Überblick über die rollenbasierte Rechtevergabe in SCVMM und vCenter

In großen Umgebungen sind abgestufte Administrator-Rechte unumgänglich. Diese Möglichkeiten bieten Microsoft SCVMM und VMware vCenter.

Die Verwaltung eines virtuellen Rechenzentrums kann eine komplexe Aufgabe sein, und es ist nicht ungewöhnlich, dass Administratoren hierbei zusätzlicher Hilfe bedürfen. Natürlich können andere Mitglieder der IT-Abteilung nur dann unterstützend tätig werden, wenn sie die zugehörigen Rechte erhalten haben – wobei die Erteilung vollständiger Administrations-Rechte meist keine Option ist.

Immerhin hat es seinen guten Grund, dass größere IT-Abteilungen auf abgestufte administrative Verantwortungen setzen. Glücklicherweise ist es meist problemlos möglich, jemandem einen Satz an eingeschränkten Rechten zu erteilen, mit dem die erforderlichen Aufgaben erfüllt werden können, ohne dafür gleich vollumfängliche Administratoren-Rechte vergeben zu müssen.

Ein Blick auf Rollen und Rechte in VMware vCenter

Die konkreten Rechtemodelle unterscheiden sich zwischen den verschiedenen Hypervisoren und den entsprechenden Management-Plattformen, aber alle führenden Anbieter erlauben zumindest prinzipiell eine granulare Feinsteuerung der administrativen Privilegien.

VMware zum Beispiel unterstützt die Nutzung von Rollen und Rechten, die mithilfe von vCenter zugewiesen werden können. VCenter umfasst drei standardmäßige Rollen und ermöglicht darüber hinaus die Anlage benutzerdefinierter Rollen. Diese benutzerdefinierten Rollen für vCenter erben keine der Privilegien der Systemrollen, daher müssen hier explizit alle Rechte angegeben werden, die zugewiesen werden sollen.

Die drei standardmäßigen Rollen in vCenter sind die Rollen Administrator, No Access und Read-Only. Auch wenn diese Rollen nach sehr pauschalen Rechten klingen, können Rollen und Rechte in vCenter auch auf granularen Ebenen angewendet werden. Rechte können verwalteten Entitäten wie Datastores, Hosts oder Ressourcenpools zugewiesen werden.

In einigen Fällen ist es zudem erforderlich, das Konzept der Vererbung einzusetzen, um Rechte zuzuweisen. Zum Beispiel gibt die vSphere-Dokumentation an, dass Rechte für verteilte Switches durch Rechtevergabe an das übergeordnete Objekt und durch Propagierung dieser Rechte auch den Child-Objekt zugewiesen werden können. Damit kann die Einschränkung überwunden werden, dass verteilte Switches nicht in der Liste der verwalteten Entitäten erscheinen.

Benutzerdefinierte Rollen in System Center Virtual Machine Manager

Auch wenn sich die Implementation unterscheidet, so nutzt doch auch Microsoft das Konzept der rollenbasierten Zugriffsteuerung (Role-based Access Control, RBAC). Rollenprofile werden in Microsoft-Umgebung über System Center Virtual Machine Manager (SCVMM) vergeben, Microsofts bevorzugtes Verwaltungswerkzeug für Hyper-V. Standardmäßig existiert ausschließlich die Rolle Administrator, es lassen sich aber auch benutzerdefinierte Rollen anlegen, indem man die Virtual Machine Manager Console öffnet, in den Arbeitsbereich Einstellungen wechselt und auf Benutzerrolle erstellen klickt (zu finden in der Werkzeugleiste). Mit dieser Aktion wird der Assistent zum Erstellen von Benutzerrollen gestartet.

Rollenzuweisungen basieren auf der Nutzung von Rollenprofilen. Der Virtual Machine Manager bietet vier eingebaute Rollenprofile an – im Einzelnen sind das Fabric Administrator, Read-Only Administrator, Tenant Administrator und Application Administrator. Das Rollenprofil Fabric Administrator ist im Groben ein Äquivalent der Rolle Administrator bei VMware. Ein Fabric Administrator ist im Wesentlichen ein Administrator, der die Rechte zur administrativen Steuerung einer spezifischen Sammlung von Objekten innehat. Diese Objekte können über den Assistenten zum Erstellen von Benutzerrollen ausgewählt werden.

Die Rolle Read-Only Administrator ist vergleichbar mit der Rolle Read-Only bei VMware. Administratoren mit dieser Rolle können Eigenschaften und den Status spezifischer Objekte einsehen, für die sie diese Rechte erhalten haben.

Die Rollen Tenant Administrator und Application Administrator werden in Private-Cloud-Umgebungen eingesetzt. Ein Tenant Administrator kann Anwender für die Self-Service-IT verwalten und virtuelle Maschinen innerhalb eines vordefinierten Rahmens erstellen. Ein Application Adminstrator wiederum ist ein Anwender dieser Self-Service-IT, dem das Recht zuerkannt wurde, seine eigenen virtuellen Maschinen innerhalb eines eingeschränkten Rahmens zu erstellen und zu verwalten.

Jeder benutzerdefinierten Rolle muss eines der zuvor benannten Rollenprofile zugeordnet werden. Im Active Directory können Benutzergruppen direkt einer Benutzerrolle zugewiesen werden, womit diese Rolle dann diesen Anwendern zugewiesen ist. Einem Anwender eine Rolle zuzuweisen bedeutet aber nicht, dass der Benutzer uneingeschränkten Zugriff auf die Virtualisierungs-Infrastruktur hätte.

Benutzerrollen können auf Basis der Ressourcen eingeschränkt werden, die für Rollenmitglieder zu verwalten sein sollen. Diese Einschränkungen können auf dem Betätigungsfeld, dem Bibliothekserver, dem RunAs-Konto oder auf einer beliebigen Kombination dieser drei basieren.

Das Betätigungsfeld einer Rolle ist definiert als die Host-Gruppen, die Rollenmitglieder verwalten dürfen sollen. Der Assistent zum Erstellen von Benutzerrollen erlaubt es Administratoren, dafür eine oder mehrere Host-Gruppen auszuwählen. Wichtig dabei ist, dass standardmäßig keine Host-Gruppe vorausgewählt ist.

Der Assistent ermöglicht es auch, Rollenmitglieder auf bestimmte Bibliothekserver einzuschränken. Damit kann gesteuert werden, auf welche VM-Templates und ISO-Dateien die Rollenmitglieder Zugriff haben. Der Assistent gibt standardmäßig keinen Zugriff auf einen Bibliothekserver, wodurch es in der Verantwortung des Administrators liegt, Bibliothekserver anzugeben, auf die die Rollenmitglieder Zugriff haben sollen.

Schließlich können Administratoren auch die Nutzbarkeit des RunAs-Kontos einschränken, das für einige administrative Funktionen des Virtual Machine Managers erforderlich ist. Durch die Einschränkung des RunAs-Kontos können Administratoren die Aufgaben eingrenzen, die Rollenmitglieder ausführen können. Der Assistent gewährt Rollenmitgliedern keinen Zugriff auf das RunAs-Konto, wenn der Administrator diesen Zugriff nicht explizit einräumt.

VMware und Microsoft bieten also beide ein umfassendes Rechtemodell für den rollenbasierten Zugriff auf Unternehmensressourcen. Durch die Nutzung dieser abgestuften Rechtevergabe ist es möglich, eingeschränkte administrative Kontrolle über spezifische Objekte innerhalb der Virtualisierungs-Infrastruktur einzuräumen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Containervirtualisierung

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close