Benutzer verwalten

Durch das Definieren von Benutzern, Gruppen, Rollen und Berechtigungen können Sie steuern, wer Zugriff auf Ihre Citrix Hypervisor-Server und -Pools hat und welche Aktionen sie ausführen können.

Wenn Sie Citrix Hypervisor zum ersten Mal installieren, wird Citrix Hypervisor automatisch ein Benutzerkonto hinzugefügt. Bei diesem Konto handelt es sich um den lokalen Superuser (LSU) oder Stammordner, den Citrix Hypervisor lokal authentifiziert.

Die LSU oder root ist ein spezielles Benutzerkonto, das für die Systemadministration bestimmt ist und über alle Berechtigungen verfügt. In Citrix Hypervisor ist die LSU das Standardkonto bei der Installation. Citrix Hypervisor authentifiziert das LSU-Konto. LSU erfordert keinen externen Authentifizierungsdienst. Wenn ein externer Authentifizierungsdienst fehlschlägt, kann sich die LSU dennoch anmelden und das System verwalten. Die LSU kann jederzeit über SSH auf den physischen Citrix Hypervisor-Server zugreifen.

Sie können mehr Benutzer erstellen, indem Sie die Active Directory Konten entweder über die Registerkarte Benutzer von XenCenter oder über die xe-Befehlszeilenschnittstelle hinzufügen. Wenn Ihre Umgebung Active Directory nicht verwendet, sind Sie auf das LSU-Konto beschränkt.

Hinweis:

Wenn Sie Benutzer erstellen, weist Citrix Hypervisor nicht automatisch neu erstellte Benutzerkonten RBAC-Rollen zu. Daher haben diese Konten erst Zugriff auf den Citrix Hypervisor -Pool, wenn Sie ihnen eine Rolle zuweisen.

Diese Berechtigungen werden über Rollen erteilt, wie im Abschnitt Authentifizieren von Benutzern mit Active Directory (AD) beschrieben.

Authentifizieren von Benutzern mit Active Directory (AD)

Wenn Sie mehrere Benutzerkonten auf einem Server oder Pool haben möchten, müssen Sie Active Directory Benutzerkonten für die Authentifizierung verwenden. Mit AD-Konten können Citrix Hypervisor Benutzer sich mit ihren Windows-Domänenanmeldeinformationen an einem Pool anmelden.

Hinweis:

Sie können LDAP-Kanalbindung und LDAP-Signierung auf Ihren AD-Domänencontrollern aktivieren. Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung.

Sie können unterschiedliche Zugriffsebenen für bestimmte Benutzer konfigurieren, indem Sie die Active Directory Authentifizierung aktivieren, Benutzerkonten hinzufügen und diesen Konten Rollen zuweisen.

Active Directory Benutzer können die xe CLI (Übergabe entsprechender -u Argumente -pw und Argumente) verwenden und über XenCenter eine Verbindung zum Host herstellen. Die Authentifizierung erfolgt auf Ressourcenpoolbasis.

Subjekte steuern den Zugriff auf Benutzerkonten. Ein Betreff in Citrix Hypervisor wird einer Entität auf dem Verzeichnisserver zugeordnet (entweder einem Benutzer oder einer Gruppe). Wenn Sie die externe Authentifizierung aktivieren, überprüft Citrix Hypervisor die Anmeldeinformationen, die zum Erstellen einer Sitzung verwendet werden, anhand der lokalen Stammanmeldeinformationen und dann mit der Betreffliste. Um den Zugriff zu ermöglichen, erstellen Sie einen Betreffeintrag für die Person oder Gruppe, für die Sie den Zugriff gewähren möchten. Sie können XenCenter oder die xe CLI verwenden, um einen Betreffeintrag zu erstellen.

Wenn Sie mit XenCenter vertraut sind, beachten Sie, dass die Citrix Hypervisor CLI etwas andere Terminologie verwendet, um auf Active Directory - und Benutzerkontenfunktionen zu verweisen: XenCenter Term Citrix Hypervisor CLI Termbenutzer Subjekte Benutzer hinzufügen Themen hinzufügen

Obwohl Citrix Hypervisor Linux-basiert, können Sie mit Citrix Hypervisor Active Directory Konten für Citrix Hypervisor-Benutzerkonten verwenden. Dazu werden Active Directory tory-Anmeldeinformationen an den Active Directory-Domänencontroller übergeben.

Wenn Sie Active Directory zu Citrix Hypervisor hinzufügen, werden Active Directory Benutzer und -Gruppen zu Citrix Hypervisor Betreff. Die Subjekte werden in XenCenter als Benutzer bezeichnet. Benutzer/Gruppen werden mithilfe von Active Directory bei der Anmeldung authentifiziert, wenn Sie einen Betreff bei Citrix Hypervisor registrieren. Benutzer und Gruppen müssen ihren Benutzernamen nicht mithilfe eines Domänennamens qualifizieren.

Um einen Benutzernamen zu qualifizieren, müssen Sie den Benutzernamen im Format “Down-Level-Anmeldename” eingeben, mydomain\myuserz. B.

Hinweis:

Wenn Sie den Benutzernamen nicht qualifiziert haben, versucht XenCenter standardmäßig, Benutzer bei AD-Authentifizierungsservern mit der Domäne anzumelden, zu der es gehört. Die Ausnahme hiervon ist das LSU-Konto, das XenCenter zuerst lokal authentifiziert (d. h. auf dem Citrix Hypervisor).

Der externe Authentifizierungsprozess funktioniert wie folgt:

  1. Die beim Herstellen einer Verbindung mit einem Server angegebenen Anmeldeinformationen werden zur Authentifizierung an den Active Directory Domänencontroller übergeben.

  2. Der Domänencontroller überprüft die Anmeldeinformationen. Wenn sie ungültig sind, schlägt die Authentifizierung sofort fehl.

  3. Wenn die Anmeldeinformationen gültig sind, wird der Active Directory Controller abgefragt, um die Betreffkennung und die Gruppenmitgliedschaft zu erhalten, die den Anmeldeinformationen zugeordnet sind.

  4. Wenn die Betreff-ID mit der im Citrix Hypervisor gespeicherten ID übereinstimmt, wird die Authentifizierung erfolgreich ausgeführt.

Wenn Sie einer Domäne beitreten, aktivieren Sie die Active Directory Authentifizierung für den Pool. Wenn ein Pool jedoch einer Domäne beitritt, können nur Benutzer in dieser Domäne (oder einer Domäne, mit der er Vertrauensbeziehungen hat) eine Verbindung mit dem Pool herstellen.

Hinweis:

Die manuelle Aktualisierung der DNS-Konfiguration eines DHCP-konfigurierten Netzwerk-PIF wird nicht unterstützt und kann dazu führen, dass die AD-Integration und damit die Benutzerauthentifizierung fehlschlägt oder nicht mehr funktioniert.

Konfigurieren der Active Directory Authentifizierung

Citrix Hypervisor unterstützt die Verwendung von Active Directory -Servern unter Windows 2008 oder höher.

Um Active Directory für Citrix Hypervisor-Server zu authentifizieren, müssen Sie denselben DNS-Server sowohl für den Active Directory -Server (konfiguriert für Interoperabilität) als auch für den Citrix Hypervisor-Server verwenden. In einigen Konfigurationen kann der Active Directory-Server das DNS selbst bereitstellen. Dies kann entweder mithilfe von DHCP erreicht werden, um die IP-Adresse und eine Liste der DNS-Server für den Citrix Hypervisor-Server bereitzustellen. Alternativ können Sie die Werte in den PIF-Objekten festlegen oder das Installationsprogramm verwenden, wenn eine manuelle statische Konfiguration verwendet wird.

Es wird empfohlen, DHCP für die Zuweisung von Hostnamen zu aktivieren. Weisen Sie die Hostnamen localhost oder Hosts nicht linux zu.

Warnung:

Citrix Hypervisor-Servernamen müssen in der gesamten Citrix Hypervisor Bereitstellung eindeutig sein.

Beachten Sie Folgendes:

  • Citrix Hypervisor beschriftet seinen AD-Eintrag in der AD-Datenbank mit seinem Hostnamen. Wenn zwei Citrix Hypervisor-Server mit demselben Hostnamen zur gleichen AD-Domäne hinzugefügt werden, überschreibt der zweite Citrix Hypervisor den AD-Eintrag des ersten Citrix Hypervisors. Das Überschreiben erfolgt unabhängig davon, ob die Hosts zu denselben oder anderen Pools gehören. Dies kann dazu führen, dass die AD-Authentifizierung auf dem ersten Citrix Hypervisor nicht mehr funktioniert.

    Sie können denselben Hostnamen auf zwei Citrix Hypervisor-Servern verwenden, solange sie verschiedenen AD-Domänen beitreten.

  • Die Citrix Hypervisor-Server können sich in verschiedenen Zeitzonen befinden, da es sich um die UTC-Zeit handelt, die verglichen wird. Um sicherzustellen, dass die Synchronisierung korrekt ist, können Sie dieselben NTP-Server für den Citrix Hypervisor -Pool und den Active Directory -Server verwenden.

  • Mischauthentifizierungspools werden nicht unterstützt. Sie können keinen Pool haben, in dem einige Server im Pool für die Verwendung von Active Directory konfiguriert sind und einige nicht).

  • Die Citrix Hypervisor Active Directory Integration verwendet das Kerberos-Protokoll, um mit den Active Directory -Servern zu kommunizieren. Daher unterstützt Citrix Hypervisor nicht die Kommunikation mit Active Directory -Servern, die Kerberos nicht verwenden.

  • Damit die externe Authentifizierung mit Active Directory erfolgreich ist, müssen Uhren auf den Citrix Hypervisor-Servern mit den Uhren auf dem Active Directory -Server synchronisiert werden. Wenn Citrix Hypervisor der Active Directory Domäne beitritt, wird die Synchronisierung überprüft, und die Authentifizierung schlägt fehl, wenn zu viel Verzerrung zwischen den Servern vorhanden ist.

Warnung:

Hostnamen dürfen ausschließlich aus höchstens 63 alphanumerischen Zeichen bestehen und dürfen nicht rein numerisch sein.

Wenn Sie einen Server zu einem Pool hinzufügen, nachdem Sie die Active Directory Authentifizierung aktiviert haben, werden Sie aufgefordert, Active Directory auf dem Server zu konfigurieren, der dem Pool beitritt. Wenn Sie zur Eingabe von Anmeldeinformationen auf dem beitretenden Server aufgefordert werden, geben Sie Active Directory Anmeldeinformationen mit ausreichenden Berechtigungen ein, um Server zu dieser Domäne hinzuzufügen.

Active Directory-Integration

Stellen Sie sicher, dass die folgenden Firewallports für ausgehenden Datenverkehr geöffnet sind, damit Citrix Hypervisor auf die Domänencontroller zugreifen kann.

Port Protokoll Verwenden
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP NetBIOS-Namensdienst
139 TCP NetBIOS-Sitzung (SMB)
389 UDP/TCP LDAP
445 TCP SMB über TCP
464 UDP/TCP Kennwortänderungen am Computer
3268 TCP Globale Katalogsuche

Hinweise:

  • Führen Sie den folgenden Befehl aus, um die Firewall-Regeln auf einem Linux-Computer mit iptablesanzuzeigen: iptables - nL.
  • Citrix Hypervisor verwendet PowerBroker Identity Services (PBIS), um den AD-Benutzer auf dem AD-Server zu authentifizieren und die Kommunikation mit dem AD-Server zu verschlüsseln.

Wie verwaltet Citrix Hypervisor das Kennwort des Computerkontos für die AD-Integration?

Ähnlich wie bei Windows-Clientcomputern aktualisiert PBIS automatisch das Kennwort des Computerkontos. PBIS erneuert das Kennwort alle 30 Tage oder wie in der Richtlinie zur Kennworterneuerung des Computerkontos im AD-Server angegeben.

Aktivieren der externen Authentifizierung für einen Pool

Die externe Authentifizierung mit Active Directory kann mit dem folgenden Befehl entweder mit XenCenter oder mit der Befehlszeilenschnittstelle konfiguriert werden.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password

Der angegebene Benutzer muss über Add/remove computer objects or workstations Berechtigungen verfügen. Dies ist der Standardwert für Domänenadministratoren.

Wenn Sie DHCP nicht in dem Netzwerk verwenden, das von Active Directory und den Citrix Hypervisor-Servern verwendet wird, verwenden Sie die folgenden Methoden, um Ihr DNS einzurichten:

  1. Richten Sie Ihre DNS-Suffix-Suchreihenfolge für die Auflösung von Nicht-FQDN-Einträgen ein:

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    
  2. Konfigurieren Sie den DNS-Server für die Verwendung auf den Citrix Hypervisor-Servern:

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    
  3. Legen Sie die Verwaltungsschnittstelle manuell so fest, dass ein PIF verwendet wird, der sich im selben Netzwerk wie der DNS-Server befindet:

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    

Hinweis:

Die externe Authentifizierung ist eine Eigenschaft pro Host. Es wird jedoch empfohlen, die externe Authentifizierung pro Pool zu aktivieren und zu deaktivieren. Mit einer Einstellung pro Pool kann Citrix Hypervisor Fehler beheben, die beim Aktivieren der Authentifizierung auf einem bestimmten Host auftreten. Citrix Hypervisor setzt auch alle erforderlichen Änderungen zurück, um eine konsistente Konfiguration im gesamten Pool sicherzustellen. Verwenden Sie den Befehl host-param-list, um die Eigenschaften eines Hosts zu überprüfen und den Status der externen Authentifizierung zu bestimmen, indem Sie die Werte der entsprechenden Felder überprüfen.

Verwenden Sie XenCenter, um die Active Directory Authentifizierung zu deaktivieren, oder den folgenden xe-Befehl:

xe pool-disable-external-auth

Benutzerauthentifizierung

Um einem Benutzer den Zugriff auf den Citrix Hypervisor-Server zu ermöglichen, müssen Sie einen Betreff für diesen Benutzer oder eine Gruppe hinzufügen, in der er sich befindet. (Transitive Gruppenmitgliedschaften werden ebenfalls auf normale Weise überprüft. Beispiel: Hinzufügen eines Betreffs für Gruppe A, wobei Gruppe A Gruppe B enthält und user 1 Mitglied der GruppeB ist, würde den Zugriff auf user 1 erlauben.) Wenn Sie Benutzerberechtigungen in Active Directory verwalten möchten, können Sie eine einzelne Gruppe erstellen, die Sie dann Benutzer hinzufügen und aus löschen. Alternativ können Sie einzelne Benutzer von Citrix Hypervisor oder eine Kombination von Benutzern und Gruppen hinzufügen oder löschen, je nach Ihren Authentifizierungsanforderungen. Sie können die Betreffliste in XenCenter oder mit der Befehlszeilenschnittstelle verwalten, wie im folgenden Abschnitt beschrieben.

Bei der Authentifizierung eines Benutzers werden die Anmeldeinformationen zuerst mit dem lokalen Stammkonto überprüft, sodass Sie ein System wiederherstellen können, dessen AD-Server ausgefallen ist. Wenn die Anmeldeinformationen (Benutzername und Kennwort) nicht übereinstimmen, wird eine Authentifizierungsanforderung an den AD-Server gestellt. Wenn die Authentifizierung erfolgreich ist, werden die Informationen des Benutzers abgerufen und anhand der lokalen Betreffliste validiert. Der Zugriff wird verweigert, wenn die Authentifizierung fehlschlägt. Die Validierung für die Betreffliste ist erfolgreich, wenn sich der Benutzer oder eine Gruppe in der transitiven Gruppenmitgliedschaft des Benutzers in der Betreffliste befindet.

Hinweis:

Wenn Sie Active Directory Gruppen verwenden, um Pooladministrator-Benutzern Zugriff zu gewähren, die Host-SSH-Zugriff benötigen, darf die Größe der AD-Gruppe 500 Benutzer nicht überschreiten.

So fügen Sie einen AD-Betreff zu Citrix Hypervisor hinzu:

xe subject-add subject-name=entity_name

Der entity_name ist der Name des Benutzers oder der Gruppe, dem Sie Zugriff gewähren möchten. Sie können die Domäne der Entität einschließen (z. B. ‘xendt\ user1’ im Gegensatz zu ‘user1’), obwohl das Verhalten das gleiche ist, es sei denn, eine Begriffsklärung ist erforderlich.

Suchen Sie die Betreff-ID des Benutzers. Der Bezeichner ist der Benutzer oder die Gruppe, die den Benutzer enthält. Durch das Entfernen einer Gruppe wird der Zugriff auf alle Benutzer in dieser Gruppe entfernt, sofern sie nicht auch in der Betreffliste angegeben sind. Verwenden Sie den Befehl subject list, um die Betreff-ID des Benutzers zu finden:

xe subject-list

Dieser Befehl gibt eine Liste aller Benutzer zurück.

Um einen Filter auf die Liste anzuwenden, z. B. um die Betreff-ID für einen Benutzer user1 in der Domäne testad zu finden, verwenden Sie den folgenden Befehl:

xe subject-list other-config:subject-name='testad\user1'

Entfernen Sie den Benutzer mit dem Befehl subject-remove und geben Sie den Betreff-Bezeichner ein, den Sie im vorherigen Schritt gelernt haben:

xe subject-remove subject-uuid=subject_uuid

Sie können jede aktuelle Sitzung beenden, die dieser Benutzer bereits authentifiziert hat. Weitere Informationen finden Sie unter Beenden aller authentifizierten Sitzungen mit xe und Beenden einzelner Benutzersitzungen mit xe im folgenden Abschnitt. Wenn Sie Sitzungen nicht beenden, können Benutzer mit gesperrten Berechtigungen weiterhin auf das System zugreifen, bis sie sich abmelden.

Führen Sie den folgenden Befehl aus, um die Liste der Benutzer und Gruppen zu identifizieren, die Zugriff auf den Citrix Hypervisor-Server oder -Pool haben:

xe subject-list

Zugriff für einen Benutzer entfernen

Wenn ein Benutzer authentifiziert wird, kann er auf den Server zugreifen, bis er seine Sitzung beendet oder ein anderer Benutzer seine Sitzung beendet. Wenn Sie einen Benutzer aus der Betreffliste entfernen oder ihn aus einer Gruppe in der Betreffliste entfernen, werden keine bereits authentifizierten Sitzungen des Benutzers automatisch widerrufen. Benutzer können weiterhin mit XenCenter oder anderen API-Sitzungen, die sie bereits erstellt haben, auf den Pool zugreifen. XenCenter und die CLI bieten Möglichkeiten, einzelne Sitzungen oder alle aktiven Sitzungen zwangsweise zu beenden. Weitere Informationen zu Prozeduren mit XenCenter finden Sie im XenCenter-Dokumentation oder im folgenden Abschnitt finden Sie die Verfahren zur Verwendung der Befehlszeilenschnittstelle.

Beenden Sie alle authentifizierten Sitzungen mit xe

Führen Sie den folgenden CLI-Befehl aus, um alle authentifizierten Sitzungen mit xe zu beenden:

xe session-subject-identifier-logout-all

Beenden einzelner Benutzersitzungen mit xe

  1. Bestimmen Sie den Betreff-Bezeichner, dessen Sitzung Sie abmelden möchten. Verwenden Sie entweder die xe-Befehle session-subject-identifier-list oder subject-list, um den Betreff-Bezeichner zu finden. Der erste Befehl zeigt Benutzer an, die Sitzungen haben. Der zweite Befehl zeigt alle Benutzer an, kann aber gefiltert werden. Zum Beispiel, indem Sie einen Befehl wie xe subject-list other-config:subject-name=xendt\\user1 verwenden. Möglicherweise benötigen Sie einen doppelten umgekehrten Schrägstrich, wie gezeigt, je nach Shell).

  2. Verwenden Sie den Befehl session-subject-logout, um die im vorherigen Schritt ermittelte Betreff-ID als Parameter zu übergeben, z. B.:

    xe session-subject-identifier-logout subject-identifier=subject_id
    

Verlassen einer AD-Domäne

Warnung:

Wenn Sie die Domäne verlassen, werden alle Benutzer, die sich am Pool oder Server mit Active Directory Anmeldeinformationen authentifiziert haben, getrennt.

Verwenden Sie XenCenter, um eine AD-Domäne zu verlassen. Weitere Informationen finden Sie unter XenCenter-Dokumentation. Führen Sie den alternativ Befehl pool-disable-external-auth aus und geben Sie bei Bedarf die Pool-UUID an.

Hinweis:

Beim Verlassen der Domäne werden die Host-Objekte nicht aus der AD-Datenbank gelöscht. Weitere Informationen zum Löschen deaktivierter Hosteinträge finden Sie im diesem Artikel.