Citrix Hypervisor

Administrar usuarios

La definición de usuarios, grupos, roles y permisos le permite controlar quién tiene acceso a los servidores y grupos de Citrix Hypervisor y qué acciones pueden realizar.

Cuando instala por primera vez Citrix Hypervisor, se agrega automáticamente una cuenta de usuario a Citrix Hypervisor. Esta cuenta es el superusuario local (LSU), o raíz, que Citrix Hypervisor autentica localmente.

La LSU, o raíz, es una cuenta de usuario especial destinada a la administración del sistema y tiene todos los permisos. En Citrix Hypervisor, la LSU es la cuenta predeterminada en la instalación. Citrix Hypervisor autentica la cuenta LSU. LSU no requiere ningún servicio de autenticación externo. Si falla un servicio de autenticación externo, la LSU aún puede iniciar sesión y administrar el sistema. La LSU siempre puede acceder al servidor físico de Citrix Hypervisor a través de SSH.

Puede crear más usuarios agregando las cuentas de Active Directory a través de la ficha Usuarios de XenCenter o de la CLI xe. Si su entorno no utiliza Active Directory, está limitado a la cuenta LSU.

Nota:

Cuando crea usuarios, Citrix Hypervisor no asigna roles RBAC de cuentas de usuario recién creadas automáticamente. Por lo tanto, estas cuentas no tienen acceso al grupo de Citrix Hypervisor hasta que se les asigne un rol.

Estos permisos se conceden mediante roles, como se explica en la sección Autenticación de usuarios con Active Directory (AD).

Autenticar usuarios con Active Directory (AD)

Si quiere tener varias cuentas de usuario en un servidor o un grupo, debe usar cuentas de usuario de Active Directory para la autenticación. Las cuentas de AD permiten a los usuarios de Citrix Hypervisor iniciar sesión en un grupo con sus credenciales de dominio de Windows.

Nota:

Puede habilitar el enlace de canales LDAP y la firma LDAP en los controladores de dominio de AD. Para obtener más información, consulte Aviso de seguridad de Microsoft.

Puede configurar distintos niveles de acceso para usuarios específicos habilitando la autenticación de Active Directory, agregando cuentas de usuario y asignando roles a esas cuentas.

Los usuarios de Active Directory pueden usar la CLI xe (pasando-u argumentos-pw y apropiados) y conectarse al host mediante XenCenter. La autenticación se realiza por grupo de recursos.

Los sujetos controlan el acceso a las cuentas de usuario. Un asunto de Citrix Hypervisor se asigna a una entidad del servidor de directorios (ya sea un usuario o un grupo). Cuando habilita la autenticación externa, Citrix Hypervisor comprueba las credenciales utilizadas para crear una sesión con las credenciales raíz locales y, a continuación, con la lista de asuntos. Para permitir el acceso, cree una entrada de asunto para la persona o grupo al que quiere conceder acceso. Puede usar XenCenter o la CLI xe para crear una entrada de asunto.

Si está familiarizado con XenCenter, tenga en cuenta que Citrix Hypervisor CLI utiliza terminología ligeramente diferente para hacer referencia a las funciones de Active Directory y cuenta de usuario: XenCenter Term Citrix Hypervisor CLI Term Usuarios Term Temas Agregar usuarios Agregar temas

Aunque Citrix Hypervisor está basado en Linux, Citrix Hypervisor le permite usar cuentas de Active Directory para cuentas de usuario de Citrix Hypervisor. Para ello, pasa las credenciales de Active Directory al Controller de dominio de Active Directory.

Al agregar Active Directory a Citrix Hypervisor, los usuarios y grupos de Active Directory se convierten en sujetos de Citrix Hypervisor. Los temas se denominan usuarios en XenCenter. Los usuarios/grupos se autentican mediante Active Directory al iniciar sesión cuando registra un asunto con Citrix Hypervisor. Los usuarios y grupos no necesitan calificar su nombre de usuario mediante un nombre de dominio.

Para calificar un nombre de usuario, debe escribir el nombre de usuario en el formato Nombre de registro de nivel inferior, por ejemplo,mydomain\myuser.

Nota:

De forma predeterminada, si no califica el nombre de usuario, XenCenter intenta iniciar sesión en los servidores de autenticación de AD mediante el dominio al que está unido. La excepción es la cuenta LSU, que XenCenter siempre autentica localmente (es decir, en Citrix Hypervisor) primero.

El proceso de autenticación externa funciona de la siguiente manera:

  1. Las credenciales proporcionadas al conectarse a un servidor se pasan al Controller de dominio de Active Directory para la autenticación.

  2. El Controller de dominio comprueba las credenciales. Si no son válidas, la autenticación falla inmediatamente.

  3. Si las credenciales son válidas, se consulta al Controller de Active Directory para obtener el identificador de asunto y la pertenencia al grupo asociados a las credenciales.

  4. Si el identificador de asunto coincide con el almacenado en el Citrix Hypervisor, la autenticación se realiza correctamente.

Cuando se une a un dominio, se habilita la autenticación de Active Directory para el grupo. Sin embargo, cuando un grupo se une a un dominio, solo los usuarios de ese dominio (o un dominio con el que tenga relaciones de confianza) pueden conectarse al grupo.

Nota:

La actualización manual de la configuración DNS de un PIF de red configurado por DHCP no es compatible y puede provocar que la integración de AD y, por tanto, la autenticación del usuario falle o deje de funcionar.

Configurar la autenticación de Active Directory

Citrix Hypervisor admite el uso de servidores de Active Directory con Windows 2008 o posterior.

Para autenticar Active Directory para servidores Citrix Hypervisor, debe utilizar el mismo servidor DNS tanto para el servidor Active Directory (configurado para permitir la interoperabilidad) como para el servidor Citrix Hypervisor. En algunas configuraciones, el servidor de Active Directory puede proporcionar el propio DNS. Esto se puede lograr mediante DHCP para proporcionar la dirección IP y una lista de servidores DNS al servidor Citrix Hypervisor. Alternativamente, puede establecer los valores en los objetos PIF o utilizar el instalador cuando se utiliza una configuración estática manual.

Recomendamos habilitar DHCP para asignar nombres de host. No asigne los nombres de hostlocalhost nilinux a los hosts.

Advertencia:

Los nombres de servidor de Citrix Hypervisor deben ser únicos en toda la implementación de Citrix Hypervisor.

Tenga en cuenta lo siguiente:

  • Citrix Hypervisor etiqueta su entrada de AD en la base de datos de AD mediante su nombre de host. Si dos servidores Citrix Hypervisor con el mismo nombre de host están unidos al mismo dominio de AD, el segundo Citrix Hypervisor sobrescribe la entrada AD del primer Citrix Hypervisor. La sobrescritura se produce independientemente de si los hosts pertenecen a los mismos grupos o grupos diferentes. Esto puede provocar que la autenticación de AD en el primer Citrix Hypervisor deje de funcionar.

    Puede utilizar el mismo nombre de host en dos servidores Citrix Hypervisor, siempre que se unan a distintos dominios de AD.

  • Los servidores Citrix Hypervisor pueden estar en diferentes zonas horarias, ya que es la hora UTC la que se compara. Para asegurarse de que la sincronización es correcta, puede utilizar los mismos servidores NTP para el grupo de Citrix Hypervisor y el servidor de Active Directory.

  • No se admiten grupos de autenticación mixta. No puede tener un grupo donde algunos servidores del grupo estén configurados para usar Active Directory y otros no).

  • La integración de Citrix Hypervisor Active Directory utiliza el protocolo Kerberos para comunicarse con los servidores de Active Directory. Por lo tanto, Citrix Hypervisor no admite la comunicación con servidores de Active Directory que no utilizan Kerberos.

  • Para que la autenticación externa con Active Directory sea correcta, los relojes de los servidores Citrix Hypervisor deben sincronizarse con los relojes del servidor Active Directory. Cuando Citrix Hypervisor se une al dominio de Active Directory, la sincronización se comprueba y la autenticación falla si hay demasiada distorsión entre los servidores.

Advertencia:

Los nombres de host no deben contener más de 63 caracteres alfanuméricos y no deben ser puramente numéricos.

Cuando agrega un servidor a un grupo después de habilitar la autenticación de Active Directory, se le pedirá que configure Active Directory en el servidor que se une al grupo. Cuando se le solicite credenciales en el servidor de unión, escriba credenciales de Active Directory con privilegios suficientes para agregar servidores a ese dominio.

Integración con Active Directory

Asegúrese de que los siguientes puertos de firewall estén abiertos para el tráfico saliente para que Citrix Hypervisor pueda acceder a los controladores de dominio.

Puerto Protocol Uso
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP Servicio de nombres NetBIOS
139 TCP Sesión NetBIOS (SMB)
389 UDP/TCP LDAP
445 TCP SMB sobre TCP
464 UDP/TCP Cambios en la contraseña del equipo
3268 TCP Búsqueda de catálogo global

Notas:

  • Para ver las reglas del firewall en un equipo Linux mediante iptables, ejecute el siguiente comando:iptables - nL.
  • Citrix Hypervisor utiliza PowerBroker Identity Services (PBIS) para autenticar al usuario de AD en el servidor de AD y cifrar las comunicaciones con el servidor de AD.

¿Cómo administra Citrix Hypervisor la contraseña de la cuenta de equipo para la integración de AD?

De manera similar a los equipos cliente de Windows, PBIS actualiza automáticamente la contraseña de la cuenta de equipo. PBIS renueva la contraseña cada 30 días o como se especifica en la directiva de renovación de contraseña de cuenta de equipo en el servidor de AD.

Habilitar la autenticación externa en un grupo

La autenticación externa mediante Active Directory se puede configurar mediante XenCenter o la CLI mediante el siguiente comando.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password

El usuario especificado debe tenerAdd/remove computer objects or workstations privilegios, que es el valor predeterminado para los administradores de dominio.

Si no utiliza DHCP en la red utilizada por Active Directory y los servidores Citrix Hypervisor, utilice los siguientes métodos para configurar el DNS:

  1. Configure el orden de búsqueda de sufijos DNS de dominio para resolver entradas que no sean FQDN:

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    
  2. Configure el servidor DNS para utilizarlo en los servidores Citrix Hypervisor:

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    
  3. Configure manualmente la interfaz de administración para que use un PIF que esté en la misma red que el servidor DNS:

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    

Nota:

La autenticación externa es una propiedad por host. Sin embargo, le recomendamos que habilite e inhabilite la autenticación externa por grupo. Una configuración por grupo permite que Citrix Hypervisor se ocupe de los errores que se producen al habilitar la autenticación en un host determinado. Citrix Hypervisor también revierte los cambios que puedan ser necesarios, lo que garantiza una configuración coherente en todo el grupo. Ejecute el comando host-param-list para inspeccionar las propiedades de un host y para determinar el estado de la autenticación externa comprobando los valores de los campos relevantes.

Utilice XenCenter para inhabilitar la autenticación de Active Directory o el siguiente comando xe:

xe pool-disable-external-auth

Autenticación de usuarios

Para permitir que un usuario acceda a su servidor Citrix Hypervisor, debe agregar un asunto para ese usuario o grupo en el que se encuentre. (Las pertenencias a grupos transitivos también se comprueban de la manera normal. Por ejemplo, agregar un asunto para grupo A, donde grupo A contiene grupo B yuser 1 es miembro del grupo Bpermitiría el acceso auser 1.)Si quiere administrar los permisos de usuario en Active Directory, puede crear un único grupo que, a continuación, agregue y elimine usuarios hacia/desde. Como alternativa, puede agregar y eliminar usuarios individuales de Citrix Hypervisor, o una combinación de usuarios y grupos según corresponda a sus requisitos de autenticación. Puede administrar la lista de temas desde XenCenter o mediante la CLI como se describe en la siguiente sección.

Al autenticar a un usuario, las credenciales se comprueban primero con la cuenta raíz local, lo que le permite recuperar un sistema cuyo servidor AD ha fallado. Si las credenciales (nombre de usuario y contraseña) no coinciden, se realiza una solicitud de autenticación al servidor de AD. Si la autenticación se realiza correctamente, la información del usuario se recupera y valida en la lista de sujetos local. El acceso se deniega si se produce un error en la autenticación. La validación con respecto a la lista de temas se realiza correctamente si el usuario o un grupo de la pertenencia al grupo transitorio del usuario está en la lista de temas.

Nota:

Cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso ssh de host, el tamaño del grupo AD no debe superar los 500 usuarios.

Para agregar un asunto de AD a Citrix Hypervisor:

xe subject-add subject-name=entity_name

El nombre_entidad es el nombre del usuario o grupo al que quiere conceder acceso. Puede incluir el dominio de la entidad (por ejemplo, ‘xendt\ user1’ en lugar de ‘user1’) aunque el comportamiento es el mismo a menos que se requiera desambiguación.

Encuentre el identificador de asunto del usuario. El identificador es el usuario o el grupo que lo contiene. Al quitar un grupo, se quita el acceso a todos los usuarios de ese grupo, siempre que no se especifiquen también en la lista de temas. Ejecute el comando subject list para buscar el identificador de asunto del usuario. :

xe subject-list

Este comando devuelve una lista de todos los usuarios.

Para aplicar un filtro a la lista, por ejemplo, para buscar el identificador de asunto del user1 de un usuario en el comando testad:

xe subject-list other-config:subject-name='testad\user1'

Elimine al usuario mediante el comando subject-remove, pasando el identificador de asunto que aprendió en el paso anterior:

xe subject-remove subject-uuid=subject_uuid

Puede finalizar cualquier sesión actual que este usuario ya haya autenticado. Para obtener más información, vea Terminar todas las sesiones autenticadas con xe y Terminar sesiones individuales de usuario con xe en la sección siguiente. Si no finaliza las sesiones, los usuarios con permisos revocados pueden continuar accediendo al sistema hasta que cierre la sesión.

Ejecute el siguiente comando para identificar la lista de usuarios y grupos con permiso para acceder al servidor o grupo de Citrix Hypervisor:

xe subject-list

Quitar el acceso de un usuario

Cuando un usuario se autentica, puede acceder al servidor hasta que finalice su sesión o que otro usuario finalice su sesión. Eliminar un usuario de la lista de temas, o eliminarlo de un grupo de la lista de temas, no revoca automáticamente ninguna sesión ya autenticada que tenga el usuario. Los usuarios pueden seguir accediendo al grupo mediante XenCenter u otras sesiones de API que ya hayan creado. XenCenter y la CLI proporcionan instalaciones para finalizar sesiones individuales o todas las sesiones activas de manera contundente. Consulte la Documentación de XenCenter para obtener información sobre los procedimientos que utilizan XenCenter o la siguiente sección para los procedimientos que utilizan la CLI.

Finalizar todas las sesiones autenticadas con xe

Ejecute el siguiente comando CLI para finalizar todas las sesiones autenticadas mediante xe:

xe session-subject-identifier-logout-all

Finalizar sesiones individuales de usuario con xe

  1. Determine el identificador de asunto cuya sesión quiere cerrar la sesión. Utilice los comandossession-subject-identifier-list osubject-list xe para encontrar el identificador de asunto. El primer comando muestra a los usuarios que tienen sesiones. El segundo comando muestra todos los usuarios, pero se puede filtrar. Por ejemplo, mediante el uso de un comando comoxe subject-list other-config:subject-name=xendt\\user1. Es posible que necesite una barra invertida doble como se muestra dependiendo de su shell).

  2. Ejecute el comando session-subject-logout, pasando el identificador de asunto que ha determinado en el paso anterior como parámetro, por ejemplo:

    xe session-subject-identifier-logout subject-identifier=subject_id
    

Dejar un dominio de AD

Advertencia:

Cuando abandone el dominio, se desconectarán todos los usuarios que se hayan autenticado en el grupo o servidor con credenciales de Active Directory.

Utilice XenCenter para dejar un dominio de AD. Para obtener más información, consulte la Documentación de XenCenter. Ejecute alternativamente el comando pool-disable-external-auth, especificando el UUID del grupo si es necesario.

Nota:

Al salir del dominio no se eliminan los objetos host de la base de datos de AD. Para obtener información sobre cómo eliminar entradas de host inhabilitadas, consulte artículo de asistencia de Microsoft.

Administrar usuarios