Authentification AD & ESXi : ESX Admins
Posted by NiTRo | Filed under Tips & Tricks, VMware
Il y a quelques jours, Maish a fait sur son blog un petit HOWTO pratique pour rapidement profiter de l’authentification AD fraîchement ajouté à la version 4.1 d’ESXi. Dans son post, Maish ajoute le groupe admin de son domaine MANUELLEMENT dans les permissions d’ESXi après l’avoir joint à ce même domaine. Nous venons de faire une trouvaille très intéressante dans les logs d’ESXi après cette manip (le nom du domaine à été remplacé volontairement pas “ADMS”) :
Hostd: [2010-07-23 23:13:26.774 FFC07E90 warning 'UserDirectory'] Group lookup failed for ‘ADMS\ESX Admins’
Après un rapide coup de google, voici l’explication dans le visdk41pubs :
By default, the ESX host assigns the Administrator role to the “ESX Admins” group. If the group does not exist when the host joins the domain, the host will not assign the role. In this case, you must create the “ESX Admins” group in the Active Directory. The host will periodically check the domain controller for the group and will assign the role when the group exists.
Il suffit donc de créer ce groupe et d’y ajouter les groupes/utilisateurs de votre choix pour qu’ils aient automatiquement le role “Administrator” sur l’ESXi :
Elle est pas belle la vie ?!
Tags: AD
July 24th, 2010 at 4:57
[...] Ce billet était mentionné sur Twitter par Luc Dekens, raphael schitz. raphael schitz a dit: The “Active Directory Surprise” of #ESXi http://www.hypervisor.fr/?p=2292 (auto “ESX Admins” group add) [...]
September 5th, 2010 at 18:38
Bonjour,
l’information est intéressante, j’y vois surtout un gros trou de sécurité sur la partie assignation automatique des permissions sur le groupe “ESX Admins”.
Avec ce système, n’importe quel opérateur ActiveDirectory ayant connaissance de cette “fonctionnalité” peut récupérer les droits complets sur l’architecture VMware en créant ce groupe et en s’y ajoutant comme membre.
Les personnes pouvant créer des groupes AD ont souvent un niveau d’accréditation inférieurs aux admins VMware.
J’espère que VMware corrigera très rapidement ça.
September 5th, 2010 at 20:42
C’est à l’admin vmware de connaître ce comportement et veiller à ce que le groupe soit bien sécurisé avant d’inscrire les ESX dans le domaine.
September 8th, 2010 at 18:29
Bonsoir,
Dans un monde idéal, je serai d’accord avec vous.
Cependant, VMware se répand de plus en plus dans le marché des PME, et ces sociétés ont beaucoup moins de ressources à investir dans les formations de leurs équipes que les grandes entreprises.
Ainsi, l’opérateur qui installera les ESX sera sans doute aussi l’admin AD, système et il fera sans doute aussi un peu de helpdesk.
Un admin VMware formé, et dédié, dépasse souvent le budget de ce type d’entreprise.
Une personne avec autant de casquette ne connaîtra pas (n’aura pas le temps de connaître) ce détail d’implémentation.
De plus, il faut bien se rappeller que ces entreprises sont les mêmes qui n’adoptent que maintenant la virtualisation : leurs équipes n’ont donc pas non plus d’expérience acquise sur le tas (par opposition à la formation active).
Pour information, j’ai créé un sujet sur ce problème sur les communautés VMware :
http://communities.vmware.com/thread/283345?tstart=0
September 8th, 2010 at 23:06
l’intégration à l’AD ne me semble pas être une fonction orienté PME mais j’avoue être favorable à un mode manuel pour cette fonction. Par contre je n’appellerai pas ca un “trou de sécu”