nfsnobody用户
该用户可以在需要的时候代理NFS存储的验证账户,在老版本的ESX和ESXi上,该账户被命名为vimuser
目前的ESXi平台比之前版本的ESX和ESXi程序都小很多,root group包括root user ,daemon组织包括daemon用户,users和nfsnobody用户组默认为空
除了nfsnobody账户,其它的默认账户都ESXi必须的账户,新用户非必要情况都不用添加。
daemon用户
daemon账户是ESXi服务守护账户,它是非交互的。
root 用户
Root 用户是系统最高权限的用户,只能在其登录的特定主机上执行操作。
为安全起见,您可能不想以管理员角色使用 root 用户。在这种情况下,您可以在安装后更改权限,以使 root用户不再具有管理特权。或者,您也可以移除 root 用户的访问权限。(不要移除 root 用户本身。)
重要事项
如果您要移除 root 用户的访问权限,则必须首先在 root 级别创建另一个权限,以便向另一用户分配管理员角色。
在 vSphere 5.1 中,仅允许 root 用户向 vCenter Server 中添加主机,其他具有管理员权限的用户均无此权限。向另一个用户分配管理员角色有助于通过可跟踪性维护安全。vSphere Client 将管理员角色用户启动的所有操作记录为事件,并为您提供审核记录。如果所有管理员均以 root 用户身份登录主机,则不能分辨某项操作是哪个管理员执行的。如果在 root 级别创建了多个权限,而且每个权限均与不同的用户相关联,则可对每个管理员的操作进行跟踪。
vpxuser用户
当 vCenter Server 管理主机活动时,它使用 vpxuser 权限。
当ESXi主机连接vCenter时,ESXi主机会创建一个非常重要的vpxuser用户。 vCenter Server 对其管理的主机拥有管理员特权。例如,vCenter Server 可将虚拟机移至和移离主机,并执行支持虚拟机所必需的配置更改。
vCenter Server 管理员可在主机上执行可以由 Root 用户执行的大多数任务,并调度任务和处理模板等。但是,vCenter Server 管理员不能为主机直接创建、删除或编辑用户和组。这些任务只能由具有管理员权限的用户直接在每个主机上执行。
要提高 ESXi 主机的安全性,可以将其置于锁定模式。
启用锁定模式时,除 vpxuser 以外的任何用户都没有身份验证权限,也无法直接对主机执行操作。锁定模式将强制所有操作都通过 vCenter Server 执行。当主机处于锁定模式时,您无法从管理服务器、脚本或 vMA 针对主机运行 vSphere CLI 命令。外部软件或管理工具可能无法从 ESXi 主机检索或修改信息。
密码策略
将某个主机添加到 vCenter Server 清单中时,vCenter Server 会在该主机上创建称为 vpxuser 的特殊用户帐户。vpxuser 是特权帐户,用作通过 vCenter Server 启动的所有操作的代理。确保 vpxuser 密码的默认设置符合您组织密码策略的要求。
默认情况下,vCenter Server 使用 OpenSSL 密码库作为随机来源,每 30 天生成一个新的 vpxuser 密码。密码长度为 32 个字符,且必须至少包含一个属于以下四个字符类别的符号:符号 (-./:=@[\\]^_{}~)、数字 (1-9)、大写字母和小写字母。确保密码定期过期可限制 vpxuser 密码受到影响时可由攻击者使用的时间长度。
为了防止出现 vCenter Server 被锁在 ESXi 主机外的可能性,密码时效策略限定的时间不得短于设置为自动更改 vpxuser 密码的时间间隔。
步骤
1 要更改密码长度策略,请编辑运行 vCenter Server 的系统上 vCenter Server 配置文件中的
vpxd.hostPasswordLength 参数。
操作系统 默认位置
Windows C:\Documents and Settings\All Users\Application Data\VMware
VirtualCenter\vpxd.cfg
Linux /etc/vmware-vpx/vpxd.cfg
2 要更改密码时效要求,请使用 vSphere Web Client 中的“高级设置”对话框。
a 在 vSphere Web Client 清单中,浏览到 vCenter Server 系统。
b 依次单击管理选项卡和设置。
c 选择高级设置,然后找到 VirtualCenter.VimPasswordExpirationInDays 参数。
3 重新启动 vCenter Server。
注意
不能使用 Active Directory 管理 vpxuser。
不要以任何方式更改 vpxuser。不要更改其密码。不要更改其权限。如果进行了更改,在通过 vCenter Server处理主机时可能会出现问题。
dcui 用户
直接控制台用户界面 (DCUI) Direct Console User Interface。
dcui 用户以管理员权限在主机上操作。此用户的主要目的是从直接控制台用户界面 (DCUI) 配置锁定模式的主机。
此用户将充当直接控制台的代理,无法由交互式用户来修改或使用。
备注:
