ESXi Active Directory 統合におけるセキュアなデフォルト設定
Article ID: 411657
Updated On:
Products
Issue/Introduction
免責事項: これは英文の記事 「Secure Default Settings for ESXi Active Directory integration (369707)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
いくつかの ESXi の詳細設定におけるデフォルト値は、安全性が確保されていません。
ESXi ホストが Active Directory ドメインに参加すると、AD グループ 「ESX Admins」 が自動的に VIM Admin ロールを付与されます。
[root@esxifqdn:~] esxcli system permission list
Principal Is Group Role Role Description
------------- -------- ----- ----------------
yourdomain\esx^admins true Admin Full access rights
cloudadmin false Admin Full access rights
dcui false Admin Full access rights
root false Admin Full access rights
vpxuser false Admin Full access rights
Environment
この記事は、ESXi 8.0 U3 より前のすべてのバージョンに該当する内容です。
Resolution
この問題は ESXi 8.0 U3 で修正されています。
問題を回避するには、以下の ESXi 詳細設定値に変更してください。(ESXi 8.0 U3 より前のすべてのバージョンのご利用の場合)
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAddをtrueからfalseへ変更Config.HostAgent.plugins.vimsvc.authValidateIntervalを1440から90へ変更Config.HostAgent.plugins.hostsvc.esxAdminsGroupを "ESX Admins" から "" へ変更
もし ESXi ホストが上記回避策適用前にすでに Active Directory に参加しており、AD グループ(デフォルトでは「ESX Admins」)に管理者権限が割り当てられている場合は、これを削除してください。この作業は、Host Client の UI または esxcli コマンドを使用して実施できます。
esxcli system permission unset -i 'yourdomain\esx^admins' --group上記の手順は、回避策適用後に実施してください。
現在割り当てられているすべての VIM 権限は、Host Client の UI または以下の esxcli コマンドで確認できます。
esxcli system permission list注意: ESX Admins グループは、ホストが Active Directory に参加すると自動的に管理者権限付きで追加されます。そのため、ドメインに参加する前にこれらの設定を変更することを推奨します。設定は約 1 分で反映され、再起動は不要です。
Additional Information
6/28/2024 - Added Config.HostAgent.plugins.hostsvc.esxAdminsGroup and note.
8/12/2024 - Added steps required for ESXi hosts already joined to the AD domain.
Feedback
