- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nem ez az egyetlen ellenérv az vSphere Microsoft AD-be való integrációjával kapcsolatban. Csak egy újabb elem a lista végére.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha távozik egy kolléga, végigmész a vSphere hosztokon és kicsapod a local account-ját?
Hogyan hozod létre őket?
- A hozzászóláshoz be kell jelentkezni
És? Mi KKV-kal dolgozunk. Nem az én problémám, tehát nem tudom értelmezni a "hogyan menedzselünk több száz vagy ezer usert" problémakört vSpehere-ben.
Aki nagy lóvéért dolgozik, az foglalkozzon nagy dolgokkal.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ehhez nem kell többezer user, elég 10 user managelése 50 hoszton, az 4 rackszekrény ha jól rémlik.
- A hozzászóláshoz be kell jelentkezni
És kell hozzá egy kibaszott nagy fluktuáció.
Itt 4 fő van ... munkaviszonyban, akinek ilyesmivel kell foglalkoznia:
- 25 év
- 25 év
- 13 év
- 6 év
Nagyon kapkodnunk ilyesmi után nem kell.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A cikkben nem arról van szó, hogy akkor van vulnerability, ha az ESXi host van joinolva AD-ba? Normális helyen (még kkv-knál is, főleg most, hogy már csak olyan csomag van, aminek része a vCenter is) ezek vCenterből vannak kezelve, ott az AD integrációhoz elég, ha Identity souce-ként van felvéve az AD, nem kell Hostot joinolni, annak elég egy jól megválasztott és borítékolt root jelszó.
Fluktuáció esetén így nyugodtan lehet zárolni a távozó user accountját.
- A hozzászóláshoz be kell jelentkezni
ha Identity souce-ként van felvéve az AD, nem kell Hostot joinolni
10+ éve manageltem vmware-t, mennyire gyakori hogy Vcenter mellett be kell lépni az esxi hosztokra is?
- A hozzászóláshoz be kell jelentkezni
mennyire gyakori hogy Vcenter mellett be kell lépni az esxi hosztokra is?
Hát ha éppen le lett állítva minden (tervezett leállás/vagy nem tervezett), az összes DC-d virtuális, amiket el kellene indítani a vCenter-ből, de az éppen a DC-ken futó AD-ből authentikálna a vCenter a belépéshez .... :D :D Nem, nem mindenhol van beállítva automatikus indulásra. Van, ahol kifejezetten nincs.
Addig nem szokott ezzel baj lenni, amíg nincs baj ...
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha nem annyira hülye az üzemeltető hogy az összes DC-t egyszerre kapcsolja le, akkor ilyen csak tervezetlen lehet.
Ebben az esetben a vmware nem támogat cached AD credential-t?
- A hozzászóláshoz be kell jelentkezni
Ha nem annyira hülye az üzemeltető hogy az összes DC-t egyszerre kapcsolja le, akkor ilyen csak tervezetlen lehet.
És mennyi ilyen hülyével hoz össze az élet (elfelejtettük, annyi évvel ezelőtt volt!)!
Ebben az esetben a vmware nem támogat cached AD credential-t?
Amikor ilyennel gond volt, akkor vagy nem volt, vagy nem működött. Erre nem bíznék nagy sietségben való újraindítást.
Szerk: Nagy cumesz még akkor szokott lenni, ha pluszban az ESXi-k strict lockdown módban vannak :D :D :D
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Csak félve kérdezem meg: ugye DRP van? Ugye le van próbálva? :)
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
Természetesen vCenterben vannak kezelve. És azt sem tesszük AD-ba. Jó sok okkal.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"VMware ESXi hypervisors joined to an Active Directory domain consider any member of a domain group named “ESX Admins” to have full administrative access by default. This group is not a built-in group in Active Directory and does not exist by default. ESXi hypervisors do not validate that such a group exists when the server is joined to a domain and still treats any members of a group with this name with full administrative access, even if the group did not originally exist. Additionally, the membership in the group is determined by name and not by security identifier (SID)."
/o\
- A hozzászóláshoz be kell jelentkezni
"A Microsoft egy súlyos biztonsági hibát talált" - ...még ha így lenne :) De sajnos a botnet és ransomware operátorok találták meg.
Amúgy ezek az igazán finom sebezhetőségek. Semmi buffer overflow, semmi memória-felülírás, semmi spekulatív végrehajtás, versenyhelyzet vagy side-channel attack. Csak 2 standard commandline parancs és már admin is vagy :)
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Gondolom ez csak úgy történhet meg hogy a vsphere lehetőséget biztosít egyéni csoportoknak delegálni admin hozzáférést,
de attól függetlenül is lookup-olja az "Esxi Admin" csoportot ha nincs is beállítva.
Ez így ordas nagy hiba a vmware-től.
- A hozzászóláshoz be kell jelentkezni
Nem is neki kellett volna megtalálni, hanem a vmware-nek broadcom-nak, mivel a hiba nem náluk van.
- A hozzászóláshoz be kell jelentkezni
"domain-be léptetett ESXi": értelmezhetetlen szófordulat :)
- A hozzászóláshoz be kell jelentkezni
Az ugye megvan, hogy ez pont nem microsoft hiba, csak ők találták meg és szóltak a komplett kutyütő 3rd party-nak?
- A hozzászóláshoz be kell jelentkezni
Betette a lábát. Ha nem találja meg, nincs hiba.
- A hozzászóláshoz be kell jelentkezni
Jogos :)
- A hozzászóláshoz be kell jelentkezni
Nem is tudom. Ha vcenter alá van rendelve a host, akkor maga a host nincs beléptetve ha jól tudom, így többnyire nem érintettek a rendszerek.
- A hozzászóláshoz be kell jelentkezni