Verwalten von Benutzern

Wenn Sie XenServer zum ersten Mal installieren, wird XenServer automatisch ein Benutzerkonto hinzugefügt. Bei diesem Konto handelt es sich um dasLokaler Superuser (LSU)oder Stammkonto, das lokal von Ihrem XenServer-Computer authentifiziert wird. Sie können zusätzliche Benutzer erstellen, indem Sie Active Directory-Konten auf der Registerkarte Benutzer in XenCenter hinzufügen. (Beachten Sie, dass der Begriff „Benutzer“ auf jeden Benutzer mit XenServer-Konto bezieht, d. h. jeden, der XenServer-Hosts verwaltet, unabhängig von der Ebene ihrer Rolle.) Wenn Sie mehrere Benutzerkonten auf einem Server oder einem Pool haben möchten, müssen Sie Active Directory-Benutzerkonten zur Authentifizierung verwenden. Auf diese Weise können sich XenServer-Benutzer mit ihren Windows-Domänenanmeldeinformationen bei den Servern in einem Pool anmelden.

Hinweis: Pools für gemischte Authentifizierung werden nicht unterstützt (d. h. Sie können keinen Pool haben, in dem einige Server im Pool für die Verwendung von Active Directory konfiguriert sind und einige nicht).

Wenn Sie einen neuen Benutzer in XenServer erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. Beachten Sie, dass XenServer dem neu erstellten Benutzer nicht automatisch eine Rolle zuweist. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.

MitRollenbasierte Zugriffssteuerung (RBAC)diesem Feature können Sie den Active Directory-Konten je nach Rolle des Benutzers unterschiedliche Berechtigungsebenen zuweisen. Wenn Sie Active Directory in Ihrer Umgebung nicht verwenden, sind Sie auf das LSU-Konto beschränkt.

AD-Authentifizierung in XenServer-Umgebung

Obwohl XenServer Linux-basiert sind, können Sie mit XenServer Active Directory-Konten für XenServer-Benutzerkonten verwenden. Dazu übergibt es Active Directory-Anmeldeinformationen an den Active Directory-Domänencontroller.

Wenn sie XenServer hinzugefügt werden, werden Active Directory-Benutzer und -Gruppen zu XenServer-Themen, die in XenCenter allgemein als einfache Benutzer bezeichnet werden. Wenn ein Betreff bei XenServer registriert ist, werden Benutzer/Gruppen bei der Anmeldung bei Active Directory authentifiziert und müssen ihren Benutzernamen nicht mit einem Domänennamen qualifiziert werden.

Um einen Benutzernamen zu qualifizieren, müssen Sie den Benutzernamen im Format „Down-Level-Anmeldename“ eingeben, z. B. mydomain\myuser.

Hinweis: Wenn Sie den Benutzernamen nicht qualifiziert haben, versucht XenCenter standardmäßig, Benutzer bei Active Directory-Authentifizierungsservern mit der Domäne anzumelden, zu der er derzeit gehört. Die Ausnahme ist das LSU-Konto, das XenCenter immer zuerst lokal authentifiziert (d. h. auf XenServer).

Der externe Authentifizierungsprozess funktioniert wie folgt:

  1. Die beim Herstellen einer Verbindung mit einem Server angegebenen Anmeldeinformationen werden zur Authentifizierung an den Active Directory-Domänencontroller übergeben.
  2. Der Domänencontroller überprüft die Anmeldeinformationen. Wenn sie ungültig sind, schlägt die Authentifizierung sofort fehl.
  3. Wenn die Anmeldeinformationen gültig sind, wird der Active Directory-Controller abgefragt, um den Betreffbezeichner und die Gruppenmitgliedschaft abrufen, die den Anmeldeinformationen zugeordnet sind.
  4. Wenn der Betreffbezeichner mit dem in XenServer gespeicherten übereinstimmt, wird die Authentifizierung erfolgreich abgeschlossen.

Wenn Sie einer Domäne beitreten, aktivieren Sie die Active Directory-Authentifizierung für den Pool. Wenn jedoch ein Pool einer Domäne hinzugefügt wird, können nur Benutzer in dieser Domäne (oder einer Domäne, mit der er Vertrauensbeziehungen aufweist) eine Verbindung zum Pool herstellen.

Verwalten von Benutzern