En este documento veremos cómo podemos configurar VirtualCenter para poder acceder con diferentes cuentas de usuario y cada cuenta de usuario tenga diferentes tipos de permisos. Es ideal para no tener que dar por supuesto la cuenta de Administrador a nadie, por si tenemos algún becario encargado de encender máquinas virtuales, que sólo pueda hacer eso, si tenemos un departamento encargado de revisar LOG’s o crear MV’s que sólo puedan hacer eso y nada más.

Para configurar los perfiles, tenemos que abrir el VirtualCenter con el VMware Infrastructure Client e ir a la parte de “Administration”, in the “Roles”. Tenemos unos perfiles ya predeterminados, cómo de denegar el acceso, uno de sólo lectura (interesante para aprendices), perfíl de Administrador con todos los permisos, virtual machine administrator… In my case, I'm not interested in any, since I am going to create a custom one, that only allows me to turn VMs on and off, for example, To do this, click on “Add Role”,

We assign a profile name and look for what we want the profile to do, later we will add some user to the profile. In my case I will score “Power On”, “Power Off” and “Reset” inside “Virtual Machine”, so that this profile can restart the VMs, shut them down or start them. “OK”.

And now we just need to give permissions where we want, we could give it at the top on the Datacenter, but in my case it will only be for inside the Resource Pool called “Test Machines” since it will be only for a user who has permissions to test different applications only on those servers. So from where we want, we right-click “Add Permission…”

Debemos agregar usuarios y grupos desde “Add…” (usuarios o grupos del AD, o locales del servidor VirtualCenter). Y seleccionamos el perfíl que nos interese con esos permisos desde “Assigned Role”, seleccionamos el que acabamos de crear. Y sobre todo si nos interesa que se hereden los permisos a los objetos secundarios que es lo normal, Mark “Propagate to Child Objects”, “OK” para guardar y listo.

Así que ahora probamos con un usuario en cuestión para comprobar qué puede hacer, nos logueamos con el usuario que acabamos de definir los permisos…

Y vemos que sólo, sobre las MV podría arrancarlas (ya que están paradas) y sólo podría ver el Pool de recursos desde donde le hemos asignado los permisos, no podría hacer más.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0