ESXi ホストでのロックダウン モードの有効化または無効化 (1008077) | VMware KB Language :

ESXi ホストでのロックダウン モードの有効化または無効化 

 Click here to view full document

免責事項: これは英文の記事Enabling or disabling Lockdown mode on an ESXi host (1008077)の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。


ESXi ホストのセキュリティを強化するために、ホストをロックダウン モードに切り替えることができます。 この記事では、ESXi ホストでロックダウン モードを有効または無効にする方法を説明します。 null

ESXi 6.0:


vSphere 6.0 以降、標準のロックダウン モードまたは厳密なロックダウン モードを選択できるようになりました。これによりロックダウンの度合を調整することができます。

標準のロックダウン モード:

標準のロックダウン モードでは、DCUI サービスは停止しません。 vCenter Server への接続が失われ、vSphere Web Client によるアクセスが利用できなくなると、権限のあるアカウントが ESXi ホストのダイレクト コンソール インターフェイスにログインしてロックダウン モードを終了することができます。 次のアカウントのみがダイレクト コンソール ユーザー インターフェイスにアクセスできます:

  • ホスト上で管理者権限を持つロックダウン モードの例外ユーザ一 リストに含まれるアカウント。 例外ユーザー リストは、特に指定されたタスクを実行するサービス アカウントのためのものです。 このリストに ESXi 管理者を追加すると、ロックダウン モードの目的を失うことになります。
  • ホストの DCUI.Access 拡張オプションで定義されたユーザー このオプションは、vCenter Server への接続が失われた場合のダイレクト コンソール インターフェイスへの非常時アクセスに使用されます。 これらのユーザーはホスト上での管理者権限を必要としません。
厳密なロックダウン モード:

厳密なロックダウン モードでは DCUI サービスが停止します。 vCenter Server への接続が失われ、vSphere Web Client が利用できなくなると、ESXi Shell および SSH サービスが有効になって例外ユーザーが定義されない限り、ESXi ホストは利用できなくなります。 vCenter Server システムへの接続を復元できない場合は、ホストを再インストールする必要があります。

vSphere 6.0 のロックダウン モードの詳細については、『vSphere Security Guide』の「Lockdown Mode」セクションを参照してください。

DCUI からロックダウン モードを有効または無効にするには、次の手順を実行します。
  1. ESXi ホストに直接ログインします。
  2. ホストで DCUI を開きます。
  3. F2 を押して [初期セットアップ] を表示します。
  4. Enter を押して [ロックダウン モードの構成] 設定を切り替えます。
vSphere Web Client からロックダウン モードを有効または無効にするには、次の手順を実行します。
  1. vSphere Web Client インベントリでホストを参照します。
  2. [管理] タブをクリックして、[設定] をクリックします。
  3. [システム] で、[セキュリティ プロファイル] を選択します。
  4. [ロックダウン モード] パネルで、[編集] をクリックします。
  5. [ロックダウン モード] をクリックして、ロックダウン モード オプションの 1 つを選択します。

ESXi 5.x 以前:

ロックダウン モードを有効にすると、認証権限を持つのは vpxuser のみになります。 他のユーザーは、ホストで直接操作を実行することはできません。 ロックダウン モードでは、すべての操作が強制的に vCenter Server で実行されます。 ロックダウン モードのホストは、管理サーバ、スクリプト、またはホストの vMA からの vCLI コマンドを実行できません。 また、外部ソフトウェアまたは管理ツールが ESXi ホストから情報を検索または変更できない場合があります。

ロックダウン モードの詳細については、『vSphere Security Guide』(vSphere 5.x の場合)または『ESXi Configuration Guide』(vSphere 5.x 以前の場合)を参照してください。

ロックダウン モードはダイレクト コンソール ユーザー インターフェイス (DCUI) から有効にすることができます。


  • 次の手順は ESXi 専用です。
  • ホスト プロファイルにロックダウン モードを有効または無効にする設定はありません。
  • vCenter がダウンしているか、ホストが vCenter から切断されている場合、[ロックダウン モードの構成] は、灰色で表示されます。
  • ロックダウン モードが有効になると、トラブルシューティング サービスは一切機能しなくなります。
DCUI を使用してロックダウン モードを有効または無効にした場合、ホストでのユーザーとグループの権限は破棄されます。 これらの権限を保持するには、vCenter Server に接続されている vSphere Client を使用してロックダウン モードを有効または無効にします。

ロックダウン モードを有効にするには:
  1. ESXi ホストに直接ログインします。
  2. ホストで DCUI を開きます。
  3. F2 を押して [初期セットアップ] を表示します。
  4. Enter を押して [ロックダウン モードの構成] 設定を切り替えます。

トラブルシューティング サービスの使用

デフォルトでは、ESXi ホストのトラブルシューティング サービスは無効です。 必要に応じてこれらのサービスを有効にできます。 トラブルシューティング サービスはホストのロックダウン モードに関係なく有効または無効にすることができます。

トラブルシューティング サービスの内容は次のとおりです:
  • ローカル Tech Support モード (TSM): このサービスを有効にすると、問題をローカルにトラブルシューティングできます。
  • リモート Tech Support モード サービス (SSH): このサービスを有効にすると、問題をリモートからトラブルシューティングできます。
  • ダイレクト コンソール ユーザー インターフェイス サービス (DCUI): ロックダウン モードで実行中にこのサービスを有効にすると、ローカルで root ユーザーとしてダイレクト コンソール ユーザー インターフェイスにログインし、ロックダウン モードを無効にできます。 次に、vSphere Client への直接接続を使用するか、Tech Support モードを有効にすることによって問題をトラブルシューティングすることができます。

    Tech Support モードの詳細については、「緊急サポート用の Tech Support モード (2092655)」または「ESXi 4.1 および ESXi 5.x での Tech Support モードの使用 (2053295)」を参照してください。

ESXi Shell を使用してロックダウン モードを有効または無効にする

vSphere CLI からこれらのコマンドを実行して、ロックダウン モードのステータスを確認し、有効/無効を切り替えることができます。

ESXi 5.x と 4.1
  • ロックダウン モードが有効かどうかをチェックするには: vim-cmd -U dcui vimsvc/auth/lockdown_is_enabled
  • ロックダウン モードを無効にするには: vim-cmd -U dcui vimsvc/auth/lockdown_mode_exit
  • ロックダウン モードを有効にするには: vim-cmd -U dcui vimsvc/auth/lockdown_mode_enter
ESXi 4.0
  • ロックダウン モードが有効かどうかをチェックするには: vim-cmd -U dcui vimsvc/auth/admin_account_is_enabled
  • ロックダウン モードを無効にするには: vim-cmd -U dcui vimsvc/auth/admin_account_enable
  • ロックダウン モードを有効にするには: vim-cmd -U dcui vimsvc/auth/admin_account_disable
: ロックダウン モードがすでに有効なときにそのステータスを確認するか、無効にするには、ダイレクト コンソール ユーザー インターフェイス サービス (DCUI) に切り替えて、ESXi ホストで次のコマンドを実行する必要があります。

PowerCLI を使用してロックダウン モードを有効または無効にする

PowerCLI を使用してロックダウン モードを有効にするには次のコマンドを実行します。

(get-vmhost <hostname> | get-view).EnterLockdownMode() | get-vmhost | select Name,@{N="LockDown";E={$_.Extensiondata.Config.adminDisabled}} | ft -auto Name LockDown

ロックダウン モードを無効にするには、次のコマンドを実行します。

(get-vmhost <hostname> | get-view).ExitLockdownMode()

PowerCLI を使用してロックダウン モードを一括変更するには、.PS1 ファイルに次のテキストを保存して PowerCLI で実行します。

$vCenter = 'vCenterServer_Name_or_IP_address'
Connect-VIServer $vCenter
$Scope = Get-VMHost #This will change the Lockdown Mode on all hosts managed by vCenter
foreach ($ESXhost in $Scope) {
(get-vmhost $ESXhost | get-view).ExitLockdownMode() # To DISABLE Lockdown Mode
#(get-vmhost $ESXhost | get-view).EnterLockdownMode() # To ENABLE Lockdown Mode
}
Disconnect-VIServer -Server $vCenter -Confirm:$false

詳細は、「vSphere Command-Line Interface Documentation」を参照してください。