XenCenter

Rollenbasierte Zugriffssteuerung — Übersicht

Mit der Funktion Role Based Access Control (Role Based Access Control, RBAC) können Sie Active Directory Benutzern und -Gruppen vordefinierte Rollen oder Berechtigungen zuweisen. Diese Berechtigungen steuern die Zugriffsebene, die Citrix Hypervisor Administratoren auf Server und Pools haben. RBAC wird auf Pool-Ebene konfiguriert und bereitgestellt. Da Benutzer Berechtigungen über ihre zugewiesene Rolle erwerben, weisen Sie einem Benutzer oder ihrer Gruppe eine Rolle zu, um ihnen die erforderlichen Berechtigungen zu erteilen.

Verwenden von Active Directory Konten für Citrix Hypervisor Benutzerkonten

Mit RBAC können Sie einschränken, welche Vorgänge verschiedene Benutzergruppen ausführen können. Diese Kontrolle verringert die Wahrscheinlichkeit, dass unerfahrene Benutzer katastrophale versehentliche Änderungen vornehmen. Das Zuweisen von RBAC-Rollen hilft auch, nicht autorisierte Änderungen an Ihren Ressourcenpools aus Compliance-Gründen zu verhindern. Um die Compliance und die Überwachung zu erleichtern, bietet RBAC außerdem eine Überwachungsprotokollfunktion und den entsprechenden Bericht “Workload Balancing Pool Audit Trail”. Weitere Informationen finden Sie unter Änderungen überwachen.

Benutzer werden Rollen zugeordnet. Rollen werden einer Gruppe von Berechtigungen zugeordnet.

RBAC hängt von Active Directory für Authentifizierungsdienste ab. Insbesondere enthält Citrix Hypervisor eine Liste der autorisierten Benutzer, die auf Active Directory Benutzer- und Gruppenkonten basieren. Daher müssen Sie dem Pool der Domäne beitreten und Active Directory Konten hinzufügen, bevor Sie Rollen zuweisen können.

RBAC-Prozess

Der Standardprozess für die Implementierung von RBAC und die Zuweisung einer Rolle eines Benutzers oder einer Gruppe besteht aus den folgenden Schritten:

  1. Treten Sie der Domain bei.
  2. Hinzufügen eines Active Directory Benutzers oder -Gruppezum Pool.
  3. Zuweisen( oder ändern) die RBAC-Rolle des Benutzers oder der Gruppe.

Lokaler Superbenutzer

Der lokale Superbenutzer (LSU) oder root ist ein spezielles Benutzerkonto, das für die Systemverwaltung verwendet wird und über alle Rechte oder Berechtigungen verfügt. In Citrix Hypervisor ist der lokale Superbenutzer das Standardkonto bei der Installation. Die LSU wird von Citrix Hypervisor authentifiziert und nicht von einem externen Authentifizierungsdienst. Wenn der externe Authentifizierungsdienst fehlschlägt, kann sich die LSU weiterhin anmelden und das System verwalten. Die LSU kann jederzeit über SSH auf den physischen Server von Citrix Hypervisor zugreifen.

RBAC-Rollen

Citrix Hypervisor verfügt über sechs vordefinierte Rollen, die auf unterschiedliche Funktionen in einer IT-Organisation ausgerichtet sind.

  • Pool-Administrator (Pool-Admin). Diese Rolle ist die mächtigste Rolle, die es gibt. Pool-Administratoren haben vollen Zugriff auf alle Citrix Hypervisor Funktionen und -Einstellungen. Sie können alle Vorgänge ausführen, einschließlich der Rollen- und Benutzerverwaltung. Sie können Zugriff auf die Citrix Hypervisor Konsole gewähren. Als bewährte Methode empfiehlt Citrix, diese Rolle einer begrenzten Anzahl von Benutzern zuzuweisen.

    Hinweis:

    Der lokale Superbenutzer (root) hat immer die Rolle “Pool Admin”. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.

  • Poolbetreiber (Poolbetreiber). Diese Rolle soll dem Beauftragten die Verwaltung von Pool-weiten Ressourcen ermöglichen. Zu den Verwaltungsaktionen gehören das Erstellen von Speicher, das Verwalten von Servern, das Verwalten von Patches und das Erstellen von Pools. Pool-Operatoren können Pool-Ressourcen konfigurieren. Sie haben auch vollen Zugriff auf die folgenden Funktionen: Hochverfügbarkeit, Arbeitslastausgleich und Patch-Management. Pool-Operatoren können keine Benutzer hinzufügen oder Rollen ändern.
  • Power Administrator der virtuellen Maschine (VM Power Admin). Diese Rolle hat vollen Zugriff auf die VM- und Vorlagenverwaltung. Sie können wählen, wo VMs gestartet werden sollen. Sie haben vollen Zugriff auf die dynamischen Speichersteuerungsfunktionen und die VM-Snapshot-Funktion. Darüber hinaus können sie den Home-Server festlegen und festlegen, wo Arbeitslasten ausgeführt werden sollen. Durch das Zuweisen dieser Rolle erhält der Beauftragte ausreichende Berechtigungen zum Bereitstellen virtueller Maschinen für die Verwendung des VM-Betreibers.
  • Administrator für virtuelle Maschinen (VM-Administrator). Diese Rolle kann VMs und Vorlagen verwalten und auf den Speicher zugreifen, der für die Ausführung dieser Aufgaben erforderlich ist. Diese Rolle basiert jedoch auf Citrix Hypervisor, um festzulegen, wo Arbeitslasten ausgeführt werden sollen, und muss die Einstellungen in Vorlagen für die dynamische Speichersteuerung und den Home Server verwenden. (Diese Rolle kann nicht auf die dynamischen Speichersteuerungsfunktionen zugreifen, Snapshots erstellen, den Home-Server festlegen oder festlegen, wo Arbeitslasten ausgeführt werden sollen.)
  • Virtual Machine Operator (VM-Operator). Diese Rolle kann die VMs in einem Pool verwenden und ihren grundlegenden Lebenszyklus verwalten. VM-Betreiber können mit den VM-Konsolen interagieren und VMs starten oder stoppen, sofern ausreichende Hardwareressourcen verfügbar sind. Ebenso können VM-Operatoren Start- und Stopp-Lebenszyklusvorgänge durchführen. Die Rolle “VM-Operator” kann keine VMs erstellen oder zerstören, VM-Eigenschaften oder Serverressourcen ändern.
  • Schreibgeschützt (schreibgeschützt). Diese Rolle kann nur Ressourcenpool und Performance-Daten anzeigen.

Hinweise zu den Berechtigungen, die jeder Rolle zugeordnet sind, finden Sie unterDefinitionen von RBAC-Rollen und Berechtigungen. Informationen dazu, wie RBAC berechnet, welche Rollen für einen Benutzer gelten, finden Sie unterBerechnen von RBAC-Rollen.

Hinweis:

Wenn Sie einen Benutzer erstellen, müssen Sie zunächst dem neu erstellten Benutzer eine Rolle zuweisen, bevor er das Konto verwenden kann. Citrix Hypervisor weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu.

Rollenbasierte Zugriffssteuerung — Übersicht