Home / Chuyên đề tự học / Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột khi phân quyền

Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột khi phân quyền

Tuhocmang.com – Vmware Vsphere: Ôn lại phân quyền trên Vcenter và các trường hợp xung đột (conflict) khi phân quyền

Các bài trước chúng ta  đã

+ Join domain Vcenter

+ Phân quyền user admin1 tạo máy ảo

Để phân quyền thì tạo các role theo nhu cầu của mình (theo các quy tắc có sẵn).

 

Cấp quyền trên SSO

Nếu log = root của appliance sẽ thiếu chức năng SSO (đã nói – chỉ có administrator@vsphere.local thì log trên client hay web đều ok)

Vào Web

SSO -> user and group -> tab user: bài trước đã tạo user trên vsphere.local.

 

Tab group:

Group administrator là group có quyền cao nhất trên SSO

Trong đây cũng liệt kê nhiều group, đã được phân quyền sẵn.

Muốn user có quyền admin của SSO thì đưa vào group admin

Ta muốn root của Vcenter appliance có quyền admin trên SSO thì

Chọn vào group Administrator -> Add member

Chọn domain: localos

Chọn root -> add

Thấy root xuất hiện trong Group Administrator

Test: log bằng root/vmware trên Vsphere Web Client

Thấy root có Single Sign On.

 

Ôn lại phân quyền Vcenter

Phân quyền trên Vcenter là 1 quy trình gồm 3 đối tượng ghép lại với nhau.

Role, object ,quyền trên object

Role -> assign role và user cho object -> Các quyền trên object

Tạo role -> chọn quyền trên object -> assign role cho object (tab permission)và chỉ định user.

Sau khi phân quyền thì nó tác dụng lên Vsphere Client và Vsphere Web Client.

 

Các Trường hợp đụng độ (conflict) khi phân quyền trên Vcenter

Khi phân quyền, ta sẽ 1 số conflict (trùng lặp), ta sẽ giải quyết các trường hợp sau.

Phân quyền thì có thưa kế. Default là có thừa kế (nó check sẵn Propagete Child object), ta có thể bỏ check để hết thừa kế.

Hoặc muốn muốn bỏ thì làm như sau:

Vào Tab permission của các Inventory (host, vm hoặc netork hoặc datastore)

Chọn Role đã assign -> phải chuột Properties -> bỏ check Propagate.

 

Các trường hợp Conflic

1/ Invenroty: Network ở localhost

Role 1: cho phép assign network (thừa kế xuống  datacenter HCM)

Role 2 (ở Datacenter HCM): không cho phép assign network

Vậy nó sẽ apply Role 2

  • Quy tắc: Quyền của con overwrite quyền của cha nếu có conflict (Con ưu tiên hơn cha)

2/ User nằm ở 2 group, 2 group có 2 quyền khác nhau trên cùng 1 object

Quyền của user là quyền tổng

  • Quy tắc: User sẽ được tổng quyền khi nằm ở nhiều group.

3/ User nằm ở 2 group- có quyền A+B. User có quyền C (Chỉ add user chứ không add group)

  • Quyền của user là quyền C
  • Quy tắc: Quyền của user thay thế cho quyền Group (Overwrite quyền group)

Lưu ý:

1 user chỉ add được 1 role. Nếu cố tình add  user vào role khác nữa thì sẽ mất cái quyền ta đã add trước, chỉ còn quyền ta add sau cùng cho user đó.

 

Cảm ơn các bạn theo dõi

About Hoang Do Viet

Tớ thích thể thao, văn thơ, ghét IT như quỷ ý ......

Check Also

Share bộ tài liệu PHP của trung tâm tin học Khoa Học Tự Nhiên

Tuhocmang – Share bộ tài liệu PHP của trung tâm tin học Khoa Học Tự Nhiên …

Vmware Vsphere: Network trong ảo hóa vmware phần 2

Tuhocmang.com – VMware Vsphere –  Network trong ảo hóa vmware phần 2 Ôn lại Network trong …

Leave a Reply

Your email address will not be published. Required fields are marked *