VMware Global Community
webstyler
Contributor
Contributor
‎12-23-2013 01:40 AM

Limitare accesso vSphere Web Client

Ciao

C'è modo di limitare gli accessi al Web Client ad IP precisi ?

L'ideale sarebbe un controllo utente + IP

Forse applicando questo : Restrict vSphere Client Access to IP or Network - ESXi 5 Firewall » The Sysadmins

?

Tx

0 Kudos
3 Replies
ldelloca
Virtuoso
Virtuoso
‎12-23-2013 02:00 AM

Ciao,

quello che indichi tu è il Client diretto integrato in ESXi, infatti l’articolo ti indica come limitare la connessione direttamente col firewall dell’hypervisor.

Se usi il Web client installato su macchina windows, puoi molto semplicemente configurare delle regole firewall di Windows, sicuramente per la limitazione degli IP sorgente funziona, per avere un ulteriore accesso utente e password non saprei se è possibile modificare l’autenticazione di base del sito, ma essendo già il web client accedibile solo con utente e password, sicuro ti serva un doppio login?

Se invece usi la vCenter appliance, essendo una macchina linux penso si possa entrare in shell e creare delle ulteriori regole su iptables.

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
0 Kudos
webstyler
Contributor
Contributor
‎12-23-2013 02:10 AM

Ciao Luca

Si, l'articolo parla del cliente e dei singoli nodi

Pensavo, speravo Smiley Happy, ci fosse qualche impostazione per poter gestire l'accesso al web client del vCenter (windows srv) legando agli utenti anche gli IP

Mi sono espresso male, non mi serve un doppio login, ma solo "rafforzare" l'accesso in modo che solo un utente specifico da un IP identificato possa entrare nel web client.

Per le regole del FW si potrebbe limitare l'accesso alla porta 9443 agli ip autorizzati, non ci sarebbe un legame tra IP ed utente ma meglio di niente

Tx

0 Kudos
ldelloca
Virtuoso
Virtuoso
‎12-23-2013 02:20 AM

L’alternativa è mettere un reverse proxy davanti al web client e sfruttare le regole di accesso sul web proxy, e impedire l’accesso diretto al web client. Sulle celle di vCloud ad esempio abbiamo fatto così, ma li c’era effettivamente anche la necessità di bilanciare l’accesso su varie celle con un virtual IP comune a tutte, dato che nativamente vCloud non ha sistemi di balancing. Ma può essere comunque un opzione.

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"