暗号化が有効な場合のリモートコンソールアクセスにおける仮想マシンの権限要件
search cancel

暗号化が有効な場合のリモートコンソールアクセスにおける仮想マシンの権限要件

book

Article ID: 426662

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

免責事項: これは英文の記事「Virtual Machine Permission requirements for Remote Console Access when Encryption is enabled」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

環境内で暗号化が有効であり、かつ十分な権限が割り当てられていない場合、ユーザーまたはグループによる vCenter UI を介した仮想マシンへのリモートコンソールアクセスは、以下のようなエラーで失敗します:

仮想マシンの Web コンソールに接続できません。この操作を実行する権限が拒否されました。

/var/log/vmware/vpxd/vpxd.log に以下のようなログが記録される場合があります: 

[YYYY-MM-DDTHH:MM:SS] error vpxd[####] [Originator@#### sub=Default opID=<OP ID>] [VpxLRO] -- ERROR lro-####-- <Session ID>(#################) -- vm-<VM ID>-- 
vim.VirtualMachine.acquireTicket: :vim.fault.NoPermission
--> Result:
--> (vim.fault.NoPermission) {
-->    faultCause = (vmodl.MethodFault) null, 
-->    faultMessage = <unset>, 
-->    object = 'vim.VirtualMachine:#######################:vm-<VM ID>', 
-->    privilegeId = "Cryptographer.Access", 
-->    missingPrivileges = (vim.fault.NoPermission.EntityPrivileges) [
-->       (vim.fault.NoPermission.EntityPrivileges) {
-->          entity = 'vim.VirtualMachine:#####################:vm-<VM ID>', 
-->          privilegeIds = (string) [
-->             "Cryptographer.Access"
-->          ]
-->       }
-->    ]
-->    msg = ""
--> }
--> Args:
--> 
--> Arg ticketType:
--> "webmks"
[YYYY-MM-DDTHH:MM:SS] info vpxd[####] [Originator@#### sub=vpxLro opID=<OP ID>] [VpxLRO] -- BEGIN lro-##### -- vm-<VM ID> -- vim.VirtualMachine.acquireTicket -- <Session ID>(
###################)
[YYYY-MM-DDTHH:MM:SS] warning vpxd[####] [Originator@#### sub=CryptoManager opID=<OP ID>] The session <ID> of user VSPHERE.LOCAL\xxx does not have privilege Cryptographer.
Access on entity [vim.VirtualMachine:vm-<VM ID>,VM-NAME

Environment

VMware vCenter Server 7.0 
VMware vCenter Server 8.0

Cause

暗号化が有効な場合、または vTPM モジュールが仮想マシンに接続されている場合に、ユーザーまたはグループに対して [暗号化操作] -> [直接アクセス] の権限が不足していることが原因です。

Resolution

リモートコンソールアクセスのためには、以下の権限を許可する必要があります: [暗号化操作] -> [直接アクセス]

暗号化が有効な場合にユーザーまたはグループに必要な権限を適用する手順:

  1. vCenter Server にログインします。
  2. [仮想マシンおよびテンプレート] タブに移動し、仮想マシンを含むフォルダを選択します。
  3. フォルダを右クリック(または [アクション] メニューを選択)し、[権限の追加] を選択します。
  4. ドメインを選択(例: abc.local)し、特定のユーザーまたはグループを検索します。
  5. [ロール] ドロップダウンから、暗号化操作を許可するロール(例: システム管理者)を選択します。

    • 注: 選択したロールに、特定の権限 [暗号化操作] -> [直接アクセス] が含まれていることを確認してください。
  6. [OK] を選択して保存します。
  7. 以降、ユーザーは仮想マシンのウェブコンソールでアクセスできるようになります。

暗号化操作の権限に関する詳細については、以下のドキュメントを参照してください: Cryptographic Operations Privileges
上記に加えて、[コンソールとの相互作用] の権限を適用する必要があります。詳細については以下のドキュメントを参照してください: Virtual Machine Interaction Privileges

Powered by Wolken Software