¶ VMware vSphere : Operate, Scale and Secure
Lab 18 : Configuration du Lockdown Mode
¶ Introduction
Ce Lab a pour objectif d'illustrer la documentation permettant de se préparer au passage de la certification VMWare Certified Professional - Data Center Virtualization v8 (2V0-21.23).
Plus précisément le chapitre 8 - Sécurité et contrôle d'accès vSphere.
Cours Traité : Leçon 2 : Configuration de l’accès et de l’authentification des hôtes ESXi
Avant de commencer, je tiens à préciser qu'il est préférable d'avoir lu la documentation.
Avant de réaliser ce Lab j'ai dans un premier temps créé un environnement virtuel comprenant les éléments suivants :
- 1 vCenter : LAB-VCENTER-01.LAB.LOCAL
- 4 ESXi Nested : LAB-ESXI-01.LAB.LOCAL, LAB-ESXI-02.LAB.LOCAL, LAB-ESXI-03.LAB.LOCAL et LAB-ESXI-04.LAB.LOCAL.
Pour reproduire les Lab , il est conseillé d'avoir à disposition un environnement équivalant.
Je vais partir du principe que vous possédez un Lab à disposition.
¶ Objectif et tâches
Configurer et tester le lockdown mode :
- Démarrer le service SSH
- Activer et tester le lockdown mode
- Désactiver le lockdown mode
- Vérification des connaissances
¶ Tâche 1 : Démarrer le service SSH
Vous utilisez le vSphere Client pour vérifier que le service SSH est en cours d’exécution sur lab-esxi-01.lab.local.
- Connectez vous à vCenter en utilisant le compte Administrator@vsphere.local.
Le compte Administrator@vsphere.local est le compte utilisateur par défaut que l'on trouve sur vCenter après son installation.
Pour se connecter il faudra utiliser cette URL : https://<vCenter_FQDN_or_IP_Address>/ui.
Dans le cas de mon Lab ça sera donc soit "lab-vcenter-01.lab.local/ui" soit l'adresse IP de vCenter.
- Ouvrir un navigateur Web et se connecter à l'URL de vCenter
- Se connecter avec l'utilisateur Administrator@vsphere.local
- Depuis le menu principal, sélectionnez Inventory, puis cliquez sur l’icône Hosts and Clusters.
- Dans le panneau de navigation, sélectionnez lab-esxi-01.lab.local.
- Dans le panneau droit, cliquez sur l’onglet Configure.
- Sous System dans le menu de gauche, cliquez sur Services.
- Démarrez le service SSH s’il n’est pas déjà en cours d’exécution.
¶ Tâche 2 : Activer et tester le lockdown mode
Vous activez le lockdown mode pour votre hôte ESXi assigné.
En lockdown mode, tous les utilisateurs, à l’exception de ceux définis dans la liste Exception Users, se voient refuser l’accès direct au vSphere ESXi Shell, SSH, et à l’interface DCUI (direct console user interface).
- Dans le panneau de navigation, sélectionnez lab-esxi-01.lab.local.
- Dans le panneau droit, cliquez sur l’onglet Configure.
- Sous System, cliquez sur Security Profile.
- Activez le lockdown mode normal.
- Dans le panneau droit, cliquez sur EDIT à côté de Lockdown Mode.
La page Lockdown Mode apparaît.
- Sur la page Lockdown Mode, cliquez sur Normal.
- Sélectionnez l’onglet Exception Users.
La liste des utilisateurs est vide.
- Cliquez sur OK.
- Vérifiez que l’utilisateur root est refusé dans cette session SSH.
-
Utilisez un outil vous permettant de vous connecter en SSH.
Dans mon cas ce sera MobaXterm. -
Entrez le FQDN du serveur ou son adresse IP puis validez la connexion.
- Entrez l'identifiant root et son password.
- Vérifiez que l’utilisateur root n’est pas connecté à la session SSH.
- Fermez la fenêtre de votre outil SSH.
- Vérifiez que le service SSH est en cours d’exécution sur l’hôte ESXi.
-
Dans le panneau de navigation, sélectionnez lab-esxi-01.lab.local.
-
Dans le panneau droit, cliquez sur l’onglet Configure.
- À gauche sous System, cliquez sur Services.
Vous pouvez voir que le service SSH n’est pas désactivé et qu’il est en cours d’exécution sur l’hôte ESXi.
- Vérifiez que l’utilisateur root est refusé dans l’interface ESXi UI.
- Dans votre navigateur Web, ouvrez un nouvel onglet et entrez le FQDN ou l'adresse IP de l'ESXi :
https://<ESXi_FQDN_or_IP_Address>
Dans mon cas ce sera lab-esxi-01.lab.local
-
Sur la page de connexion, entrez root et le password associé au compte
-
Vérifiez que l’utilisateur root est incapable de se connecter.
- Fermez l’onglet du navigateur pour l'ESXi
¶ Tâche 3 : Désactiver le lockdown mode
Vous désactivez le lockdown mode pour votre hôte ESXi assigné.
- Depuis le menu principal, sélectionnez Inventory et cliquez sur l’icône Hosts and Clusters.
- Dans le panneau de navigation, sélectionnez lab-esxi-01.lab.local.
- Dans le panneau droit, cliquez sur l’onglet Configure.
- Dans le panneau de navigation sous System, cliquez sur Security Profile.
- Vous désactivez le lockdown mode sur votre hôte ESXi.
- Dans le panneau droit, cliquez sur Edit à côté de Lockdown Mode.
La page Lockdown Mode apparaît.
- Sur la page Lockdown Mode, cliquez sur Disabled.
- Cliquez sur OK.
- Désactivez le service SSH sur votre hôte ESXi.
- Cliquez sur l’icône Hosts and Clusters dans l’inventaire.
- Dans le panneau de navigation, sélectionnez lab-esxi-01.lab.local.
- Dans le panneau droit, cliquez sur l’onglet Configure.
- À gauche sous System, cliquez sur Services.
- Arrêtez le service SSH.
¶ Tâche 4 : Vérification des connaissances
Vous devez configurer le lockdown mode sur un hôte ESXi.
- Configurez le lockdown mode sur lab-esxi-02.lab.local.
- Confirmez que le lockdown mode a été configuré avec succès.
- Désactivez le lockdown mode sur lab-esxi-02.lab.local.
Lab précédent : Lab 17 : Utilisation des alarmes
Lab suivant : Lab 19 : Configuration de la fédération d’identité pour utiliser Microsoft ADFS (Simulation)