VMware: ¿Cuál es la diferencia entre el modo de bloqueo normal y estricto para los hosts ESXi?

El modo de bloqueo se configura de dos maneras:

• Modo de bloqueo normal 
• Modo de bloqueo estricto

Nota: De manera predeterminada, el modo de bloqueo está desactivado. El modo de bloqueo se habilita mediante vSphere Client cuando se crea un host ESXi o se modifica el perfil de seguridad de un host existente.

Modo de bloqueo normal:
En el modo de bloqueo normal, los usuarios que aparecen en la configuración avanzada del sistema DCUI Access pueden iniciar sesión en la interfaz de usuario de la consola directa (DCUI). Al estar en esta lista, los usuarios tienen acceso de emergencia a la DCUI si se pierde la conexión con vCenter Server. Estos usuarios no requieren privilegios administrativos en el host. DCUI no administrativa. Los usuarios de acceso solo pueden deshabilitar o habilitar el bloqueo.

¿Qué sucede cuando se habilita el modo de bloqueo normal en un host ESXi?

• Solo vCenter Server accede al host, por ejemplo, mediante vSphere Client.
• El acceso a la DCUI está restringido a ciertos usuarios: Usuarios en la lista Usuarios excepcionales, pero deben tener privilegios de administrador, usuarios definidos en la DCUI. Acceda a la configuración avanzada del sistema.
• De manera predeterminada, el usuario raíz se define en esta configuración.
• Nonadministrative Los usuarios también se definen en esta configuración.
• Nonadministrative Los usuarios solo pueden habilitar o deshabilitar el modo de bloqueo.
• Si el shell de vSphere ESXi y los servicios SSH están habilitados, los usuarios con privilegios de administrador que se encuentran en la lista Usuarios excepcionales pueden iniciar sesión en el host directamente mediante SSH o el shell local de vSphere ESXi. 

Modo de bloqueo estricto:
Para que el modo de bloqueo estricto o normal sea una medida de seguridad eficaz, asegúrese de que los servicios vSphere ESXi Shell y SSH estén deshabilitados. Si vCenter Server no está disponible, vSphere Client tampoco lo está. Los hosts que están en modo de bloqueo estricto no se pueden administrar.

¿Qué sucede cuando se habilita el modo de bloqueo estricto en un host ESXi?

• Solo vCenter Server accede al host, por ejemplo, mediante vSphere Client.
• El servicio DCUI está deshabilitado y no se puede iniciar. Ningún usuario puede iniciar sesión en la DCUI.
• Si el shell de vSphere ESXi y los servicios SSH están habilitados, los usuarios con privilegios de administrador que se encuentran en la lista Usuarios excepcionales pueden iniciar sesión en el host directamente mediante SSH o el shell local de vSphere ESXi.

Ver artículo relacionado:
Cómo habilitar o deshabilitar el modo de bloqueo en un host VMware vSphere ESXi .