En este documento veremos cómo podemos configurar VirtualCenter para poder acceder con diferentes cuentas de usuario y cada cuenta de usuario tenga diferentes tipos de permisos. Es ideal para no tener que dar por supuesto la cuenta de Administrador a nadie, por si tenemos algún becario encargado de encender máquinas virtuales, que sólo pueda hacer eso, si tenemos un departamento encargado de revisar LOG’s o crear MV’s que sólo puedan hacer eso y nada más.

Para configurar los perfiles, tenemos que abrir el VirtualCenter con el VMware Infrastructure Client e ir a la parte de “Administration”, en la pestaña de “Roles”. Tenemos unos perfiles ya predeterminados, cómo de denegar el acceso, uno de sólo lectura (interesante para aprendices), perfíl de Administrador con todos los permisos, administrador de máquinas virtuales… En mi caso no me interesa ninguno, ya que voy a crear uno personalizado, que sólo me permita encender y apagar MV’s por ejemplo, para ello pulsamos en “Add Role”,

Le indicamos un nombre de perfíl y buscamos lo que nos interese que haga el perfíl, posteriormente agregaremos algún usuario al perfíl. En mi caso marcaré “Power On”, “Power Off” y “Reset” dentro de “Virtual Machine”, para que este perfíl pueda reiniciar las MV, apagarlas o arrancarlas. “OK”.

Y ahora queda dar permisos donde nos interese, podríamos darlo arriba sobre el Datacenter, pero en mi caso será sólo para dentro del Pool de recursos llamado “Equipos para pruebas” ya que será sólo para un usuario que tiene permisos de probar diferentes aplicaciones sólo en esos servidores. Así que desde donde nos interese damos con el botón derecho “Add Permission…”

Debemos agregar usuarios y grupos desde “Add…” (usuarios o grupos del AD, o locales del servidor VirtualCenter). Y seleccionamos el perfíl que nos interese con esos permisos desde “Assigned Role”, seleccionamos el que acabamos de crear. Y sobre todo si nos interesa que se hereden los permisos a los objetos secundarios que es lo normal, marcamos “Propagate to Child Objects”, “OK” para guardar y listo.

Así que ahora probamos con un usuario en cuestión para comprobar qué puede hacer, nos logueamos con el usuario que acabamos de definir los permisos…

Y vemos que sólo, sobre las MV podría arrancarlas (ya que están paradas) y sólo podría ver el Pool de recursos desde donde le hemos asignado los permisos, no podría hacer más.

www.bujarra.com – Héctor Herrero – nh*****@bu*****.com – v 1.0