PowerFlex: Configuración de reforzamiento de la seguridad de ESXi para la integración de Active Directory de ESXi
Summary: Al grupo de AD "ESX Admins" se le asigna automáticamente la función de administrador de VIM cuando un host ESXi se une a un dominio de Active Directory. Nota: Varios ajustes avanzados de ESXi tienen valores predeterminados que no son seguros de manera predeterminada. ...
Instructions
Este artículo corresponde a todas las versiones anteriores a ESXi 8.0 U3.
Varios ajustes avanzados de ESXi tienen valores predeterminados que no son seguros de manera predeterminada.
El grupo de AD "ESX Admins" se le asigna automáticamente la función de administrador de VIM cuando un host ESXi se une a un dominio de Active Directory.
Si se comprueba la presencia del grupo mediante el siguiente comando esxcli system permission list, se obtiene el siguiente resultado:
[root@esxifqdn:~] esxcli system permission list
Principal Is Group Role Role Description
------------- -------- ----- ----------------
yourdomain\esx^admins true Admin Full access rights
cloudadmin false Admin Full access rights
dcui false Admin Full access rights
root false Admin Full access rights
vpxuser false Admin Full access rights
Este problema se resolvió en ESXi 8.0 U3.
Como solución alternativa al problema, cambie las siguientes opciones avanzadas de ESXi:
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" Si el host ESXi ya estaba unido a Active Directory antes de que se aplicara la solución alternativa, quite el permiso de administrador para el grupo de AD ("ESX Admins" por defecto) si existe. Esto se puede hacer a través de la interfaz del usuario del cliente host o con el siguiente comando esxcli:
esxcli system permission unset -i 'yourdomain\esx^admins' --groupEl paso anterior se debe realizar después de aplicar la solución alternativa.
Todos los permisos de VIM asignados actualmente se pueden validar a través de la interfaz del usuario del cliente host o el siguiente comando esxcli:
esxcli system permission list
El grupo de administradores de ESX se agregará al host con privilegios de administrador una vez que se agregue el host a Active Directory. Se recomienda cambiar esta configuración antes de unirse al dominio. Estos ajustes surten efecto en un minuto. No es necesario reiniciar.
Consulte el siguiente artículo de la base de conocimientos de Broadcom.
Configuración predeterminada segura para la integración de Active Directory en ESXi (enlace externo)