Administración de usuarios

Cuando instala XenServer por primera vez, se agrega automáticamente una cuenta de usuario a XenServer. Esta cuenta es lasuperusuario local (LSU), o raíz, que se autentica localmente por el equipo XenServer. Puede crear usuarios adicionales agregando cuentas de Active Directory desde la ficha Usuarios de XenCenter. (Tenga en cuenta que el término “usuario” se refiere a cualquier persona que tenga una cuenta de XenServer, es decir, a cualquier persona que administre hosts XenServer, independientemente del nivel de su rol.) Si desea tener varias cuentas de usuario en un servidor o un grupo, debe usar cuentas de usuario de Active Directory para la autenticación. Esto permite a los usuarios de XenServer iniciar sesión en los servidores de un grupo utilizando sus credenciales de dominio de Windows.

Nota: Los grupos de autenticación mixta no son compatibles (es decir, no puede tener un grupo en el que algunos servidores del grupo estén configurados para usar Active Directory y otros no).

Al crear un nuevo usuario en XenServer, primero debe asignar un rol al usuario recién creado antes de que pueda usar la cuenta. Tenga en cuenta que XenServer no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tendrán acceso al grupo de XenServer hasta que se les asigne un rol.

Mediante laControl de acceso basado en roles (RBAC)función, puede asignar a las cuentas de Active Directory diferentes niveles de permisos en función del rol del usuario. Si no utiliza Active Directory en su entorno, está limitado a la cuenta LSU.

Autenticación de AD en el entorno XenServer

Aunque XenServers se basan en Linux, XenServer le permite usar cuentas de Active Directory para cuentas de usuario de XenServer. Para ello, pasa las credenciales de Active Directory al controlador de dominio de Active Directory.

Cuando se agregan a XenServer, los usuarios y grupos de Active Directory se convierten en sujetos de XenServer, que generalmente se denominan simplemente usuarios en XenCenter. Cuando un asunto se registra en XenServer, los usuarios/grupos se autentican con Active Directory al iniciar sesión y no necesitan calificar su nombre de usuario con un nombre de dominio.

Para calificar un nombre de usuario, debe introducir el nombre de usuario en formato Nombre de inicio de sesión de nivel inferior, por ejemplo, midominiomiusuario.

Nota: De forma predeterminada, si no califica el nombre de usuario, XenCenter siempre intenta iniciar sesión en los servidores de autenticación de Active Directory mediante el dominio al que está unido actualmente. La excepción a esto es la cuenta LSU, que XenCenter siempre autentica localmente (es decir, en XenServer) primero.

El proceso de autenticación externa funciona de la siguiente manera:

  1. Las credenciales proporcionadas al conectarse a un servidor se pasan al controlador de dominio de Active Directory para la autenticación.
  2. El controlador de dominio comprueba las credenciales. Si no son válidos, la autenticación falla inmediatamente.
  3. Si las credenciales son válidas, se consulta al controlador de Active Directory para obtener el identificador de asunto y la pertenencia al grupo asociados a las credenciales.
  4. Si el identificador del asunto coincide con el almacenado en XenServer, la autenticación se completa correctamente.

Cuando se une a un dominio, se habilita la autenticación de Active Directory para el grupo. Sin embargo, cuando un grupo se une a un dominio, sólo los usuarios de ese dominio (o un dominio con el que tiene relaciones de confianza) pueden conectarse al grupo.

Administración de usuarios