在 ESXi 主机上启用或禁用锁定模式
search cancel

在 ESXi 主机上启用或禁用锁定模式

book

Article ID: 301170

calendar_today

Updated On:

Products

VMware vSphere ESXi

Issue/Introduction


Symptoms:
免责声明:本文为 Enabling or disabling Lockdown mode on an ESXi host (1008077) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
要提高 ESXi 主机的安全性,可以将其设置为锁定模式。 本文提供在 ESXi 主机上启用或禁用锁定模式的信息。

Environment

VMware vSphere ESXi 5.1
VMware ESXi 4.1.x Embedded
VMware ESXi 3.5.x Installable
VMware vSphere ESXi 5.0
VMware vSphere ESXi 6.0
VMware ESXi 4.1.x Installable
VMware ESXi 3.5.x Embedded
VMware vSphere ESXi 5.5
VMware ESXi 4.0.x Installable
VMware ESXi 4.0.x Embedded

Resolution

ESXi 6.0:


从 vSphere 6.0 开始,您可以选择正常锁定模式或严格锁定模式,这两种模式的锁定程度有所不同。

正常锁定模式:

正常锁定模式下不会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且无法通过 vSphere Web Client 进行访问,特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。 仅以下帐户可以访问直接控制台用户界面:
  • 锁定模式的例外用户列表中具有主机管理特权的帐户。 例外用户列表专用于执行非常特定的任务的服务帐户。 将 ESXi 管理员添加到此列表即可摆脱锁定模式的约束。
  • 在主机的 DCUI.Access 高级选项中定义的用户。 如果失去与 vCenter Server 的连接,此选项可供紧急访问直接控制台界面。 这些用户不需要具备主机管理特权。
严格锁定模式:

严格锁定模式下会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且 vSphere Web Client 不再可用,除非启用 ESXi Shell 和 SSH 服务并且定义例外用户,否则 ESXi 主机将变得不可用。 如果无法还原与 vCenter Server 系统的连接,则必须重新安装主机。

有关 vSphere 6.0 中锁定模式的详细信息,请参见 vSphere Security Guide 中的“锁定模式”部分。

要从 DCUI 启用或禁用锁定模式,请执行以下操作:
  1. 直接登录到 ESXi 主机。
  2. 从主机上打开 DCUI。
  3. F2 进行初始设置
  4. Enter 切换配置锁定模式设置。
要从 vSphere Web Client 启用或禁用锁定模式,请执行以下操作:
  1. 在 vSphere Web Client 清单中浏览到主机。
  2. 单击管理选项卡,然后单击设置
  3. 在“系统”下,选择安全配置文件
  4. 在“锁定模式”面板中,单击编辑
  5. 单击锁定模式并选择其中一个锁定模式选项。

ESXi 5.x 及以前版本:

启用锁定模式后, 只有 vpxuser 才具有身份验证权限。 其他用户无法直接在该主机上执行任何操作。 锁定模式会强制通过 vCenter Server 来执行所有操作。 处于锁定模式的主机无法使用该主机上的管理服务器、脚本或 vMA 运行 vCLI 命令。 此外,外部软件或管理工具将无法从 ESXi 主机检索或修改信息。


有关锁定模式的详细信息,请参见 vSphere Security Guide(适用于 vSphere 5.x)或 ESXi Configuration Guide(适用于更低版本)。

您可以从直接控制台用户界面 (DCUI) 启用锁定模式。

注意

  • 这些过程仅适用于 ESXi。
  • 主机配置文件不具有启用或禁用锁定模式的设置。
  • 如果 vCenter 已关闭或主机与 vCenter 断开连接,配置锁定模式将灰显。
  • 启用锁定模式后,所有故障排除服务均无法使用。

如果使用 DCUI 启用或禁用锁定模式,则会丢失主机上用户和组的权限。 要保留这些权限,必须使用与 vCenter Server 连接的 vSphere Client 来启用或禁用锁定模式。

要启用锁定模式,请执行以下操作:

  1. 直接登录到 ESXi 主机。
  2. 从主机上打开 DCUI。
  3. 按 F2 进行初始设置
  4. Enter 切换配置锁定模式设置。

使用故障排除服务

默认情况下,ESXi 主机上的故障排除服务处于禁用状态。 可以根据需要启用这些服务。 无论主机是否处于锁定模式,都可以启用或禁用故障排除服务。

以下是各个故障排除服务:
  • 本地技术支持模式 (TSM): 启用此服务可在本地对问题进行故障排除。
  • 远程技术支持模式服务 (SSH): 启用此服务可远程对问题进行故障排除。
  • 直接控制台用户界面服务 (DCUI): 如果在以锁定模式运行时启用此服务,则可以通过 root 用户身份从本地登录到直接控制台用户界面并禁用锁定模式。 然后,可以使用与 vSphere Client 的直接连接或通过启用技术支持模式来对问题进行故障排除。

    有关技术支持模式的信息,请参见 Tech Support Mode for Emergency Support (1003677)Using Tech Support Mode in ESXi 4.1 and ESXi 5.x (1017910)

使用 ESXi Shell 启用或禁用锁定模式

可从 vSphere CLI 运行这些命令来验证锁定模式的状态以及启用/禁用此模式。

ESXi 5.x 和 4.1
  • 要检查是否已启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_is_enabled
  • 要禁用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_mode_exit
  • 要启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_mode_enter

ESXi 4.0

  • 要检查是否已启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_is_enabled
  • 要禁用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_enable
  • 要启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_disable
注意: 要检查状态或在已启用锁定模式的情况下禁用锁定模式,您必须进入直接控制台用户界面服务 (DCUI),然后在 ESXi 主机上运行这些命令。


使用 PowerCLI 启用或禁用锁定模式

要使用 PowerCLI 启用锁定模式,请运行以下命令:

(get-vmhost <hostname> | get-view).EnterLockdownMode() | get-vmhost | select Name,@{N="LockDown";E={$_.Extensiondata.Config.adminDisabled}} | ft -auto

要禁用锁定模式,请运行以下命令:

(get-vmhost <hostname> | get-view).ExitLockdownMode()

要使用 PowerCLI 批处理修改锁定模式,请将此文本保存在 *.PS1 文件中并使用 PowerCLI 运行:

$vCenter = 'vCenterServer_Name_or_IP_address'
Connect-VIServer $vCenter
$Scope = Get-VMHost #This will change the Lockdown Mode on all hosts managed by vCenter
foreach ($ESXhost in $Scope) {
(get-vmhost $ESXhost | get-view).ExitLockdownMode() # To DISABLE Lockdown Mode
#(get-vmhost $ESXhost | get-view).EnterLockdownMode() # To ENABLE Lockdown Mode
}
Disconnect-VIServer -Server $vCenter -Confirm:$false

有关详细信息,请参见 vSphere Command-Line Interface Documentation


Additional Information

Enabling or disabling Lockdown mode on an ESXi host

Powered by Wolken Software