vMA 4.1 认证策略详解、resxtop 功能变更及 ghettoVCB 脚本更新

本文整合了 vMA 4.1 的两种认证策略(fpauth vs adauth)使用指南、resxtop 工具在 vi-fastpass 认证下的功能降级说明，以及 ghettoVCB 系列脚本的 vSphere 4.1 适配更新，为 VMware 运维人员提供核心参考。

　　一、vMA 4.1 认证策略：fpauth 与 adauth 深度解析

　　vMA 4.1 支持两种核心认证策略 ——vi-fastpass 认证(fpauth)和 Active Directory 认证(adauth)，实际使用需结合用户上下文、目标添加方式及 vMA 是否加入 AD 域来选择，避免认证失败。

　　1. 核心适配关系表

用户上下文
认证策略
vMA 是否加入 AD 域
vi-admin（本地账号）
fpauth
否
DOMAIN\username（域账号）
adauth
是
　　2. 场景一：fpauth 认证(vMA 未加入 AD 域)

　　适用于 vMA 未接入 AD 环境，通过本地账号管理目标主机 /vCenter 的场景，依赖 vi-fastpass 自动生成凭证。

　　添加目标主机：默认采用 fpauth 策略，示例(添加 vCenter 目标)：

　　bash

　　运行

　　[vi-admin@tancredi ~]$ sudo vifp addserver manaslu.primp-industries.com

　　Enter username for manaslu.primp-industries.com: administrator # 输入vCenter本地管理员账号

　　protected email's password: # 输入账号密码

　　This will store username and password in credential store which is a security risk. Do you want to continue?(yes/no): yes

　　验证认证策略：执行以下命令确认目标采用 fpauth：

　　bash

　　运行

　　[vi-admin@tancredi ~]$ vifp listservers -l

　　# 输出示例：manaslu.primp-industries.com vCenter fpauth

　　执行操作：切换到目标后，无需重复输入凭证即可执行命令：

　　bash

　　运行

　　[vi-admin@tancredi ~]$ vifptarget -s manaslu.primp-industries.com # 切换fastpass目标

　　[vi-admin@tancredi ~][manaslu.primp-industries.com]$ esxcfg-nics -l --vihost esxi4-3.primp-industries.com # 管理目标主机网卡

　　核心原理：vMA 会在目标主机上创建vi-adminXX账号，自动生成并缓存凭证到本地，实现无感知认证。

　　3. 场景二：adauth 认证(vMA 已加入 AD 域)

　　适用于 vMA 接入 AD 环境，通过域账号统一管理目标的场景，依赖 AD 凭证进行认证。

　　前置条件：vMA 已成功加入 AD 域，且需重启 vMA(否则添加目标时会报错)。

　　添加目标主机：指定--authpolicy adauth参数，示例(添加 vCenter 目标)：

　　bash

　　运行

　　[vi-admin@tancredi ~]$ sudo vifp addserver reflex.primp-industries.com --authpolicy adauth

　　Enter username for reflex.primp-industries.com: PRIMP-IND\primp # 格式：域名\域账号(文档存在语法错误，需注意)

　　注意：若使用--username参数指定账号，需转义反斜杠，格式为DOMAIN\username。

　　验证认证策略：

　　bash

　　运行

　　[vi-admin@tancredi ~]$ vifp listservers -l

　　# 输出示例：reflex.primp-industries.com vCenter adauth

　　执行操作：需先使用 AD 账号登录 vMA，再切换目标执行命令：

　　bash

　　运行

　　[primp@tancredi ~]$ vifptarget -s reflex.primp-industries.com # AD账号切换目标

　　[primp@tancredi ~][reflex.primp-industries.com]$ esxcfg-nics -l --vihost himalaya.primp-industries.com # 执行管理操作

　　核心原理：直接复用当前登录 vMA 的 AD 账号凭证，无需在目标主机创建额外账号。

　　4. 特殊场景说明

　　若 vMA 未加入 AD 域，但需以 vi-admin 上下文实现无人值守认证，需为目标配置 Kerberos 票据，具体步骤参考 vMA 4.1 官方用户指南。

　　二、vMA 4.1 功能降级：resxtop 不再支持 vi-fastpass 认证

　　vMA 4.1 中，resxtop 工具的认证功能出现降级 —— 不再支持 vi-fastpass 自动认证，每次执行需手动输入用户名和密码，给多主机故障排查带来不便。

　　1. 功能变更对比

　　vMA 4.0：初始化 fastpass 目标后，运行 resxtop 无需额外输入凭证，直接复用 vi-fastpass 缓存的凭证;

　　vMA 4.1：即使已切换到 fastpass 目标，执行 resxtop 仍需通过--username和--password参数指定凭证，且不支持配置文件、会话文件或凭证传递认证。

　　2. 历史功能演变

　　VIMA 1.0(2008 年 10 月)：resxtop 不支持 vi-fastpass，标记为已知问题;

　　vMA 4.0(2009 年 5 月)：支持该功能，仅非 fastpass 目标存在兼容问题(已修复);

　　vMA 4.1(2010 年 7 月)：移除该功能，要求手动输入凭证(VMware 已在发行说明中标记为 “已知问题”)。

　　三、ghettoVCB 系列脚本更新：适配 vSphere 4.1

　　ghettoVCB 和 ghettoVCBg2 两款常用虚拟机备份脚本已完成更新，正式支持 vSphere 4.1 环境，核心变更如下：

　　ghettoVCB：无新增功能，新增日志记录和调试功能，便于快速定位备份过程中的问题;

　　ghettoVCBg2：因 vMA 4.1 的 vi-fastpass Perl 库移除了部分废弃方法，需进行代码适配修复，否则脚本会运行失败。