Для осуществления делегирования административных задач пулы виртуальных десктопов отдельных клиентов, которым предоставляется услуга (возможно филиалов, других предприятий и т.п.) следует располагать в своей выделенной папке (folder) иерархии VMware View Manager.
Пулы виртуальных десктопов различных типов также рекомендуется располагать в отдельных папках (folder) иерархии VMware View Manager.
Для каждого пула виртуальных десктопов в инфраструктуре виртуализации VMware vSphere следует выделять свой пул ресурсов для облегчения контроля за распределением аппаратных ресурсов между пулами.
В Таблице 1 перечислены возможности использования различных пулов виртуальных и физических десктопов.
Немного о том, каким образом осуществлять выбор между типами пулов.
Автоматизированный или неавтоматизированный пул?
Следует использовать автоматизированный пул во всех случаях, кроме:
необходимости предоставления пользователям доступа к аппаратным серверам/рабочим станциям;
необходимости предоставления пользователям доступа к уже сформированным ВМ.
Пул полных виртуальных десктопов или связанного клонирования?
Рекомендуется использовать автоматизированный пул виртуальныхдесктопов связанного клонирования с использованием View Composer5. Даже, если пользователям необходимы постоянные данные или собственные программы, их работа с виртуальным десктопом связанного клонирования должна осуществляться при помощи постоянных (persistent) дисков, перемещаемых пользовательских профилей и конвертирования программ в приложения ThinApp.
Покупка VMware компании Wanova Mirage6 и начало внедрения в VMware View технологии данной компании, которая может создавать образ пользовательского десктопа, разделив его на слои (система, приложения, данные и настройки пользователя), и централизованно управлять такими образами, позволяет надеяться, что в скором времени разделение собственно операционной системы, приложений и данных пользователей будет осуществляться в VMware View намного более удобно и с меньшим количеством исключений нежели сегодня.
Собственно автоматизированный пул виртуальных десктопов связанного клонирования с использованием View Composer следует использовать во всех случаях использования автоматизированного пула за исключением администраторов систем, которым вполне возможно, будет не очень удобно использовать только предопределенное программное обеспечение, распространяемое при помощи ThinApp, или оно не может быть виртуализировано при помощи ThinApp, или уже находящееся в основном образе пула виртуальных десктопов7.
Пул с привязкой или без привязки к пользователю?
Рекомендуется использовать пул виртуальных десктопов с привязкой к пользователю для того, чтобы иметь возможность соотнести пользователя и имя его виртуального десктопа, а также при необходимости использования пользователями локального режима8. Однако привязывать виртуальные десктопы к пользователю нелегкая задача для больших инсталляций.
VMware View Manager позволяет нам привязывать виртуальные десктопы к пользователю при помощи некоторого текстового списка соотнесения имени пользователя и имени виртуального десктопа. Из этого следует, что возникает еще одна административная задача по ведению данного списка, контролю новых пользователей и уволившихся и т.п. Поэтому, в большинстве случаев, можно использовать пул связанного клонирования без привязки к пользователю, однако, обеспечив должным образом сбор журналов сообщений безопасности с этих виртуальных десктопов, чтобы в любой момент времени можно было определить с какого виртуального десктопа работал конкретныйпользователь и какие действия совершал на нем. О возможностях сбора сообщений из журналов виртуальных десктопов поговорим в следующих главах.
В дальнейшем в этой статье по умолчанию мы будем рассматривать автоматизированный пул виртуальных десктопов связанного клонирования без привязки к пользователю. В случае рассмотрения рекомендаций для другого типа пула будем указывать тип пула явно.
Параметры пулов
Диски с операционной системой (OS disks) и постоянные (persistent) диски следует размещать на разных дисковых хранилищах9. Мы не рассматриваем в данном случае нагрузку, хотя, очевидно, что нагрузка различается в зависимости от типов дисков как по количеству IOPS, так и по временным интервалам. Мы рассматриваем разность информации на этих дисках. На дисках с операционной системой хранится лишь временная информация пока не будет произведена реинициализация десктопа каким-либо методом, на постоянных же дисках хранятся пользовательские данные, которые должны быть защищены соответствующим образом средствами дисковых массивов, файловой структуры и т.п.
Для проверки необходимо зайти во View Administrator. Выбрать “Inventory –>Pools”. В панели “Pools” выбрать пул виртуальных десктопов и дважды щелкнуть мышкой на нем. В появившемся окне выбрать закладку “Settings”. В представленной информации выбрать область vCenter Server, параметр “Datastore”. В данном параметре должно быть отражено, что диски “OS disks” и “Persistent disks” находятся на различных хранилищах. Доступ к сессии PCoIP на виртуальный десктоп из консоли vSphere Client через VMware vCenter или VMware ESXi должен быть запрещен.
В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках пользователя в ветке “PCoIPSessionVariables” установить “Enable access to a PCoIP session from a vSphere console”в значение “Not Configured”или “Disabled”10.
Параметры пула связанного клонирования с использованием ViewComposer
При создании связанных клонов из основного образа пула View Composer-ом желательно использовать Sysprep. QuickPrep, на мой взгляд, лучше не использовать. Использование Sysprep связано с тем, что QuickPrep не создает для связанного клона новый SID, а использует общий SID для пула11, а также с тем, что Microsoft официально не поддерживает QuickPrep. Сравнение QuickPrep и Sysprep приведено в таблице 2.
QuickPrep
Спецификация (Sysprep)
Разработано для работ с View Composer
Может быть создано стандартной утилитой Microsoft Sysprep
Использует один и тот же локальный идентификатор безопасности компьютера (SID) для всех связанных клонов в пуле
Генерирует уникальный локальный идентификатор безопасности компьютера (SID) для каждого связанного клона в пуле
Может выполнять дополнительные настроечные скрипты перед выключением связанных клонов и после создания связанных клонов, их обновления (refresh) или реконструкции (recompose)
Может выполнять дополнительные скрипты, когда пользователь первый раз входит в систему
Присоединяет связанные клоны к домену Active Directory
Присоединяет связанные клоны к домену Active Directory.
Информация о домене и администраторе в спецификации Sysprep не используется. Виртуальные машины подсоединяются к домену, используя информацию о настройке гостевой системы (guest customization information), которая вводится в View Administrator-е при создании пула
Для каждого связанного клона добавляется уникальный идентификатор (ID) в домен Active Directory
Для каждого связанного клона добавляется уникальный идентификатор (ID) в домен Active Directory
После обновления (refresh) связанных клонов новый SID не генерируется. Сохраняется общий SID
Генерируется новый SID, когда каждый связанный клон настраивается. Уникальный SID сохраняется во время операции обновления (refresh), но не при реконструкции (recompose) или балансировки (rebalance)
После реконструкции (recompose) связанных клонов новый SID не генерируется. Сохраняется общий SID
Выполняется снова после реконструкции (recompose) связанных клонов, генерируется новый SID для виртуальных машин
В таблице 3 приведено сравнение поведения SID-ов связанных клонов при использовании Sysprep или Quickprep и GUID-ов приложений при таких операциях View Composer как создание клона, обновление и реконструкция.
Утилита
Создание клона
Обновление (Refresh)
Реконструкция (Recompose)
Sysprep
Генерируется уникальный SID
Уникальный SID сохранятся
Уникальный SID не сохраняется
QuickPrep
ОбщийSIDгенерируется для всех клонов в пуле
Общий SID сохраняется
Общий SID сохраняется
GUID-ы приложений третьих фирм
Каждое приложение ведет себя по-разному.
Sysprep и QuickPrepвлияют на сохранность GUIDодинаково
GUIDсохраняется, если приложение генерирует GUIDперед созданием снимка (snapshot).
GUIDне сохраняется, если приложение генерирует GUIDпосле создания снимка (snapshot)
Операция реконструкции не сохраняет GUIDприложения, если приложение не записывает свой GUIDна диск, определенный во ViewComposerв качестве постоянного (persistent) диска
Таблица 3. Операции View Composer, SID-ы связанных клонов и GUID-ы приложений13.
Рекомендуется хранить диски с репликами (View Composer replicas) и диски со связанными клонами (Linked Clones) на разных дисковых хранилищах14. Такая рекомендация связана с разностью нагрузок на данные типы дисков.
Для проверки необходимо зайти во View Administrator. Выбрать “Inventory –>Pools”. В панели “Pools” выбрать пул виртуальных десктопов и дважды щелкнуть мышкой на нем. В появившемся окне выбрать закладку “Settings”. В представленной информации выбрать область vCenter Server, параметр “Datastore”. В данном параметре должно быть отражено, что диски “OS disks” и “Replica disks” находятся на различных хранилищах.
View Composer создает только одну реплику для каждого снимка (snapshot) основного образа на каждом кластере ESXi15.
Диски с операционной системой виртуальных десктопов связанного клонирования следует располагать на отдельных от дисков других типов виртуальных десктопов дисковых хранилищах16.
Виртуальные десктопы связанного клонирования следует располагать в отдельной от других виртуальных десктопов организационной единице OU каталога Active Directory17. Данная рекомендация связана с тем, что при расположении десктопов в отдельной организационной единице легче осуществлять управление ими при помощи групповой политики.
Для этого во View Administrator при создании пула выполнить следующие действия. Выбрать “Inventory –>Pools”. Впанели “Pools” нажатькнопку “Add…”. Впоявившемсяокне “Add Pool” в подменю “Type” меню “Pool Definition” выбрать “Automated Pool”, нажатькнопку “Next”. В подменю “User Assignment” выбрать любое необходимое значение, нажать кнопку “Next”. В подменю “vCenterServer” выбрать “View Composer linked clones” и соответствующий vCenter Server, нажать кнопку “Next”. Далее в меню “Settings” указывать необходимые параметры пула, а в подменю “Guest Customization” указать значение параметра “AD Container” (возможен выбор при помощи кнопки “Browse…”).
Для проведения очистки дискового пространства на дисках инфраструктуры, а также, чтобы все временные данные, сохраняемые во время сессии пользователя, были почищены, при выходе из гостевой операционной системы пользователя должно осуществляться обновление (refresh) виртуального десктопаили его удаление18.
Процесс обновления виртуального десктопа приведен на рисунке 1.
Рисунок 1. Процесс обновления (refresh) виртуального десктопа.
Для настройки обновления или удаления виртуального десктопа при выходе пользователя из гостевой операционной системы необходимо зайти вView Administrator. Выбрать “Inventory –>Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. Настранице“Pool Settings” в группе“Remote Settings”параметр“Delete or refresh desktop on logoff” установить в значение “Refresh Immediately” или “Delete Immediately”19.
Установка/удаление/обновление программного обеспечения, устанавливаемого нативно в операционную систему виртуальных десктопов, следует производить при помощи процесса реконструкции (recompose).
Процесс реконструкции (recompose) виртуального десктопаприведен на риисунке 2.
Рисунок 2. Процесс реконструкции (recompose) виртуального десктопа.
Параметры пула полных виртуальных десктопов
При создании полных виртуальных десктопов из основного образа пула также как и в случае пула связанного клонирования рекомендуется использовать Sysprep20.
Виртуальные десктопы автоматизированного пула полных виртуальных десктопов следует располагать в отдельной от других виртуальных десктопов организационной единице OU каталога Active Directory21. На мой взгляд, это не такая простая задача, т.к. View Composer в этом случае не отрабатывает, а Sysprep не имеет возможности добавить учетную запись компьютера в конкретную организационную единицу при включении в домен AD. Для автоматизации этой задачи предлагается следующие процедуры.
Процедура в vCenter Server:
Зайтив vSphere Client, подключившись к vCenter Server. Зайти в “Customization Specifications Manager” и создать новую спецификацию настройки, в которой в подменю “Workgroupor Domain” указать имя домена в параметре “Windows Server Domain” и указать значения для параметров аутентификации “Username”, “Password” и “Confirm Password”.
Процедура во View Manager:
Зайти во View Administrator. Выбрать“Inventory –> Pools”. Впанели “Pools” нажать кнопку “Add…”. В появившемся окне “Add Pool” в подменю “Type” меню “Pool Definition” выбрать “Automated Pool”, нажать кнопку “Next”. В подменю “User Assignment” выбрать любое необходимое значение, нажать кнопку “Next”. В подменю vCenter Server выбрать “Full Virtual Machines” и соответствующий vCenter Server, нажать кнопку “Next”. Далее в меню “Settings” указывать необходимые параметры пула, а в подменю “Guest Customization” выбрать спецификацию настройки.
При этом действия нужно понимать, что учетная запись виртуального десктопа попадет в организационную единицу по умолчанию, в которой создаются учетные записи компьютеров данного домена. Данное действие будет произведено под доменной учетной записью vCenter Server. Для того, чтобы учетные записи виртуальных десктопов попадали в специально выделенную для них организационную единицу OU, необходимо или создавать для них заранее учетные записи, размещенные в данной организационной единице (что не всегда удобно), или, например, воспользоваться приведенным ниже скриптом автоматического перемещения по событию.
Процедура в каталоге ActiveDirectory:
Создать скрипт в “\\<Контроллер домена>\SYSVOL\<Домен>\Scripts” следующего содержания:
for /f %%i in ('dsquery computer "<различимое имя контейнера Computers в домене>" -name %1') do dsmove %%i -newparent "<различимое имя новой организационной единицы виртуальных десктопов>"
Пример:
for /f %%i in ('dsquery computer "cn=Computers,dc=UIB,dc=LOCAL" -name %1') do dsmove %%i -newparent "ou=VDI Computers,dc=MIB,dc=LOCAL"
Запустить оснастку “Group Policy Management” выбрать групповую политику “Default Domain Controllers Policy” соответствующего домена в контекстном меню нажать “Edit…”. В появившемся окне “Group Policy Management Editor” выбрать параметр “Computer Configuration –> Preferences –> Control Panel Settings –> Scheduled Tasks”. Создать задачу “Scheduled Task (Windows Vista and later)”. В закладке “Triggers” окна создания задачи нажать кнопку “New…”, в появившемся окне “New Trigger” параметр “Begin the task” установить в значение “On an event” и установить следующие значения параметров:
Settings = Basic
Log = Security
Source = Microsoft-Windows-Security-Auditing
EventID = 4741
Отметить Activate и Enabled.
В закладке “Actions” нажать кнопку “New…” и в появившемся окне “New Action” установить параметры:
Action = Start a program
Program/script = <путь до исполняемого файла> (например, \\mib-dc\SYSVOL\MIB.LOCAL\scripts\VMmove.bat)
Add arguments (optional) = <шаблон имени виртуальных машин> (например, VM-*)
Нажать кнопку “OK”.
Раздел 2. Аутентификация пользователей в инфраструктуре виртуальных десктопов.
Конечно же, всегда рекомендуется осуществлять аутентификацию пользователей при помощи двух факторов, но далеко не всегда это разумно или просто выполнимо. Архитектурно хочется выделить некоторое подмножество пользователей или мест их размещения для осуществления аутентификации по двум факторам, а остальным, например, разрешить аутентифицироваться при помощи одного фактора.
VMware View позволяет аутентифицировать пользователя при доступе к инфраструктуре по двум факторам: при помощи сертификатов, в том числе расположенных на смарт-картах, и при помощи одноразовых паролей. И, если до версии 5.1 VMware View работало только с системой одноразовых паролей RSA, то в настоящий момент возможно осуществлять аутентификацию через сервер RADIUS и, соответственно, работать практически с любой системой одноразовых паролей.
Способы аутентификации при доступе в систему VMware View– это атрибут сервера, к которому подсоединяется пользователь. Следовательно, способы аутентификации могут быть различны для каждой связки серверов View Security – Connection.
В нашем случае (см. Часть 1 и 2), например, будем рекомендовать осуществлять двухфакторную аутентификацию при входе в инфраструктуру из сети Интернет, а при входе из внутренних сетей осуществлять любую аутентификацию, как по паролю, так и двухфакторную. Получается, что таким образом надо будет установить дополнительно еще одну связку серверов ViewSecurity – Connection и настроить на них способы аутентификации пользователей по-разному (см. рисунок 3). Назовем сервера View Security и View Connection, расположенные в зоне Internet Edge-сервер Internet Security и сервер Internet Connection, а сервера расположенные в зоне Extranet – Extranet Security и Extranet Connection, соответственно. Получается, что на сервере Internet Connection необходимо настроить обязательную двухфакторную аутентификацию, а на сервере Extranet Connection – по выбору пользователя.
на контролерах домена добавлены сертификаты корневых центров сертификации в хранилище сертификатов доверенных центров сертификации25.
Для этого необходимо запустить оснастку “Group Policy Management”. В контекстном меню “Default Domain Policy”выбрать“Edit”. Развернуть “Computer Configuration и открыть Windows Settings\Security Settings\Public Key”. В контекстном меню “Trusted Root Certification Authorities” выбрать “Import” и импортировать сертификат корневого центра сертификации.
На контроллерах домена добавлены сертификаты промежуточных центров сертификации в хранилище сертификатов промежуточных центров сертификации (в случае использования промежуточных центров сертификации)26.
Для этого необходимо запустить оснастку “Group Policy Management”. В контекстном меню“Default Domain Policy”выбрать“Edit”. Развернуть “Computer Configuration” и открыть “Windows Settings\Security Settings\Public Key”. В контекстном меню “Intermediate Certification Authorities” выбрать “Import” и импортировать сертификат промежуточного центра сертификации.
В хранилище сертификатов серверов View Security и/или View Connection должны присутствовать действующие сертификаты корпоративных центров сертификации корневого и промежуточных, которыми подписываются сертификаты пользователей27.
Для каждого сертификата промежуточных и корневых УЦ в выводе проверить следующие поля:
Тип записи – “Entry type: trustedCertEntry”
Владелец – “Owner”
Выпускающий УЦ – “Issuer”
Время действия – “Valid from: … until: …”
Расширения – “Extensions:”
Использование ключа – “KeyUsage” с областью применения DigitalSignatureи Key_CertSign
Основные ограничения – “BasicConstraints” с параметром CA:true
Файлы настройки серверов View Security и/или View Connection для разрешения аутентификации пользователей виртуальных десктопов по смарт-картам должен быть модифицирован.
В файле <install_directory>\VMware\VMware View\Server\sslgateway\conf\locked.properties добавить строки:
После модификации необходимо перезапустить службы сервера ViewSecurity/Connection.
В нашем случае сервер Internet Connection (сервер View Connection, расположенный в зоне Internet Edge) должен быть настроен на осуществление аутентификации пользователей виртуальных десктопов только по смарт-картам.
Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “Smartcard authentication:” установить в значение “Required”28.
Сервер Extranet Connection (серверView Connection, расположенный в зоне Extranet) должен иметь возможность аутентифицировать пользователей виртуальных десктопов по смарт-картам.
Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “Smartcard authentication:” установить в значение“Optional”29.
При аутентификации в инфраструктуре виртуальных десктопов VMware View по смарт-картам для клиентов, использующих View Client и работающих на платформе Windows, при помощи групповой политики возможно настроить единый вход (single sign-on), т.е. View Client будет автоматически пересылать реквизиты пользователя операционной системы на сервер View Security для аутентификации. Хотя для недоверенных зон, таких как сеть Интернет, данную опцию использовать не стоит30.
В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке “VMware View Client Configuration –>Security Settings” установить “Enable Single Sign-on for smartcard authentication” в значение “Enable” или “Disabled”, в зависимости от того, на какие компьютеры данная клиентская политика будет распространяться.
Аутентификация с использованием одноразовых паролей
В случае выбора в качестве второго фактора для аутентификации пользователей одноразовых паролей следует выполнять требования рекомендации приведенные ниже.
В нашем случае сервер Internet Connection (сервер View Connection, расположенный в зоне Internet Edge) должен быть настроен на осуществление аутентификации пользователей виртуальных десктопов только с использованием одноразовых паролей.
Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “2-factorauthentication” установить в значение “RADIUS”или “RSASecurID”, в зависимости от той системы одноразовых паролей, которая используется в организации31.
Заметим, что параметр “Optional” (по выбору пользователя) в случае использования одноразовых паролей отсутствует. Это означает, что в нашем случае при доступе пользователя из внутренних сетей организации мы либо не будем осуществлять аутентификацию по одноразовым паролям, либо наоборот будем в обязательном порядке. Однако всегда можно настроить более гибко политику аутентификации на сервере RADIUS, выполняющем роль прослойки между VMware View и системой одноразовых паролей.
Например, при использовании в качестве сервера RADIUS Network Policy Server (далее NPS) под управлением Microsoft Windows Server 2008 возможно политиками установить для клиентов (серверов VMware View), расположенных в зоне Internet Edge, осуществлять аутентификацию перенаправляя запросы на удаленные сервера RADIUS (“Forward requests to the following remote RADIUS server group for authentication”), которые являются серверами одноразовых паролей, а для клиентов, расположенных в зоне Extranet, осуществлять аутентификацию в домене AD (“Authenticate requests on this server”).
Раздел 3. Права пользователей в инфраструктуре виртуальных десктопов
На пулы виртуальных десктопов должны быть установлены разрешения по использованию виртуальных десктопов пула ограниченному кругу пользователей. Таким образом, пользователям должны выдаются права на использование виртуальных десктопов определенного пула в случае пула “без привязки к пользователю” или определенных виртуальных десктопов в случае пула “с привязкой к пользователю”.
Для предоставления прав необходимо зайти во View Administrator. Выбрать “Inventory –>Pools”. В панели “Pools” выбрать пул виртуальных десктопов и нажать кнопку “Entitlements…”. В появившемся окне “Entitlements” нажать кнопку “Add..”. В появившемся окне “FindUserandGroup” найти соответствующих пользователей или группы пользователей AD и нажать кнопку “OK”.
Далее могут идти требования, связанные с конкретной организацией. Например, пользователи, допущенные до использования определенного пула, должны принадлежать только организации, отделу, заказчику и т.п., в целях которых создан данный пул.
Пользователям, допущенным до использования определенного пула, должен требоваться функционал данного пула в рамках их должностных обязанностей. Например, только администраторы могут иметь доступ к пулам полных виртуальных десктопов, а остальные пользователи должны использовать станции связанного клонирования без привязки к пользователю.
Возможно, по политике информационной безопасности пользователи должны осуществлять доступ к различным виртуальным десктопам в случае обращения из локальной сети или из сети Интернет. VMware предлагает для этой цели использовать тэги32.
Таким образом, мы должны опять-таки использовать две связки серверов View – в зоне Extranet и в зоне Internet Edge (см. рисунок 3). При этом мы должны серверу Extranet Connection установить тег, например, “LAN”, а серверу Internet Connection присвоить тег, например, “WAN”. Тогда пулам виртуальных десктопов, к которым можно осуществлять доступ из локальной сети, необходимо установить тэг “LAN”; пулам, к которым можно осуществлять доступ только из сети Интернет – тэг “WAN”; пулам, к которым можно осуществлять доступ отовсюду – оба тэга. Логика предоставления к виртуальным пулам в соответствии с назначаемыми тэгами представлена в таблице 4.
Тэги
Доступ
ViewConnectionServer
DesktopPool
Нет
Нет
Да
Нет
Есть
Нет
Есть
Нет
Да
Есть
Есть
При совпадении тегов
Таблица 4. Соответствие тегов View Connection Server и пулов виртуальных рабочих станций и предоставляемого доступа33.
Заметим также, что логику предоставления доступа к виртуальным десктопам в зависимости от месторасположения пользователей, можно попытаться решить средствами View Agent/Client. Возможно получить IP-адрес клиентской системы на виртуальном десктопе из ключа реестра ViewClient_IP_Address34, в который View Agent записывает IP-адрес, переданный View Client. Но, во-первых, обработать данный адрес мы сможем только в скрипте при загрузке виртуального десктопа, что является некорректным способом разделения доступа, а во-вторых, полученный IP-адрес обычно будет внутренним адресом, скрытым за NAT, и не будет предоставлять нам полезной для целей разграничения доступа информации.
Также отметим в этом разделе, что пользователям виртуальных десктопов не стоит предоставлять возможность осуществления сброса в исходное состояние (reset) виртуального десктопа. Сброс виртуального десктопа аналогичен нажатию кнопки “reset” на физическом компьютере, все несохраненные данные будут потеряны. На мой взгляд намного удобнее осуществлять пользователем выход из системы и при этом перезагружать виртуальный десктоп при помощи настроек пула.
Для того, чтобы пользователю запретить осуществлять сброс виртуального десктопа необходимо зайти во View Administrator. Выбрать “Inventory –>Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. На странице “Pool Settings” в группе “Remote Settings” параметр “Allow users to reset their desktops”установить в значение“No”35.
Раздел 4. Права управляющего персонала
В данном разделе коснемся общих рекомендаций, предъявляемых к разграничению прав при администрировании VMwareView.
Права во View Manager следует назначать группам администраторов из корпоративного каталога Active Directory, а не локальным группам.
Роли во View Manager не стоит назначать группам или пользователям, встроенным по умолчанию в операционную систему36. В соответствии с этим из группы Administrators инфраструктуры виртуальныхдесктопов должна быть исключена встроенная локальная группа Administrators операционной системы.
В случае распределенной системы администрирования оконечным администраторам должны выдаваться права только на конкретные папки (folders) инфраструктуры VMwareView.
Аудиторам инфраструктуры виртуальных десктопов следует назначать роль Administrators (Read Only) на папку Root (/).
Т.к. основной образ пула виртуальных десктопов создается с использованием vCenter Server, пользователю, создающему его в инфраструктуре VMware vSphere, рекомендуется предоставлять права не более прав, указанных в таблице 5.
Группа привилегий
Подгруппа привилегий
Привилегии
Datastore
Allocate space
Network
Assign network
Resource
Assign virtual machine to resource pool
Virtual machine
Configuration
All
Interaction
Console interaction
Device connection
Power Off
Power On
Reset
Suspend
VMware Tools install
Inventory
Create from existing
Create new
Remove
Provisioning
Create template from virtual machine
State
All
Раздел 5. Защита взаимодействия
Web-соединение администратора инфраструктуры с View Administrator следует защищать использованием протокола SSL.
Для установки параметра использования SSL необходимо зайтиво View Administrator. Выбрать “View Configuration –>Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” отметить чекбокс “Require SSL for client connections and View Administrator”.
Web-соединение администратора инфраструктуры с View Administrator должно прерываться по таймауту в случае простаивающей сессии.
Для установки данного параметра необходимо зайти во View Administrator. Выбрать “View Configuration –>Global Settings”. Впанели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” снять отметку с чекбокса “Enable automatic status updates”.
Вспомним Главу 1. View Administrator расположен на серверах View Connection, которые находятся где угодно, но только не в модуле Management. А по идее все управляющие сервера должны быть расположены в модуле Management. Мы же из-за архитектуры VMware View не можем разнести управляющий сервер (View Administrator) и брокер соединений (View Connection) по различным серверам, да и к тому же они находятся на одном сетевом интерфейсе сервера. Поэтому приходится “выходить из положения”. Дальше приведена рекомендация по настройке ограничения доступа с определенных (административных) IP-адресов (IP-сетей) на View Administrator.
На сервере Connection Server в директории %ProgramFiles%\VMware\VMwareView\Server\broker\conf создать (если не существуют) вложенные поддиректории Catalina, а в ней localhost. В поддиректории localhost создать файл admin.xml (если не существует). В файл admin.xml добавить следующие строки:
RSS
