Я пишу сценарий задания резервного копирования, в котором удаленный компьютер соединяется с хостом ESXi 5 и делает SCP для копирования файлов в другое хранилище данных на том хосте.
Предусмотрительно (так как каждый сценарий, который может пойти не так, как надо, пойдет не так, как надо) я хочу предотвратить этот сценарий от способности удалять/перемещать/комната файлы на одном хранилище данных.
Действительно ли возможно создать пользователя, который имеет разрешение ТОЛЬКО ДЛЯ ЧТЕНИЯ к одному хранилищу данных, но RW другому?
Я бы сказал, не делайте этого напрямую на хосте. Интерфейс SSH ESXi на самом деле не предназначен для такого рода вещей, и если оставить службу и оболочку включенными, то на клиентах всегда будут появляться сигналы тревоги и предупреждения. Да, эти сигналы можно отключить, но они есть по какой-то причине.
Подход, который я выберу, зависит от системы, из которой вы планируете делать резервную копию.
Если это Windows, я бы напишите несколько сценариев PowerCLI и получите доступ к серверу таким образом. В PowerCLI есть команды, созданные для такого рода вещей, и они могут делать почти все, что вы можете придумать.
Если это Linux, есть модули Perl, которые должны позволить то же самое, но с небольшим количеством взлома.
Некоторые из них предполагают, что это не просто отдельный автономный хост ESXi, и что вы можете использовать vCenter, чтобы предоставить конкретному пользователю детализированные разрешения для выполнения только этих задач.
Я не совсем вспомнил какая модель разрешений настроена на автономных хостах, но я подозреваю, что вы можете создать пользователя и делать то же самое. По крайней мере, в этом случае у вас не будет (возможно) запущенного сценария оболочки на вашем ESXi-сервере.