RBAC-Übersicht

Mit der Funktion Role Based Access Control (RBAC) können Sie Active Directory-Benutzern und -Gruppen vordefinierte Rollen oder XenServer-Berechtigungen zuweisen. Diese Berechtigungen steuern die Zugriffsebene, die XenServer-Benutzer (d. h. Personen, die XenServer verwalten) auf Server und Pools haben: RBAC wird auf Poolebene konfiguriert und bereitgestellt. Da Benutzer Berechtigungen über ihre zugewiesene Rolle erwerben, müssen Sie lediglich einem Benutzer oder ihrer Gruppe eine Rolle zuweisen.

Verwenden von Active Directory-Konten für XenServer-Benutzerkonten

Mit RBAC können Sie einschränken, welche Vorgänge verschiedene Benutzergruppen ausführen können. Dies reduziert die Wahrscheinlichkeit, dass unerfahrene Benutzer katastrophale, versehentliche Änderungen vornehmen. Durch das Zuweisen von RBAC-Rollen wird außerdem verhindert, dass nicht autorisierte Änderungen an den Ressourcenpools aus Kompatibilitätsgründen vorgenommen werden. Um Compliance und Auditing zu vereinfachen, stellt RBAC auch einenÜberwachungsprotokoll-Funktionund seinen entsprechenden Bericht zum Workload Balancing Pool Audit Trail bereit.

Benutzer ordnen Rollen zu. Rollen werden einem Satz von Berechtigungen zugeordnet.

RBAC ist für Authentifizierungsdienste von Active Directory abhängig. Insbesondere führt XenServer eine Liste der autorisierten Benutzer basierend auf Active Directory-Benutzer- und Gruppenkonten. Daher müssen Sie dem Pool der Domäne beitreten und Active Directory-Konten hinzufügen, bevor Sie Rollen zuweisen können.

RBAC-Prozess

Dies ist der Standardprozess für die Implementierung von RBAC und das Zuweisen eines Benutzers oder einer Gruppe einer Rolle:

  1. Registrieren Sie sich der Domäne.
  2. Hinzufügen eines Active Directory-Benutzers oder einer Gruppezum Pool.
  3. Zuweisen( oder ändern) die RBAC-Rolle des Benutzers oder der Gruppe.

Lokaler Superuser

Der lokale Superuser (LSU) oder root ist ein spezielles Benutzerkonto, das für die Systemadministration verwendet wird und über alle Rechte oder Berechtigungen verfügt. In XenServer ist der lokale Superuser bei der Installation das Standardkonto. Die LSU wird von XenServer authentifiziert und nicht von einem externen Authentifizierungsdienst. Wenn der externe Authentifizierungsdienst ausfällt, kann sich die LSU weiterhin anmelden und das System verwalten. Die LSU kann immer über SSH auf den physischen XenServer zugreifen.

RBAC-Rollen

XenServer verfügt über sechs vordefinierte Rollen, die auf verschiedene Funktionen in einer IT-Organisation ausgerichtet sind.

  • Pool-Administrator (Pool-Administrator). Diese Rolle ist die leistungsstärkste verfügbare Rolle. Pool-Administratoren haben vollen Zugriff auf alle XenServer-Funktionen und -Einstellungen. Sie können alle Vorgänge ausführen, einschließlich der Rollen- und Benutzerverwaltung. Sie können Zugriff auf die XenServer-Konsole gewähren. Als Best Practice empfiehlt Citrix, diese Rolle einer extrem begrenzten Anzahl von Benutzern zuzuweisen.

    Hinweis: Der lokale Superuser (root) hat immer die Pool-Admin-Rolle. Die Pool-Administratorrolle verfügt über dieselben Berechtigungen wie der lokale Stamm.

  • Poolbetreiber (Poolbetreiber). Diese Rolle soll dem Beauftragten Pool-Ressourcen verwalten, einschließlich der Erstellung von Speicher, Verwaltung von Servern, Verwaltung von Patches und Erstellung von Pools. Pool-Operatoren können Poolressourcen konfigurieren. Sie haben außerdem vollen Zugriff auf die folgenden Funktionen: High Availability (HA), Workload Balancing und Patch-Management. Pool-Operatoren können keine Benutzer hinzufügen oder Rollen ändern.
  • Power Administrator der virtuellen Maschine (VM Power Admin). Diese Rolle hat vollen Zugriff auf VM- und Vorlagenverwaltung. Sie können festlegen, wo VMs gestartet werden sollen. Sie haben vollen Zugriff auf die dynamischen Speichersteuerungsfunktionen und die VM-Snapshot-Funktion. Darüber hinaus können sie den Home Server festlegen und festlegen, wo Arbeitslasten ausgeführt werden sollen. Durch Zuweisen dieser Rolle wird dem Bevollmächtigten genügend Berechtigungen gewährt, um virtuelle Maschinen für die Verwendung des VM-Betreibers bereitzustellen.
  • Virtual Machine Administrator (VM-Administrator). Diese Rolle kann VMs und Vorlagen verwalten und auf den Speicher zugreifen, der für die Durchführung dieser Aufgaben erforderlich ist. Diese Rolle stützt sich jedoch darauf, dass XenServer auswählt, wo Arbeitslasten ausgeführt werden sollen, und muss die Einstellungen in Vorlagen für die dynamische Speichersteuerung und den Home Server verwenden. (Diese Rolle kann nicht auf die Funktionen der dynamischen Speichersteuerung zugreifen, Snapshots erstellen, den Home Server festlegen oder festlegen, wo Arbeitslasten ausgeführt werden sollen.)
  • Virtual Machine Operator (VM-Operator). Diese Rolle kann die VMs in einem Pool verwenden und ihren grundlegenden Lebenszyklus verwalten. VM-Betreiber können mit den VM-Konsolen interagieren und VMs starten oder stoppen, sofern ausreichende Hardwareressourcen verfügbar sind. Ebenso können VM-Betreiber Lebenszyklusvorgänge starten und stoppen. Die Rolle VM-Operator kann keine VMs erstellen oder zerstören, VM-Eigenschaften oder Serverressourcen ändern.
  • Schreibgeschützt (schreibgeschützt). Diese Rolle kann nur Ressourcenpools und Leistungsdaten anzeigen.

Hinweise zu den Berechtigungen, die den einzelnen Rollen zugeordnet sind, finden Sie unterDefinitionen von RBAC-Rollen und Berechtigungen. Hinweise dazu, wie RBAC berechnet, welche Rollen für einen Benutzer gelten, finden Sie unterBerechnen von RBAC-Rollen.

Hinweis: Wenn Sie einen neuen Benutzer erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. Beachten Sie, dass XenServer dem neu erstellten Benutzer nicht automatisch eine Rolle zuweist.

Aktualisieren von älteren XenServer-Versionen

Unterstützung für RBAC wurde in XenServer Version 5.6 eingeführt. Alle Benutzerkonten, die in früheren XenServer-Versionen erstellt wurden, werden beim Upgrade auf XenServer Version 5.6 oder höher die Rolle des Pool-Admin zugewiesen. Dies geschieht aus Gründen der Abwärtskompatibilität. Wenn Sie ein Upgrade von älteren XenServer-Versionen durchführen, sollten Sie die jedem Benutzerkonto zugeordnete Rolle erneut aufrufen, um sicherzustellen, dass diese weiterhin geeignet ist.