Phần này sẽ tập trung vào các chủ đề sau: Bảo mật tài nguyên Hyper-V bằng cách sử dụng Authorization Manager Từng bước trong sử dụng Authorization Manager Các nhiệm vụ Task, hoạ
Trang 1Bảo mật Hyper-V bằng Authorization Manager
Việc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm vụ quan trọng Chính vì vậy mà trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn về cách bảo mật các máy ảo khi chạy trên Hyper-V Authorization
Manager là một thành phần có trong Windows Hyper-V sử dụng kho hàng của nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạy trên nó Các thiết lập chính sách cho Hyper-V được trữ trong một file XML Mặc định, Local Administrator có thể quản lý tất cả các khía cạnh của
Hyper-V
Phần này sẽ tập trung vào các chủ đề sau:
Bảo mật tài nguyên Hyper-V bằng cách sử dụng Authorization
Manager
Từng bước trong sử dụng Authorization Manager
Các nhiệm vụ (Task), hoạt động (Operation) và hạng mục của Hyper-V
Ví dụ đơn giản về sử dụng Authorization Manager
Hyper-V sử dụng Authorization Manager để bảo mật cho Partition cha của Hyper-V và các VM Trước khi thực hiện với chúng, bạn phải làm quen với
Trang 2các thuật ngữ cơ bản được sử dụng trong Authorization Manager, bắt đầu với các thuật ngữ sau:
Authorization Manager sử dụng model điều khiển truy cập role (RBAC) Trong model này, các role được cho phép truy cập đến các hoạt động hoặc các nhiệm vụ để thực hiện một hành động đã được liệt kê trong danh sách các hoạt động Hình 1 định nghĩa các thuật ngữ dưới đây:
Hình 1: Mô hình Authorization Manager RABC
Phạm vi - Scope: Scope là đường biên cho một Role nào đó Bạn có thể tạo
một Scope bằng cách kích chuột phải vào Hyper-V Services trong
Authorization Manager hoặc bằng cách sử dụng kịch bản nhỏ Khi tạo một
Trang 3scope mới, có ba thứ có liên quan với mỗi scope mà bạn tạo trong
Authorization Manager như thể hiện trong hình 2:
Hình 2: Màn hình của Authorization Manager
Groups
Definitions
Role Assignments
Hoạt động - Operation: Operation là khối cấp phép cơ bản Cho ví dụ,
ngừng và bắt đầu một VM
Nhiệm vụ - Task và Sự chỉ định role - Role Definition: Task là một bộ các hoạt động, còn Role Definition là giấy phép được gán cho Role Assignment
Trang 4Nghĩa vụ role - Role Assignment: Role Assignment gồm có nhiều người
dùng được gán các nhiệm vụ hoặc hoạt động nào đó
Như thể hiện trong hình 1, hai phạm vi được tạo: SCOPE 1 và SCOPE 2 Cả hai phạm vi đều gồm có Operation, Task và Role, tuy nhiên các điều khoản là khác nhau Role đã định nghĩa trong Scope 1 là User 1 and User 2, và
Operation gán cho các Role này là "Start Virtual Machine" và "Stop Virtual Machine" Tương tự, bạn có thể thấy trong SCOPE 2, các Role ở đây khác hoàn toàn: User 3 và User 4 Scope 2 chỉ có một Operation được định nghĩa cho User 3 và User 4: "Configure Virtual Machine Settings"
Các Operation, Task và Role được định nghĩa trong một file XML
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XML
Lưu ý: Thư mục ProgramData bị ẩn mặc định trên Windows Server 2008
Bạn có thể cần phải hiện thư mục này để xem đường dẫn bên trên
V Server sử dụng kho hàng này Nếu file bị mất thì các dịch vụ
Hyper-V sẽ khi lỗi khi khởi chạy Ban đầu Hyper-Hyper-V sẽ việc đọc file này để lấy các điều khoản đã được gán cho VM Sau đó nó truy vấn một entry của registry hiển thị bên dưới để lấy đường dẫn của file InitialStore.XML:
Trang 5HKLMSoftwareMicrosoftWindows NTCurrentVersionVirtualization
Key ở trên lưu hai entry của registry: StoreLocation và ServiceApplication Entry StoreLocation định nghĩa đường dẫn của file InitialStore.XML còn entry ServiceApplication định nghĩa ứng dụng nào trong chính sách mà file InitialStore.XML được sử dụng Trong trường hợp này, nó là Hyper-V
Services
Mẹo: File InitialStore.XML được cài đặt chỉ khi bạn kích hoạt Hyper-V Role
Nếu file này bị mất hoặc bị lỗi, bạn có hai tùy chọn sau:
- Copy file từ một Hyper-V Server đang làm việc
Hoặc
- Gắn Install.WIM từ Windows Server 2008 ISO, sau đó tìm kiếm
InitialStore.XML Copy file này vào Hyper-V Server
Phạm vi của bài viết này được giới hạn chỉ cho vấn đề bảo mật của Hyper-V nên chúng tôi sẽ không giải thích nhiều về Authorization Manager và các tính năng của nó
Trang 6Mặc định, Hyper-V Server định nghĩa một Scope, 33 Operation và một Role, tất cả những thứ này được lưu trong một file XML được nói ở trên Mặc định, Local Administrator trên partition cha được cấu hình là Default Role và tất cả đều được gán các đặc quyền để cấu hình Hyper-V và các VM đang chạy trên
nó Bạn có thể xem và cấu hình chúng bằng cách sử dụng Authorization
Manager MMC Tên MMC là AzMan.MSC Người dùng phải là một thành viên của nhóm quản trị nội bộ trên partition cha để có thể sử dụng
Authorization Manager
Hướng dẫn từng bước cho Authorization Manager
1 Vào Start Menu > đánh "AzMan.MSC"
2 Kích phải vào Red Cross > kích "Open Authorization Store"
3 Trỏ đến
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XML > kích Ok
4 Khi kích OK, Authorization Manager sẽ đọc file InitialStore.XML và load nội dung từ file này để hiển thị trong snap-in như thể hiện bên dưới:
Ba hạng mục chính được định nghĩa trong Authorization Manager để kiểm soát Hyper-V Server và các máy ảo VM Các hạng mục này bao gồm:
Hyper-V Services Operations
Trang 7 Hyper-V Network Operations
Hyper-V Virtual Machine Operations
Hình 3: Authorization Manager Snap-in
Như được giới thiệu từ trước, có 33 hoạt động Operation Các hoạt động này được chia thành các hạng mục trên Bảng bên dưới thể hiện các hoạt động có trong các hạng mục này:
Như thể hiện trong hình 4, bằng sử dụng Authorization Manager, bạn có thể
ủy nhiệm hai kiểu hoạt động cho Hyper-V và VMs Configuration Các hoạt động này là: Modify hoặc Read Các ủy nhiệm này được yêu cầu trong tổ
Trang 8chức lớn, nơi một nhóm chịu trách nhiệm cho việc thay đổi Hyper-V
Configuration và một nhóm chịu trách nhiệm cho việc kiểm tra Hyper-V VM
và các thứ khác
Hình 4: Các hạng mục của Operation trong Authorization Manager
Administrator Role là role được định nghĩa trong Authorization Manager, gồm có 33 hoạt động mặc định Role này hoàn toàn đủ điều khiển các khía cạnh Hyper-V, gồm có các máy ảo và cấu hình của nó
Ví dụ sẽ cho phép người dùng không phải quản trị viên nội bộ có thể quản lý máy chủ Hyper-V và các máy ảo
Trang 9Mặc định, quản trị viên nội bộ trên máy chủ Hyper-V được phép điều khiển Hyper-V Server và tất cả các máy ảo đang chạy trên nó Bạn có thể ủy nhiệm
sự điều khiển này cho một người dùng, người là thành viên của miền Active Directory Đây là một ví dụ cho phép một người nào đó trong tổ chức của bạn
có thể điều khiển Hyper-V Server và VM thay cho việc sử dụng tài khoản Local Administrator trên Hyper-V Server Bạn có thể sử dụng Local Store của Authorization Manager cho ví dụ này
1 Mở AzMan.MSC
2 Kích phải vào "Open Authorization Store" > chọn file XML từ location này:
ProgramDataMicrosoftWindowsHyper-VInitialStore.XML
3 Kích OK để mở các thiết lập chính sách InitialStore.XML trong
Authorization Manager
4 Mở rộng phần Microsoft Hyper-V Services > Role Assignments
5 Trong panel bên phải, kích "Administrator" chọn "Assign Users and Groups" sau đó chọn "From Windows and Active Directory"
6 Nhập vào tên của User hoặc Security Group mà bạn muốn cho phép họ điều khiển Hyper-V và VM
Trang 107 Kích OK, sau đó đóng Authorization Manager snap-in
Ở ví dụ trên, người dùng trong miền Active Directory có thể điều khiển máy chủ Hyper-V và các máy ảo VM đang chạy trên nó
Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về
sự điều khiển trên Hyper-V và các máy ảo đang chạy trên nó
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn Authorization Model có thể cung cấp sự bảo mật cho các máy ảo đang chạy trên Hyper-V Server Bên cạnh đó chúng tôi cũng giới thiệu một số nhiệm vụ có sẵn với Authorization Manager, cung cấp một ví dụ đơn giản về cách cấu hình người dùng ngoài quản trị viên để có thể điều khiển Hyper-V Server và các máy ảo
