Benutzer verwalten

Durch das Definieren von Benutzern, Gruppen, Rollen und Berechtigungen können Sie steuern, wer Zugriff auf Ihre HASH (0x2e68218) Server und Pools hat und welche Aktionen sie ausführen können.

Bei der ersten Installation von HASH (0x2c1a078) wird automatisch ein Benutzerkonto zu HASH (0x2c1a078) hinzugefügt. Dieses Konto ist der lokale Superuser (LSU) oder Root, den HASH (0x2c1a078) lokal authentifiziert.

Die LSU oder root ist ein spezielles Benutzerkonto für die Systemadministration und verfügt über alle Berechtigungen. In HASH (0x2c1a078) ist die LSU das Standardkonto bei der Installation. HASH (0x2c1a078) authentifiziert das LSU-Konto. LSU erfordert keinen externen Authentifizierungsdienst. Wenn ein externer Authentifizierungsdienst fehlschlägt, kann sich die LSU weiterhin anmelden und das System verwalten. Die LSU kann immer über SSH auf den physischen HASH (0x2c1a078) zugreifen.

Sie können weitere Benutzer erstellen, indem Sie die Active Directory-Konten entweder über die Registerkarte Benutzer von HASH (0x2e6c8e8) oder die xe-CLI hinzufügen. Wenn Ihre Umgebung Active Directory nicht verwendet, sind Sie auf das LSU-Konto beschränkt.

Hinweis:

Beim Erstellen von Benutzern weist HASH (0x2c1a078) neu erstellte Benutzerkonten RBAC-Rollen nicht automatisch zu. Daher haben diese Konten keinen Zugriff auf den HASH (0x2e68218) Pool, bis Sie ihnen eine Rolle zuweisen.

Diese Berechtigungen werden über Rollen erteilt, wie im Abschnitt Authentifizieren von Benutzern mit Active Directory (AD) erläutert.

Authentifizieren von Benutzern mit Active Directory (AD)

Wenn Sie mehrere Benutzerkonten auf einem Server oder einem Pool haben möchten, müssen Sie Active Directory-Benutzerkonten zur Authentifizierung verwenden. Mit AD-Konten können sich HASH-Benutzer (0x2c1a078) mit ihren Windows-Domänenanmeldeinformationen an einem Pool anmelden.

Sie können unterschiedliche Zugriffsebenen für bestimmte Benutzer konfigurieren, indem Sie die Active Directory-Authentifizierung aktivieren, Benutzerkonten hinzufügen und diesen Konten Rollen zuweisen.

Active Directory-Benutzer können die xe-CLI verwenden (entsprechende-u Argumente-pw und Argumente übergeben) und auch mit HASH (0x2e6c8e8) eine Verbindung zum Host herstellen. Die Authentifizierung erfolgt auf Ressourcenpool-Basis.

Subjekte steuern den Zugriff auf Benutzerkonten. Ein Betreff in HASH (0x2c1a078) wird einer Entität auf Ihrem Verzeichnisserver zugeordnet (entweder einem Benutzer oder einer Gruppe). Wenn Sie die externe Authentifizierung aktivieren, überprüft HASH (0x2c1a078) die zum Erstellen einer Sitzung verwendeten Anmeldeinformationen mit den lokalen Stammanmeldeinformationen (falls Ihr Verzeichnisserver nicht verfügbar ist) und dann mit der Betreffliste. Um den Zugriff zu erlauben, erstellen Sie einen Betreffeintrag für die Person oder Gruppe, der Sie den Zugriff gewähren möchten. Sie können HASH (0x2e6c8e8) oder die xe-CLI verwenden, um einen Betreffeintrag zu erstellen.

Wenn Sie mit HASH (0x2e6c8e8) vertraut sind, beachten Sie, dass die HASH (0x2c1a078) CLI etwas andere Terminologie verwendet, um sich auf Active Directory- und Benutzerkontenfunktionen zu beziehen: HASH (0x2e6c8e8) Term HASH (0x2c1a078) CLI Term Users Subjects Hinzufügen von Benutzern Subjects

Obwohl HASH (0x2c1a078) Linux-basiert ist, können Sie mit HASH (0x2c1a078) Active Directory-Konten für HASH-Benutzerkonten (0x2c1a078) verwenden. Dazu übergibt es Active Directory-Anmeldeinformationen an den Active Directory-Domänencontroller.

Wenn Sie Active Directory zu HASH (0x2c1a078) hinzufügen, werden Active Directory-Benutzer und -Gruppen zu HASH-Betreff (0x2c1a078). Die Subjekte werden in HASH als Benutzer bezeichnet (0x2e6c8e8). Benutzer/Gruppen werden mithilfe von Active Directory bei der Anmeldung authentifiziert, wenn Sie einen Betreff bei HASH registrieren (0x2c1a078). Benutzer und Gruppen müssen ihren Benutzernamen nicht mithilfe eines Domänennamens qualifizieren.

Um einen Benutzernamen zu qualifizieren, müssen Sie den Benutzernamen im Down-Level-Anmeldeformat eingeben,mydomain\myuserz. B.

Hinweis:

Wenn Sie den Benutzernamen nicht qualifiziert haben, versucht HASH (0x2e6c8e8) standardmäßig, Benutzer bei AD-Authentifizierungsservern mit der Domäne anzumelden, zu der sie gehört. Die Ausnahme ist das LSU-Konto, das HASH (0x2e6c8e8) immer lokal authentifiziert (dh auf dem HASH (0x2c1a078)).

Der externe Authentifizierungsprozess funktioniert wie folgt:

  1. Die beim Herstellen einer Verbindung mit einem Server angegebenen Anmeldeinformationen werden zur Authentifizierung an den Active Directory-Domänencontroller übergeben.

  2. Der Domänencontroller überprüft die Anmeldeinformationen. Wenn sie ungültig sind, schlägt die Authentifizierung sofort fehl.

  3. Wenn die Anmeldeinformationen gültig sind, wird der Active Directory-Controller abgefragt, um den Betreffbezeichner und die Gruppenmitgliedschaft abrufen, die den Anmeldeinformationen zugeordnet sind.

  4. Wenn der Betreffbezeichner mit der im HASH (0x2c1a078) gespeicherten Kennung übereinstimmt, ist die Authentifizierung erfolgreich.

Wenn Sie einer Domäne beitreten, aktivieren Sie die Active Directory-Authentifizierung für den Pool. Wenn jedoch ein Pool einer Domäne beitritt, können nur Benutzer in dieser Domäne (oder einer Domäne, mit der er Vertrauensbeziehungen aufweist) eine Verbindung zum Pool herstellen.

Hinweis:

Die manuelle Aktualisierung der DNS-Konfiguration eines DHCP-konfigurierten Netzwerk-PIF wird nicht unterstützt und kann dazu führen, dass die AD-Integration und damit die Benutzerauthentifizierung fehlschlägt oder nicht mehr funktioniert.

Konfigurieren der Active Directory-Authentifizierung

HASH (0x2c1a078) unterstützt die Verwendung von Active Directory-Servern unter Windows 2008 oder höher.

Um Active Directory für HASH-Server (0x2e68218) zu authentifizieren, müssen Sie denselben DNS-Server sowohl für den Active Directory-Server (für die Interoperabilität konfiguriert) als auch für den HASH-Server (0x2e68218) verwenden. In einigen Konfigurationen kann der Active Directory-Server das DNS selbst bereitstellen. Dies kann entweder mit DHCP erreicht werden, um die IP-Adresse und eine Liste von DNS-Servern für den HASH (0x2e68218) Server bereitzustellen. Alternativ können Sie die Werte in den PIF-Objekten festlegen oder das Installationsprogramm verwenden, wenn eine manuelle statische Konfiguration verwendet wird.

Es wird empfohlen, DHCP zum Zuweisen von Hostnamen zu aktivieren. Weisen Sie weder die Hostnamenlocalhost nochlinux den Hosts zu.

Achtung:

HASH (0x2e68218) -Servernamen müssen in der gesamten HASH-Bereitstellung (0x2c1a078) eindeutig sein.

Beachten Sie Folgendes:

  • HASH (0x2c1a078) bezeichnet seinen AD-Eintrag in der AD-Datenbank mit seinem Hostnamen. Wenn zwei HASH (0x2e68218) Server mit demselben Hostnamen derselben AD-Domäne hinzugefügt werden, überschreibt der zweite HASH (0x2e68218) den AD-Eintrag des ersten HASH (0x2e68218). Das Überschreiben erfolgt unabhängig davon, ob die Hosts zu denselben oder unterschiedlichen Pools gehören. Dies kann dazu führen, dass die AD-Authentifizierung auf dem ersten HASH (0x2e68218) nicht mehr funktioniert.

    Sie können denselben Hostnamen auf zwei HASH-Servern (0x2e68218) verwenden, sofern sie verschiedenen AD-Domänen beitreten.

  • Die HASH (0x2e68218) Server können sich in verschiedenen Zeitzonen befinden, da es die UTC-Zeit ist, die verglichen wird. Um sicherzustellen, dass die Synchronisierung korrekt ist, können Sie dieselben NTP-Server für Ihren HASH-Pool (0x2e68218) und den Active Directory-Server verwenden.

  • Pools für gemischte Authentifizierung werden nicht unterstützt. Sie können keinen Pool haben, in dem einige Server im Pool für die Verwendung von Active Directory konfiguriert sind und einige nicht).

  • Die HASH (0x2c1a078) Active Directory-Integration verwendet das Kerberos-Protokoll für die Kommunikation mit den Active Directory-Servern. Daher unterstützt HASH (0x2c1a078) die Kommunikation mit Active Directory-Servern, die Kerberos nicht verwenden.

  • Damit die externe Authentifizierung mit Active Directory erfolgreich ist, müssen die Uhren auf Ihren HASH-Servern (0x2e68218) mit den Uhren auf Ihrem Active Directory-Server synchronisiert werden. Wenn HASH (0x2e68218) der Active Directory-Domäne beitritt, wird die Synchronisierung überprüft und die Authentifizierung schlägt fehl, wenn zwischen den Servern zu stark verzerrt ist.

Achtung:

Hostnamen dürfen ausschließlich aus höchstens 63 alphanumerischen Zeichen bestehen und dürfen nicht rein numerisch sein.

Wenn Sie einen Server zu einem Pool hinzufügen, nachdem Sie die Active Directory-Authentifizierung aktiviert haben, werden Sie aufgefordert, Active Directory auf dem Server zu konfigurieren, der dem Pool beitritt. Wenn Sie auf dem beitretenden Server zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Active Directory-Anmeldeinformationen mit ausreichenden Berechtigungen zum Hinzufügen von Servern zu dieser Domäne ein.

Active Directory-Integration

Stellen Sie sicher, dass die folgenden Firewall-Ports für ausgehenden Datenverkehr geöffnet sind, damit HASH (0x2e68218) auf die Domänencontroller zugreifen kann.

Port Protokoll Verwenden
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP NetBIOS-Namensdienst
139 TCP NetBIOS-Sitzung (SMB)
389 UDP/TCP IDAP
445 TCP SMB über TCP
464 UDP/TCP Computerkennwortänderungen
3268 TCP Globale Katalogsuche

Hinweise:

  • Führen Sie den folgenden Befehl aus, um die Firewallregeln auf einem Linux-Computer mit iptablesanzuzeigen:iptables - nL.
  • HASH (0x2c1a078) verwendet PowerBroker Identity Services (PBIS), um den AD-Benutzer auf dem AD-Server zu authentifizieren und die Kommunikation mit dem AD-Server zu verschlüsseln.

Wie verwaltet HASH (0x2c1a078) das Computerkontokennwort für die AD-Integration?

Ähnlich wie bei Windows-Clientcomputern aktualisiert PBIS das Computerkontokennwort automatisch. PBIS erneuert das Kennwort alle 30 Tage oder wie in der Kennworterneuerungsrichtlinie des Computerkontos auf dem AD-Server angegeben.

Aktivieren der externen Authentifizierung in einem Pool

Die externe Authentifizierung mit Active Directory kann entweder mit HASH (0x2e6c8e8) oder der CLI mit dem folgenden Befehl konfiguriert werden.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password

Der angegebene Benutzer muss überAdd/remove computer objects or workstations Berechtigungen verfügen. Dies ist der Standardwert für Domänenadministratoren.

Wenn Sie DHCP nicht in dem Netzwerk verwenden, das von Active Directory und Ihren HASH-Servern (0x2e68218) verwendet wird, verwenden Sie die folgenden Ansätze, um Ihr DNS einzurichten:

  1. Richten Sie Ihre DNS-Suffix-Suchreihenfolge für die Auflösung von Nicht-FQDN-Einträgen ein:

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    
  2. Konfigurieren Sie den DNS-Server für die Verwendung auf Ihren HASH (0x2e68218) Servern:

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    
  3. Legen Sie die Verwaltungsschnittstelle manuell so fest, dass eine PIF verwendet wird, die sich im selben Netzwerk wie Ihr DNS-Server befindet:

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    

Hinweis:

Die externe Authentifizierung ist eine Hosteigenschaft. Es wird jedoch empfohlen, die externe Authentifizierung pro Pool zu aktivieren und zu deaktivieren. Mit einer Einstellung pro Pool kann HASH (0x2c1a078) Fehler beheben, die beim Aktivieren der Authentifizierung auf einem bestimmten Host auftreten. HASH (0x2c1a078) führt auch alle erforderlichen Änderungen zurück, um eine konsistente Konfiguration im gesamten Pool sicherzustellen. Verwenden Sie denhost-param-list Befehl, um Eigenschaften eines Hosts zu überprüfen und den Status der externen Authentifizierung zu bestimmen, indem Sie die Werte der relevanten Felder überprüfen.

Verwenden Sie HASH (0x2e6c8e8), um die Active Directory-Authentifizierung oder den folgenden xe-Befehl zu deaktivieren:

xe pool-disable-external-auth

Benutzerauthentifizierung

Um einem Benutzer Zugriff auf Ihren HASH-Server (0x2e68218) zu gewähren, müssen Sie einen Betreff für diesen Benutzer oder eine Gruppe hinzufügen, in der er sich befindet. (Transitive Gruppenmitgliedschaften werden auch normal überprüft. Beispiel: Hinzufügen eines Betreffs für die GruppeA, wobei Gruppe Gruppe Gruppe GruppeAenthältBund Mitglied der Gruppeuser 1ist Bwürde den Zugang zu erlaubenuser 1 .) Wenn Sie Benutzerberechtigungen in Active Directory verwalten möchten, können Sie eine einzelne Gruppe erstellen, der Sie dann Benutzer hinzufügen und aus denen sie löschen. Alternativ können Sie einzelne Benutzer aus HASH (0x2c1a078) oder einer Kombination von Benutzern und Gruppen hinzufügen und löschen, je nach Ihren Authentifizierungsanforderungen. Sie können die Betreffliste von HASH (0x2e6c8e8) oder mithilfe der CLI verwalten, wie im folgenden Abschnitt beschrieben.

Bei der Authentifizierung eines Benutzers werden die Anmeldeinformationen zunächst mit dem lokalen Stammkonto überprüft, sodass Sie ein System wiederherstellen können, dessen AD-Server fehlgeschlagen ist. Wenn die Anmeldeinformationen (Benutzername und Kennwort) nicht übereinstimmen, wird eine Authentifizierungsanforderung an den AD-Server gestellt. Wenn die Authentifizierung erfolgreich ist, werden die Informationen des Benutzers abgerufen und anhand der lokalen Betreffliste überprüft. Der Zugriff wird verweigert, wenn die Authentifizierung fehlschlägt. Die Überprüfung gegen die Betreffliste ist erfolgreich, wenn sich der Benutzer oder eine Gruppe in der transitiven Gruppenmitgliedschaft des Benutzers in der Betreffliste befindet.

Hinweis:

Wenn Active Directory-Gruppen zum Erteilen des Zugriffs für Pooladministrator-Benutzer verwendet werden, die Host-Ssh-Zugriff benötigen, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.

So fügen Sie HASH ein AD-Betreff hinzu (0x2c1a078):

xe subject-add subject-name=entity_name

Der Entitätsname ist der Name des Benutzers oder der Gruppe, dem Sie Zugriff gewähren möchten. Sie können die Domäne der Entität einschließen (z. B. ‘xendtuser1’ im Gegensatz zu ‘user1’), obwohl das Verhalten dasselbe ist, es sei denn, eine Begriffsklärung ist erforderlich.

Suchen Sie die Betreffkennung des Benutzers. Der Bezeichner ist der Benutzer oder die Gruppe, die den Benutzer enthält. Durch das Entfernen einer Gruppe wird der Zugriff auf alle Benutzer in dieser Gruppe entfernt, sofern sie nicht auch in der Betreffliste angegeben sind. Verwenden Sie densubject list Befehl, um die Betreffkennung des Benutzers zu finden. :

xe subject-list

Dieser Befehl gibt eine Liste aller Benutzer zurück.

Verwenden Sie den folgenden Befehl, um einen Filter auf die Liste anzuwenden, z. B. um die Betreffkennung für einen Benutzeruser1 in dertestad Domäne zu finden:

xe subject-list other-config:subject-name='testad\user1'

Entfernen Sie den Benutzer mit demsubject-remove Befehl, indem Sie die Betreffkennung übergeben, die Sie im vorherigen Schritt gelernt haben:

xe subject-remove subject-uuid=subject_uuid

Sie können jede aktuelle Sitzung beenden, die dieser Benutzer bereits authentifiziert hat. Weitere Informationen finden Sie unter Beenden aller authentifizierten Sitzungen mit xe und Beenden einzelner Benutzersitzungen mit xe im folgenden Abschnitt. Wenn Sie Sitzungen nicht beenden, können Benutzer mit gesperrten Berechtigungen weiterhin auf das System zugreifen, bis sie sich abmelden.

Führen Sie den folgenden Befehl aus, um die Liste der Benutzer und Gruppen zu identifizieren, die berechtigt sind, auf Ihren HASH (0x2e68218) Server oder Pool zuzugreifen:

xe subject-list

Zugriff für einen Benutzer entfernen

Wenn ein Benutzer authentifiziert wird, kann er auf den Server zugreifen, bis er seine Sitzung beendet oder ein anderer Benutzer seine Sitzung beendet. Wenn Sie einen Benutzer aus der Betreffliste entfernen oder ihn aus einer Gruppe entfernen, die sich in der Betreffliste befindet, werden die bereits authentifizierten Sitzungen des Benutzers nicht automatisch widerrufen. Benutzer können weiterhin mit HASH (0x2e6c8e8) oder anderen API-Sitzungen, die sie bereits erstellt haben, auf den Pool zugreifen. HASH (0x2e6c8e8) und die CLI bieten Möglichkeiten, einzelne Sitzungen oder alle aktiven Sitzungen mit Nachdruck zu beenden. In der Hilfe zu HASH (0x2e6c8e8) finden Sie Informationen zu Prozeduren, die HASH verwenden (0x2e6c8e8), oder im folgenden Abschnitt für Prozeduren, die die CLI verwenden.

Beenden Sie alle authentifizierten Sitzungen mit xe

Führen Sie den folgenden CLI-Befehl aus, um alle authentifizierten Sitzungen mit xe zu beenden:

xe session-subject-identifier-logout-all

Beenden einzelner Benutzersitzungen mit xe

  1. Bestimmen Sie den Betreffbezeichner, dessen Sitzung Sie sich abmelden möchten. Verwenden Sie entweder die Befehlesession-subject-identifier-list odersubject-list xe, um die Betreffkennung zu finden. Der erste Befehl zeigt Benutzer an, die Sitzungen haben. Der zweite Befehl zeigt alle Benutzer an, kann aber gefiltert werden. Zum Beispiel, indem Sie einen Befehl wiexe subject-list other-config:subject-name=xendt\\user1. Möglicherweise benötigen Sie einen doppelten umgekehrten Schrägstrich, wie abhängig von Ihrer Shell gezeigt).

  2. Verwenden Sie densession-subject-logout Befehl und übergeben Sie die im vorherigen Schritt ermittelte Betreffkennung als Parameter, zum Beispiel:

    xe session-subject-identifier-logout subject-identifier=subject_id
    

AD-Domäne verlassen

Achtung:

Wenn Sie die Domäne verlassen (d. h. die Active Directory-Authentifizierung deaktivieren und einen Pool oder Server von der Domäne trennen), werden alle Benutzer, die sich beim Pool oder Server mit Active Directory-Anmeldeinformationen authentifiziert haben, getrennt.

Verwenden Sie HASH (0x2e6c8e8), um eine AD-Domäne zu verlassen. Weitere Informationen finden Sie in der Hilfe zu HASH (0x2e6c8e8). Führen Sie alternativ denpool-disable-external-auth Befehl aus und geben Sie ggf. die Pool-UUID an.

Hinweis:

Beim Verlassen der Domäne werden die Hostobjekte nicht aus der AD-Datenbank gelöscht. Informationen zum Löschen deaktivierter Hosteinträge finden Sie unterMicrosoft Support-Artikel.