Contributor
Contributor

web access - uprawnienia - problem

Witam

Musialem zwirtualizowac komputerek z windowsem 2000. Operacja udal sie, pacjent zyje - co prawda w kolko che instalowac mostek bridge standardu PCI  PCI do PCI (tzn wykrywa jakis sprzet w kolko) ale jakos dziala. Jak sie tego pozbyc? google jakos nie chce mi pomoc ...

Za to moj chytry plan jak na razie lezy. Chcialem udostepnic dziewczynie ktora uzywa aplikacji na tym komputerze poprzez web access dostep do konsoli (windwos 2000 nie ma RDP). Pokonalem problemy konfiguracji z AD (chcialem miec ten sam login do web accesa jak do jej komputera na ktorym pracuje)Problem w tym zeby udostepnic userowi VM musze dac mu uprawnienia administratora do tej maszyny bo innej roli w ESX nie ma. Przynajmniej jak podlaczam sie vCenter klientem do tego ESX to mam admin/readonly/ do wyboru.

W trybie read only nie moze dostac sie do konsoli -brak uprawnien.

Czy da sie to jakos zmienic, tzn zabrac przynajmniej uprawnienia do zatrzymywania VM?

Pojawia sie tez kazdoroazowo blad jak w zalaczniku, co oznacza 1328?, 443 to port.

0 Kudos
13 Replies
Enthusiast
Enthusiast

W vCenter możesz sam definiować nowe zestawy uprawnień. Wchodzisz do Home > Roles > Add Role.

Contributor
Contributor

to wiem ze w vCenter moge robic co chce - ale wg inzyniera z pomocy technicznej Vmware konfiguracja vCenter ma sie nijak do WebAcccesa. Uprawnien i konta do webaccess konfiguruje sie per host ESX i bezposrednio na nim - poprawcie mnie jezeli sie (on) myle.

0 Kudos
Contributor
Contributor

nikt mi nie pomoze?

0 Kudos
Leadership
Leadership

Ok, powiedz jakie ty masz wersje tych ESX i vCenter?

Rozumiem z Twojej wypowiedzi, że próbujesz uzyskać dostęp do ESX przez web access ESX'a, nie przez web client na vCenter?

http://blog.inleo.pl @maciejlelusz
0 Kudos
Contributor
Contributor

wersje 4.1.0 582267

probowalem z inyznierem (wsparcie Vmware) przez web acces na vCenter  - nie udalo sie...

inzynier stwierdil ze da sie tylko bezposrednio na ESX, ale tutaj ja zaprotestowalem ze nie ma mowy zeby z uprawnieniami admina to zostawic.

Niestety inzynier jest caly tydzien na szkoleniu wiec temat polezy jeszcze troche z racji naszych bank holidayow Smiley Wink

Ten inzynier wg mnie tez sie uczl razem ze mna .... odeslalem go zeby skonsultowal sie z starszymi kolegami - zoabczymy co sie dowie.

Prawde mowiac jakos bardziej Wam ufam niz temu inzynierowi...

0 Kudos
Leadership
Leadership

Próbowałeś może wygenerowac link do consoli i przekazać i operować tylko na nim? Według dokumentacji robi się to tak:

Creating and Sharing Remote Console URLs
Using VI Web Access, you can create a remote console URL of a virtual machine by sing standard Web browser URLs. When creating a remote console URL, you can customize the VI Web Access user interface controls. Using remote console URLs, you can:
  • Add the remote console URL to a list of favorite Web pages
  • Share the remote console URL with one or more users in an e‐mail message
NOTE   Administrators wishing to test a remote console URL should do so by using a different browser or computer. If the remote console URL is tested on the administratorʹs active browser session, all instances of that browser needs to be closed before the administrator can log back in with full user interface capabilities.
To create a virtual machine remote console URL
  1. 1 In the status section of a virtual machine’s summary, click Generate Remote Console URL.
  2. 2 Choose user interface features.
You can allow or disallow full inventory and Workspace tab viewing.
  1. 3 Copy the remote console URL for further use.
  2. 4 Click Close.
    http://blog.inleo.pl @maciejlelusz
    0 Kudos
    Contributor
    Contributor

    oczywisce ze probowalem. Z tym ze proby robilem logujac sie bezposrednio na ESX, generowalem skroty - zawsze podaczas logowania mialem blad, chcoaiz w logachj ESX widziaelm ze domenowa autentykacja przechodzila poprawnie. Rowneiz inzynier Vmware mnie zmylil, bo tez poszedl tym tropem.

    Ale teraz  jak mysle o tym co robilem to mam watpliwosci.

    Zalogowalem wie poprzez web access do vCenter (nie smiejscie sie - nie wiedzialem wczesniej ze tak mozna, do tej pory uznawalem w vCenter ma swojego klienta i basta).

    Dodalem do VM uprawnienia usera (wg gotowego szablonu) - wszystko dziala jak nalezy z malym wyjatkiem - user moze restartowac maszyne - a to nie dopouszczalne.

    Dodalem mu wiec role read-only - niby OK - ale nie moze otorzyc konsoli (komunikat brak uprawnien)

    Zklonowlaem wiec role read-only, dodalem jej uprawienie Virtual machine> Interaction > Console INteraction. Przydzielilem userow na tej VM - po zalogowaniu sie widzi VM, nie moze restartowac, ale wciaz nie moze otorzyc konsoli "You have no permission to use the console"

    Jakie jeszcze uprawienie powinienem dodac zeby ten user mogl widziec konsole ?

    i jeszcze jedno - ten sam user logujac sie klientem vCenter nie widzi zadnej VM?!?!?! - teraz to juz calkiem zglupialem.

    To w koncu jak to jest z uprawnieniami i dsotepami? sa rozne dla rozncyh dostepow? (tzn web access ma swoje uprawienia, a vCenter swoje?) - prosze wytlumaczcie mi.

    0 Kudos
    Contributor
    Contributor

    Jestem nieobecny w pracy do dnia 08-05-2012. Pilne sprawy proszę kierować na skrzynkę AdministratorzyNT, lub dzwonić 601820939. Tomek Pręgowski

    0 Kudos
    Leadership
    Leadership

    OK, możesz zamieśćić w wątku screenshota błędu, oraz dokładne podsumowanie roli, którą utworzyłeś w vCenter.

    Wydaje mi się, że przypisując rolę do maszyny nie dodałeś jej wyżej - dla resource pool'a, lub folderu. Gdy to będziesz robił wyłacz propagację dostepów, żeby ci się uprawnienie nie rozlazło po wszystkich obiekatach Smiley Happy

    http://blog.inleo.pl @maciejlelusz
    Enthusiast
    Enthusiast

    Możesz jeszcze inaczej podejść do problemu - sklonuj rolę w której działała Ci konsola i odejmij od niej uprawnienia do restartu.

    0 Kudos
    Contributor
    Contributor

    - zrzut w zalacznku

    - podsumowanie ... po prostu zrobilem klona roli read-only i oddalem "Virtual machine> Interaction > Console INteraction"

    co do "Wydaje mi się, że przypisując rolę do maszyny nie dodałeś jej wyżej - dla resource pool'a, lub folderu. Gdy to będziesz robił wyłacz propagację dostepów, żeby ci się uprawnienie nie rozlazło po wszystkich obiekatach"

    Owszem dodalem uprawnienia na poziomie  VMa, nie ruszalem niczego wyzej. Jezeli zle to zrobilem to dlaczego prez web access to dziala a przez vCenter klineta nie?

    - i jeszcze jedno - ten sam user logujac sie klientem vCenter nie widzi zadnej VM?!?!?! - teraz to juz calkiem zglupialem.

    Juz znam odpowiedz na to pytanie. Dodajac uprawnienie read-only do resource pool w ktorej jest ta VM widze juz ta i inne VM ktore sa w tej resource pooli. Po wylaczeniu propagacji - widze juz tylko ta jedna VM do ktorej ma miec ten user dostep.

    i teraznajciekawsze ten user gdy mu dam uprawnienia read-only + Console redirection na VM i read only na resource poole ma uprawnienia do restartu VMa zarowno przez vCener jak i web access - kolejna zagadka ..a juz myslalem ze problem rozwizany..

    0 Kudos
    Enthusiast
    Enthusiast

    Właśnie przetestowałem to o czym piszesz i powiem tak jak na informatyka przystało - u mnie działa Smiley Wink. Ale od początku - jeżeli dasz jakiekolwiek uprawnienia użytkownikowi tylko na wirtualną maszynę, to użytkownik ten zobaczy tylko tą maszynę tylko w widoku "VMs & Templates". Odnosi się to zarówno do vSphere Client jak i Web Client.
    Druga sprawa czyli kwestia dostępu do konsoli i restartu - dodałem do uprawnień na VM użytkownika tylko z dostępem do konsoli (Console Interaction) i zarówno w Web Client jak i vSphere Client miałem możliwość otwarcia konsoli bez możliwości restartu. Wprawdzie korzystam z wersji 5 (Ty zakładam z 4.x) ale nie sądzę aby to stanowiło rozwiązanie.

    0 Kudos
    Contributor
    Contributor

    NIestety dopiero teraz moglem wrocic do tematu.

    Oczywiscie wszystko dziala jak nalezy ... tylko z malym ale ...

    Logujac sie przez web access userem domenowym do VM ktory ma uprawnienia "read only + konsola" ten user oczywisce ma dostepne opcje power down/reset itd - ale probba ich uzycia konczy sie bledem o braku uprawnien. To mnie zmylilo. Liczylem ze te opcje beda wyszarzone  albo znikna - przeliczylem sie.

    0 Kudos