VxRail : Modification des autorisations de l’hôte pour permettre l’exécution des outils de bilan de santé à partir de l’utilisateur Mystic
Résumé: L’exécution des bilans de santé VxVerify sur les versions VxRail depuis la version 7.0.010 nécessite des autorisations racines VxRM pour exécuter tous les tests.
Instructions
Les modifications apportées au renforcement de la sécurité à partir de VxRail 7.0.010 ont modifié la propriété et les autorisations de certains fichiers binaires et commandes des outils VxRail afin de restreindre leur utilisation par l’utilisateur mystic.
Si les clients ne souhaitent pas partager les mots de passe racine VxRM avec le support Dell, ils peuvent modifier /etc/sudoers sur VxRM pour permettre à VxVerify de démarrer à partir de mystic.
Avant de commencer, les clients doivent faire des copies du fichier /etc/sudoers pour pouvoir y revenir par la suite.
Deux modifications sont requises dans le fichier /etc/sudoers :
-
Mettez en commentaire les deux lignes pour éviter d’inviter à saisir le mot de passe root :
## In the default (unconfigured) configuration, sudo asks for the root password. ## This allows use of an ordinary user account for administration of a freshly ## installed system. When configuring sudo, delete the two ## following lines: # Defaults targetpw # ask for the password of the target user i.e. root # ALL ALL=(ALL) ALL # WARNING! Only use this together with 'Defaults targetpw'!
-
Ajoutez la ligne mystic ici pour que seul VxVerify puisse être exécuté à partir de mystic :
## ## User privilege specification ## root ALL=(ALL) ALL mystic ALL=NOPASSWD: /usr/bin/python /tmp/vxverify_3-*.pyc
Les clients peuvent utiliser le caractère générique * pour que la commande ne soit pas spécifique à une version.
Par exemple :
mystic ALL=NOPASSWD: /usr/bin/python /tmp/vxverify_3-10-*.pyc
Les modifications ci-dessus signifient que la commande spécifique, pour la version spécifique mentionnée dans cette ligne de fichiers /etc/sudoers, peut être exécutée à partir de mystic. Si d’autres paramètres ou options sont utilisés, la commande est bloquée.
Une fois le fichier /etc/sudoer mis à jour, la commande peut être exécutée à partir du compte mystic VxRM et aucun redémarrage du service n’est nécessaire.
De même, une fois que les modifications dans /etc/sudoer sont rétablies, elles prennent effet immédiatement et aucun redémarrage du service n’est requis.
Les clients peuvent également exécuter VxVerify eux-mêmes (avec les options recommandées par le support Dell), puis fournir le bundle de logs vxv*.zip pour examen.
Pour exécuter VxVerify à partir du compte mystic :
mystic@hostname:/tmp> sudo python /tmp/vxverify_3-10-826.pyc Running VxVerify 3.10.826, pre-upgrade healthcheck on VxRail 7.0.131. In case of program errors consult article https://www.dell.com/support/kbdoc/000066460. Step 1 of 10: VxVerify: Sending Minions to each host. The Minions then run ESXi and VM tests. ...
Informations supplémentaires
Pour plus d’informations sur VxVerify, consultez : VxRail : Comment exécuter l’outil VxRail Verify (en anglais).