vSphere 4.1 三项核心实战指南：vMA AD 集成、ESXi 安全漏洞及 CapacityIQ 兼容方案

本文整合了 vMA 4.1 的 Active Directory 集成优化技巧、ESXi 4.1 严重密码安全漏洞的分析与应对，以及让 CapacityIQ 1.0.3 兼容 vSphere 4.1 的非官方方法，为 VMware 运维提供关键参考。

　　一、vMA 4.1 Active Directory 集成优化：简化域账号登录

　　vMA 4.1 原生支持 Active Directory(AD)集成，借助 Likewise "Open" 工具的domainjoin-cli命令即可加入域环境，但默认配置下的登录方式较为繁琐，可通过简单配置优化体验。

　　1. 基础域加入操作

　　使用以下命令即可将 vMA 4.1 主机加入 AD 域：

　　bash

　　运行

　　sudo domainjoin-cli join [域名] [AD管理员账号]

　　执行后输入 AD 管理员密码，提示SUCCESS即表示加入成功。

　　2. 优化默认域登录(无需输入完整域名)

　　默认情况下，使用 AD 账号 SSH 登录 vMA 时，需输入完整格式用户名@域名，步骤繁琐。可通过修改配置实现直接用用户名登录：

　　编辑 Likewise 配置文件：

　　bash

　　运行

　　sudo vi /etc/likewise/lsassd.conf

　　取消注释配置项assume-default-domain = yes;

　　重载配置使修改生效：

　　bash

　　运行

　　sudo /opt/likewise/bin/lw-refresh-configuration

　　完成后，即可直接使用ssh 用户名@vMA主机地址登录，无需附加域名。

　　3. 配置 AD 组 sudo 权限

　　若需让特定 AD 组用户拥有 vMA 的 sudo 权限，需修改/etc/sudoers文件，操作步骤如下：

　　使用 vi-admin 账号编辑 sudoers 文件：

　　bash

　　运行

　　[vi-admin@kate ~]$ sudo vi /etc/sudoers

　　在文件末尾添加 AD 组权限配置(需转义组名中的反斜杠和空格)，示例：

　　bash

　　运行

　　%PRIMP-IND\VI\ Admins ALL=(ALL) ALL

　　其中PRIMP-IND为域名，VI Admins为 AD 组名;

　　反斜杠和空格需分别用\和\ 转义。

　　验证权限：登录 AD 用户后执行sudo -l，可查看该用户拥有的 sudo 权限。

　　二、ESXi 4.1 严重安全漏洞：密码验证仅校验前 8 位字符

　　2010 年 7 月 15 日，VMTN 论坛用户反馈 ESXi 4.1 存在重大密码安全漏洞：无论密码长度多少，仅验证前 8 位字符的正确性，后续字符任意输入均可通过认证，严重威胁主机安全。

　　1. 漏洞核心特征

　　影响范围：全新安装的 ESXi 4.1 主机;从 ESXi 4.0 Update 2 升级到 4.1 的主机，若未修改密码则不受影响，修改密码后漏洞触发。

　　认证方式全覆盖：该漏洞影响 vSphere Client、本地 / 远程技术支持模式、SSH、/bin/login、vSphere MOB 等所有认证途径。

　　版本对比：ESXi 3.5、4.0、4.0u1/u2 均无此问题，仅 ESXi 4.1 存在。

　　2. 漏洞验证测试

　　以密码VMware123(10 位字符)为例：

　　正常登录：使用完整密码VMware123可成功登录 ESXi 4.1;

　　漏洞验证：使用VMware12(前 8 位正确，后续字符错误)、VMware12xxxxxx等组合，均可成功登录;

　　边界测试：使用VMware1(不足 8 位)登录，会被正常拒绝。

　　3. 官方解决方案与更新历程

　　临时缓解：初期可通过修改 PAM 模块配置调整密码长度要求，但修改无法跨重启生效，需手动备份配置。

　　官方文档：VMware 发布知识库文章 KB1024500，确认漏洞存在，指出问题源于 PAM 模块使用 DES 加密而非 MD5。

　　最终修复：VMware 推出 ESX/ESXi 4.1 的 p01 补丁集(KB1027024)，彻底修复该密码验证漏洞，建议立即在生产环境部署。

　　4. 运维建议

　　升级到 ESXi 4.1 后，切勿修改 root 密码，避免触发漏洞;若需修改，应先安装 p01 补丁。

　　生产环境优先采用补丁修复方案，不建议依赖临时配置修改。

　　三、非官方方案：让 CapacityIQ 1.0.3 兼容 vSphere 4.1

　　CapacityIQ 1.0.3 官方仅支持 vCenter 2.5.0 和 4.0.0，无法直接与 vSphere 4.1 配合使用，可通过两种非官方方法突破版本限制(注：不建议在生产环境使用，需先咨询 VMware 官方)。

　　方法一：修改 Perl 脚本跳过版本校验

　　SSH 登录 CapacityIQ 虚拟设备，切换到 root 用户;

　　定位到版本校验的 Perl 模块文件CIQExtension.pm;

　　编辑该文件，在版本校验逻辑中添加|| $version eq "4.1.0"，允许 vCenter 4.1.0 通过验证;

　　保存修改后，回到 CapacityIQ 管理页面，重新注册 vCenter 4.1，即可完成适配。

　　方法二：使用隐藏 CLI 命令绕过版本检查

　　CapacityIQ 内置了未公开的ciq-admin.pl脚本，支持通过参数直接跳过版本校验，操作更简便：

　　SSH 登录 CapacityIQ 设备，切换到ciqadmin用户(root 用户可执行su - ciqadmin切换);

　　执行以下命令注册 vCenter 4.1：

　　bash

　　运行

　　/usr/lib/ciq/ciq-admin.pl register --vc-server [vCenter服务器地址] --force --user [vCenter管理员账号] --password [密码] --noversioncheck

　　验证注册状态：执行脚本的 status 命令，或在 CapacityIQ 管理页面查看，确认 vCenter 4.1 已成功接入。

　　注意事项

　　该方案仅能实现基础功能兼容，vSphere 4.1 新增的性能统计数据无法被 CapacityIQ 识别和采集。

　　生产环境使用前需进行充分测试，避免引发兼容性故障。