«
»

Authentification AD & ESXi : ESX Admins

Posted by NiTRo | Filed under Tips & Tricks, VMware

Il y a quelques jours, Maish a fait sur son blog un petit HOWTO pratique pour rapidement profiter de l’authentification AD fraîchement ajouté à la version 4.1 d’ESXi. Dans son post, Maish ajoute le groupe admin de son domaine MANUELLEMENT dans les permissions d’ESXi après l’avoir joint à ce même domaine. Nous venons de faire une trouvaille très intéressante dans les logs d’ESXi après cette manip (le nom du domaine à été remplacé volontairement pas “ADMS”) :

Hostd: [2010-07-23 23:13:26.774 FFC07E90 warning 'UserDirectory'] Group lookup failed for ‘ADMS\ESX Admins’

Après un rapide coup de google, voici l’explication dans le visdk41pubs :

By default, the ESX host assigns the Administrator role to the “ESX Admins” group. If the group does not exist when the host joins the domain, the host will not assign the role. In this case, you must create the “ESX Admins” group in the Active Directory. The host will periodically check the domain controller for the group and will assign the role when the group exists.

Il suffit donc de créer ce groupe et d’y ajouter les groupes/utilisateurs de votre choix pour qu’ils aient automatiquement le role “Administrator” sur l’ESXi :

esx_adminsElle est pas belle la vie ?!

Tags:

Comments (3) | July 24th, 2010

3 Responses to “Authentification AD & ESXi : ESX Admins”

  1. Les tweets qui mentionnent Authentification AD & ESXi : ESX Admins - Hypervisor.fr -- Topsy.com Says:
    July 24th, 2010 at 4:57

    [...] Ce billet était mentionné sur Twitter par Luc Dekens, raphael schitz. raphael schitz a dit: The “Active Directory Surprise” of #ESXi http://www.hypervisor.fr/?p=2292 (auto “ESX Admins” group add) [...]

  2. MB-NS Says:
    September 5th, 2010 at 18:38

    Bonjour,

    l’information est intéressante, j’y vois surtout un gros trou de sécurité sur la partie assignation automatique des permissions sur le groupe “ESX Admins”.

    Avec ce système, n’importe quel opérateur ActiveDirectory ayant connaissance de cette “fonctionnalité” peut récupérer les droits complets sur l’architecture VMware en créant ce groupe et en s’y ajoutant comme membre.

    Les personnes pouvant créer des groupes AD ont souvent un niveau d’accréditation inférieurs aux admins VMware.

    J’espère que VMware corrigera très rapidement ça.

  3. NiTRo Says:
    September 5th, 2010 at 20:42

    C’est à l’admin vmware de connaître ce comportement et veiller à ce que le groupe soit bien sécurisé avant d’inscrire les ESX dans le domaine.

Leave a Reply