VMware – Lockdown Mode
VMware – Lockdown Mode

VMware – Lockdown Mode

Hola a tod@s

En esta oportunidad veremos que es VMware Lockdown Mode y cómo podemos utilizarlo. El Lockdown Mode se puede usar para aumentar la seguridad de un host ESXi limitando el acceso permitido al host. Cuando este modo está activado, solo se puede acceder al host ESXi a través de vCenter Server o la interfaz de usuario de consola directa (DCUI).

Existen dos modos de Lockdown mode:

Normal Lockdown mode:

Haciendo uso de Normal Lockdown mode, el servicio DCUI no se detiene. Si perdemos la conexión con el vCenter Server y el acceso a través de vSphere Web Client ya no está disponible, utilizando las cuentas con privilegios podemos iniciar sesión en la interfaz de consola directa del host ESXi y salir del Lockdown mode. Solo estas cuentas pueden acceder a la interfaz de usuario de Direct Console:

  • Cuentas de la lista de usuarios de excepción para el Lockdown mode que tienen privilegios administrativos en el host: La lista usuarios de excepción está destinada a cuentas de servicio que realizan tareas muy específicas. Agregar administradores de ESXi a esta lista anula el propósito del Lockdown mode.
  • Usuarios definidos en la DCUI: Opción avanzada de acceso para el host. Esta opción es para el acceso de emergencia a la interfaz de consola directa en caso de que se pierda la conexión a vCenter Server. Estos usuarios no requieren privilegios administrativos en el host.

Strict Lockdown mode:

En el Strict Lockdown mode, el servicio DCUI se detiene. Si se pierde la conexión a vCenter Server y vSphere Web Client ya no está disponible, el host ESXi dejará de estar disponible a menos que los servicios ESXi Shell y SSH estén habilitados y se definan los usuarios de excepción. Si no podemos restablecer la conexión al vCenter Server, debemos reinstalar el host ESXi. Se recomienda tener cuidado con esta opción.

La versión de vSphere determina lo que las diferentes cuentas pueden hacer de forma predeterminada cuando el lockdown mode está habilitado y cómo puede cambiar el comportamiento predeterminado.

  • En vSphere 5.0 y versiones anteriores, solo el usuario root puede iniciar sesión en la interfaz de usuario de direct console en un host ESXi que esté en  lockdown mode.
  • En vSphere 5.1 y versiones posteriores puede agregar un usuario a la configuración avanzada del sistema para cada host. La opción está diseñada para un error catastrófico de vCenter Server. Las empresas suelen bloquear la contraseña del usuario con este acceso en una caja fuerte. Un usuario de la lista no necesita tener privilegios administrativos completos en el host.
  • En vSphere 6.0 y versiones posteriores, la configuración avanzada del sistema sigue siendo compatible. Además, vSphere 6.0 y versiones posteriores admiten una lista de usuarios de excepción, que es para las cuentas de servicio que tienen que iniciar sesión en el host directamente. Las cuentas con privilegios de administrador que se encuentran en la lista usuarios de excepción pueden iniciar sesión en ESXi Shell. Además, esos usuarios pueden iniciar sesión en la DCUI de un host en  lockdown mode normal y pueden salir del  lockdown mode.

Para activar o desactivar el Lockdown mode desde la DCUI

Abrimos el DCUI en el host.

Presione F2 para configuración inicial.

Seleccionamos Configure Lockdown mode y habilitamos el checkbox.

Para habilitar o deshabilitar el modo de bloqueo desde vSphere Web Client

Abrimos vSphere Web Client.

Vamos a Manage > Security & users > Lockdown mode

Pulsamos sobre «Edit settings» y seleccionamos el modo que queremos usar y pulsamos «Change«.

Para la prueba del uso de Lockdown mode lo veremos más adelante en este post.

Configurar usuarios de excepción

Para poder configurar usuarios de excepción podemos hacerlo desde nuestro ESXi. Para esto, crearemos una cuenta de servicio. Para este ejemplo usaré un usuario llamado «witcherit» al cual tendremos que asignar algunos privilegios para que la cuenta pueda iniciar sesión en la DCUI.

Para comenzar vamos a Manage > Security & users > Users > Add user.

Agregamos los datos de nuestro usuario y pulsamos «Add«.

Ya con el usuario creado, podemos continuar con el siguiente paso.

Ahora tendremos que agregar los permisos necesarios. Hacemos clic derecho sobre el host y seleccionamos «Permissions«.

Pulsamos sobre «Add user«.

Buscamos el usuario creado y seleccionamos el rol de Administrator y pulsamos «Add user«.

Con el usuario creado, pulsamos «Close«.

También necesitamos agregar desde nuestro vCenter Server el usuario creado. Para esto vamos a My ESXi > Configure > System > Security Profile > EDIT…

Buscamos el usuario y lo agregamos.

Aprovechando que estamos aquí, podemos habilitar Lockdown mode desde el vCenter Server.

Con Lockdown mode activado si queremos entrar al vSphere Web Client con un usuario que no esta permitido, se nos mostrará un problema de permisos.

Ahora, si entramos con el usuario creado, podemos ver que el ESXi tiene un icono de un candado y se muestra en el estado que esta habilitado Lockdown mode.

Espero que esta información les haya sido útil. Si tienes dudas o alguna acotación sobre este post, déjalo en comentarios. Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.