vSphere ESXi 보안 – 사용자권한설정

permission

image from http://www.voiceofgreyhat.com/2012/06/vmware-patches-denial-of-service-memory.html

 

지난 시간에 ESXi 보안에 대한 전반적인 방법에 대해 알아보았습니다.

이번 포스팅부터 전반적인 방법에 대한 세부 설정법을 알려드리겠습니다.

첫번째로 ESXi 콘솔 사용자권한설정입니다.

 

이 방법은 위 그림처럼 아무에게나 root 권한을 주는 것이 아니라

각 사용자 별로 권한을 할당하여

허가받지 않은 내부 사용자는 각종 ESXi 설정에 접근할 수 없도록 만들 수 있습니다.

 

 

1. vSphere Client 접속 후 로컬 사용자 및 그룹 클릭

 

로컬-사용자-및-그룹-추가

 

로컬 사용자 및 그룹을 들어가서 빈 공간에 오른쪽 마우스 클릭 후 “추가”를 눌러줍니다.

 

 

2. 새 사용자 추가

 

새-사용자-추가

 

위 사진처럼 새 사용자 추가 창이 나오게 됩니다.

로그인 항목은 우리가 흔히 말하는 ID 입니다.

사용할 ID를 넣어주세요.

 

암호 입력 항목에는 당연히 암호를 넣어줍니다.

단, 암호가 ESXi에서 원하는 최소한의 형식에 맞아야합니다.

 

When you create a password,

include a mix of characters from four character classes: lowercase letters, uppercase letters, numbers, and special characters such as an underscore or dash.

Your user password must meet the following length requirements.

 

■ Passwords containing characters from one or two character classes must be at least eight characters long.

■ Passwords containing characters from three character classes must be at least seven characters long.

■ Passwords containing characters from all four character classes must be at least six characters long.

 

위에가 ESXi에서 원하는 최소한의 암호형식인데요.

저렇게 보면 매우 복잡합니다.

 

소문자, 대문자, 특수문자, 번호 4가지가 설정한 비밀번호에 있는지 확인하세요.

 

1개 이상 2개이하만 있으면 8자리 이상

3개만 있으면 7자리 이상

4개 모두 있으면 6자리 이상

 

복잡하죠? 저도 처음에 조건이 어떤지 몰라서 해맸습니다.

 

비번너무짧음

 

만약 비밀번호 형식을 충족을 못할 경우 위와 같은 창이 나와서 다시 사용자 추가를 눌러서 해줘야합니다.

 

새로운-사용자

 

 

정상적으로 만들면 위와 같이 새로운 사용자가 만들어집니다.

 

 

 

3. 사용 권한 추가

 

사용권한추가

 

이제 사용권한을 추가해주어야합니다.

 

로컬 사용자 및 그룹에서 사용권한 탭으로 넘어가세요

빈 공간에서 마우스 오른쪽 클릭, 사용 권한 추가를 눌러줍니다.

 

 

4. 사용 권한 세부 설정

 

읽기전용추가

 

새로 추가한 사용자(여기서는 kwshin94)에 대해서 읽기 전용의 옵션만 할당해보겠습니다.

오른쪽할당된 역할에 읽기 전용으로 선택 후, 왼쪽 아래에 추가를 눌러서 사용자를 추가해줍니다.

 

 

5. 사용자 추가

 

로컬-사용자-및-그룹-추가

 

추가해주려는 사용자를 선택 후, 아래 추가 버튼 클릭, 그리고 오른쪽 아래에 확인을 눌러줍니다.

 

 

6. 권한 추가 확인

 

사용권한to읽기전용

 

역할이 제대로 지정 된 것을 확인합니다.

 

 

 

7. 읽기 전용 아이디로 로그인 해보기

 

권한-없음..

 

 

해당 아이디로 로그인해보니 정말 읽기전용이였습니다.

읽는거 빼고는 아무것도 할 수 없습니다.

이렇게 모든 사용자에게 권한을 주는 것이 아닌 특정 사용자/그룹에게 특정 권한만 할당할 수 있습니다.

지금의 경우는 읽기전용을 통해 아주 최소한의 권한만 줬지만 아까 읽기 전용 콤보박스를 수정함으로서(체크 및 언 체크)

다양한 옵션(VM 콘솔만 열기, VM 삭제만 가능, VM 편집만 가능 등)을 아이디/그룹 별로 할당 할 수 있습니다.

 

최종

 

정리해보자면 읽기전용은 접속은 가능, 모든 설정은 불가했고

root 계정은 접속 가능, 모든 설정도 가능한 상태로 권한을 설정했다고 볼 수 있습니다.

 

다음 포스팅에는 ESXi 내에서 방화벽을 설정하는 것에 대해서 알아보겠습니다.

댓글 남기기