PowerFlex：ESXi Active Directory統合のためのESXiセキュリティ強化設定

この記事は、ESXi 8.0 U3より前のすべてのバージョンに関連しています。 

一部のESXiの詳細設定には、デフォルトでは安全ではないデフォルト値があります。

ADグループ」ESX Admins" ESXiホストがActive Directoryドメインに参加すると、VIM管理者ロールが自動的に付与されます。

次のコマンドesxcli system permission listを使用してグループの存在を確認すると、次の結果が得られます。

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

この問題は、ESXi 8.0 U3で修正されています。

この問題を回避するには、次のESXiの詳細オプションを変更します。

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" 

回避策が適用される前にESXiホストがActive Directoryにすでに参加していた場合は、ADグループの管理者権限を削除します("ESX Admins" が存在する場合は、それを使用します。これは、ホスト クライアントUIを使用するか、次のesxcliコマンドを使用して実行できます。

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

上記の手順は、回避策を適用した後に実行する必要があります。

現在割り当てられているすべてのVIM権限は、ホスト クライアントUIまたは次のesxcliコマンドを使用して検証できます。 

esxcli system permission list

ホストがActive Directoryに追加されると、管理者権限を持つホストにESX Adminsグループが追加されます。ドメインに参加する前に、これらの設定を変更することをお勧めします。これらの設定は1分以内に有効になります。再起動は必要ありません。

次のBroadcom KBを参照してください
ESXi Active Directory統合のためのセキュアなデフォルト設定(外部リンク)