Administrar usuarios

Definir usuarios, grupos, roles y permisos le permite controlar quién tiene acceso a sus servidores y grupos HASH (0x2e68218) y qué acciones pueden realizar.

Cuando instala HASH por primera vez (0x2c1a078), se agrega automáticamente una cuenta de usuario a HASH (0x2c1a078). Esta cuenta es el superusuario local (LSU), o root, que HASH (0x2c1a078) autentica localmente.

La LSU, o raíz, es una cuenta de usuario especial destinada a la administración del sistema y tiene todos los permisos. En HASH (0x2c1a078), la LSU es la cuenta predeterminada en la instalación. HASH (0x2c1a078) autentica la cuenta LSU. LSU no requiere ningún servicio de autenticación externa. Si se produce un error en un servicio de autenticación externo, el LSU aún puede iniciar sesión y administrar el sistema. El LSU siempre puede acceder al servidor físico HASH (0x2c1a078) a través de SSH.

Puede crear más usuarios agregando las cuentas de Active Directory a través de la ficha Usuarios de HASH (0x2e6c8e8) o de la CLI xe. Si su entorno no utiliza Active Directory, está limitado a la cuenta LSU.

Nota:

Al crear usuarios, HASH (0x2c1a078) no asigna automáticamente las cuentas de usuario recién creadas roles RBAC. Por lo tanto, estas cuentas no tienen acceso al grupo HASH (0x2e68218) hasta que les asigne un rol.

Estos permisos se conceden a través de roles, como se describe en la sección Autenticar usuarios con Active Directory (AD) .

Autenticar usuarios con Active Directory (AD)

Si desea tener varias cuentas de usuario en un servidor o un grupo, debe usar cuentas de usuario de Active Directory para la autenticación. Las cuentas de AD permiten que los usuarios de HASH (0x2c1a078) inicien sesión en un grupo con sus credenciales de dominio de Windows.

Puede configurar diferentes niveles de acceso para usuarios específicos habilitando la autenticación de Active Directory, agregando cuentas de usuario y asignando roles a esas cuentas.

Los usuarios de Active Directory pueden usar la CLI xe (pasando-u argumentos apropiados-pw ) y también conectarse al host mediante HASH (0x2e6c8e8). La autenticación se realiza en base a un grupo de recursos por cada recurso.

Los sujetos controlan el acceso a las cuentas de usuario. Un asunto en HASH (0x2c1a078) se asigna a una entidad en su servidor de directorios (ya sea un usuario o un grupo). Cuando habilita la autenticación externa, HASH (0x2c1a078) comprueba las credenciales utilizadas para crear una sesión con las credenciales raíz locales (en caso de que el servidor de directorios no esté disponible) y, a continuación, con la lista de asuntos. Para permitir el acceso, cree una entrada de asunto para la persona o grupo al que desea conceder acceso. Puede usar HASH (0x2e6c8e8) o la CLI xe para crear una entrada de asunto.

Si está familiarizado con HASH (0x2e6c8e8), tenga en cuenta que la CLI HASH (0x2c1a078) utiliza terminología ligeramente diferente para hacer referencia a las características de cuenta de usuario y Active Directory: HASH (0x2e6c8e8) Term HASH (0x2c1a078) CLI Term Users Agregar usuarios Agregar temas

Aunque HASH (0x2c1a078) está basado en Linux, HASH (0x2c1a078) le permite utilizar cuentas de Active Directory para cuentas de usuario HASH (0x2c1a078). Para ello, pasa las credenciales de Active Directory al controlador de dominio de Active Directory.

Cuando agrega Active Directory a HASH (0x2c1a078), los usuarios y grupos de Active Directory se convierten en temas HASH (0x2c1a078). Los sujetos se conocen como usuarios en HASH (0x2e6c8e8). Los usuarios/grupos se autentican mediante Active Directory al iniciar sesión cuando registra un asunto con HASH (0x2c1a078). Los usuarios y grupos no necesitan calificar su nombre de usuario mediante un nombre de dominio.

Para calificar un nombre de usuario, debe escribir el nombre de usuario en el registro de nivel inferior en formato Nombre, por ejemplo,mydomain\myuser.

Nota:

De forma predeterminada, si no califica el nombre de usuario, HASH (0x2e6c8e8) intenta iniciar sesión en los servidores de autenticación de AD utilizando el dominio al que está unido. La excepción a esto es la cuenta LSU, que HASH (0x2e6c8e8) siempre se autentica localmente (es decir, en el HASH (0x2c1a078)) primero.

El proceso de autenticación externa funciona de la siguiente manera:

  1. Las credenciales proporcionadas al conectarse a un servidor se pasan al controlador de dominio de Active Directory para la autenticación.

  2. El controlador de dominio comprueba las credenciales. Si no son válidos, la autenticación falla inmediatamente.

  3. Si las credenciales son válidas, se consulta al controlador de Active Directory para obtener el identificador de asunto y la pertenencia al grupo asociados a las credenciales.

  4. Si el identificador del asunto coincide con el almacenado en el HASH (0x2c1a078), la autenticación se realiza correctamente.

Cuando se une a un dominio, se habilita la autenticación de Active Directory para el grupo. Sin embargo, cuando un grupo se une a un dominio, sólo los usuarios de ese dominio (o un dominio con el que tiene relaciones de confianza) pueden conectarse al grupo.

Nota:

La actualización manual de la configuración DNS de un PIF de red configurado por DHCP no es compatible y puede provocar que la integración de AD y, por lo tanto, la autenticación del usuario falle o deje de funcionar.

Configurar la autenticación de Active Directory

HASH (0x2c1a078) admite el uso de servidores de Active Directory con Windows 2008 o posterior.

Para autenticar o Active Directory para servidores HASH (0x2e68218), você deve usar o mesmo servidor DNS para o servidor do Active Directory (configurado para permitir a interoperabilidade) e o servidor HASH (0x2e68218). En algunas configuraciones, el servidor de Active Directory puede proporcionar el propio DNS. Esto se puede lograr utilizando DHCP para proporcionar la dirección IP y una lista de servidores DNS al servidor HASH (0x2e68218). Alternativamente, puede establecer los valores en los objetos PIF o utilizar el instalador cuando se utiliza una configuración estática manual.

Recomendamos habilitar DHCP para asignar nombres de host. No asigne los nombres de hostlocalhost nilinux a los hosts.

Advertencia:

Los nombres de servidor HASH (0x2e68218) deben ser únicos en toda la implementación HASH (0x2c1a078).

Tenga en cuenta lo siguiente:

  • HASH (0x2c1a078) etiqueta su entrada de AD en la base de datos de AD utilizando su nombre de host. Si dos servidores HASH (0x2e68218) con el mismo nombre de host se unen al mismo dominio AD, el segundo HASH (0x2e68218) sobrescribe la entrada AD del primer HASH (0x2e68218). La sobrescritura se produce independientemente de si los hosts pertenecen al mismo grupo o a diferentes grupos. Esto puede hacer que la autenticación de AD en el primer HASH (0x2e68218) deje de funcionar.

    Puede utilizar el mismo nombre de host en dos servidores HASH (0x2e68218), siempre y cuando se unan a diferentes dominios de AD.

  • Los servidores HASH (0x2e68218) pueden estar en diferentes zonas horarias, ya que es la hora UTC la que se compara. Para asegurarse de que la sincronización es correcta, puede utilizar los mismos servidores NTP para el grupo HASH (0x2e68218) y el servidor de Active Directory.

  • No se admiten grupos de autenticación mixta. No puede tener un grupo en el que algunos servidores del grupo estén configurados para usar Active Directory y otros no).

  • La integración de Active Directory HASH (0x2c1a078) utiliza el protocolo Kerberos para comunicarse con los servidores de Active Directory. Por lo tanto, HASH (0x2c1a078) no admite la comunicación con servidores de Active Directory que no utilizan Kerberos.

  • Para que la autenticación externa con Active Directory sea correcta, los relojes de los servidores HASH (0x2e68218) deben sincronizarse con los relojes del servidor de Active Directory. Cuando HASH (0x2e68218) se une al dominio de Active Directory, se comprueba la sincronización y se produce un error de autenticación si hay demasiado sesgo entre los servidores.

Advertencia:

Los nombres de host deben constar únicamente de no más de 63 caracteres alfanuméricos y no deben ser puramente numéricos.

Cuando agrega un servidor a un grupo después de habilitar la autenticación de Active Directory, se le pedirá que configure Active Directory en el servidor que se une al grupo. Cuando se le soliciten credenciales en el servidor de unión, escriba credenciales de Active Directory con privilegios suficientes para agregar servidores a ese dominio.

Integración con Active Directory

Asegúrese de que los siguientes puertos de firewall están abiertos para el tráfico saliente para que HASH (0x2e68218) tenga acceso a los controladores de dominio.

Puerto Protocolo Úsalo
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP Servicio de nombres NetBIOS
139 TCP Sesión NetBIOS (SMB)
389 UDP/TCP LDAP
445 TCP SMB sobre TCP
464 UDP/TCP Cambios de contraseña de equipo
3268 TCP Búsqueda de catálogo global

Notas:

  • Para ver las reglas de firewall en un equipo Linux utilizando iptables, ejecute el siguiente comando:iptables - nL.
  • HASH (0x2c1a078) utiliza PowerBroker Identity Services (PBIS) para autenticar al usuario de AD en el servidor AD y para cifrar las comunicaciones con el servidor AD.

¿Cómo administra HASH (0x2c1a078) la contraseña de la cuenta de máquina para la integración de AD?

De manera similar a los equipos cliente Windows, PBIS actualiza automáticamente la contraseña de la cuenta de equipo. PBIS renueva la contraseña cada 30 días, o como se especifica en la directiva de renovación de contraseñas de cuenta de equipo en el servidor AD.

Habilitar la autenticación externa en un grupo

La autenticación externa mediante Active Directory se puede configurar mediante HASH (0x2e6c8e8) o CLI mediante el siguiente comando.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password

El usuario especificado debe tenerAdd/remove computer objects or workstations privilegios, que es el valor predeterminado para los administradores de dominio.

Si no está utilizando DHCP en la red utilizada por Active Directory y los servidores HASH (0x2e68218), utilice los métodos siguientes para configurar el DNS:

  1. Configure el orden de búsqueda de sufijos DNS de dominio para resolver entradas que no sean FQDN:

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    
  2. Configure el servidor DNS para usar en los servidores HASH (0x2e68218):

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    
  3. Defina manualmente la interfaz de administración para que use un PIF que esté en la misma red que el servidor DNS:

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    

Nota:

La autenticación externa es una propiedad por host. Sin embargo, recomendamos que habilite y deshabilite la autenticación externa por grupo. Una configuración por grupo permite a HASH (0x2c1a078) tratar los errores que se producen al habilitar la autenticación en un host determinado. HASH (0x2c1a078) también deshace cualquier cambio que pueda ser necesario, asegurando una configuración coherente en todo el grupo. Utilice elhost-param-list comando para inspeccionar las propiedades de un host y determinar el estado de la autenticación externa comprobando los valores de los campos relevantes.

Utilice HASH (0x2e6c8e8) para deshabilitar la autenticación de Active Directory o el siguiente comando xe:

xe pool-disable-external-auth

Autenticación de usuario

Para permitir el acceso de un usuario al servidor HASH (0x2e68218), debe agregar un asunto para ese usuario o un grupo en el que se encuentran. (Las pertenencias a grupos transitivos también se comprueban de la manera normal. Por ejemplo, agregar un asunto para grupoA, donde grupoAcontiene grupoByuser 1es miembro del grupo Bpermitiría el acceso auser 1 .) Si desea administrar los permisos de usuario en Active Directory, puede crear un único grupo que agregue y elimine usuarios a/desde. Alternativamente, puede agregar y eliminar usuarios individuales de HASH (0x2c1a078), o una combinación de usuarios y grupos según corresponda para sus requisitos de autenticación. Puede administrar la lista de asuntos desde HASH (0x2e6c8e8) o utilizando la CLI como se describe en la siguiente sección.

Al autenticar a un usuario, las credenciales se comprueban primero con la cuenta raíz local, lo que le permite recuperar un sistema cuyo servidor AD ha fallado. Si las credenciales (nombre de usuario y contraseña) no coinciden, se realiza una solicitud de autenticación al servidor de AD. Si la autenticación se realiza correctamente, la información del usuario se recupera y valida en la lista de asuntos local. Se deniega el acceso si se produce un error en la autenticación. La validación de la lista de asuntos se realiza correctamente si el usuario o un grupo de la pertenencia al grupo transitorio del usuario se encuentra en la lista de asuntos.

Nota:

Cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador del grupo que requieren acceso ssh de host, el número de usuarios del grupo de Active Directory no debe superar 500.

Para agregar un sujeto AD a HASH (0x2c1a078):

xe subject-add subject-name=entity_name

El nombre_entidad es el nombre del usuario o grupo al que desea conceder acceso. Puede incluir el dominio de la entidad (por ejemplo, ‘xendtuser1’ en lugar de ‘user1’) aunque el comportamiento es el mismo a menos que se requiera desambiguación.

Busque el identificador de asunto del usuario. El identificador es el usuario o el grupo que lo contiene. Al quitar un grupo se quita el acceso a todos los usuarios de ese grupo, siempre que no se especifiquen también en la lista de asuntos. Utilice elsubject list comando para buscar el identificador de asunto del usuario. :

xe subject-list

Este comando devuelve una lista de todos los usuarios.

Para aplicar un filtro a la lista, por ejemplo, para encontrar el identificador de asunto de un usuariouser1 en eltestad dominio, utilice el siguiente comando:

xe subject-list other-config:subject-name='testad\user1'

Elimine al usuario mediante elsubject-remove comando, pasando el identificador de asunto que aprendió en el paso anterior:

xe subject-remove subject-uuid=subject_uuid

Puede finalizar cualquier sesión actual que este usuario ya haya autenticado. Para obtener más información, vea Terminar todas las sesiones autenticadas mediante xe y Terminar sesiones de usuario individuales mediante xe en la siguiente sección. Si no finaliza las sesiones, los usuarios con permisos revocados pueden continuar accediendo al sistema hasta que cierre la sesión.

Ejecute el siguiente comando para identificar la lista de usuarios y grupos con permiso para acceder al servidor o grupo HASH (0x2e68218):

xe subject-list

Quitar el acceso de un usuario

Cuando un usuario se autentica, puede acceder al servidor hasta que finalice su sesión o que otro usuario finalice su sesión. La eliminación de un usuario de la lista de asuntos o su eliminación de un grupo que está en la lista de asuntos no revoca automáticamente las sesiones ya autenticadas que tenga el usuario. Los usuarios pueden continuar accediendo al grupo usando HASH (0x2e6c8e8) u otras sesiones API que ya hayan creado. HASH (0x2e6c8e8) y la CLI proporcionan facilidades para finalizar sesiones individuales o todas las sesiones activas con fuerza. Consulte la ayuda de HASH (0x2e6c8e8) para obtener información sobre los procedimientos que utilizan HASH (0x2e6c8e8) o en la siguiente sección para conocer los procedimientos que utilizan la CLI.

Finalizar todas las sesiones autenticadas usando xe

Ejecute el siguiente comando CLI para finalizar todas las sesiones autenticadas mediante xe:

xe session-subject-identifier-logout-all

Finalizar sesiones de usuario individuales usando xe

  1. Determine el identificador de asunto cuya sesión desea cerrar la sesión. Utilice los comandossession-subject-identifier-list osubject-list xe para encontrar el identificador de asunto. El primer comando muestra a los usuarios que tienen sesiones. El segundo comando muestra a todos los usuarios, pero se puede filtrar. Por ejemplo, mediante el uso de un comando comoxe subject-list other-config:subject-name=xendt\\user1. Es posible que necesite una barra invertida doble como se muestra dependiendo de su shell).

  2. Utilice elsession-subject-logout comando, pasando el identificador de asunto que ha determinado en el paso anterior como parámetro, por ejemplo:

    xe session-subject-identifier-logout subject-identifier=subject_id
    

Dejar un dominio de AD

Advertencia:

Cuando abandona el dominio (es decir, deshabilita la autenticación de Active Directory y desconecta un grupo o servidor de su dominio), todos los usuarios que se autenticaron en el grupo o servidor con credenciales de Active Directory se desconectarán.

Utilice HASH (0x2e6c8e8) para salir de un dominio de AD. Consulte la ayuda de HASH (0x2e6c8e8) para obtener más información. Ejecute alternativamente elpool-disable-external-auth comando, especificando el uuid del grupo si es necesario.

Nota:

Al salir del dominio no se eliminan los objetos de host de la base de datos de AD. Para obtener información sobre cómo eliminar entradas de host deshabilitadas, consulte elArtículo de soporte técnico de Microsoft.