¶ VMware vSphere : Install, Configure, Manage
Lab 6 : Utilisateurs, groupes et permissions
¶ Introduction
Ce Lab a pour objectif d'illustrer la documentation permettant de se préparer au passage de la certification VMWare Certified Professional - Data Center Virtualization v8 (2V0-21.23).
Plus précisément le chapitre 4 - Déploiement et configuration de vCenter.
Cours Traité : Application des permissions : Scénario 1
Avant de commencer, je tiens à préciser qu'il est préférable d'avoir lu la documentation.
Pour réaliser l'ensemble des différents Labs j'ai dans un premier temps créé un environnement virtuel comprenant les éléments suivants :
- 1 vCenter : LAB-VCENTER-01.LAB.LOCAL
- 3 ESXi Nested : LAB-ESXI-01.LAB.LOCAL, LAB-ESXI-02.LAB.LOCAL et LAB-ESXI-03.LAB.LOCAL
- 1 Windows Server 2025 (eval) : LAB-AD-01 pour l'Active Directory
Selon le lab, tous ces éléments ne sont pas forcément utilisés cependant ils le seront au fur et à mesure des différents labs.
De ce fait, pour reproduire les Lab , il est conseillé d'avoir à disposition un environnement équivalant.
Je vais partir du principe que vous possédez un Lab à disposition.
¶ Objectif et tâches
Attribuer des rôles et des permissions afin qu’un utilisateur LDAP puisse effectuer des actions dans vCenter :
- Afficher les utilisateurs LDAP
- Attribuer une permission globale au niveau Root à un utilisateur LDAP
- Attribuer une permission sur un objet à un utilisateur LDAP
- Vérifier que l’utilisateur ContentAdmin peut accéder à la Content Library
- Vérifier que l’utilisateur StudyAdmin peut créer une Virtual Machine
¶ Tâche 1 : Afficher les utilisateurs LDAP
Vous affichez la liste des utilisateurs LDAP afin de vérifier que le compte Single Sign-On Administrator existe.
- Connectez vous à vCenter en utilisant le compte Administrator@vsphere.local.
Le compte Administrator@vsphere.local est le compte utilisateur par défaut que l'on trouve sur vCenter après son installation.
Pour se connecter il faudra utiliser cette URL : https://<vCenter_FQDN_or_IP_Address>/ui.
Dans le cas de mon Lab ça sera donc soit "lab-vcenter-01.lab.local/ui" soit l'adresse IP de vCenter.
- Ouvrir un navigateur Web et se connecter à l'URL de vCenter
- Se connecter avec l'utilisateur Administrator@vsphere.local
- Dans le menu principal, sélectionnez Administration.
- Sous Single Sign-On dans le volet de navigation, sélectionnez Users and Groups.
Par défaut, la liste des utilisateurs pour le domaine LocalOS apparaît dans le volet de droite.
- Dans le volet Users, sélectionnez votre domaine Active Directory dans le menu déroulant Domain. Dans mon cas ce sera LAB.LOCAL .
La liste des utilisateurs du domaine LAB.LOCAL apparaît. Vous devriez voir les utilisateurs suivants : StudyAdmin et ContentAdmin.
¶ Tâche 2 : Attribuer une permission globale au niveau racine à un utilisateur LDAP
Vous accordez une permission globale à ContentAdmin@lab.local afin qu’il puisse administrer les content libraries.
Les content libraries sont situées directement sous l’objet racine global.
Vous assignez le rôle Content Library Administrator à ContentAdmin@lab.local au niveau de l’objet racine global.
Ce rôle donne à l’utilisateur ContentAdmin les droits d’administrateur uniquement pour toutes les content libraries.
- Dans le volet de navigation, sous Access Control, sélectionnez Global Permissions.
- Dans le volet Global Permissions, cliquez sur ADD.
La fenêtre Add Permission apparaît.
- Configurez les paramètres de permission :
- Dans le menu déroulant Domain, sélectionnez lab.local.
- Dans la zone de recherche User/Group, saisissez cont et sélectionnez ContentAdmin dans la liste.
- Dans le menu déroulant Role, sélectionnez Content library administrator (sample).
- Cochez la case Propagate to children.
- Cliquez sur OK.
- Vérifiez que lab.local\ContentAdmin apparaît dans la liste, qu’il est assigné au rôle Content Library Administrator (sample) et qu’il dispose de la permission globale au niveau de l’objet racine global.
¶ Tâche 3 : Attribuer une permission sur un objet à un utilisateur LDAP
Vous attribuez une permission au niveau de vCenter à l’utilisateur StudyAdmin@lab.local.
Cette permission est propagée aux objets enfants de vCenter.
- Dans le menu principal, sélectionnez Inventory, puis cliquez sur l’icône Hosts and Clusters.
- Dans le volet de navigation, sélectionnez l’instance vCenter, pour moi ce sera LAB-VCENTER-01.LAB.LOCAL.
- Dans le volet droit, cliquez sur Permissions.
- Cliquez sur ADD.
La fenêtre Add Permission s’ouvre.
- Configurez les paramètres de permission :
- Dans le menu déroulant Domain, sélectionnez lab.local.
REMARQUE : Assurez-vous de sélectionner lab.local, et non vsphere.local.
- Dans la zone de recherche User/Group, saisissez Stu et sélectionnez StudyAdmin dans la liste.
- Laissez le rôle sur Administrator.
- Cochez la case Propagate to children.
- Cliquez sur OK.
- Vérifiez que lab.local\StudyAdmin apparaît dans la liste, qu’il est assigné au rôle Administrator et qu’il est défini dans l’objet vCenter ainsi que dans ses objets enfants.
- Déconnectez-vous du vSphere Client.
¶ Tâche 4 : Vérifier que l’utilisateur ContentAdmin peut accéder à la Content Library
Vous vérifiez que ContentAdmin@lab.local peut uniquement accéder au volet Content Library.
Cet utilisateur n’a pas accès aux tâches d’administration, telles que la création de VMs.
- Connectez-vous au vSphere Client en tant que ContentAdmin@lab.local.
- Sur l’écran de connexion du vSphere Client, saisissez ContentAdmin@lab.local comme nom d’utilisateur et son mot de passe Active Directory.
- Vérifiez que vous êtes bien connecté au vSphere Client en tant que ContentAdmin@lab.local.
- Dans le menu principal, sélectionnez Content Libraries.
- Vérifiez que le bouton CREATE apparaît dans le volet droit.
Vous disposez des privilèges nécessaires pour créer une content library.
Ne créez pas de content library pour le moment.
- Dans le menu principal, sélectionnez Inventory, puis cliquez sur l’icône Hosts and Clusters.
- Développez LAB-VCENTER-01.LAB.LOCAL, puis faites un clic droit sur LAB-VCP-DCV-DATACENTER.
Plusieurs actions sont grisées dans le menu déroulant.
En tant que ContentAdmin, vous ne pouvez pas effectuer de tâches administratives telles qu’ajouter des hôtes, créer des clusters ou créer des machines virtuelles.
- Déconnectez-vous du vSphere Client.
¶ Tâche 5 : Vérifier que l’utilisateur StudyAdmin peut effectuer des tâches d’administrateur
Vous vérifiez que StudyAdmin@lab.local peut effectuer des tâches d’administration.
Pour cela, vous accédez aux menus permettant d’exécuter des fonctions administratives, telles que la création de machines virtuelles, l’ajout d’hôtes et la création de clusters.
- Connectez-vous au vSphere Client en tant que StudyAdmin@lab.local.
- Sur l’écran de connexion du vSphere Client, saisissez StudyAdmin@lab.local comme nom d’utilisateur et son mot de passe Active Directory.
- Vérifiez que vous êtes bien connecté au vSphere Client en tant que StudyAdmin@lab.local.
- Dans le volet de navigation, sélectionnez l’icône VMs and Templates.
- Dans le volet de navigation, développez LAB-VCENTER-01.LAB.LOCAL puis LAB-VCP-DCV-DATACENTER.
- Faites un clic droit sur Lab VMs et sélectionnez New Virtual Machine.
L’assistant New Virtual Machine s’ouvre.
REMARQUE : Le simple fait d’accéder à l’assistant New Virtual Machine suffit à vérifier que vous pouvez créer une machine virtuelle. Il n’est pas nécessaire de la créer.
-
Cliquez sur CANCEL pour fermer l’assistant.
-
Dans le volet de navigation, sélectionnez l’icône Hosts and Clusters.
- Développez LAB-VCENTER-01.LAB.LOCAL, puis faites un clic droit sur LAB-VCP-DCV-DATACENTER.
En tant que StudyAdmin, vous pouvez effectuer des tâches d’administration telles qu’ajouter des hôtes, créer des clusters ou créer des machines virtuelles.
- Déconnectez-vous du vSphere Client.
Lab précédent : Lab 5 : Ajout d’une source d’identité
Lab suivant : Lab 7 : Création de Standard Switches