XenCenter

Introducción al control de acceso basado en roles

La función Control de acceso basado en roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos de Active Directory. Estos permisos controlan el nivel de acceso que los administradores de Citrix Hypervisor tienen a los servidores y grupos. RBAC se configura e implementa en el nivel del grupo. Dado que los usuarios adquieren permisos a través de su rol asignado, asigne un rol a un usuario o a su grupo para otorgarles los permisos necesarios.

Uso de cuentas de Active Directory para cuentas de usuario de Citrix Hypervisor

RBAC le permite restringir las operaciones que pueden realizar diferentes grupos de usuarios. Este control reduce la probabilidad de que usuarios inexpertos realicen cambios accidentales desastrosos. La asignación de roles RBAC también ayuda a evitar cambios no autorizados en los grupos de recursos por razones de cumplimiento. Para facilitar el cumplimiento y la auditoría, RBAC también proporciona una función de registro de auditoría y su correspondiente informe de seguimiento de auditoría del grupo de equilibrio de carga de trabajo. Para obtener más información, consulte Cambios de auditoría.

Los usuarios se asignan a roles. Las funciones se asignan a un conjunto de permisos.

RBAC depende de Active Directory para los servicios de autenticación. Específicamente, Citrix Hypervisor mantiene una lista de usuarios autorizados basada en cuentas de usuario y grupo de Active Directory. Como resultado, debe unir el grupo al dominio y agregar cuentas de Active Directory antes de poder asignar roles.

Proceso RBAC

El proceso estándar para implementar RBAC y asignar un rol a un usuario o grupo consta de los siguientes pasos:

  1. Únete al dominio.
  2. Agregar un usuario o grupo de Active Directorya el grupo.
  3. Asignar( o modificar) el rol RBAC del usuario o grupo.

Superusuario local

El superusuario local (LSU), o root, es una cuenta de usuario especial utilizada para la administración del sistema y tiene todos los derechos o permisos. En Citrix Hypervisor, el superusuario local es la cuenta predeterminada en la instalación. Citrix Hypervisor autentica la LSU y no un servicio de autenticación externo. Si falla el servicio de autenticación externa, la LSU aún puede iniciar sesión y administrar el sistema. La LSU siempre puede acceder al servidor físico de Citrix Hypervisor a través de SSH.

RBAC roles

Citrix Hypervisor incluye seis roles preestablecidos diseñados para alinearse con diferentes funciones de una organización de TI.

  • Administrador de grupo (Administrador de grupo). Este rol es el rol más poderoso disponible. Los administradores del grupo tienen acceso completo a todas las funciones y configuraciones de Citrix Hypervisor. Pueden realizar todas las operaciones, incluida la administración de roles y usuarios. Pueden conceder acceso a la consola de Citrix Hypervisor. Como práctica recomendada, Citrix recomienda asignar este rol a un número limitado de usuarios.

    Nota:

    El superusuario local (root) siempre tiene la función Administrador de grupo. La función Administrador de grupo tiene los mismos permisos que la raíz local.

  • Operador depiscina (operador de piscina). Este rol está diseñado para permitir que el cesionario administre los recursos de todo el grupo. Las acciones de administración incluyen la creación de almacenamiento, la administración de servidores, la administración de parches y la creación de grupos. Los operadores de grupo pueden configurar los recursos del grupo. También tienen acceso completo a las siguientes funciones: alta disponibilidad, equilibrio de carga de trabajo y administración de parches. Los operadores de grupo no pueden agregar usuarios ni modificar roles.
  • Administrador de energía de máquina virtual (VM Power Admin). Este rol tiene acceso completo a la administración de VM y plantillas. Pueden elegir dónde iniciar las máquinas virtuales. Tienen acceso completo a las funciones de control de memoria dinámica y a la función de instantánea de VM. Además, pueden configurar el servidor doméstico y elegir dónde ejecutar las cargas de trabajo. La asignación de este rol otorga al asignado permisos suficientes para aprovisionar máquinas virtuales para el uso del operador de VM.
  • Administrador de máquina virtual (Administrador de VM). Este rol puede administrar máquinas virtuales y plantillas y acceder al almacenamiento necesario para completar estas tareas. Sin embargo, esta función depende de Citrix Hypervisor para elegir dónde ejecutar las cargas de trabajo y debe utilizar la configuración de las plantillas para el control de memoria dinámica y el servidor doméstico. (Esta función no puede tener acceso a las funciones de control de memoria dinámica, realizar instantáneas, establecer el servidor doméstico ni elegir dónde ejecutar las cargas de trabajo.)
  • Operador de máquina virtual (Operador de máquina virtual). Esta función puede utilizar las máquinas virtuales de un grupo y administrar su ciclo de vida básico. Los operadores de máquinas virtuales pueden interactuar con las consolas de máquinas virtuales e iniciar o detener máquinas virtuales, siempre que haya suficientes recursos de hardware disponibles. Del mismo modo, los operadores de VM pueden realizar operaciones de inicio y detención del ciclo de vida. La función Operador de VM no puede crear ni destruir máquinas virtuales, alterar las propiedades de VM ni los recursos del servidor.
  • Solo lectura (solo lectura). Esta función solo puede ver el agrupación de recursos y los datos de rendimiento.

Para obtener información acerca de los permisos asociados a cada rol, consulteDefiniciones de roles y permisos RBAC. Para obtener información sobre cómo RBAC calcula qué roles se aplican a un usuario, consulteCálculo de roles RBAC.

Nota:

Al crear un usuario, primero debe asignar un rol al usuario recién creado antes de que pueda usar la cuenta. Citrix Hypervisor no asigna automáticamente un rol al usuario recién creado.

Introducción al control de acceso basado en roles