Visión general de RBAC

La característica Control de acceso basado en roles (RBAC) le permite asignar roles predefinidos o conjuntos de permisos de XenServer a usuarios y grupos de Active Directory. Estos permisos controlan el nivel de acceso que tienen los usuarios de XenServer (es decir, las personas que administran XenServer) a los servidores y grupos: RBAC se configura e implementa en el nivel del grupo. Dado que los usuarios adquieren permisos a través de su rol asignado, simplemente necesita asignar un rol a un usuario o a su grupo.

Uso de cuentas de Active Directory para cuentas de usuario de XenServer

RBAC le permite restringir las operaciones que pueden realizar diferentes grupos de usuarios, lo que reduce la probabilidad de que usuarios inexpertos realicen cambios desastrosos y accidentales. La asignación de roles RBAC también ayuda a evitar cambios no autorizados en los grupos de recursos por razones de cumplimiento. Para facilitar el cumplimiento y la auditoría, RBAC también proporciona un informe correspondienteFunción Registro de auditoríade seguimiento de auditoría del grupo de equilibrio de carga de trabajo.

Los usuarios asignan a Roles. Los roles se asignan a un conjunto de permisos.

RBAC depende de Active Directory para los servicios de autenticación. En concreto, XenServer mantiene una lista de usuarios autorizados basada en cuentas de usuario y grupo de Active Directory. Como resultado, debe unirse al grupo al dominio y agregar cuentas de Active Directory antes de poder asignar roles.

Proceso RBAC

Este es el proceso estándar para implementar RBAC y asignar un rol a un usuario o grupo:

  1. Unirse al dominio.
  2. Agregar un usuario o grupo de Active Directorya el grupo.
  3. Asignar( o modificar) la función RBAC del usuario o grupo.

Superusuario local

El superusuario local (LSU), o root, es una cuenta de usuario especial utilizada para la administración del sistema y tiene todos los derechos o permisos. En XenServer, el superusuario local es la cuenta predeterminada en la instalación. XenServer autentica la LSU y no un servicio de autenticación externo. Esto significa que si falla el servicio de autenticación externa, el LSU aún puede iniciar sesión y administrar el sistema. La LSU siempre puede acceder al servidor físico de XenServer a través de SSH.

Roles RBAC

XenServer incluye seis funciones preestablecidas que están diseñadas para alinearse con diferentes funciones de una organización de TI.

  • Administrador de Pool (Administrador de Pool). Este rol es el papel más poderoso disponible. Los administradores de grupo tienen acceso completo a todas las funciones y configuraciones de XenServer. Pueden realizar todas las operaciones, incluida la administración de roles y usuarios. Pueden conceder acceso a la consola de XenServer. Como práctica recomendada, Citrix recomienda asignar esta función a un número extremadamente limitado de usuarios.

    Nota: El superusuario local (root) siempre tiene la función Administrador del grupo. El rol Administrador del grupo tiene los mismos permisos que la raíz local.

  • Operador de Pool (Operador de Pool). Esta función está diseñada para permitir que el cesionario administre los recursos de todo el grupo, incluida la creación de almacenamiento, la administración de servidores, la administración de parches y la creación de grupos. Los operadores de grupo pueden configurar los recursos del grupo. También tienen acceso completo a las siguientes características: Alta disponibilidad (HA), Equilibrio de carga de trabajo y administración de parches. Los operadores de grupo no pueden agregar usuarios ni modificar roles.
  • Administrador de energía de máquina virtual (VM Power Admin). Este rol tiene acceso completo a VM y administración de plantillas. Pueden elegir dónde iniciar las máquinas virtuales. Tienen acceso completo a las funciones de control de memoria dinámica y a la función de instantánea de VM. Además, pueden configurar el Home Server y elegir dónde ejecutar las cargas de trabajo. La asignación de este rol otorga al cesionario permisos suficientes para aprovisionar máquinas virtuales para el uso del operador de VM.
  • Administrador de máquinas virtuales (VM Admin). Esta función puede administrar máquinas virtuales y plantillas y acceder al almacenamiento necesario para completar estas tareas. Sin embargo, esta función depende de XenServer para elegir dónde ejecutar las cargas de trabajo y debe utilizar la configuración de las plantillas para el control dinámico de memoria y el Home Server. (Este rol no puede tener acceso a las características de control de memoria dinámica, realizar instantáneas, establecer el servidor doméstico o elegir dónde ejecutar las cargas de trabajo.)
  • Operador de máquina virtual (operador de máquina virtual). Esta función puede utilizar las máquinas virtuales de un grupo y administrar su ciclo de vida básico. Los operadores de máquinas virtuales pueden interactuar con las consolas de máquinas virtuales e iniciar o detener máquinas virtuales, siempre que haya suficientes recursos de hardware disponibles. Del mismo modo, los operadores de VM pueden realizar operaciones de inicio y detención del ciclo de vida. La función Operador de VM no puede crear o destruir máquinas virtuales, alterar las propiedades de la máquina virtual o los recursos del servidor.
  • Sólo lectura (sólo lectura). Esta función sólo puede ver el fondo de recursos y los datos de rendimiento.

Para obtener información acerca de los permisos asociados a cada rol, consulteDefiniciones de roles y permisos RBAC. Para obtener información acerca de cómo RBAC calcula qué roles se aplican a un usuario, consulteCálculo de roles RBAC.

Nota: Al crear un nuevo usuario, primero debe asignar un rol al usuario recién creado antes de que pueda usar la cuenta. Tenga en cuenta que XenServer no asigna automáticamente un rol al usuario recién creado.

Actualización desde versiones anteriores de XenServer

La compatibilidad con RBAC se introdujo en XenServer versión 5.6. A las cuentas de usuario creadas en versiones anteriores de XenServer se les asigna la función de Administrador de grupo al actualizar a XenServer versión 5.6 o posterior. Esto se hace por razones de compatibilidad con versiones anteriores. Al actualizar desde versiones anteriores de XenServer, debe volver a visitar el rol asociado a cada cuenta de usuario para asegurarse de que sigue siendo apropiado.