2.2 Configuration de l'authentification et de l'autorisation utilisateur

Le mécanisme d'authentification et d'autorisation utilisateur de PlateSpin Migrate est basé sur les rôles des utilisateurs et contrôle l'accès aux applications ainsi que les opérations pouvant être exécutées par les utilisateurs. Ce mécanisme est basé sur l'authentification Windows intégrée (IWA) et son interaction avec les services IIS (Internet Information Services).

REMARQUE :si vous avez installé un serveur PlateSpin Migrate localisé pour une langue et un client PlateSpin Migrate localisé pour une autre langue, n'utilisez pas de références d'autorisation qui comprennent des caractères spécifiques à une langue. Cela entraînerait, en effet, un problème de communication entre le client et le serveur ; les références sont rejetées comme étant non valides.

La fonctionnalité d'audit utilisateur de PlateSpin Migrate est fournie via la fonction de consignation des opérations des utilisateurs (voir la section Configuration de la consignation des activités de l'utilisateur).

2.2.1 Rôles PlateSpin Migrate

Un rôle PlateSpin Migrate est un ensemble de privilèges PlateSpin Migrate qui permettent à un utilisateur particulier d'exécuter certaines opérations. Au cours de l'installation, le programme d'installation de PlateSpin crée trois groupes Windows locaux sur l'hôte du serveur PlateSpin Migrate : Administrateurs PlateSpin Migrate, Utilisateurs avec pouvoir PlateSpin Migrate et Opérateurs PlateSpin Migrate. Ces groupes sont directement liés aux trois rôles PlateSpin Migrate qui contrôlent l'authentification et l'autorisation utilisateur :

Groupe des utilisateurs du client PlateSpin Migrate	Groupe des utilisateurs de l'interface Web de PlateSpin Migrate	Description
Administrateurs PlateSpin	Administrateurs de conversion de workload	ces utilisateurs bénéficient d'un accès illimité à toutes les fonctions de l'application. Un administrateur local appartient implicitement à ce groupe.
Utilisateurs avec pouvoir PlateSpin	Utilisateurs avec pouvoir de la conversion de workload	ces utilisateurs bénéficient d'un accès à la plupart des fonctions de l'application avec quelques restrictions, notamment en ce qui concerne la modification des paramètres système liés à l'octroi des licences et à la sécurité.
Opérateurs PlateSpin	Opérateurs de la conversion de workload	ces utilisateurs bénéficient d'un accès à un sous-ensemble limité de fonctions système, suffisant pour assurer un fonctionnement au quotidien.

Lorsqu'un utilisateur tente de se connecter à un serveur PlateSpin, les références fournies par le client PlateSpin Migrate sont validées par les services IIS. Si l'utilisateur n'est pas membre de l'un des rôles PlateSpin Migrate, la connexion est refusée. Si l'utilisateur est un administrateur local sur l'hôte du serveur PlateSpin, ce compte est implicitement considéré comme celui d'un administrateur PlateSpin Migrate.

Les détails des autorisations pour les rôles PlateSpin Migrate dépendent de l'outil utilisé pour migrer les workloads, à savoir le client PlateSpin Migrate ou l'interface Web PlateSpin Migrate :

Pour plus d'informations sur les rôles PlateSpin Migrate ainsi que les détails des autorisations lorsque vous utilisez le client PlateSpin Migrate pour la migration des workloads, reportez-vous au Tableau 2-3.
Pour plus d'informations sur les rôles PlateSpin Migrate ainsi que les détails des autorisations lorsque vous utilisez l'interface Web PlateSpin Migrate pour la migration des workloads, reportez-vous au Tableau 2-4.

Tableau 2-3 Rôles PlateSpin Migrate et détails des autorisations pour les utilisateurs du client PlateSpin Migrate

Détails du rôle	Administrateurs	Utilisateurs avec pouvoir	Opérateurs
Gestion des licences : ajouter et supprimer des licences ; transférer des licences de workload	Oui	Non	Non
Machines : découvrir, annuler la découverte	Oui	Oui	Non
Machines : supprimer les machines virtuelles	Oui	Oui	Non
Machines : afficher, rafraîchir, exporter	Oui	Oui	Oui
Machines : importer	Oui	Oui	Non
Machines : exporter	Oui	Oui	Oui
Réseaux PlateSpin Migrate : ajouter, supprimer	Oui	Non	Non
Tâches : créer une nouvelle tâche	Oui	Oui	Non
Tâches : afficher, abandonner, modifier l'heure de début	Oui	Oui	Oui
Création d'image : afficher, lancer la synchronisation dans les contrats existants	Oui	Oui	Oui
Création d'image : consolider des incréments, appliquer des incréments à la base, supprimer des incréments, installer/supprimer des serveurs d'images	Oui	Oui	Non
Composants de transfert par bloc : installer, mettre à niveau, supprimer	Oui	Oui	Non
Pilotes de périphériques : afficher	Oui	Oui	Oui
Pilotes de périphériques : télécharger, supprimer	Oui	Oui	Non
Accès au serveur PlateSpin : afficher les services Web, télécharger le logiciel client	Oui	Oui	Oui
Paramètres du serveur PlateSpin : éditer les paramètres qui contrôlent la consignation des activités utilisateur et les notifications SMTP	Oui	Non	Non
Paramètres du serveur PlateSpin : éditer tous les paramètres du serveur, excepté ceux qui contrôlent la consignation des activités utilisateur et les notifications SMTP	Oui	Oui	Non
Exécution de diagnostics : générer des rapports de diagnostic détaillés	Oui	Oui	Oui
Opérations de post-conversion : ajouter, mettre à jour, supprimer	Oui	Oui	Non

Tableau 2-4 Rôles PlateSpin Migrate et détails des autorisations pour les utilisateurs de l'interface Web PlateSpin Migrate

Détails du rôle	Administrateurs	Utilisateurs avec pouvoir	Opérateurs
Ajouter un workload	Oui	Oui	Non
Supprimer le workload	Oui	Oui	Non
Configurer la migration	Oui	Oui	Non
Préparer la migration	Oui	Oui	Non
Exécuter la réplication complète	Oui	Oui	Oui
Exécuter la réplication incrémentielle	Oui	Oui	Oui
Suspendre/reprendre la planification	Oui	Oui	Oui
Tester la transition	Oui	Oui	Oui
Mise en service	Oui	Oui	Oui
Abandonner	Oui	Oui	Oui
Paramètres (tous)	Oui	Non	Non
Exécuter des rapports/diagnostics	Oui	Oui	Oui

2.2.2 Assignation de rôles PlateSpin Migrate à des utilisateurs Windows

Pour permettre à un domaine Windows donné ou à certains utilisateurs locaux d'exécuter des opérations PlateSpin spécifiques en fonction du rôle désigné, ajoutez le compte utilisateur ou le domaine Windows requis au groupe local Windows concerné (Administrateurs PlateSpin, Utilisateurs avec pouvoir PlateSpin ou Opérateurs PlateSpin) sur l'hôte du serveur PlateSpin Migrate. Pour plus d'informations, reportez-vous à la documentation Windows.

2.2.3 Configuration de la mutualisation PlateSpin Migrate sur VMware

PlateSpin Migrate s'accompagne de rôles utilisateur uniques (et d'un outil pour les créer dans un datacenter VMware) qui permettent à des utilisateurs de VMware ne disposant pas de privilèges d'administration (ou « utilisateurs habilités ») d'effectuer des opérations de cycle de vie Migrate dans l'environnement VMware. En votre qualité de fournisseur de service, ces rôles vous offrent la possibilité de segmenter votre cluster VMware pour permettre la mutualisation : cela signifie que plusieurs conteneurs Migrate sont instanciés dans votre datacenter afin de prendre en charge les clients ou « locataires » Migrate qui souhaitent que leurs données, et la preuve même de leur existence, soient séparées des autres clients qui utilisent également le datacenter.

Cette section présente les informations suivantes :

Utilisation d'outils pour définir des rôles VMware

PlateSpin Migrate requiert certains privilèges pour accéder à des tâches de l'infrastructure VMware (c'est-à-dire des « conteneurs » VMware) et les exécuter. De cette manière, le workflow et les fonctionnalités Migrate sont disponibles dans cet environnement. Compte tenu de l'abondance des privilèges requis, NetIQ a créé un fichier qui définit les privilèges minimums requis et les rassemble respectivement dans trois rôles VMware personnalisés :

Gestionnaire de machines virtuelles PlateSpin
Gestionnaire d'infrastructure PlateSpin
Utilisateur PlateSpin

Ce fichier de définition, PlateSpinRole.xml, est inclus dans l'installation du serveur PlateSpin Migrate. Il s'accompagne d'un exécutable, PlateSpin.VMwareRoleTool.exe, qui accède au fichier pour permettre la création de ces rôles PlateSpin personnalisés dans un environnement vCenter cible.

Cette section présente les informations suivantes :

Syntaxe de ligne de commande de base

À partir de l'emplacement d'installation de l'outil de rôle, exécutez ce dernier via la ligne de commande en utilisant la syntaxe de base suivante :

PlateSpin.VMwareRoleTool.exe /host=[host name/IP] /user=[user name] /role=[the role definition file name and location] /create

REMARQUE :par défaut, le fichier de définition du rôle est situé dans le même dossier que l'outil de définition.

Drapeaux et paramètres de ligne de commande supplémentaires

Appliquez les paramètres suivants en fonction des besoins lorsque vous utilisez PlateSpin.VMwareRoleTool.exe pour créer ou mettre à jour des rôles dans vCenter :

/create	(Obligatoire) Crée les rôles définis par le paramètre /role.
/get_all_prvileges	Affiche tous les privilèges définis par le serveur.

Drapeaux facultatifs
/interactive	Exécute l'outil avec des options interactives qui vous permettent, au choix, de créer des rôles individuels, de vérifier la compatibilité des rôles ou de répertorier tous les rôles disponibles.
/password=[mot de passe]	Fournit le mot de passe VMware (ignore l'invite de mot de passe).
/verbose	Affiche des informations détaillées.

Exemple d'utilisation de l'outil

Syntaxe : PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

Actions consécutives :

L'outil de définition de rôle s'exécute sur le serveur vCenter houston_sales, dont un administrateur porte le nom d'utilisateur pedrom.
En l'absence du paramètre /password, l'outil demande la saisie du mot de passe utilisateur que vous spécifiez alors.
L'outil accède au fichier de définition de rôles, PlateSpinRole.xml, situé dans le même répertoire que l'exécutable (il n'était pas nécessaire de définir son chemin d'accès de manière plus détaillée).
L'outil localise le fichier de définition et est invité à créer (/create) les rôles définis dans le contenu de ce fichier dans l'environnement vCenter.
L'outil accède au fichier de définition et crée les rôles (y compris les privilèges minimums requis pour l'accès limité défini) dans vCenter.

Les nouveaux rôles personnalisés devront être assignés ultérieurement à des utilisateurs dans vCenter.

(Option) Définition manuelle de rôles PlateSpin dans vCenter

Utilisez le client vCenter pour créer et assigner manuellement les rôles PlateSpin personnalisés. Cela suppose la création des rôles avec les privilèges énumérés, tels qu'ils sont définis dans le fichier PlateSpinRole.xml. Lorsque vous optez pour une création manuelle, il n'existe aucune restriction quant au nom du rôle. La seule limite est la suivante : les noms de rôle que vous créez comme équivalents des rôles du fichier de définition ont tous les privilèges minimums appropriés du fichier de définition.

Pour plus d'informations sur la création de rôles personnalisés dans vCenter, consultez le document Managing VMWare VirtualCenter Roles and Permissions (Gestion de rôles et d'autorisations VMWare VirtualCenter) dans le Centre des ressources techniques VMware.

Assignation de rôles dans vCenter

Lorsque vous configurez un environnement de mutualisation, vous devez provisionner un seul serveur Migrate par client ou « locataire ». Vous assignez à ce serveur Migrate un utilisateur habilité avec des rôles VMware Migrate particuliers. Cet utilisateur est celui qui crée le conteneur Migrate. En tant que fournisseur de service, vous conservez les références de cet utilisateur et vous ne les divulguez pas à votre client locataire.

Le tableau ci-dessous répertorie les rôles que vous devez définir pour l'utilisateur habilité. Il contient également des informations supplémentaires sur la finalité du rôle :

Conteneur vCenter pour l'assignation de rôles	Particularités de l'assignation de rôles	Instructions de propagation	Pour plus d'informations
Racine de l'arborescence d'inventaire de vCenter.	Assignez à l'utilisateur habilité le rôle Gestionnaire d'infrastructure PlateSpin (ou équivalent).	Pour des raisons de sécurité, définissez l'autorisation sans l'attribut de propagation.	Ce rôle est nécessaire pour surveiller les tâches en cours d'exécution par le logiciel Migrate et mettre fin à toute session VMware caduque.
Tous les objets du datacenter auxquels l'utilisateur habilité doit accéder.	Assignez à l'utilisateur habilité le rôle Gestionnaire d'infrastructure PlateSpin (ou équivalent).	Pour des raisons de sécurité, définissez l'autorisation sans l'attribut de propagation.	Ce rôle est nécessaire pour autoriser l'accès aux banques de données du datacenter en vue du téléchargement de fichiers. Définissez l'autorisation sans l'attribut de propagation.
Chaque grappe à ajouter à Migrate en tant que conteneur et chaque hôte contenu dans la grappe.	Assignez à l'utilisateur habilité le rôle Gestionnaire d'infrastructure PlateSpin (ou équivalent).	La propagation est laissée à l'appréciation de l'administrateur VMware.	Pour assigner un élément à un hôte, propagez l'autorisation à partir de l'objet de grappe ou créez une autorisation supplémentaire sur chaque hôte de la grappe. Si le rôle est assigné sur l'objet de grappe et propagé, aucune autre modification n'est nécessaire lors de l'ajout d'un nouvel hôte à la grappe. La propagation de cette autorisation a toutefois des implications sur le plan de la sécurité.
Chaque réserve de ressources à laquelle l'utilisateur habilité doit accéder.	Assignez le rôle Gestionnaire de machines virtuelles PlateSpin (ou équivalent) à l'utilisateur habilité.	La propagation est laissée à l'appréciation de l'administrateur VMware.	Vous pouvez assigner l'accès à un nombre indéfini de réserves de ressources, à n'importe quel emplacement de l'arborescence. Cependant, vous devez assigner ce rôle à l'utilisateur habilité pour au moins une réserve de ressources.
Chaque dossier de machines virtuelles auquel l'utilisateur habilité doit accéder.	Assignez le rôle Gestionnaire de machines virtuelles PlateSpin (ou équivalent) à l'utilisateur habilité.	La propagation est laissée à l'appréciation de l'administrateur VMware.	Vous pouvez assigner l'accès à un nombre indéfini de dossiers de machines virtuelles, à n'importe quel emplacement de l'arborescence. Cependant, vous devez assigner ce rôle à l'utilisateur habilité pour au moins un dossier.
Chaque réseau auquel l'utilisateur habilité doit accéder. Réseaux virtuels distribués avec dvSwitch et dvPortgroup.	Assignez le rôle Gestionnaire de machines virtuelles PlateSpin (ou équivalent) à l'utilisateur habilité.	La propagation est laissée à l'appréciation de l'administrateur VMware.	Vous pouvez assigner l'accès à un nombre indéfini de réseaux, à n'importe quel emplacement de l'arborescence. Cependant, vous devez assigner ce rôle à l'utilisateur habilité pour au moins un dossier. Pour assigner le rôle correct au paramètre dvSwitch, propagez le rôle sur le datacenter (un objet supplémentaire reçoit alors le rôle) ou placez le paramètre dvSwitch dans un dossier et assignez le rôle à ce dossier. Pour qu'un groupe de ports standard soit répertorié comme réseau disponible dans l'interface utilisateur de Migrate, créez une définition correspondante sur chaque hôte de la grappe.
Chaque banque de données et chaque grappe de banques de données auxquelles l'utilisateur habilité doit accéder.	Assignez le rôle Gestionnaire de machines virtuelles PlateSpin (ou équivalent) à l'utilisateur habilité.	La propagation est laissée à l'appréciation de l'administrateur VMware.	Il faut que ce rôle ait été assigné à l'utilisateur habilité pour au moins une banque de données ou grappe de banques de données. Dans le cas des grappes de banques de données, l'autorisation doit être propagée aux banques de données qu'elles contiennent. Si l'accès n'est pas accordé à un membre de la grappe, la préparation et les réplications complètes échouent

Le tableau ci-dessous indique le rôle que vous pouvez assigner au client ou à l'utilisateur locataire.

Conteneur vCenter pour l'assignation de rôles	Particularités de l'assignation de rôles	Instructions de propagation	Pour plus d'informations
Chaque réserve de ressources et chaque dossier dans lesquels les machines virtuelles du client seront créées.	Assignez le rôle Utilisateur PlateSpin (ou équivalent) à l'utilisateur locataire.	La propagation est laissée à l'appréciation de l'administrateur VMware.	Ce locataire est membre du groupe Administrateurs PlateSpin sur le serveur PlateSpin Migrate. Il figure également sur le serveur vCenter. Si le locataire se voit accorder la possibilité de modifier les ressources utilisées par la machine virtuelle (en d'autres termes les réseaux, les images ISO, etc.), octroyez-lui les autorisations nécessaires sur ces ressources. Par exemple, si vous souhaitez autoriser le client à modifier le réseau auquel sa machine virtuelle est connectée, il doit se voir accorder, au minimum, le rôle Lecture seule sur tous les réseaux auxquels il a accès.

Conteneur vCenter pour l'assignation de rôles

Particularités de l'assignation de rôles

Instructions de propagation

Pour plus d'informations

Chaque réserve de ressources et chaque dossier dans lesquels les machines virtuelles du client seront créées.

Assignez le rôle Utilisateur PlateSpin (ou équivalent) à l'utilisateur locataire.

La propagation est laissée à l'appréciation de l'administrateur VMware.

Ce locataire est membre du groupe Administrateurs PlateSpin sur le serveur PlateSpin Migrate. Il figure également sur le serveur vCenter.

Si le locataire se voit accorder la possibilité de modifier les ressources utilisées par la machine virtuelle (en d'autres termes les réseaux, les images ISO, etc.), octroyez-lui les autorisations nécessaires sur ces ressources. Par exemple, si vous souhaitez autoriser le client à modifier le réseau auquel sa machine virtuelle est connectée, il doit se voir accorder, au minimum, le rôle Lecture seule sur tous les réseaux auxquels il a accès.

La figure ci-dessous illustre une infrastructure virtuelle dans la console vCenter. Le rôle Gestionnaire d'infrastructure est assigné aux objets avec un libellé bleu. Le libellé vert indique les objets auxquels le rôle Gestionnaire de machines virtuelles a été assigné. Les dossiers de machines virtuelles, les réseaux et les banques de données ne sont pas affichés dans l'arborescence. Ces objets se voient assigner le rôle Gestionnaire de machines virtuelles PlateSpin.

Figure 2-3 Rôles assignés dans vCenter

Implications de l'assignation de rôles VMware sur le plan de la sécurité

Dans le logiciel PlateSpin, seul un utilisateur habilité peut effectuer des opérations relatives au cycle de vie de protection. Du point de vue d'un fournisseur de service, un utilisateur final n'a jamais accès aux références de l'utilisateur habilité et n'est pas en mesure d'accéder au même ensemble de ressources VMware. Dans un environnement où plusieurs serveurs Migrate sont configurés de manière à utiliser le même environnement vCenter, Migrate empêche tout accès inter-clients. Les principales implications sur le plan de la sécurité sont les suivantes :

Lorsque le rôle Gestionnaire d'infrastructure PlateSpin est assigné à l'objet vCenter, chaque utilisateur habilité peut voir les tâches effectuées par tous les autres, mais pas les influencer.
Compte tenu de l'impossibilité de définir des autorisations sur les dossiers/sous-dossiers d'une banque de données, tous les utilisateurs habilités disposant d'autorisations sur la banque de données ont accès aux disques de tous leurs homologues stockés dans cette banque de données.
Lorsque le rôle Gestionnaire d'infrastructure PlateSpin est assigné à l'objet Grappe, chaque utilisateur habilité est en mesure d'activer ou de désactiver HA ou DRS sur l'ensemble de la grappe.
Lorsque le rôle Utilisateur PlateSpin est assigné au niveau de l'objet Grappe de stockage, chaque utilisateur habilité est en mesure d'activer ou de désactiver SDRS sur l'ensemble de la grappe.
La définition du rôle Gestionnaire d'infrastructure PlateSpin sur l'objet Grappe DRS et la propagation de ce rôle permettent à l'utilisateur habilité de voir toutes les machines virtuelles placées dans la réserve de ressources et/ou le dossier de machines virtuelles par défaut. La propagation exige, en outre, que l'administrateur configure explicitement l'utilisateur habilité de telle sorte qu'il dispose d'un rôle de type « sans accès » sur les réserves de ressources/dossiers de machines virtuelles auxquels il ne doit pas accéder.
La définition du rôle Gestionnaire d'infrastructure PlateSpin sur l'objet vCenter permet à l'utilisateur habilité de mettre fin aux sessions de tout autre utilisateur connecté à vCenter.

REMARQUE :pour rappel, dans ces scénarios, les différents utilisateurs habilités représentent, en réalité, des instances différentes du logiciel PlateSpin.

2.2.4 Configuration de la consignation des activités de l'utilisateur

Par défaut, PlateSpin Migrate enregistre toutes les activités de l'utilisateur dans un fichier journal, PlateSpin.UserActivityLogging.log, situé sur l'hôte du serveur PlateSpin, dans le répertoire suivant :

..\PlateSpin Migrate Server\logs.

Le format d'une entrée de journal individuelle est le suivant :

date|Category|description|user|details1|details2

L'élément Category décrit la zone fonctionnelle applicable à une opération particulière ; par exemple, Security, Inventory (opérations de découverte), LicenseManagement ou Migration (opérations de portabilité de workload).

Les éléments details1 et details2 dépendent de Category et fournissent des informations supplémentaires, le cas échéant.

Voici un exemple d'entrée de journal qui consigne l'opération de connexion d'un utilisateur dont le compte de domaine est MonDomaine\John.Smith.

2008-09-02 14:14:47|Security|User logged in|MyDomain\John.Smith

Lorsque la taille d'un fichier journal atteint une valeur spécifiée, son contenu est reporté dans un nouveau fichier avec un numéro séquentiel ajouté au nom :

PlateSpin.UserActivityLogging.log.1
PlateSpin.UserActivityLogging.log.2
PlateSpin.UserActivityLogging.log.3

Lorsque le nombre de fichiers journaux atteint une valeur spécifiée, le système commence à écraser le plus ancien fichier à chaque rollover.

Pour activer ou désactiver la consignation des activités de l'utilisateur, et spécifier les options de taille du fichier journal et de rollover :

Dans le client PlateSpin Migrate, cliquez sur Outils > Options.
Cliquez sur l'onglet Consignation.
Spécifiez les options requises, puis cliquez sur OK.