annuaire VMware vmdir est associ au domaine que vous indiquez lors de l installation Il est inclus dans chaque d ploiement int gr et chaque instance de Platform Services Controller Ce service est un service d annuaire mutualis et masteris qui met disposition un annuaire LDAP sur le port 389 Le service utilise toujours le port 11711 pour la compatibilit descendante avec vSphere 5 5 et les syst mes ant rieurs Si votre environnement inclut plusieurs instances de Platform Services Controller une mise jour du contenu vmdir d une seule instance de vmdir est propag e vers toutes les autres instances de vmdir partir de vSphere 6 0 le service d annuaire VMware stocke les informations de certificat en plus des informations vCenter Single Sign On G re les demandes concernant les sourc
490. syst me et assurez vous que les v nements de connexion sont suivis Surveillez les privil ges des utilisateurs administrateurs de vCenter Server Certains utilisateurs administrateurs ne doivent pas avoir le r le Administrateur Cr ez plut t un r le personnalis disposant de l ensemble appropri de privil ges et attribuez le aux autres administrateurs Les utilisateurs disposant du r le Administrateur de vCenter Server disposent de privil ges sur tous les objets de la hi rarchie Par exemple le r le Administrateur permet par d faut aux utilisateurs d interagir avec les fichiers et les programmes du syst me d exploitation invit de la machine virtuelle L attribution de ce r le un trop grand nombre d utilisateurs peut compromettre la confidentialit la disponibilit ou l int grit des donn es Cr ez un r le qui donne aux administrateurs les privil ges dont ils ont besoin mais supprimez certains privil ges de gestion de machines virtuelles Accordez des privil ges minimaux aux utilisateurs de base de donn es vCenter Server L utilisateur de la base de donn es n a besoin que de quelques privil ges sp cifiques l acc s la base de donn es En outre certains privil ges ne sont n cessaires que pour l installation et la mise niveau Ces privil ges peuvent tre supprim s apr s l installation ou la mise niveau du produit Restreindre l acc s au navigateur de la banque de donn es La fonctionnalit
491. t me d exploitation Par exemple si le syst me ex cute un serveur de fichiers d sactivez tous les services Web m D connectez les p riph riques physiques inutilis s tels que les lecteurs CD DVD les lecteurs de disquette et les adaptateurs USB m D sactivez toute fonctionnalit inutilis e par exemple les fonctionnalit s d affichage inutilis es ou HGFS Host Guest File System m D sactivez les crans de veille m N ex cutez pas le syst me X Window sous des syst mes d exploitation client Linux BSD ou Solaris moins que ce ne soit n cessaire Supprimer les p riph riques mat riels inutiles Tout p riph rique activ ou connect repr sente un canal d attaque potentiel Les utilisateurs et les processus ne disposant pas de privil ges d acc s sur une machine virtuelle peuvent connecter ou d connecter des p riph riques mat riels adaptateurs r seau et lecteurs de CD ROM par exemple Les agresseurs peuvent utiliser ce moyen pour d jouer la s curit des machines virtuelles La suppression des p riph riques mat riels inutiles permet de pr venir les attaques Un agresseur ayant acc s une machine virtuelle peut se connecter un p riph rique mat riel et ainsi acc der des informations sensibles figurant sur le support laiss dans le lecteur Il peut galement d connecter un adaptateur r seau pour isoler la machine virtuelle de son r seau provoquant de la sorte un d ni de service
492. t des descriptions c S lectionnez l utilisateur ou le groupe puis cliquez sur Ajouter Le nom est ajout soit la liste Utilisateurs soit la liste groupes VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere d Facultatif Cliquez sur V rifier les noms pour v rifier que l utilisateur ou le groupe existe dans la source d identit e Cliquez sur OK 4 S lectionner un r le du menu d roulant R le assign Les r les qui sont attribu s l objet apparaissent dans le menu Les privil ges contenus dans le r le sont mentionn s dans la section au dessous de l intitul du r le 5 Cochez la case Propager vers les enfants dans la plupart des cas Si vous affectez une autorisation globale sans s lectionner Propager les utilisateurs ou les groupes associ s cette autorisation n ont pas acc s aux objets de la hi rarchie Ils n ont acc s qu certaines fonctions globales telles que la cr ation de r les 6 Cliquez sur OK Utilisation des r les pour assigner des privil ges Un r le est un ensemble pr d fini de privil ges Les privil ges d finissent les droits permettant d effectuer des actions et de lire des propri t s Par exemple le r le Administrateur de machine virtuelle est constitu de propri t s de lecture et d un ensemble de droits permettant de r aliser des actions sp cifiques Avec ce r le l utilisateur peut lire et modifier les attributs des machines
493. t des services associ s sur Linux Lorsque vous d ployez une instance de vCenter Server Appliance vous sp cifiez un mot de passe pour l utilisateur racine du syst me d exploitation Linux du dispositif et un mot de passe pour l utilisateur administrator vsphere local Vous pouvez modifier le mot de passe de l utilisateur racine et effectuer d autres t ches de gestion de l utilisateur local vCenter Server Appliance depuis l interface utilisateur de la console directe Reportez vous Configuration de vCenter Server Appliance VMware Inc 15 S curit vSphere Meilleures pratiques en mati re de s curit et ressources de s curit Si vous suivez les meilleures pratiques votre ESXi et vCenter Server peuvent tre au moins aussi s r qu un environnement non virtualis Ce manuel r pertorie les meilleures pratiques pour les diff rents composants de votre infrastructure vSphere Tableau 1 1 Meilleures pratiques de s curit composant de vSphere h te ESXi Ressource Meilleures pratiques de s curit ESXi page 205 Syst me vCenter Server Meilleures pratiques de s curit de vCenter Server page 207 Machine virtuelle Recommandations en mati re de s curit des machines virtuelles page 218 Mise en r seau vSphere Meilleures pratiques en mati re de s curit de la mise en r seau vSphere page 247 Ce manuel ne repr sente que l une des sources dont vous avez bes
494. t ne sont pas recommand s dans un environnement s curis Reportez vous la section D sactiver les cl s autoris es SSH page 152 REMARQUE Dans ESXi 5 0 et versions ult rieures un utilisateur disposant d une cl SSH peut acc der l h te m me lorsque ce dernier est en mode verrouillage Ce probl me est r solu dans ESXi 5 1 S curit SSH Vous pouvez utiliser SSH pour vous connecter distance au ESXi Shell et accomplir des t ches de d pannage pour l h te La configuration SSH d ESXi est am lior e et offre un haut niveau de s curit D sactivation de la VMware ne prend pas en charge la version 1 du protocole SSH Il utilise version 1 du protocole d sormais exclusivement la version 2 La version 2 permet d liminer SSH certains probl mes de s curit qui se produisaient dans la version 1 et offre une communication plus s re gr ce l interface de gestion Chiffrement renforc Pour les connexions SSH ne prend en charge que les chiffrements AES 256 bits et 128 bits Ces param tres sont destin s assurer une protection renforc e des donn es transmises l interface de gestion via SSH Vous ne pouvez pas modifier ces param tres Charger une cl SSH l aide d une commande vifs Vous pouvez utiliser des cl s autoris es pour ouvrir une session sur un h te avec SSH Vous pouvez charger les cl s autoris es l aide d une commande vifs Les cl s autoris es vous permettent d auth
495. t pour les clients capables de s authentifier aupr s de vCenter Single Sign On dans le m me domaine D mon VMware Authentication Framework VMAFD Inclut le magasin de certificats de point de Platform Services Controller terminaison VECS et plusieurs autres services vCenter Server d authentification Les administrateurs VMware interagissent avec VECS les autres services sont utilis s en interne D ploiement int gr 60 VMware Inc Chapitre 3 Certificats de s curit vSphere Pr sentation du magasin de certificats VMware Endpoint VMware Endpoint Certificate Store VECS sert de r f rentiel local c t client pour les certificats les cl s priv es et les autres informations li es aux certificats qui peuvent tre stock s dans un magasin de cl s Vous pouvez d cider de ne pas utiliser VMCA en tant qu autorit de certification et de signature de certificat mais vous devez utiliser VECS pour stocker tous les certificats cl s et autres l ments de vCenter Les certificats ESXi sont stock s localement sur chaque h te et non dans VECS VECS s ex cute dans le cadre du d mon VMware Authentication Framework VMAFD VECS fonctionne sur chaque d ploiement int gr n ud de Platform Services Controller et n ud de gestion il contient les magasins de cl s qui renferment les certificats et les cl s VECS interroge p riodiquement le service d annuaire de VMware vmdir en vue d ventuelles mises j
496. t renouvelle les jetons de s curit Pour obtenir des jetons SAML les utilisateurs pr sentent leurs informations d identification principales l interface STS Les informations d identification principales d pendent du type d utilisateur Utilisateur Nom d utilisateur et mot de passe disponibles dans une source d identit vCenter Single Sign On Utilisateur d application Certificat valide STS authentifie l utilisateur en fonction des informations d identification principales et cr e un jeton SAML contenant les attributs de l utilisateur STS signe le jeton SAML avec son certificat de signature STS et attribue le jeton l utilisateur Par d faut le certificat de signature STS est g n r par VMCA Vous pouvez remplacer le certificat de signature STS par d faut partir de vSphere Client Une fois qu un utilisateur dispose d un jeton SAML ce dernier est envoy dans le cadre des demandes HTTP de l utilisateur ventuellement via divers proxys Seul le destinataire pr vu le fournisseur de services peut utiliser les informations du jeton SAML Rafra chir le certificat racine du service d mission de jeton de s curit STS Le serveur vCenter Single Sign On comprend un service de jetons de s curit STS Le service de jetons de s curit est un service Web qui met valide et renouvelle les jetons de s curit Lorsque le certificat STS existant expire ou change vous pouvez l actualiser manuellement via vSphere Web C
497. tation invit telles que invit Requ tes op ration l num ration des fichiers du syst me d exploitation invit invit Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge Privil ges d interaction de machine virtuelle Les privil ges d interaction de machine virtuelle contr lent la capacit interagir avec une console de machine virtuelle configurer des m dias ex cuter des op rations d alimentation et installer VMware Tools VMware Inc 281 S curit vSphere Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 30 Interaction de machine virtuelle Nom de privil ge Machine virtuelle Interaction R pondre une question Descri ption Permet de r soud re les probl mes de transiti ons d tat ou d erreu rs d ex cu tion de la machin e virtuell e Requis sur Machines virtuelles Machine virtuelle Interaction Op ration de sauvegarde sur une machine virtuelle Permet d ex cu ter des op rati ons de sauveg arde sur des machin es virtuell es Machines virtuelles Machine virtuelle Interaction Configurer un
498. te directement ou dans le cadre du provisionnement avec Auto Deploy Consultez Utiliser des scripts pour g rer des param tres de configuration d h te page 146 et Installation et configuration de vSphere pour plus d informations sur vSphere Auto Deploy En mode de verrouillage les h tes ESXi sont par d faut uniquement accessibles par le biais de vCenter Server partir de vSphere 6 0 vous avez le choix entre un mode de verrouillage strict et un mode de verrouillage normal Vous pouvez galement d finir des utilisateurs exceptionnels pour permettre un acc s direct aux comptes de service tels que les agents de sauvegarde Reportez vous Mode verrouillage page 175 Un niveau d acceptation est associ chaque module VIB Vous pouvez ajouter un VIB un h te ESXi uniquement si son niveau d acceptation est identique ou sup rieur au niveau d acceptation de l h te Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported un h te moins d avoir explicitement modifi le niveau d acceptation de l h te Reportez vous V rifier les niveaux d acceptation des h tes et des fichiers VIB page 182 Dans vSphere 6 0 et version ult rieure l autorit de certification VMware VMCA provisionne chaque h te ESXi l aide d un certificat sign dont l autorit de certification racine par d faut est VMCA Si la strat gie d une entreprise l exige vous pouvez remplacer les certificats exista
499. ter Server un Platform Services Controller peut servir l int gralit de votre environnement vSphere Vous pouvez connecter les nouvelles instances de vCenter Server au m me Platform Services Controller Au del d environ huit instances de vCenter Server vous pouvez installer un Platform Services Controller suppl mentaire pour am liorer les performances Le service vCenter Single Sign On sur chaque Platform Services Controller synchronise les donn es d authentification avec toutes les autres instances Le nombre pr cis d pend du niveau d utilisation des instances de vCenter Server et d autres facteurs Incidence de vCenter Single Sign On sur les mises niveau Si vous mettez niveau un environnement Simple Install vers un d ploiement int gr vCenter Server 6 l op ration s effectue en toute transparence Lorsque vous mettez niveau une installation personnalis e le service vCenter Single Sign On fait partie de Platform Services Controller apr s la mise niveau Les utilisateurs qui peuvent se connecter vCenter Server apr s une mise niveau varient selon la version partir de laquelle vous proc dez la mise niveau et la configuration du d ploiement Au cours de la mise niveau vous pouvez d finir un nom de domaine vCenter Single Sign On diff rent qui sera utilis la place de vsphere local Chemins de mise niveau Le r sultat de la mise niveau d pend des options d installation que vous avez s lec
500. ter Server avec vSphere Web Client 2 S lectionnez l onglet Param tres puis cliquez sur Param tres avanc s 3 Cliquez sur Edit 4 Dans le bas de la bo te de dialogue entrez la cl et la valeur suivantes Champ Valeur Cl nfc useSSL Valeur vrai 5 Cliquez sur OK Ports TCP et UDP pour vCenter Server vCenter Server est accessible par le biais de ports TCP et UDP pr d termin s Si vous g rez des composants r seau partir de l ext rieur d un pare feu vous pouvez tre invit reconfigurer le pare feu pour autoriser l acc s sur les ports appropri s Le tableau r pertorie les ports TCP et UDP et l objectif et le type de chaque port Les ports qui sont ouverts par d faut lors de l installation sont suivis de la mention par d faut Pour obtenir une liste actualis e des ports de tous les composants vSphere pour les diff rentes versions de vSphere reportez vous l article 1012382 de la base de connaissances VMware Tableau 6 1 Ports TCP et UDP pour vCenter Server Port Objectif 80 par d faut Acc s HTTP vCenter Server n cessite le port 80 pour les connexions HTTP directes Le port 80 redirige les demandes vers le port HTTPS 443 Cette redirection est utile si vous utilisez accidentellement http server au lieu de https server WS Management n cessite galement l ouverture du port 443 88 2013 Interface de contr le RPC pour Kerberos utilis e par vCenter Single Sign On
501. ters cluster ou un h te autonome l autre Le privil ge doit tre pr sent la fois la source et la destination H te Inventaire D placer un Permet de d placer un ensemble d h tes existants au sein d un cluster Clusters h te ou en dehors Le privil ge doit tre pr sent la fois la source et la destination H te Inventaire Supprimer un cluster Permet de supprimer un cluster ou un h te autonome Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Clusters h tes H te Inventaire Supprimer un h te Permet de supprimer un h te Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Objet d h tes plus objet parent H te Inventaire Renommer un cluster Permet de renommer un cluster Clusters Privil ges d op rations locales d h te Les privil ges d op rations locales d h tes contr lent les actions effectu es lorsque vSphere Client est connect directement un h te Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r p
502. tes Recommandations de s curit pour la mise en r seau d ESXi L isolation du trafic r seau est essentielle pour un environnement ESXi s curis Des r seaux diff rents requi rent un acc s et un niveau d isolation distincts Votre h te ESXi utilise plusieurs r seaux Utilisez des mesures de s curit appropri es chaque r seau et isolez le trafic pour des applications et fonctions sp cifiques Par exemple assurez vous que le trafic vSphere vMotion n est pas achemin via des r seaux sur lesquels se trouvent les machines virtuelles L isolation emp che l coute Il est galement recommand d utiliser des r seaux s par s pour des raisons de performance m Les r seaux de l infrastructure vSphere sont utilis s pour certaines fonctions comme VMware vSphere vMotion VMware vSphere Fault Tolerance et le stockage Ces r seaux sont consid r s comme tant isol s pour leurs fonctions sp cifiques et ne sont g n ralement pas achemin s l ext rieur d un ensemble physique unique de racks de serveurs m Un r seau de gestion isole le trafic client le trafic de l interface de ligne de commande ou de l API ou le trafic des logiciels tiers du trafic normal Ce r seau doit tre accessible uniquement aux administrateurs syst me r seau et s curit Utilisez les syst mes JumpBox ou le r seau priv virtuel VPN pour s curiser l acc s au r seau de gestion Veillez contr ler strictement l acc s ce r seau des so
503. tes d ordinateur 191 serveur proxy d authentification 191 Serveur vSphere Authentication Proxy 191 serveurs NTP ajout 255 service CAM 189 service d annuaire Active Directory 186 configuration d un h te 186 Service d annuaire VMware 22 Service d mission de jeton de s curit 20 22 37 service de jetons de s curit STS vCenter Single Sign On 37 services arr t 78 syslogd 203 sessions privil ges 277 Shell ESXi activation 198 activation avec vSphere Web Client 198 Single Sign On mises niveau 23 Single Sign On propos 25 avantages 20 d pannage 48 Erreur Lookup Service 49 impact sur l installation et les mises niveau de vCenter Server 22 impossible de se connecter en utilisant le domaine Active Directory 50 la connexion a chou car le compte utilisateur est verrouill 51 strat gies 39 Single Sign On d sactivation des utilisateurs 44 modification d utilisateurs 45 SNMP 246 source d identit ajout dans vCenter Single Sign On 32 modification de vCenter Single Sign On 35 source d identit Active Directory 33 source d identit du serveur LDAP Active Directory 34 source d identit du serveur OpenLDAP 34 source d identit Single Sign On suppression 36 sources d identit pour vCenter Single Sign On 30 spanning 247 VMware Inc Index SSH ESXi Shell 195 param tres de s curit 195 SSL activer et mettre hors tension 53 activer sur la NFC 213 chiffrem
504. teur de solution de vSphere Web Client IMPORTANT Si vous supprimez un utilisateur de solution les services correspondants ne peuvent plus authentifier aupr s de vCenter Single Sign On Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 Cliquez sur l onglet Utilisateurs de la solution puis sur le nom d utilisateur de solution 4 Cliquez sur l ic ne Supprimer un utilisateur de la solution 5 Cliquez sur Oui Les services associ s l utilisateur de solution n ont plus acc s vCenter Server et ne peuvent plus fonctionner comme services vCenter Server Changer le mot de passe de vCenter Single Sign On Les utilisateurs du domaine vsphere local peuvent modifier le mot de passe de vCenter Single Sign On dans vSphere Web Client Les utilisateurs se trouvant dans d autres domaines changent leur mot de passe en suivant les r gles du domaine concern Vous pouvez modifier un mot de passe vCenter Single Sign On ou r initialiser un mot de passe expir dans vSphere Web Client ou en utilisant la commande dir cli password reset La strat gie de mot de passe qui est
505. teur connect es vCenter Server Appliance et red marrez tous les services bin service control restart all La connexion vCenter Server choue car le compte utilisateur est verrouill Lorsque vous vous connectez vCenter Server partir de la page de connexion de vSphere Web Client une erreur indique que le compte est verrouill Probl me Apr s plusieurs tentatives infructueuses vous ne parvenez pas vous connecter vSphere Web Client l aide de vCenter Single Sign On Vous voyez un message indiquant que votre compte est verrouill Cause Vous avez d pass le nombre maximal d checs de tentative de connexion Solution VMware Inc Si vous vous connectez en tant qu un utilisateur du domaine syst me vsphere local demandez votre administrateur de vCenter Single Sign On de d verrouiller votre compte Vous pouvez galement attendre que votre compte soit d verrouill si l expiration du verrouillage est pr vue dans la strat gie de mot de passe Les administrateurs vCenter Single Sign On peuvent utiliser des commandes d interface de ligne de commande pour d verrouiller votre compte Si vous vous connectez en tant qu un utilisateur d un domaine Active Directory ou LDAP demandez votre administrateur Active Directory ou LDAP de d verrouiller votre compte 51 S curit vSphere 52 La r plication du service d annuaire VMware peut prendre longtemps Si votre environnement comprend
506. teur d sactiv s demeurent disponibles dans le syst me vCenter Single Sign On mais l utilisateur ne peut plus ouvrir de session ni effectuer d op rations sur le serveur Les utilisateurs disposant des privil ges d administrateur peuvent d sactiver et activer des utilisateurs dans la page Utilisateurs et groupes vCenter Pr requis Vous devez tre membre du groupe d administrateurs vCenter Single Sign On pour d sactiver et activer des utilisateurs vCenter Single Sign On Proc dure 1 Connectez vous vSphere Web Client en tant qu administrator vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Cliquez sur Page d accueil puis acc dez Administration gt Single Sign On gt Utilisateurs et groupes 3 S lectionnez un utilisateur cliquez sur l ic ne D sactiver puis cliquez sur Oui lorsque vous y tes invit 4 Pour r activer l utilisateur cliquez avec le bouton droit sur l utilisateur s lectionnez Activer puis cliquez sur Oui lorsque vous y tes invit Supprimer un utilisateur vCenter Single Sign On A Vous pouvez supprimer des utilisateurs qui se trouvent dans le domaine vsphere local partir de vCenter Single Sign On En revanche vous ne pouvez pas supprimer de vSphere Web Client des utilisateurs du syst me d exploitation loca
507. teur qui se connecte vCenter Server Appliance l aide de SSH peut uniquement acc der aux commandes disponibles dans le shell restreint Les utilisateurs de ce groupe peuvent acc der l interpr teur de commandes de d pistage ActAsUsers Les membres de ce groupe sont autoris s recevoir des jetons actas de vCenter Single Sign On ExternallPDUsers Ce groupe n est pas utilis par vSphere Il est n cessaire en conjonction avec VMware vCloud Air SystemConfiguration Administrators Les membres du groupe SystemConfiguration Administrators peuvent afficher et g rer la configuration du syst me dans vSphere Web Client Ces utilisateurs peuvent afficher d marrer red marrer et d panner les services et consulter et g rer les n uds disponibles DCClients Ce groupe est utilis en interne pour permettre aux n uds de gestion d acc der aux donn es qui se trouvent dans le service d annuaire VMware REMARQUE Ne modifiez pas ce groupe Toute modification pourrait compromettre votre infrastructure de certificats ComponentManager Administrators Les membres du groupe ComponentManager Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement c est dire qui modifient les services L appartenance ce groupe n est pas requise pour pouvoir acc der en lecture ces services LicenseService Administrators Les membres du groupe Licens
508. tez vSphere Certificate Manager avec deux options diff rentes puis que vous tentez d effectuer une restauration seule la derni re op ration est restaur e R initialiser tous les certificats Utilisez l option R initialiser tous les certificats si vous voulez remplacer tous les certificats vCenter existants par des certificats sign s par VMCA Si vous utilisez cette option tous les certificats personnalis s qui se trouvent actuellement dans VECS sont remplac s m Sur un n ud Platform Services Controller vSphere Certificate Manager peut r g n rer le certificat racine et remplacer le certificat SSL de machine et le certificat d utilisateur de solution de machine m Sur un n ud de gestion vSphere Certificate Manager peut remplacer le certificat SSL de machine et tous les certificats d utilisateurs de solutions de machine m Dans un d ploiement int gr vSphere Certificate Manager peut remplacer tous les certificats Les certificats remplac s d pendent des options que vous s lectionnez R g n rer un nouveau certificat racine VMCA et remplacer tous les certificats Vous pouvez r g n rer le certifcat racine VMCA et remplacer le certificat SSL de la machine locale ainsi que les certificats d utilisateur de la solution locale par des certificats sign s par VMCA Dans les d ploiements n uds multiples ex cutez vSphere Certificate Manager avec cette option sur Platform Services Controller r ex cutez ensuite l
509. thme de cl RSA N A Algorithme de signature de sha256WithRSA Encryption N A certificat Nom commun Nom de l h te si ce dernier a N A t ajout vCenter Server par nom d h te Adresse IP de l h te si ce dernier a t ajout vCenter Server par adresse IP Pays tats Unis vpxd certmgmt certs cn country Adresse e mail vmca vmware com vpxd certmgmt certs cn email Localit ville Palo Alto vpxd certmgmt certs cn localityName Nom d unit d organisation VMware Engineering vpxd certmgmt certs cn organizationalUnitName Nom de l organisation VMware vpxd certmgmt certs cn organizationName tat ou province Californie vpxd certmgmt certs cn state Nombre de jours de validit du 1825 vpxd certmgmt certs cn daysValid certificat Seuil fixe d expiration du 30 jours vpxd certmgmt certs cn hardThreshold certificat vCenter Server g n re une alarme rouge lorsque ce seuil est atteint Intervalle d interrogation des 5 jours vpxd certmgmt certs cn pollintervalDays v rifications de la validit des certificats de vCenter Server VMware Inc 155 S curit vSphere 156 Tableau 5 3 Param tres CSR suite Param tre Valeur par d faut Option avanc e Seuil dynamique d expiration du 240 jours vpxd certmgmt certs cn softThreshold certificat vCenter Server g n re un v nement lorsque ce seuil est atteint Mode employ par les La valeur par d faut est vmca vpxd certmgmt mode
510. threshold Proc dure 1 Connectez vous vSphere Web Client 2 S lectionnez l objet vCenter Server puis s lectionnez l onglet G rer et le sous onglet Param tres 3 Cliquez sur Param tres avanc s s lectionnez Modifier et s lectionnez le filtre par seuil 4 Modifiez le param tre vpxd cert threshold en saisissant la valeur souhait e et cliquez sur OK VMware Inc 123 S curit vSphere 124 VMware Inc T ches de gestion des utilisateurs et des autorisations de vSphere vCenter Single Sign On prend en charge l authentification ce qui signifie qu il d termine si un utilisateur peut acc der l int gralit des composants vSphere ou pas En outre chaque utilisateur doit tre autoris consulter ou manipuler les objets vSphere vSphere prend en charge diff rents m canismes d autorisation abord s dans Pr sentation des autorisations dans vSphere page 126 Cette section aborde essentiellement le mod le d autorisation vCenter Server et le mode d ex cution des t ches de gestion des utilisateurs vCenter Server permet un contr le plus complet des permissions en g n ral gr ce aux autorisations et aux r les Lorsque vous attribuez une autorisation un objet de la hi rarchie d objets de vCenter Server vous sp cifiez les privil ges dont l utilisateur ou le groupe dispose sur cet objet Pour sp cifier les privil ges vous utilisez des r les qui sont des ensembles de privil ges Initialement s
511. tif Publiez le nouveau certificat racine dans vmdir dir cli trustedcert publish cert newRoot crt Lorsque vous ex cutez cette commande toutes les instances de vmdir sont mises jour imm diatement Sinon la propagation toutes les instances peut prendre un certain temps 5 Red marrez tous les services service control start all Exemple G n rer un nouveau certificat racine sign par VMCA L exemple suivant montre l ensemble des tapes n cessaires la v rification des informations de l autorit de certification racine et la r g n ration du certificat racine 1 Facultatif Affichez le certificat racine VMCA pour vous assurer qu il se trouve dans le magasin de certificats m Sur un n ud Platform Services Controller ou une installation int gr e C gt C Program Files VMware vCenter Server vmcad certool getrootca m Sur un n ud de gestion installation externe C gt C Program Files VMware vCenter Server vmcad certool getrootca server lt psc ip or fqdn gt Le r sultat est semblable ce qui suit output Certificate Data Version 3 0x2 Serial Number cf 2d ff 49 88 50 es af 2 Facultatif Affichez le magasin VECS TRUSTED_ROOTS et comparez le num ro de s rie du certificat qui s y trouve au r sultat de l tape 1 80 VMware Inc Chapitre 3 Certificats de s curit vSphere Cette commande fonctionne sur Platform Services Controller et sur les n uds de ges
512. tificats d utilisateurs de solutions dans des d ploiements importants le r sultat de dir cli list inclut tous les utilisateurs de solutions de tous les n uds Ex cutez vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine Pr requis m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format CRT m x509 version 3 m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Chaque certificat d utilisateur de la solution doit avoir un param tre Subject diff rent Vous pouvez par exemple saisir le nom de l utilisateur de la solution tel que vpxd ou un autre identifiant unique m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment 104 VMware Inc Chapitre 3 Certificats de s curit vSphere Proc dure 1 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats service control stop all service control start vmafdd service control start vmdird service control start vmca 2 Recherchez le nom de chaque utilisateur de la solution dir cli service list Vous pouvez utiliser l ID unique renvoy lorsque vous remplacez les certificats L entr e et la sortie peuvent se pr senter comme suit C Program Files VMware vCenter Server vmafdd gt dir cli service list Enter password for admi
513. tilisateur ou le groupe donn de l entit Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Autorisations Modifier un Permet de modifier le groupe d un privil ge ou sa description privil ge Aucun l ment d interface utilisateur de vSphere Web Client n est associ ce privil ge Autorisations Modifier un Permet de mettre jour du nom d un r le et des privil ges associ s ce Tout objet r le r le Autorisations R assigner Permet la r attribution de toutes les autorisations d un r le un autre Tout objet des autorisations de r le r le VMware Inc 275 S curit vSphere Privil ges de stockage bas sur le profil Les privil ges de stockage bas sur le profil contr lent les op rations li es aux profils de stockage Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 22 Privil ges de stockage bas sur le profil Nom de privil ge Stockage bas sur le profil Mise jour du stockage bas e sur le profil Description Permet d apporter des modifications aux
514. tilisez des certificats personnalis s d une autorit de certification d entreprise ou tierce Pr requis Le certificat doit r pondre aux exigences suivantes m Taille de la cl 2 048 bits ou plus cod s au format PEM m Format PEM VMware prend en charge PKCS8 et PKCS1 cl s RSA Lorsque des cl s sont ajout es VECS elles sont converties en PKCS8 m x509 version 3 m Pour les certificats racines l extension d autorit de certification doit tre d finie sur true et la signature de certification doit figurer dans la liste de conditions requises m SubjectAltName doit contenir DNS Name lt machine_FQDN gt m Format CRT m Contient les utilisations de cl suivantes Digital Signature Non Repudiation Key Encipherment Proc dure 1 Envoyez des demandes de signature de certificat pour les certificats suivants votre entreprise ou un VMware Inc fournisseur tiers de certificats m Un certificat SSL de machine pour chaque machine Pour le certificat SSL de machine le champ SubjectA tName doit contenir le nom de domaine complet NOM DNS FODN_machine m ventuellement quatre certificats d utilisateurs de solutions pour chaque syst me int gr ou n ud de gestion Les certificats d utilisateurs de solutions ne doivent pas inclure d adresse IP de nom d h te ou d adresse e mail Chaque certificat doit avoir un sujet de certificat diff rent En g n ral le r sultat est un fichier PEM pour la cha ne d approb
515. tion car VECS interroge vmdir C Program Files VMware vCenter Server vmafdd vecs cli entry list store TRUSTED_ROOTS text Dans le cas le plus simple avec un seul certificat racine le r sultat est semblable ce qui suit Number of entries in store 1 Alias 960d43f31eb95211ba3a2487ac840645a02894bd Entry type Trusted Cert Certificate Data Version 3 0x2 Serial Number cf 2d ff 49 88 50 e5 af 3 G n rez un nouveau certificat racine VMCA Le certificat est ajout au magasin TRUSTED_ROOTS dans VECS et dans vmdir service d annuaire VMware C gt C Program Files VMware vCenter Server vmcad certool selfca config C Program Files VMware vCenter Server vmcad certool cfg Sous Windows config est facultatif car la commande utilise le fichier certool cfg par d faut Remplacer les certificats SSL de la machine par des certificats sign s par VMCA Une fois que vous avez g n r un nouveau certificat racine sign par VMCA vous pouvez remplacer tous les certificats SSL de machine de votre environnement Chaque machine doit avoir un certificat SSL de machine pour la communication s curis e avec d autres services Dans un d ploiement n uds multiples vous devez ex cuter les commandes de g n ration de certificat SSL de la machine sur chaque n ud Utilisez le param tre server pour d signer Platform Services Controller partir d un noeud vCenter Server avec une instance de Platform Ser
516. tionn es et du mod le de d ploiement vers lequel vous effectuez la mise niveau Tableau 2 1 Chemins de mise niveau Source R sultat vSphere 5 5 et versions ant rieures de Simple Install vCenter Server avec Platform Services Controller int gr vSphere 5 5 et versions ant rieures de Custom Install Si vCenter Single Sign On tait install sur un n ud diff rent de vCenter Server un autre environnement avec un Platform Services Controller externe est cr Si vCenter Single Sign On tait install sur le m me n ud que vCenter Server mais que d autres services sont sur des n uds diff rents un autre environnement avec un Platform Services Controller int gr est cr Si l installation personnalis e comportait plusieurs serveurs vCenter Single Sign On r plication multiple un autre environnement avec plusieurs instances de Platform Services Controller r plication multiple est cr VMware Inc 23 S curit vSphere 24 Utilisateurs autoris s se connecter apr s la mise niveau d une installation simple Si vous mettez niveau un environnement l aide de l option d installation simple Simple Install vous obtenez toujours une installation avec un Platform Services Controller int gr Les utilisateurs autoris s se connecter sont diff rents selon que l environnement source contient ou non vCenter Single Sign On Tableau 2 2 Privil ges de connexion apr s la mise ni
517. tions sensibles dans le presse papiers avant d utiliser la console il expose involontairement des donn es sensibles au niveau de la machine virtuelle Pour viter ce probl me les op rations Copier et Coller sont par d faut d sactiv es sur le syst me d exploitation invit En cas de besoin vous pouvez activer ces op rations pour les machines virtuelles 224 VMware Inc Chapitre 7 S curisation des machines virtuelles Emp cher des utilisateurs d ex cuter des commandes dans une machine virtuelle Par d faut un utilisateur avec le r le d administrateur vCenter Server peut interagir avec les fichiers et programmes au sein du syst me d exploitation invit d une machine virtuelle Afin de r duire les risques d atteinte la confidentialit la disponibilit et l int grit de l invit cr ez un r le d acc s non invit d pourvu du privil ge Op rations client Pour garantir la s curit appliquez les m mes restrictions pour l acc s au centre de donn es virtuel que pour l acc s au centre de donn es physique Pour viter d octroyer un acc s administrateur complet aux utilisateurs cr ez un r le personnalis qui d sactive l acc s invit et appliquez ce r le aux utilisateurs qui ont besoin de disposer de privil ges d administrateur mais qui ne sont pas autoris s interagir avec les fichiers et les programmes au sein du syst me d exploitation invit Prenons par exemple une configuration compos e d
518. tre en miroir le trafic provenant d un port vers un autre pour permettre aux p riph riques de capture de paquets de collecter des flux de trafic sp cifiques La mise en miroir des ports envoie une copie de tout le trafic sp cifi dans un format non chiffr Ce trafic mis en miroir contient les donn es compl tes dans les paquets captur s et ceci peut compromettre les donn es s il est mal dirig Si la mise en miroir des ports est requise v rifiez que tous les ID de VLAN de port et de liaison montante de destination de la mise en miroir des ports sont corrects VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere tiquetage de composants de mise en r seau L identification des diff rents composants de votre architecture de mise en r seau est critique et contribue garantir qu aucune erreur n est introduite lors de l extension de votre r seau Suivez ces recommandations Assurez vous que les groupes de ports sont configur s avec une tiquette r seau claire et vidente Ces tiquettes servent de descripteur fonctionnel du groupe de ports et vous aident identifier la fonction de chaque groupe de ports lorsque le r seau devient plus complexe Assurez vous que chaque vSphere Distributed Switch dispose d une tiquette r seau qui indique clairement la fonction ou le sous r seau IP du commutateur Cette tiquette sert de descripteur fonctionnel du commutateur tout comme un commutateur physique n cessite
519. ts objets vous contr lez les t ches que les utilisateurs peuvent effectuer dans votre environnement vSphere Par exemple pour autoriser un groupe configurer la m moire de l h te s lectionnez l h te et ajoutez une autorisation qui accorde ce groupe un r le incluant le privil ge H te Configuration Configuration m moire 132 VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Pour g rer les autorisations de vSphere Web Client vous devez comprendre les concepts suivants Autorisations Chaque objet de la hi rarchie des objets vCenter Server a des autorisations associ es Chaque autorisation sp cifie pour un groupe ou un utilisateur les privil ges dont dispose ce groupe ou cet utilisateur sur l objet Utilisateurs et groupes Sur les syst mes vCenter Server vous ne pouvez attribuer des privil ges qu aux utilisateurs ou aux groupes d utilisateurs authentifi s Les utilisateurs sont authentifi s via vCenter Single Sign On Les utilisateurs et les groupes doivent tre d finis dans la source d identit utilis e par vCenter Single Sign On pour l authentification D finissez les utilisateurs et les groupes l aide des outils de votre source d identit par exemple Active Directory R les Les r les vous permettent d attribuer des autorisations sur un objet en fonction d un ensemble de t ches par d faut ex cut es par les utilisateurs Les r les par d faut par exemple Admini
520. ts pr sentent les privil ges par d faut qui une fois s lectionn s pour un r le peuvent tre associ s avec un utilisateur et assign s un objet Dans les tableaux de cette annexe VC d signe vCenter Server et HC d signe le client de l h te un h te ESXi autonome ou un h te de poste de travail En d finissant des autorisations v rifiez que tous les types d objet sont d finis avec des privil ges appropri s pour chaque action particuli re Quelques op rations exigent la permission d acc s au dossier racine ou au dossier parent en plus de l acc s l objet manipul elques op rations exigent l autorisation J d acc s ou de performances un dossier parent et un objet associ Les extensions de vCenter Server peuvent d finir des privil ges suppl mentaires non mentionn s ici R f rez vous la documentation concernant l extension pour plus d informations sur ces privil ges Ce chapitre aborde les rubriques suivantes VMware Inc Privil ges d alarmes page 262 Privil ges Auto Deploy et privil ges de profil d image page 263 Privil ges de certificats page 263 Privil ges de biblioth que de contenu page 264 Privil ges de banque de donn es page 266 Privil ges de cluster de banques de donn es page 266 Privil ges de Distributed Switch page 267 Privil ges de gestionnaire d agent ESX page 268 Privil ges d extension page 268 Pr
521. u 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction Mettre hors tension Descri ption Permet de mettre hors tension une machin e virtuell e sous tension Cette op rati on met hors tension le syst m e d explo itation invit Requis sur Machines virtuelles Machine virtuelle Interaction Mettre sous tension Permet de mettre sous tension une machin e virtuell e hors tension et de red ma rrer une machin e virtuell e interro mpue Machines virtuelles Machine virtuelle Interaction Session d enregistrement sur une machine virtuelle Permet d enreg istrer une session sur une machin e virtuell e Machines virtuelles 286 VMware Inc Tableau 10 30 Interaction de machine virtuelle suite Nom de privil ge Machine virtuelle Interaction Session de lecture sur une machine virtuelle Descri ption Permet de r ins r er une session enregis tr e sur une machin e virtuell e Chapitre 10 Privil ges d finis Requis sur Machines virtuelles Machine virtuelle Interaction R initialiser Permet de r initia liser une machin e virtuell eet red ma rre le syst m e d explo itation invit Machines virtuelles avec une machine virtuelle Relancer Fault Tolerance Permet la reprise de Fault Tolera nce pour une machin e virtuell e Machines virtuelles Machine virtu
522. u 10 38 vServices Nom de privil ge Description Requis sur vService Cr er une Permet de cr er une d pendance vService pour une machine virtuelle vApp et machines d pendance ou un vApP virtuelles vService D truire la Permet de supprimer une d pendance vService d une machine vApp et machines d pendance virtuelle ou d un vApp virtuelles vService Reconfigurer la Permet la reconfiguration d une d pendance pour mettre jour le vApp et machines configuration de fournisseur ou la liaison virtuelles d pendance vService mettre niveau la Permet des mises jour d une d pendance pour configurer le nom ou vApp et machines d pendance la description virtuelles VMware Inc 295 S curit vSphere 296 VMware Inc Index A acc s privil ges 261 acc s l interface utilisateur de la console directe 180 acc s aux outils CIM limitation 215 acc s DCUI 181 acc s de gestion pare feu 167 ports TCP et UDP 213 Active Directory 185 187 189 192 administrateur param trage pour vCenter Server 22 administrateur vCenter Server param tre 22 Adresses IP Ajout d adresses 168 adresses IP autoris es pare feu 168 afficher les certificats 122 alarmes privil ges 262 antispyware 12 associations de s curit ajout 243 disponible 243 liste 243 suppression 244 attribuer des autorisations globales 136 authentification avec le domaine Active Directory 50 carte puce 193 stockage iSCSI 257
523. u Expulser la biblioth que abonn e biblioth que abonn e peut tre mis en cache ou non S il est mis en cache vous pouvez lib rer une biblioth que en l expulsant si vous disposez de ce privil ge 264 VMware Inc Tableau 10 4 Privil ges de biblioth que de contenu suite Chapitre 10 Privil ges d finis Nom de privil ge Description Requis sur Biblioth que de Autorise un utilisateur importer un l ment de biblioth que si Biblioth que contenu Importer le l URL du fichier source commence par ds ou file Ce privil ge est stockage d sactiv pour l administrateur de biblioth que de contenu par d faut Comme une importation partir d une URL de stockage implique une importation de contenu n activez ce privil ge qu en cas de besoin et s il n existe aucun probl me de s curit concernant l utilisateur qui va effectuer l importation Biblioth que de Ce privil ge autorise les utilisateurs de solution et les API contr ler Biblioth que contenu Contr ler les les informations d abonnement d une biblioth que distante URL informations sur certificat SSL et mot de passe notamment La structure obtenue l abonnement indique si la configuration de l abonnement s est bien d roul e ou si des probl mes se sont produits des erreurs SSL par exemple Biblioth que de Autorise la lecture du stockage d une biblioth que de contenu Biblioth que contenu Stockage de lecture Biblioth que de
524. u de machines virtuelles d pendent du syst me d exploitation invit install de la pr sence ou non d un environnement s curis ainsi que d un certain nombre d autres facteurs Les commutateurs virtuels et les commutateurs virtuels distribu s offrent un niveau de protection lev lorsqu ils sont utilis s avec d autres mesures de s curit installation de pare feu notamment Reportez vous Chapitre 8 S curisation de la mise en r seau vSphere page 229 13 S curit vSphere Envisager les VLAN pour prot ger votre environnement S curiser les connexions du stockage virtualis valuer l utilisation d IPSec ESXi prend en charge les VLAN IEEE 802 1q Vous pouvez donc les utiliser pour renforcer la protection du r seau de machines virtuelles ou la configuration de stockage Les VLAN permettent de segmenter un r seau physique ainsi deux machines du m me r seau physique peuvent s envoyer mutuellement des paquets ou en recevoir sauf s ils se trouvent sur le m me r seau VLAN Reportez vous S curisation des machines virtuelles avec des VLAN page 238 Une machine virtuelle stocke les fichiers du syst me d exploitation les fichiers de programme et d autres donn es sur un disque virtuel Chaque disque virtuel appara t sur la machine virtuelle en tant que lecteur SCSI connect au contr leur SCSI Une machine virtuelle n a pas acc s aux d tails du stockage ni aux informations relatives
525. u de super administrateur L utilisateur par d faut ayant le r le de super administrateur est l utilisateur racine 2 Ajoutez des serveurs NTP la configuration de vCenter Server Appliance en ex cutant la commande ntp server add Par exemple ex cutez la commande suivante ntp server add servers IP addresses or host names IP addresses or host names est une liste s par e par des virgules des adresses IP ou noms d h tes des serveurs NTP Cette commande ajoute des serveurs NTP la configuration Si la synchronisation horaire est bas e sur un serveur NTP le d mon NTP est red marr pour recharger les nouveaux serveurs NTP Sinon cette commande ajoute simplement de nouveaux serveurs NTP la configuration NTP existante 3 Facultatif Pour supprimer d anciens serveurs NTP et les remplacer par de nouveaux dans la configuration de vCenter Server Appliance ex cutez la commande ntp server set Par exemple ex cutez la commande suivante ntp server set servers IP addresses or host names IP addresses or host names est une liste s par e par des virgules des adresses IP ou noms d h tes des serveurs NTP Cette commande supprime les anciens serveurs NTP de la configuration et d finit les serveurs NTP d entr e dans la configuration Si la synchronisation horaire est bas e sur un serveur NTP le d mon NTP est red marr pour recharger la nouvelle configuration NTP Sinon cette commande remplace simplement les serveurs
526. u hexad cimal avec un pr fixe 0x integrity algorithm authentication algorithm Requis Sp cifiez l algorithme d authentification soit hmac shal ou hmac sha2 256 integrity key authentication key Requis Sp cifiez la cl d authentification Vous pouvez entrer des cl s en tant que texte ASCII ou en tant qu hexad cimal avec un pr fixe 0x sa name name Requis Indiquez un nom pour l association de s curit Exemple Commande de nouvelle association de s curit L exemple suivant contient des sauts de ligne suppl mentaires pour des raisons de lisibilit esxcli network ip ipsec sa add sa source 3ffe 501 ffff 0 a sa destination 3ffe 501 ffff 0001 0000 0000 0000 0001 sa mode transport sa spi 0x1000 encryption algorithm 3des cbc encryption key 0x6970763672656164796c6f676F336465736362636f757432 integrity algorithm hmac shal integrity key 0x6970763672656164796c6f67736861316f757432 sa name sal Supprimer une association de s curit IPsec Vous pouvez supprimer une association de s curit avec la commande vSphere CLI ESXCLI Pr requis V rifiez que l association de s curit que vous souhaitez employer n est pas actuellement utilis e Si vous essayez de supprimer une association de s curit en cours d utilisation l op ration de suppression choue Proc dure A la suite de l invite de commande entrez la commande esxcli net
527. u menu d roulant R le assign Les r les qui sont attribu s l objet apparaissent dans le menu Les privil ges contenus dans le r le sont mentionn s dans la section au dessous de l intitul du r le 6 Facultatif Pour limiter la propagation d cochez la case Propager vers les objets enfants Le r le est appliqu seulement l objet s lectionn et ne se propage pas aux objets enfant 7 Cliquez sur OK pour ajouter l autorisation Changer des autorisations Apr s avoir d fini un utilisateur ou un groupe et une paire de r le pour un objet d inventaire vous pouvez changer le r le appari avec l utilisateur ou le groupes ou changer le param tre de la case cocher Propager Vous pouvez galement supprimer le param tre d autorisation Proc dure 1 Acc dez l objet dans le navigateur d objets de vSphere Web Client Cliquez sur l onglet G rer et s lectionnez Autorisations Cliquer sur l l ment de ligne pour s lectionner l utilisateur ou le groupes et la paire de r le 2 3 4 Cliquez sur Modifier r le de l autorisation 5 S lectionnez un r le pour l utilisateur ou le groupe dans le menu d roulant R le assign 6 Pour propager les privil ges aux enfants de l objet d inventaire assign cliquer sur la case cocher Propager et cliquer sur OK Supprimer les autorisations Vous pouvez supprimer les autorisations sur un objet de la hi rarchie d objets pour un utilisateur sp cifique ou pour un group
528. uand vous assignez une autorisation un objet vous pouvez choisir si l autorisation propage la hi rarchie d objet Vous d finissez la propagation pour chaque autorisation La propagation n est pas universellement appliqu e Les autorisations d finies pour un objet enfant ignorent toujours les autorisations qui sont propag es partir des objets parent La figure illustre la hi rarchie d inventaire et les chemins par lesquels les autorisations peuvent tre propag es REMARQUE Les autorisations globales prennent en charge l attribution de privil ges dans plusieurs solutions partir d un objet racine global Reportez vous Autorisations globales page 136 VMware Inc Chapitre 4 T ches de gestion des utilisateurs et des autorisations de vSphere Figure 4 2 Hi rarchie d inventaire de vSphere objet racine niveau d autorisations global biblioth que vCenter Server cat gorie de de contenu niveau de l instance de vCenter Server balises l ment de dossier de centre biblioth que de donn es centre de donn es Dossier de VM dossier d h te dossier dossier de banque r seau de donn es commutateur VDS banque de mod le h te ES ndard donn es groupe cluster de pool de cluster de ports banques de ressources distribu s donn es pool de ressources machine machine virtuelle virtuelle machine virtuelle pool de ressources machine virtuelle La plupart des objet
529. ue de Autorise la cr ation de biblioth ques locales sur le syst me vCenter Server contenu Cr er une biblioth que locale vCenter Server sp cifi Biblioth que de contenu Cr er la biblioth que abonn e Autorise la cr ation de biblioth ques abonn es vCenter Server Biblioth que de contenu Supprimer l l ment de la biblioth que Autorise la suppression d l ments de biblioth que Biblioth que Configurez cette autorisation pour qu elle se propage tous les l ments de la biblioth que Biblioth que de Autorise la suppression d une biblioth que locale Biblioth que contenu Supprimer la biblioth que locale Biblioth que de Autorise la suppression d une biblioth que abonn e Biblioth que contenu Supprimer la biblioth que abonn e Biblioth que de Autorise le t l chargement de fichiers de la biblioth que de contenu Biblioth que contenu T l charger des fichiers Biblioth que de Autorise l viction d l ments Le contenu d une biblioth que Biblioth que Configurez contenu Expulser l l ment abonn e peut tre mis en cache ou non S il est mis en cache vous cette autorisation pour de biblioth que pouvez lib rer un l ment de la biblioth que en l expulsant si vous qu elle se propage tous disposez de ce privil ge les l ments de la biblioth que Biblioth que de Autorise l viction d une biblioth que abonn e Le contenu d une Biblioth que conten
530. uelles avec des VLAN page 238 Cr er une DMZ r seau sur un h te ESXi page 240 Cr ation de plusieurs r seaux sur un h te ESXi page 241 S curit du protocole Internet page 243 Garantir une configuration SNMP appropri e page 246 Utiliser des commutateurs virtuels avec l API vSphere Network Appliance uniquement si n cessaire page 247 Meilleures pratiques en mati re de s curit de la mise en r seau vSphere page 247 Introduction la s curit du r seau vSphere La s curit du r seau dans l environnement vSphere partage de nombreuses caract ristiques de s curisation d un environnement de r seau physique mais inclut galement des caract ristiques qui s appliquent uniquement aux machines virtuelles Pare feu Ajoutez une protection par pare feu votre r seau virtuel en installant et en configurant des pare feu h berg s sur h te sur certaines ou la totalit de ses machines virtuelles VMware Inc 229 S curit vSphere Pour une plus grand efficacit vous pouvez configurer des r seaux Ethernet priv s de machines virtuelles ou des r seaux virtuels Avec les r seaux virtuels vous installez un pare feu h berg sur h te sur une machine virtuelle la t te du r seau virtuel Ce pare feu sert de tampon de protection entre l adaptateur r seau physique et les machines virtuelles restantes du r seau virtuel tant donn que les pare feu h berg s sur h
531. uez lui le r le personnalis Vous pouvez cr er plusieurs r les personnalis s avec diff rents niveaux d acc s si vous souhaitez que l acc s certains h tes soit assez limit VMware Inc Chapitre 5 S curisation des h tes ESXi 3 crivez des scripts pour effectuer la v rification ou la modification de param tres puis ex cutez les Par exemple vous pouvez v rifier ou d finir le d lai d expiration interactif du shell d un h te de la fa on suivante Langue Commandes vCLI ESXCLI esxcli lt conn_options gt system settings advanced get UserVars ESXiShellTimeOut esxcli formatter csv format param fields Path Int Value system settings advanced list grep UserVars ESXiShellTimeOut PowerCLi List UserVars ESXiShellInteractiveTimeOut for each host Get VMHost Select Name N UserVars ESXiShellInteractiveTimeOut E _ Get VMHostAdvancedConfiguration UserVars ESXiShellInteractiveTimeOut Select ExpandProperty Values Set UserVars ESXiShellTimeOut to 900 on all hosts Get VMHost Foreach Set VMHostAdvancedConfiguration VMHost _ Name UserVars ESXiShellTimeOut Value 900 4 Dans de grands environnements cr ez des r les avec diff rents privil ges d acc s et groupez les h tes dans des dossiers selon les t ches que vous souhaitez effectuer puis ex cutez diff rents scripts sur diff rents dossiers partir de diff rents comptes de service 5 N oubliez pas de v rifier que
532. uez sur l onglet G rer 2 Cliquez sur Param tres et s lectionnez Services d authentification 3 Cliquez sur Joindre le domaine 4 Entrez un domaine Utilisez le format name tld ou name tld container path 5 S lectionnez Utilisation du serveur proxy 6 Entrez l adresse IP du serveur proxy d authentification 7 Cliquez sur OK Remplacer le certificat du serveur proxy d authentification de l h te ESXi Vous pouvez importer le certificat d une autorit de certification approuv e partir de vSphere Web Client Pr requis m T l chargez le fichier de certificat du serveur proxy d authentification sur l h te ESXi Proc dure 1 Dans vSphere Web Client s lectionnez l h te ESXi 2 Dans l onglet Param tres s lectionnez Services d authentification dans la zone Syst me VMware Inc Chapitre 5 S curisation des h tes ESXi 3 Cliquez sur Importer un certificat 4 Entrez le chemin du certificat SSL et le serveur vSphere Authentication Proxy Configuration de l authentification par carte puce pour ESXi Vous pouvez utiliser l authentification par carte puce pour vous connecter l interface utilisateur de la console directe DCUI Direct Console User Interface ESXi l aide d une carte puce PIV Personal Identity Verification CAC Common Access Card ou SC650 au lieu de l invite par d faut permettant d entrer un nom d utilisateur et un mot de passe Une carte puce est une petite carte en plastique dot e d une
533. uis m Installez Microsoft NET Framework 3 5 sur la machine sur laquelle vous voulez installer vSphere Authentication Proxy m V rifiez que vous disposez des privil ges d administrateur m V rifiez que la machine h te est dot e d un processeur et d un syst me d exploitation compatibles VMware Inc Chapitre 5 S curisation des h tes ESXi V rifiez que la machine h te poss de une adresse IPv4 valide Vous pouvez installer vSphere Authentication Proxy sur une machine dans un environnement r seau exclusivement en mode IPv4 ou en mode mixte IPv4 IPv6 mais vous ne pouvez pas installer vSphere Authentication Proxy sur une machine dans un environnement exclusivement en mode IPv6 Si vous installez vSphere Authentication Proxy sur une machine h te Windows Server 2008 R2 t l chargez et installez le correctif logiciel Windows d crit dans Windows KB Article 981506 sur le site Web support microsoft com Si vous n installez pas ce correctif l initialisation de vSphere Authentication Proxy Adapter choue Ce probl me est accompagn de messages d erreur consign s dans camadapter log similaires chec de la liaison du site Web CAM avec CTL et chec de l initialisation de CAMAdapter T l chargez le programme d installation vCenter Server Collectez les informations suivantes pour terminer l installation ou la mise niveau m L emplacement d installation de vSphere Authentication Proxy si vous n utilisez pas l emplacement pa
534. uli re de VMware Tools dans vCenter Server Appliance est d sactiv e et l inverse Utiliser la synchronisation de l heure de VMware Tools Vous pouvez configurer vCenter Server Appliance de mani re utiliser la synchronisation de l heure de VMware Tools Proc dure 1 Acc dez l interpr teur de commande du dispositif et connectez vous en tant qu utilisateur disposant du r le d administrateur ou de super administrateur L utilisateur par d faut ayant le r le de super administrateur est l utilisateur racine 2 Ex cutez la commande pour activer la synchronisation de l heure de VMware Tools timesync set mode host 3 Facultatif Ex cutez la commande pour v rifier que vous avez r ussi appliquer la synchronisation de l heure de VMware Tools timesync get La commande renvoie l indication que la synchronisation de l heure est en mode h te VMware Inc Chapitre 9 Meilleures pratiques concernant plusieurs composants vSphere L heure du dispositif est synchronis e avec celle de l h te ESXi Ajouter ou remplacer les serveurs NTP dans la configuration de vCenter Server Appliance Pour configurer vCenter Server Appliance de mani re utiliser une synchronisation de l heure bas e sur NTP vous devez ajouter les serveurs NTP la configuration vCenter Server Appliance Proc dure 1 Acc dez l interpr teur de commande du dispositif et connectez vous en tant qu utilisateur disposant du r le d administrateur o
535. une machine virtuelle plac e dans une infrastructure contenant des informations sensibles Pour des t ches telles que la migration avec vMotion et Storage vMotion le responsable informatique doit avoir acc s la machine virtuelle Dans ce cas d sactivez certaines op rations distantes au sein du syst me d exploitation invit afin de vous assurer que le responsable informatique n a pas acc s aux informations sensibles Pr requis V rifiez que vous avez les privil ges Administrateur sur le syst me vCenter Server sur lequel vous cr ez le r le Proc dure 1 Connectez vous vSphere Web Client en tant qu utilisateur poss dant des privil ges Administrateur sur le syst me vCenter Server sur lequel vous cr ez le r le 2 Cliquez sur Administration et s lectionnez R les 3 Cliquez sur l ic ne Cr er une action de r le et tapez le nom que vous souhaitez attribuer au r le Par exemple entrez Acc s non invit administrateur 4 S lectionnez Tous les privil ges 5 D s lectionnez Tous les privil ges Machine virtuelle Op rations client pour supprimer l ensemble des privil ges Op rations client 6 Cliquez sur OK Suivant S lectionnez le syst me vCenter Server ou l h te et attribuez une autorisation qui couple l utilisateur ou le groupe requ rant les nouveaux privil ges avec le r le que vous venez de cr er Supprimez ces utilisateurs du r le d administrateur par d faut Interdiction pour les utilisateu
536. upprimer un groupe de ports virtuels distribu s Groupes de ports Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe virtuels d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent Groupe dvPort Modifier Permet de modifier la configuration d un groupe de ports virtuels Groupes de ports distribu s virtuels VMware Inc 293 S curit vSphere Tableau 10 36 Privil ges de groupes de ports virtuels distribu s suite Nom de privil ge Groupe dvPort Op ration de strat gie Description Permet de d finir la r gle d un groupe de ports virtuels distribu s Requis sur Groupes de ports virtuels Groupe dvPort Op ration d tendue Permet de d finir la port e d un groupe de ports virtuels distribu s Groupes de ports virtuels Privil ges de vApp Les privil ges vApp contr lent des op rations associ es au d ploiement et la configuration d un vApp Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 37 Privil ges de vApp Nom de privil ge Description Requis sur vApp Ajo
537. ur acc der aux autres zones de machines virtuelles de l h te Vous pouvez impl menter la segmentation l aide de l une des deux approches suivantes chacune d entre elles ayant des avantages diff rents m Utilisez des adaptateurs r seau physiques s par s pour des zones de machines virtuelles afin de garantir que les zones sont isol es Conserver des adaptateurs r seau physiques s par s pour des zones de machines virtuelles est probablement la m thode la plus s curis e et moins susceptible de subir une configuration incorrecte apr s la cr ation des segments initiaux m Configurez des r seaux locaux virtuels VLAN pour prot ger votre r seau Comme les VLAN disposent de presque tous les avantages de s curit inh rents l impl mentation de r seaux s par s physiquement sans surcharge mat rielle ils offrent une solution viable pouvant vous conomiser les co ts de d ploiement et d entretien de p riph riques c blages etc suppl mentaires Reportez vous la section S curisation des machines virtuelles avec des VLAN page 238 Pr vention de l acc s non autoris Si votre r seau de machines virtuelles est connect un r seau physique il peut tre soumis des d faillances tout comme un r seau constitu de machines physiques M me si le r seau de machines virtuelles est isol de tout r seau physique les machines virtuelles du r seau peuvent tre soumises des attaques d autres machines virtu
538. ur la fraude par exemple Les administrateurs syst mes doivent donc leur associer un niveau maximal de protection Elles se connectent au r seau interne 2 via leur propre commutateur virtuel et leur propre carte r seau Le r seau interne 2 est r serv une utilisation interne par le personnel appropri responsables de dossiers d indemnisation ou juristes internes par exemple Les machines virtuelles 2 5 peuvent communiquer entre elles via le commutateur virtuel elles peuvent aussi communiquer avec les machines virtuelles du r seau interne 2 via la carte r seau physique En revanche elles ne peuvent pas communiquer avec des machines externes Comme pour le serveur FTP ces machines virtuelles ne peuvent pas acheminer des paquets vers ou les recevoir depuis les r seaux des autres machines virtuelles De la m me fa on les autres machines virtuelles de l h te ne peuvent pas acheminer des paquets vers ou les recevoir depuis les machines virtuelles 2 5 DMZ Les machines virtuelles 6 8 sont configur es en tant que zone d militaris e DMZ le groupe marketing les utilise pour publier le site Web externe de l entreprise Ce groupe de machines virtuelles est associ au r seau externe 2 et au r seau interne 1 L entreprise utilise le r seau externe 2 pour les serveurs Web qui h bergent le site Web de l entreprise et d autres outils Web destin s des utilisateurs externes Le r seau interne 1 est utilis par le
539. ur remplacer la taille par d faut et la rotation des journaux d un journal quelconque a Cliquez sur le nom du journal que vous souhaitez personnaliser b Cliquez sur l ic ne Modifier et entrez le nombre de rotations et la taille de journal souhait s 7 Cliquez sur OK Les modifications apport es aux options syslog prennent effet imm diatement VMware Inc 203 S curit vSphere Emplacements des fichiers journaux ESXi ESXi enregistre l activit de l h te dans des fichiers journaux en utilisant un outil syslog Composant VMkernel Emplacement Var log vmkernel log Objectif Enregistre les activit s relatives aux machines virtuelles et ESXi Avertissements VMkernel Var log vmkwarning log Enregistre les activit s relatives aux machines virtuelles R sum VMkernel Var log vmksummary log Utilis pour d terminer les statistiques de temps de fonctionnement et de disponibilit pourESXi virgule s par e Journal de l agent h te ESXi Var log hostd log Contient des informations sur l agent g rant et configurant les h tes ESXi et leurs machines virtuelles Journal de l agent vCenter Var log vpxa log Contient des informations sur l agent communiquant avec vCenter Server si l h te est g r par vCenter Server Journal du shell var log shell log Contient un enregistrement de toutes les commandes tap es dans ESXi Shell ainsi que les v nements de
540. urces potentielles de programmes malveillants m Letrafic des machines virtuelles peut traverser un ou plusieurs r seaux Vous pouvez renforcer l isolation des machines virtuelles en utilisant des solutions de pare feu qui d finissent des r gles de pare feu au niveau du contr leur du r seau virtuel Ces param tres sont achemin s avec une machine virtuelle d s lors qu elle migre d un h te un autre dans votre environnement vSphere D sactiver le Managed Object Browser MOB Le MOB fournit une possibilit d explorer le mod le d objet VMkernel Cependant les pirates peuvent utiliser cette interface pour effectuer des actions ou des modifications de configuration malveillantes car vous pouvez modifier la configuration de l h te l aide de Managed Object Browser Utilisez Managed Object Browser uniquement des fins de d bogage et assurez vous qu il est d sactiv dans les syst mes de production partir de vSphere 6 0 le MOB est d sactiv par d faut Cependant pour certaines t ches par exemple lors de l extraction de l ancien certificat d un syst me vous devez utiliser le MOB Proc dure 1 S lectionnez l h te de vSphere Web Client puis acc dez l option Param tres syst me avanc s VMware Inc 151 S curit vSphere 2 Contr lez la valeur de Config HostAgent plugins solo enableMob et modifiez la le cas ch ant Il n est plus recommand d utiliser vim cmd dans ESXi Shell D sactiver les cl s
541. utateur standard vous pouvez configurer votre SAN iSCSI avec son propre VLAN pour am liorer les performances et la s curit Le placement de votre configuration iSCSI sur un VLAN s par garantit qu aucun p riph rique autre que l adaptateur iSCSI n a de visibilit sur les transmissions au sein du SAN iSCSI Par cons quent aucun blocage r seau provenant d autres sources ne peut interf rer avec le trafic iSCSI VMware Inc 257 S curit vSphere S curisation des ports iSCSI Lorsque vous ex cutez des p riph riques iSCSI ESXi n ouvre pas de port coutant les connexions r seau Cette mesure r duit le risque qu un intrus puisse p n trer dans ESXi par des ports disponibles et prenne le contr le de l h te Par cons quent l ex cution iSCSI ne pr sente pas de risques de s curit suppl mentaires sur le c t h te ESXi de la connexion Tout p riph rique cible iSCSI que vous ex cutez doit disposer d un ou plusieurs ports TCP ouverts pour couter les connexions iSCSI Si des vuln rabilit s de s curit existent dans le logiciel du p riph rique iSCSI vos donn es peuvent courir un risque en raison d une panne d ESXi Pour r duire ce risque installez tous les correctifs de s curit que le fournisseur de votre quipement de stockage fournit et limitez le nombre de p riph riques connect s au r seau iSCSI Masquage et zonage des ressources SAN Vous pouvez utiliser le zonage et le masquage LUN pour distinguer l
542. uter une machine Permet d ajouter une machine virtuelle un vApp vApp virtuelle vApp Assigner un pool de Permet d attribuer un pool de ressources un vApp ressources vApp vApp Assigner un vApp Permet d attribuer un vApp un autre vApp vApp vApp Cloner Permet de cloner un vApp vApp vApp Cr er Permet de cr er un vApp vApp vApp Supprimer Permet de supprimer un vApp vApp Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent vApp Exportation Permet d exporter un vApp partir de vSphere vApp vApp Importation Permet d importer un vApp dans vSphere vApp vApp D placer Permet de d placer un vApp vers un nouvel vApp emplacement d inventaire vApp Mettre hors tension Permet de d sactiver des op rations sur un vApp vApp vApp Mettre sous tension Permet d activer des op rations sur un vApp vApp vApp Renommer Permet de renommer un vApp vApp vApp Interrompre Permet d interrompre un vApp vApp vApp Annuler l enregistrement Permet d annuler l enregistrement d un vApp vApp Pour pouvoir ex cuter cette op ration un utilisateur ou un groupe d utilisateurs doit disposer de ce privil ge attribu la fois l objet et son objet parent vApp Afficher l environnement Permet de consulter l environnement OVF d une vApp OVF machine virtuelle sous tension au sein d un vApp vApp Configuration d application Permet de mo
543. utez la cl priv e et le fichier de certificat cha ne compl te et cliquez sur OK 4 Renouveler le certificat SSL de la machine pour le syst me local a Cliquez sur l onglet Certificats de machine b Cliquez sur Renouveler et r pondez Oui l invite VMCA remplace le certificat de machine SSL par un certificat sign par la cha ne compl te 5 facultatif Renouveler les certificats d utilisateur de solution pour le syst me local a Cliquez sur l onglet Certificats d utilisateur de solution b Cliquez sur Renouveler pour renouveler des certificats individuels sp cifiques ou cliquez sur Tous les renouveler pour remplacer tous les certificats et r pondez Oui l invite VMCA remplace le certificat d utilisateur de solution ou tous les certificats d utilisateurs de solutions par des certificats sign s par la cha ne compl te 6 Si votre environnement inclut un Platform Services Controller externe vous pouvez renouveler les certificats pour chaque syst me vCenter Server a Cliquez sur le bouton Se d connecter dans le panneau Gestion des certificats b Lorsque vous y tes invit sp cifiez l adresse IP ou le nom de domaine du syst me vCenter Server ainsi que le nom d utilisateur et le mot de passe d un administrateur vCenter Server pouvant s authentifier aupr s de vCenter Single Sign On c Renouveler le certificat SSL de la machine dans vCenter Server et si vous le souhaitez chaque certificat d utilisateur de solution
544. utilisateur last name lt name gt Nom de l utilisateur login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer dir cli user delete Supprime l utilisateur sp cifi dans vmdir Option account lt name gt Description Nom de l utilisateur vCenter Single Sign On supprimer login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajouter d autres utilisateurs au groupe CAAdmins vCenter Single Sign On pour leur accorder des privil ges d administrateur password lt motdepasse_admin gt Mot de passe de l utilisateur administrateur Si vous ne sp cifiez pas le mot de passe un message vous invite l entrer VMware Inc 119 S curit vSphere dir cli group modify Ajoute un utilisateur ou un groupe un groupe d j existant Option name lt name gt Description Nom du groupe dans vmdir add lt user_or_group_name gt Nom de l utilisateur ou du groupe ajouter login lt admin_user_id gt Par d faut administrator vsphere local Cet administrateur peut ajout
545. vSphere 186 m L adresse et les informations d identification du vCenter Server auquel vSphere Authentication Proxy doit se connecter adresse IP ou nom port HTTP nom d utilisateur et mot de passe m Le nom d h te ou l adresse IP pour identifier vSphere Authentication Proxy sur le r seau Proc dure 1 Ajoutez au domaine la machine h te sur laquelle vous aller installer le service proxy d authentification 2 Utilisez le compte Administrateur de domaine pour vous connecter la machine h te 3 Dans l inventaire du logiciel d installation faites un double clic sur le fichier autorun exe pour lancer l installation 4 S lectionnez VMware vSphere Authentication Proxy et cliquez sur Installer 5 Suivez les invites de l assistant pour terminer l installation ou la mise niveau Au cours de l installation le service d authentification s enregistre dans l instance vCenter Server o Auto Deploy est enregistr Lorsque vous installez le service vSphere Authentication Proxy le programme d installation cr e un compte de domaine avec les privil ges appropri s pour ex cuter le service proxy d authentification Le nom de compte commence par le pr fixe CAM et est associ un mot de passe 32 caract res g n r de fa on al atoire Le mot de passe n expire jamais Ne changez pas les param tres du g n raux Configurer un h te pour utiliser Active Directory Vous pouvez configurer un h te pour utiliser un service d annuair
546. vSphere Authentication Proxy service CAM vous devez configurer l h te pour utiliser le serveur proxy d authentification pour authentifier les utilisateurs Pr requis Installez le service vSphere Authentication Proxy service CAM sur un h te Reportez vous Installer ou mettre niveau vSphere Authentication Proxy page 185 VMware Inc 189 S curit vSphere Proc dure 1 Utilisez IIS manager sur l h te pour d finir la plage DHCP D finir la plage permet aux h tes utilisant le DHCP dans le r seau de gestion d utiliser le service de proxy d authentification Option Action Pour IIS 6 a Naviguez jusqu au Site Web de gestion des comptes d ordinateur b Cliquez avec le bouton droit sur le r pertoire virtuel CAM ISAPI c S lectionnez Propri t s gt S curit du r pertoire gt Modifier l adresse IP et les restrictions de nom de domaine gt Ajouter un groupe d ordinateurs Pour IIS 7 a Naviguez jusqu au Site Web de gestion des comptes d ordinateur b Cliquez sur le r pertoire virtuel CAM ISAPI du volet gauche et ouvrez Adresse IPv4 et restrictions de domaine c S lectionnez Ajouter entr e autoris e gt Plage d adresse IPv4 2 Siun h te n est pas provisionn par Auto Deploy remplacez le certificat SSL par d faut par un certificat auto sign ou par un certificat sign par une autorit de certification CA priv e Option Description Certificat d autorit de certification Si vous ut
547. veau d un environnement d installation simple Version source Acc s pour Remarques vSphere 5 0 Utilisateurs de syst mes d exploitation locaux Vous pourrez tre invit administrator vsphere local indiquer l administrateur du dossier racine dans la hi rarchie de l inventaire vSphere pendant l installation en raison de modifications dans les magasins de l utilisateur Si votre installation pr c dente prenait en charge les utilisateurs Active Directory vous pouvez ajouter le domaine Active Directory comme source d identit vSphere 5 1 Utilisateurs de syst mes d exploitation locaux Depuis vSphere 5 5 vCenter administrator vsphere local Single Sign On prend en charge une seule source d identit par d faut Vous pouvez d finir la source d identit par d faut Admin SystemDomain Les utilisateurs d un domaine non d fini par d faut peuvent sp cifier le domaine au moment de leur connexion DOMAIN user ou user DOMAIN vSphere 5 5 administrator vsphere local ou l administrateur du domaine que vous avez sp cifi lors de la mise niveau Tous les utilisateurs de toutes les sources d identit peuvent se connecter comme pr c demment Si vous mettez niveau partir de vSphere 5 0 qui n int gre pas vCenter Single Sign On vers une version qui comprend vCenter Single Sign On les utilisateurs de syst mes d exploitation locaux deviennent beaucoup moins importants que les utilisateurs d un servi
548. ventaire de vSphere Web Client 2 Cliquez sur l onglet G rer puis sur Param tres 3 Dans Syst me s lectionnez Profil de s curit 4 Dans le panneau mode verrouillage cliquez sur Modifier VMware Inc Chapitre 5 S curisation des h tes ESXi 5 Cliquez sur Mode verrouillage et s lectionnez l une des options du mode de verrouillage Option Description Normale Vous pouvez acc der l h te via vCenter Server Seuls les utilisateurs qui se trouvent dans la liste des utilisateurs exceptionnels et qui disposent des privil ges d administrateur peuvent se connecter l interface utilisateur de la console directe Si SSH ou ESXi Shell sont activ s il peut tre possible d y acc der Strict Vous ne pouvez acc der l h te que via vCenter Server Si SSH ou ESXi Shell sont activ s les sessions des comptes de l option avanc e DCUI Access et des comptes d utilisateurs exceptionnels disposant de privil ges d administrateur restent activ es Toutes les autres sessions sont termin es 6 Cliquez sur OK D sactiver le mode de verrouillage l aide de vSphere Web Client D sactivez le mode de verrouillage pour permettre des modifications de configuration partir de connexions directes l h te ESXi Lorsque le mode de verrouillage est activ la s curit de l environnement est accrue Dans vSphere 6 0 vous pouvez d sactiver le mode de verrouillage comme suit Dans Les utilisateurs peuvent d sactiver
549. vez ex cuter l outil sur la ligne de commande comme suit Windows C Program Files VMware vCenter Server vmcad certificate manager bat Linux usr lib vmware vmca bin certificate manager 1 Restaurer la derni re op ration effectu e via la republication des anciens certificats page 70 Lorsque vous effectuez une op ration de gestion de certificats en utilisant vSphere Certificate Manager l tat actuel du certificat est stock dans le magasin BACKUP_STORE de VECS avant le remplacement des certificats Vous pouvez restaurer la derni re op ration effectu e et revenir l tat ant rieur 2 R initialiser tous les certificats page 70 Utilisez l option R initialiser tous les certificats si vous voulez remplacer tous les certificats vCenter existants par des certificats sign s par VMCA 3 R g n rer un nouveau certificat racine VMCA et remplacer tous les certificats page 70 Vous pouvez r g n rer le certifcat racine VMCA et remplacer le certificat SSL de la machine locale ainsi que les certificats d utilisateur de la solution locale par des certificats sign s par VMCA Dans les d ploiements n uds multiples ex cutez vSphere Certificate Manager avec cette option sur Platform Services Controller r ex cutez ensuite l utilitaire sur tous les autres n uds et s lectionnez Remplacer les certificats SSL de machine par des certificats VMCA et Remplacer les certificats d utilisateurs de solution par des certificats VMCA 4 Fai
550. via le mod le d autorisations vCenter Server Vous pouvez modifier le comportement par d faut ou prendre des mesures suppl mentaires pour prot ger l acc s votre environnement Lorsque vous prot gez votre environnement vSphere tenez compte du fait que tous les services associ s aux instances de vCenter Server doivent tre prot g s Dans certains environnements vous pouvez prot ger plusieurs instances de vCenter Server et une ou plusieurs instances de Platform Services Controller Renforcer toutes les machines h tes vCenter D couvrir le mod le de certificat vCenter Configurer vCenter Single Sign On VMware Inc Pour prot ger votre environnement vCenter vous devez commencer par renforcer chaque machine qui ex cute vCenter Server ou un service associ Ceci s applique aussi bien une machine physique qu une machine virtuelle Installez toujours les derniers correctifs de s curit pour votre syst me d exploitation et mettez en uvre les meilleures pratiques standard de l industrie pour prot ger la machine h te Par d faut l autorit de certification VMware provisionne chaque h te ESXi chaque machine de l environnement et chaque utilisateur de solution l aide d un certificat sign par VMCA VMware Certificate Authority L environnement fourni est pr t l emploi mais vous pouvez modifier le comportement par d faut si la strat gie de l entreprise l exige Reportez vous Chapitre 3 Cert
551. vices Controller mais pas la machine sur laquelle est install le vCenter Server REMARQUE Le recours des utilisateurs de syst mes d exploitation locaux pour l administration n est pas recommand notamment dans les environnement f d r s administrator vsphere local peut se connecter vCenter Single Sign On et chaque instance de vCenter Server en tant qu utilisateur administrateur Remarques Si votre installation 5 0 g rait les utilisateurs Active Directory ces utilisateurs n ont plus acc s apr s la mise niveau Vous pouvez ajouter le domaine Active Directory comme source d identit vSphere 5 1 ou vSphere 5 5 vCenter Single Sign On reconna t les utilisateurs de syst mes d exploitation locaux de la machine sur laquelle est install le Platform Services Controller mais pas la machine sur laquelle est install le vCenter Server REMARQUE Le recours des utilisateurs de syst mes d exploitation locaux pour l administration n est pas recommand notamment dans les environnement f d r s administrator vsphere local peut se connecter vCenter Single Sign On et chaque instance de vCenter Server en tant qu utilisateur administrateur Pour les mises niveau partir de vSphere 5 1 Admin SystemDomain poss de les m mes privil ges qu administrator vsphere local Depuis vSphere 5 5 vCenter Single Sign On prend en charge une seule source d identit par d faut Vous pouvez d finir
552. vices Controller externe Pr requis Soyez pr t arr ter tous les services et d marrer ceux qui g rent la propagation et le stockage des certificats Proc dure 1 Faites une copie de certool cfg pour toutes les machines ayant besoin d un nouveau certificat Vous pouvez rechercher certool cfg dans l un des emplacements suivants Windows C Program Files VMware vCenter Server vmcad Linux usr lib vmware vmca share config 2 Modifiez le fichier de configuration personnalis e de chaque machine pour inclure le nom de domaine complet de la machine Ex cutez NSLookup sur l adresse IP de la machine pour voir le nom figurant dans la liste DNS et utilisez ce nom pour le champ Hostname du fichier VMware Inc 81 S curit vSphere G n rez une paire de fichiers de cl publique priv e et un certificat pour chaque fichier en transmettant le fichier de configuration que vous venez de personnaliser Par exemple certool genkey privkey machinel priv pubkey machine1 pub certool gencert privkey machinel priv cert machinel crt Name Machinel_Cert config machinel cfg Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control
553. vit elle ne peut pas tre modifi e par le syst me d exploitation invit Adresse MAC effective Chaque adaptateur dispose d une adresse MAC effective qui filtre le trafic r seau entrant avec une adresse MAC de destination diff rente de l adresse MAC effective Le syst me d exploitation invit est responsable de la d finition de l adresse MAC effective et fait g n ralement correspondre l adresse MAC effective l adresse MAC initiale Lors de la cr ation de l adaptateur r seau d une machine virtuelle l adresse MAC effective et l adresse MAC initiale sont identiques Le syst me d exploitation invit peut tout moment remplacer l adresse MAC effective par une autre valeur Si un syst me d exploitation modifie l adresse MAC effective son adaptateur r seau re oit le trafic r seau destin la nouvelle adresse MAC Lors de l envoi de paquets via un adaptateur r seau le syst me d exploitation invit place g n ralement sa propre adresse MAC effective de l adaptateur dans la zone de l adresse MAC source des trames Ethernet Il place l adresse MAC de l adaptateur r seau r cepteur dans la zone d adresse MAC de destination L adaptateur r cepteur accepte les paquets uniquement si l adresse MAC de destination du paquet correspond sa propre adresse MAC effective Un syst me d exploitation peut envoyer des trames avec une adresse MAC source usurp e Cela signifie qu un syst me d exploitation peut bloquer les attaques nuisi
554. vous invite fournir les informations suivantes m Mot de passe pour administrator vsphere local m Certificat personnalis SSL valide de la machine fichier crt m Cl personnalis e SSL valide de la machine fichier key m Certificat de signature valide pour le certificat personnalis SSL de la machine fichier crt m Si vous ex cutez la commande sur un n ud de gestion dans un d ploiement plusieurs n uds adresse IP de Platform Services Controller Suivant Selon votre environnement vous devrez ventuellement remplacer explicitement d autres certificats m Siune strat gie d entreprise vous impose de remplacer tous les certificats remplacez le certificat racine vmdir Reportez vous Remplacer le certificat de service d annuaire VMware page 99 m Si vous proc dez une mise niveau partir d un environnement vSphere 5 x vous devrez ventuellement remplacer le certificat vCenter Single Sign On dans vmdir Reportez vous Remplacer le certificat de service d annuaire VMware dans des environnement en mode mixte page 88 Remplacer les certificats d utilisateurs de solution par des certificats personnalis s Lorsque vous s lectionnez cette option vSphere Certificate Manager vous invite fournir les certificats de remplacement pour les certificats d utilisateurs de solution existants Dans les d ploiements multi n uds ex cutez vSphere Certificate Manager avec cette option pour remplacer le certifi
555. vsphere local ou un autre utilisateur disposant des privil ges vCenter Single Sign On Les utilisateurs disposant des privil ges d administrateur vCenter Single Sign On font partie du groupe Administrateurs du domaine vsphere local 2 Acc dez Administration gt Single Sign On gt Configuration 3 S lectionnez l onglet Certificats puis le sous onglet Signature STS et cliquez sur l ic ne Ajouter un certificat de signature STS 4 Cliquez sur Parcourir pour acc der au fichier JKS du magasin de cl s qui contient le nouveau certificat puis cliquez sur Ouvrir Si le fichier du magasin de cl s est valide la table du certificat STS sera renseign e avec les informations du certificat 5 Cliquez sur OK Les informations du nouveau certificat s affichent dans l onglet Signature STS Suivant Red marrez le service vSphere Web Client Tous les services sont disponibles dans la zone Configuration syst me sous Administration D terminer la date d expiration d un certificat LDAPS SSL Si vous s lectionnez une source d identit de serveur LDAP Active Directory et de serveur OpenLDAP et que vous d cidez d utiliser LDAPS vous pouvez t l charger un certificat SSL pour le trafic LDAP Les certificats SSL expirent apr s une dur e de vie pr d finie Conna tre la date d expiration d un certificat vous permet de remplacer ou de renouveler ce dernier avant cette date Les informations d expiration des certificats s affichent uni
556. werCLI ou une API client VMware Inc Chapitre 5 S curisation des h tes ESXi Interrogez la configuration syslog pour vous assurer qu un serveur syslog valide a t configur y y compris le port correct Configurer Syslog sur des h tes ESXi Tous les h tes ESXi ex cutent un service syslog vmsys logd qui enregistre les messages venant de VMkernel et d autres composants syst me dans des fichiers journaux Vous pouvez utiliser vSphere Web Client ou la commande vCLI esxcli system syslog pour configurer le service syslog Pour plus d informations sur l utilisation de commandes vCLI reportez vous Initiation aux interfaces de ligne de commande de vSphere Proc dure 1 Dans l inventaire de vSphere Web Client s lectionnez l h te 2 Cliquez sur l onglet G rer 3 Dans le panneau syst me cliquez sur Param tres syst me avanc s 4 Recherchez la section Syslog dans la liste des Param tres syst me avanc s 5 Pour configurer la journalisation de fa on globale s lectionnez le param tre modifier et cliquez sur l ic ne Modifier Option Description Syslog global defaultRotate D finit le nombre maximum d archives conserver Vous pouvez d finir ce nombre de fa on globale et pour les sous unit s d enregistrement automatique Syslog global defaultSize D finit la taille par d faut du journal en Ko avant que le syst me n effectue la rotation des journaux Vous pouvez d finir ce nombre de
557. work ip ipsec sa remove sa namesecurity_association_name VMware Inc Chapitre 8 S curisation de la mise en r seau vSphere R pertorier les strat gies de s curit IPsec disponibles Vous pouvez r pertorier les strat gies de s curit disponibles l aide de la commande vSphere CLI ESXCLI Proc dure la suite de l invite de commande entrez la commande esxcli network ip ipsec sp List L h te affiche une liste de toutes les r gles de s curit disponibles Cr er une strat gie de s curit IPSec Cr ez une r gle de s curit pour d terminer le moment auquel utiliser les param tres d authentification et de chiffrement d finis dans une association de s curit Vous pouvez ajouter une strat gie de s curit l aide de la commande vSphere CLI ESXCLI Pr requis Avant de cr er une r gle de s curit ajoutez une association de s curit comportant les param tres d authentification et de chiffrement appropri s d crits dans Ajouter une association de s curit IPsec page 245 Proc dure VMware Inc Dans l invite de commande saisissez la commande esxcli network ip ipsec sp add avec une ou plusieurs des options suivantes Option _ sp source source address Description Requis Sp cifiez l adresse IP source et la longueur du pr fixe sp destination destination address Requis Sp cifiez l adresse de destination et la longueur du pr fixe sourc
558. x Des r glages d heure incorrects compliquent l analyse et la corr lation de fichiers journaux pour d tecter d ventuelles attaques et compromettent la pr cision des audits D pannage de vCenter Single Sign On Le processus de configuration de vCenter Single Sign On peut tre complexe 48 Les rubriques suivantes fournissent un point de d part pour r soudre les probl mes de vCenter Single Sign On Recherchez des pointeurs suppl mentaires dans ce centre de documentation et dans le syst me de base de connaissances VMware VMware Inc Chapitre 2 Authentification vSphere l aide de vCenter Single Sign On D termination de la cause d une erreur Lookup Service L installation de vCenter Single Sign On affiche un message d erreur relatif vCenter Server ou vSphere Web Client Probl me Les programmes d installation de vCenter Server et de Web Client affichent le message d erreur Could not contact Lookup Service Please check VM_ssoreg log Cause Ce probl me a plusieurs causes notamment des horloges non synchronis es sur les machines h te un blocage provenant du pare feu et des services qui doivent tre d marr s V rifiez si les horloges des ordinateurs h te sur lesquels vCenter Single Sign On vCenter Server et Consultez le journal sp cifique qui figure dans le message d erreur Dans le message le dossier temporaire syst me se rapporte XTEMP Solution 1 Web Client sont actifs sont synchron
559. x dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e VMware Inc 263 S curit vSphere Tableau 10 3 Privil ges de certificats d h te Nom de privil ge Certificates G rer les certificats Description Permet la gestion de certificats pour les h tes ESXi Requis sur vCenter Server Privil ges de biblioth que de contenu Les biblioth ques de contenu offrent une m thode simple et efficace pour g rer les mod les de machines virtuelles et les vApp Les privil ges de biblioth que de contenu contr lent qui peut afficher ou g rer les diff rents aspects des biblioth ques de contenu Vous pouvez d finir ce privil ge diff rents niveaux dans la hi rarchie Par exemple si vous d finissez un privil ge au niveau du dossier vous pouvez propager le privil ge un ou plusieurs objets dans le dossier Le privil ge doit tre d fini pour l objet r pertori dans la colonne Requis soit directement soit de mani re h rit e Tableau 10 4 Privil ges de biblioth que de contenu Nom de privil ge Description Requis sur Biblioth que de Autorise l ajout d l ments une biblioth que Biblioth que contenu Ajouter un l ment de biblioth que Biblioth q
560. xc sp _sp s0 de _up fL ac _sp sa _sp li network ip ipsec add source 2001 db8 1 64 destination 2002 db8 1 64 urce port 23 stination port 25 per layer protocol tcp ow direction out tion ipsec mode transport name sal name spl Supprimer une strat gie de s curit IPsec Vous pouvez supprimer une strat gie de s curit de l h te ESXi l aide de la commande vSphere CLI ESXCLI Pr requis V rifiez que la strat gie de s curit que vous souhaitez utiliser n est pas actuellement utilis e Si vous essayez de supprimer une r gle de s curit en cours d utilisation l op ration de suppression choue Proc dure Dans l invite de commande entrez la commande esxcli network ip ipsec sp remove sa name security policy name Pour supprimer toutes les r gles de s curit entrez la commande esxcli network ip ipsec sp remove remove all Garantir une configuration SNMP appropri e Si SNMP n est pas configur correctement les informations de surveillance peuvent tre envoy es un h te malveillant L h te malveillant peut ensuite utiliser ces informations pour planifier une attaque Proc dure 1 Ex cutez esxcli system snmp get pour d terminer si SNMP est actuellement utilis 2 Si votre syst me ne requiert pas SNMP assurez vous qu il est en cours d ex cution en ex cutant la commande esxcli system snmp set enable true 3 Si votr
561. y Token Service de SSL pour la s curisation du trafic et de l authentification des utilisateurs humains par Active Directory ou OpenLDAP et des utilisateurs de solution par le biais de certificats tablissement de liaison vCenter Single Sign On pour les utilisateurs humains L illustration suivante pr sente l tablissement de liaison pour les utilisateurs humains Figure 2 1 tablissement de liaison vCenter Single Sign On pour les utilisateurs humains vSphere Web Client vCenter Single Sign On vCenter Server 1 Un utilisateur se connecte vSphere Web Client avec un nom d utilisateur et un mot de passe pour acc der au syst me vCenter Server ou un autre service vCenter L utilisateur peut galement se connecter sans mot de passe et cocher la case Utiliser l authentification de session Windows 2 vSphere Web Client transmet les informations de connexion au service vCenter Single Sign On Celui ci v rifie alors le jeton SAML de vSphere Web Client Si vSphere Web Client dispose d un jeton valide vCenter Single Sign On v rifie ensuite que l utilisateur figure bien dans la source d identit configur e par exemple Active Directory m Si seul le nom d utilisateur est employ vCenter Single Sign On v rifie dans le domaine par d faut m Siun nom de domaine est inclus avec le nom d utilisateur DOMAIN user1 ou user1 DOMAIN vCenter Single Sign On v rifie ce domaine 3 Si l utilisateur peut s authentifier aupr s d
562. z pas ce certificat dans le syst me de fichiers pour viter de provoquer des r sultats impr visibles Certificat SSL du service Provisionn au cours de Dans certains cas marginaux il se peut que vous d annuaire VMware vmdir l installation deviez remplacer ce certificat Reportez vous Remplacer le certificat de service d annuaire VMware page 99 ESXi Les certificats ESXi sont stock s localement sur chaque h te dans le r pertoire etc vmware ss1 Les certificats ESXi sont provisionn s par VMCA par d faut mais vous pouvez utiliser plut t des certificats personnalis s Les certificats ESXi sont provisionn s lorsque l h te est d abord ajout vCenter Server et lorsque l h te se reconnecte Certificats SSL de la machine Le certificat SSL de la machine pour chaque n ud est utilis pour cr er un socket SSL sur le c t serveur auquel les clients SSL se connectent Le certificat est utilis pour la v rification du serveur et pour la communication s curis e telle que HTTPS ou LDAPS VMware Inc Chapitre 3 Certificats de s curit vSphere Tous les services communiquent par l interm diaire du proxy inverse Pour des raisons de compatibilit les services qui taient disponibles dans les versions pr c dentes de vSphere utilisent galement des ports sp cifiques Par exemple le service vpxd utilise MACHINE_SSL_CERT pour exposer son point de terminaison Chaque n ud d ploiement int gr n ud
563. z vmafd cli get machine id server name localhost pour rechercher l ID de machine locale de chaque h te Chaque nom d utilisateur de solution comprend l ID de machine VMware Inc Chapitre 3 Certificats de s curit vSphere 4 Arr tez tous les services et d marrez ceux qui g rent la cr ation la propagation et le stockage des certificats Les noms de service diff rent sur Windows et pour le vCenter Server Appliance Windows service control stop all service control start VMWareAfdService service control start VMWareDirectoryService service control start VMWareCertificateService vCenter Server service control stop all Appliance service control start vmafdd service control start vmdird service control start vmcad 5 Pour chaque utilisateur de solution remplacez le certificat existant dans vmdir puis dans VECS L exemple suivant indique comment remplacer les certificats pour le service vpxd dir cli service update name lt vpxd xxxx xxx 7c7b769cd9f4 gt cert vpxd crt vecs cli entry delete store vpxd alias vpxd vecs cli entry create store vpxd alias vpxd cert vpxd crt key vpxd priv REMARQUE Les utilisateurs de solutions ne peuvent pas s authentifier aupr s de vCenter Single Sign On si vous ne remplacez pas le certificat dans vmdir 6 Red marrez tous les services service control start all Exemple Utilisation des certificats d utilisateurs de solutions sign s pa
Download Pdf Manuals
Related Search