Gérer les utilisateurs

La définition d’utilisateurs, de groupes, de rôles et d’autorisations vous permet de contrôler qui a accès à vos serveurs et pools HASH (0x2e68218) et quelles actions ils peuvent effectuer.

Lorsque vous installez pour la première fois HASH (0x2c1a078), un compte d’utilisateur est ajouté à HASH (0x2c1a078) automatiquement. Ce compte est le super-utilisateur local (LSU), ou racine, que HASH (0x2c1a078) authentifie localement.

Le LSU, ou racine, est un compte d’utilisateur spécial destiné à l’administration du système et dispose de toutes les autorisations. Dans HASH (0x2c1a078), le LSU est le compte par défaut lors de l’installation. HASH (0x2c1a078) authentifie le compte LSU. LSU ne nécessite aucun service d’authentification externe. Si un service d’authentification externe échoue, le LSU peut toujours se connecter et gérer le système. Le LSU peut toujours accéder au serveur physique HASH (0x2c1a078) via SSH.

Vous pouvez créer plus d’utilisateurs en ajoutant les comptes Active Directory via l’onglet Utilisateurs de HASH (0x2e6c8e8) ou l’interface de ligne de commande xe. Si votre environnement n’utilise pas Active Directory, vous êtes limité au compte LSU.

Note :

Lorsque vous créez des utilisateurs, HASH (0x2c1a078) n’affecte pas automatiquement les rôles RBAC des comptes utilisateurs nouvellement créés. Par conséquent, ces comptes n’ont aucun accès au pool HASH (0x2e68218) tant que vous ne leur affectez pas un rôle.

Ces autorisations sont accordées via des rôles, comme indiqué dans la section Authentification des utilisateurs avec Active Directory (AD) .

Authentification des utilisateurs avec Active Directory (AD)

Si vous souhaitez disposer de plusieurs comptes d’utilisateurs sur un serveur ou un pool, vous devez utiliser des comptes d’utilisateurs Active Directory pour l’authentification. Les comptes AD permettent aux utilisateurs HASH (0x2c1a078) de se connecter à un pool à l’aide de leurs informations d’identification de domaine Windows.

Vous pouvez configurer différents niveaux d’accès pour des utilisateurs spécifiques en activant l’authentification Active Directory, en ajoutant des comptes d’utilisateurs et en affectant des rôles à ces comptes.

Les utilisateurs Active Directory peuvent utiliser l’interface de ligne de commande xe (en passant les-u arguments appropriés-pw et appropriés) et se connecter à l’hôte à l’aide de HASH (0x2e6c8e8). L’authentification se fait par pool de ressources.

Les sujets contrôlent l’accès aux comptes d’utilisateurs. Un sujet dans HASH (0x2c1a078) mappe à une entité sur votre serveur d’annuaire (utilisateur ou groupe). Lorsque vous activez l’authentification externe, HASH (0x2c1a078) vérifie les informations d’identification utilisées pour créer une session par rapport aux informations d’identification racine locales (au cas où votre serveur d’annuaire n’est pas disponible), puis par rapport à la liste d’objets. Pour autoriser l’accès, créez une entrée d’objet pour la personne ou le groupe auquel vous souhaitez accorder l’accès. Vous pouvez utiliser HASH (0x2e6c8e8) ou l’interface de ligne de commande xe pour créer une entrée d’objet.

Si vous êtes familier avec HASH (0x2e6c8e8), notez que l’interface de ligne de commande HASH (0x2c1a078) utilise une terminologie légèrement différente pour faire référence à Active Directory et aux fonctionnalités du compte utilisateur : HASH (0x2e6c8e8) Term HASH (0x2c1a078) CLI Term Utilisateurs Sujets Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs Ajouter des utilisateurs

Même si HASH (0x2c1a078) est basé sur Linux, HASH (0x2c1a078) vous permet d’utiliser des comptes Active Directory pour les comptes utilisateur HASH (0x2c1a078). Pour ce faire, il transmet les informations d’identification Active Directory au contrôleur de domaine Active Directory.

Lorsque vous ajoutez Active Directory à HASH (0x2c1a078), les utilisateurs et groupes Active Directory deviennent des sujets HASH (0x2c1a078). Les sujets sont appelés utilisateurs dans HASH (0x2e6c8e8). Les utilisateurs/groupes sont authentifiés à l’aide d’Active Directory lors de l’ouverture de session lorsque vous enregistrez un sujet avec HASH (0x2c1a078). Les utilisateurs et les groupes n’ont pas besoin de qualifier leur nom d’utilisateur à l’aide d’un nom de domaine.

Pour qualifier un nom d’utilisateur, vous devez taper le nom d’utilisateur au format Nom, par exemple,mydomain\myuser.

Note :

Par défaut, si vous n’avez pas qualifié le nom d’utilisateur, HASH (0x2e6c8e8) tente de se connecter aux utilisateurs aux serveurs d’authentification AD à l’aide du domaine auquel il est joint. L’exception est le compte LSU, que HASH (0x2e6c8e8) authentifie toujours localement (c’est-à-dire sur le HASH (0x2c1a078)) en premier.

Le processus d’authentification externe fonctionne comme suit :

  1. Les informations d’identification fournies lors de la connexion à un serveur sont transmises au contrôleur de domaine Active Directory pour authentification.

  2. Le contrôleur de domaine vérifie les informations d’identification. S’ils ne sont pas valides, l’authentification échoue immédiatement.

  3. Si les informations d’identification sont valides, le contrôleur Active Directory est interrogé pour obtenir l’identificateur de sujet et l’appartenance au groupe associés aux informations d’identification.

  4. Si l’identificateur de sujet correspond à celui stocké dans le HASH (0x2c1a078), l’authentification réussit.

Lorsque vous rejoignez un domaine, vous activez l’authentification Active Directory pour le pool. Toutefois, lorsqu’un pool joint un domaine, seuls les utilisateurs de ce domaine (ou un domaine avec lequel il a des relations d’approbation) peuvent se connecter au pool.

Note :

La mise à jour manuelle de la configuration DNS d’un PIF réseau configuré par DHCP n’est pas prise en charge et peut entraîner l’échec de l’intégration AD, et donc l’authentification utilisateur, ou cesser de fonctionner.

Configurer l’authentification Active Directory

HASH (0x2c1a078) prend en charge l’utilisation des serveurs Active Directory à l’aide de Windows 2008 ou version ultérieure.

Pour authentifier Active Directory pour les serveurs HASH (0x2e68218), vous devez utiliser le même serveur DNS pour le serveur Active Directory (configuré pour permettre l’interopérabilité) et le serveur HASH (0x2e68218). Dans certaines configurations, le serveur Active Directory peut fournir le DNS lui-même. Cela peut être réalisé en utilisant DHCP pour fournir l’adresse IP et une liste de serveurs DNS au serveur HASH (0x2e68218). Vous pouvez également définir les valeurs dans les objets PIF ou utiliser le programme d’installation lorsqu’une configuration statique manuelle est utilisée.

Nous vous recommandons d’activer DHCP pour attribuer des noms d’hôtes. N’affectez pas les noms d’hôtelocalhost oulinux les hôtes.

Avertissement :

Les noms de serveur HASH (0x2e68218) doivent être uniques tout au long du déploiement HASH (0x2c1a078).

Notez ce qui suit :

  • HASH (0x2c1a078) étiquette son entrée AD sur la base de données AD à l’aide de son nom d’hôte. Si deux serveurs HASH (0x2e68218) avec le même nom d’hôte sont joints au même domaine AD, le second HASH (0x2e68218) remplace l’entrée AD du premier HASH (0x2e68218). Le remplacement se produit que les hôtes appartiennent à des pools identiques ou différents. Cela peut entraîner l’authentification AD sur le premier HASH (0x2e68218) à cesser de fonctionner.

    Vous pouvez utiliser le même nom d’hôte dans deux serveurs HASH (0x2e68218), à condition qu’ils rejoignent différents domaines AD.

  • Les serveurs HASH (0x2e68218) peuvent être dans différents fuseaux horaires, car c’est l’heure UTC qui est comparée. Pour vous assurer que la synchronisation est correcte, vous pouvez utiliser les mêmes serveurs NTP pour votre pool HASH (0x2e68218) et le serveur Active Directory.

  • Les pools d’authentification mixte ne sont pas pris en charge. Vous ne pouvez pas avoir de pool dans lequel certains serveurs du pool sont configurés pour utiliser Active Directory et d’autres ne le sont pas).

  • L’intégration HASH (0x2c1a078) Active Directory utilise le protocole Kerberos pour communiquer avec les serveurs Active Directory. Par conséquent, HASH (0x2c1a078) ne prend pas en charge la communication avec les serveurs Active Directory qui n’utilisent pas Kerberos.

  • Pour que l’authentification externe à l’aide d’Active Directory réussisse, les horloges de vos serveurs HASH (0x2e68218) doivent être synchronisées avec les horloges de votre serveur Active Directory. Lorsque HASH (0x2e68218) joint le domaine Active Directory, la synchronisation est vérifiée et l’authentification échoue s’il y a trop d’inclinaison entre les serveurs.

Avertissement :

Les noms d’hôte ne doivent pas comporter plus de 63 caractères alphanumériques et ne doivent pas être purement numériques.

Lorsque vous ajoutez un serveur à un pool après avoir activé l’authentification Active Directory, vous êtes invité à configurer Active Directory sur le serveur qui rejoint le pool. Lorsque vous êtes invité à entrer des informations d’identification sur le serveur de jonction, tapez les informations d’identification Active Directory avec des privilèges suffisants pour ajouter des serveurs à ce domaine.

Intégration Active Directory

Assurez-vous que les ports de pare-feu suivants sont ouverts pour le trafic sortant afin que HASH (0x2e68218) puisse accéder aux contrôleurs de domaine.

Port Protocole Utilise
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP Service de noms NetBIOS
139 TCP Session NetBIOS (SMB)
389 UDP/TCP LDAP
445 TCP SMB sur TCP
464 UDP/TCP Modifications du mot de passe de la machine
3268 TCP Recherche de catalogue global

Remarques :

  • Pour afficher les règles de pare-feu sur un ordinateur Linux à l’aide d’ iptables, exécutez la commande suivante :iptables - nL.
  • HASH (0x2c1a078) utilise PowerBroker Identity Services (PBIS) pour authentifier l’utilisateur AD dans le serveur AD et pour chiffrer les communications avec le serveur AD.

Comment HASH (0x2c1a078) gère-t-il le mot de passe du compte de machine pour l’intégration AD ?

Comme pour les machines clientes Windows, PBIS met automatiquement à jour le mot de passe du compte de machine. PBIS renouvelle le mot de passe tous les 30 jours ou tel que spécifié dans la stratégie de renouvellement du mot de passe du compte d’ordinateur dans le serveur AD.

Activer l’authentification externe sur un pool

L’authentification externe à l’aide d’Active Directory peut être configurée à l’aide de HASH (0x2e6c8e8) ou de l’interface de ligne de commande à l’aide de la commande suivante.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password

L’utilisateur spécifié doit avoir unAdd/remove computer objects or workstations privilège, qui est la valeur par défaut pour les administrateurs de domaine.

Si vous n’utilisez pas DHCP sur le réseau utilisé par Active Directory et vos serveurs HASH (0x2e68218), utilisez les approches suivantes pour configurer votre DNS :

  1. Configurez votre ordre de recherche de suffixe DNS de domaine pour résoudre les entrées non-FQDN :

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    
  2. Configurez le serveur DNS à utiliser sur vos serveurs HASH (0x2e68218) :

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    
  3. Définissez manuellement l’interface de gestion pour qu’elle utilise un PIF qui se trouve sur le même réseau que votre serveur DNS :

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    

Note :

L’authentification externe est une propriété par hôte. Toutefois, nous vous recommandons d’activer et de désactiver l’authentification externe par pool. Un paramètre par pool permet à HASH (0x2c1a078) de gérer les échecs qui se produisent lors de l’activation de l’authentification sur un hôte particulier. HASH (0x2c1a078) annule également toutes les modifications qui peuvent être nécessaires, assurant une configuration cohérente dans le pool. Utilisez lahost-param-list commande pour inspecter les propriétés d’un hôte et pour déterminer l’état de l’authentification externe en vérifiant les valeurs des champs pertinents.

Utilisez HASH (0x2e6c8e8) pour désactiver l’authentification Active Directory ou la commande xe suivante :

xe pool-disable-external-auth

Authentification utilisateur

Pour autoriser un utilisateur à accéder à votre serveur HASH (0x2e68218), vous devez ajouter un sujet pour cet utilisateur ou un groupe dans lequel il se trouve. (Les appartenances de groupes transitifs sont également vérifiées de la manière normale. Par exemple, ajouter un sujet pour le groupeA, où groupeAcontient un groupeBetuser 1est membre du groupe Bpermettrait l'accès àuser 1 .) Si vous souhaitez gérer les autorisations utilisateur dans Active Directory, vous pouvez créer un groupe unique que vous ajoutez et supprimez ensuite des utilisateurs à partir de. Vous pouvez également ajouter et supprimer des utilisateurs individuels de HASH (0x2c1a078), ou une combinaison d’utilisateurs et de groupes selon vos exigences d’authentification. Vous pouvez gérer la liste d’objets à partir de HASH (0x2e6c8e8) ou à l’aide de l’interface de ligne de commande, comme décrit dans la section suivante.

Lors de l’authentification d’un utilisateur, les informations d’identification sont d’abord vérifiées par rapport au compte racine local, ce qui vous permet de récupérer un système dont le serveur AD a échoué. Si les informations d’identification (nom d’utilisateur et mot de passe) ne correspondent pas, une demande d’authentification est envoyée au serveur AD. Si l’authentification réussit, les informations de l’utilisateur sont récupérées et validées par rapport à la liste locale des sujets. L’accès est refusé si l’authentification échoue. La validation par rapport à la liste d’objets réussit si l’utilisateur ou un groupe dans l’appartenance au groupe transitif de l’utilisateur se trouve dans la liste d’objets.

Note :

Lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs Administrateur de pool qui ont besoin d’un accès ssh hôte, le nombre d’utilisateurs dans le groupe Active Directory ne doit pas dépasser 500.

Pour ajouter un objet AD à HASH (0x2c1a078) :

xe subject-add subject-name=entity_name

Le nom_entité est le nom de l’utilisateur ou du groupe auquel vous souhaitez accorder l’accès. Vous pouvez inclure le domaine de l’entité (par exemple, ‘xendt\user1’ par opposition à ‘user1’) bien que le comportement soit le même, sauf si la désambiguïsation est requise.

Recherchez l’identificateur de sujet de l’utilisateur. L’identificateur est l’utilisateur ou le groupe contenant l’utilisateur. La suppression d’un groupe supprime l’accès à tous les utilisateurs de ce groupe, à condition qu’ils ne soient pas également spécifiés dans la liste des sujets. Utilisez lasubject list commande pour rechercher l’identificateur de sujet de l’utilisateur.  :

xe subject-list

Cette commande renvoie une liste de tous les utilisateurs.

Pour appliquer un filtre à la liste, par exemple pour rechercher l’identificateur de sujet d’un utilisateuruser1 dans letestad domaine, utilisez la commande suivante :

xe subject-list other-config:subject-name='testad\user1'

Supprimez l’utilisateur à l’aide de lasubject-remove commande, en passant l’identifiant de sujet que vous avez appris à l’étape précédente :

xe subject-remove subject-uuid=subject_uuid

Vous pouvez terminer toute session en cours que cet utilisateur a déjà authentifié. Pour plus d’informations, voir Terminer toutes les sessions authentifiées à l’aide de xe et Terminer des sessions utilisateur individuelles à l’aide de xe dans la section suivante. Si vous ne terminez pas les sessions, les utilisateurs ayant des autorisations révoquées peuvent continuer à accéder au système jusqu’à ce qu’ils se déconnectent.

Exécutez la commande suivante pour identifier la liste des utilisateurs et groupes autorisés à accéder à votre serveur ou pool HASH (0x2e68218) :

xe subject-list

Supprimer l’accès d’un utilisateur

Lorsqu’un utilisateur est authentifié, il peut accéder au serveur jusqu’à ce qu’il termine sa session ou qu’un autre utilisateur termine sa session. La suppression d’un utilisateur de la liste d’objets ou leur suppression d’un groupe qui se trouve dans la liste d’objets ne révoque pas automatiquement les sessions déjà authentifiées de l’utilisateur. Les utilisateurs peuvent continuer à accéder au pool à l’aide de HASH (0x2e6c8e8) ou d’autres sessions d’API qu’ils ont déjà créées. HASH (0x2e6c8e8) et l’interface de ligne de commande fournissent des moyens pour terminer des sessions individuelles ou toutes les sessions actives avec force. Consultez l’aide HASH (0x2e6c8e8) pour plus d’informations sur les procédures utilisant HASH (0x2e6c8e8) ou la section suivante pour les procédures utilisant l’interface de ligne de commande.

Terminer toutes les sessions authentifiées à l’aide de xe

Exécutez la commande CLI suivante pour terminer toutes les sessions authentifiées à l’aide de xe :

xe session-subject-identifier-logout-all

Terminer des sessions utilisateur individuelles à l’aide de xe

  1. Déterminez l’identificateur d’objet dont vous souhaitez vous déconnecter de la session. Utilisez les commandessession-subject-identifier-list ousubject-list xe pour trouver l’identificateur de sujet. La première commande affiche les utilisateurs qui ont des sessions. La deuxième commande affiche tous les utilisateurs, mais peut être filtrée. Par exemple, en utilisant une commande commexe subject-list other-config:subject-name=xendt\\user1. Vous pouvez avoir besoin d’une double barre oblique inverse comme indiqué en fonction de votre shell).

  2. Utilisez lasession-subject-logout commande en passant l’identificateur de sujet que vous avez déterminé à l’étape précédente en tant que paramètre, par exemple :

    xe session-subject-identifier-logout subject-identifier=subject_id
    

Laisser un domaine AD

Avertissement :

Lorsque vous quittez le domaine (c’est-à-dire, désactivez l’authentification Active Directory et déconnectez un pool ou un serveur de son domaine), tous les utilisateurs qui se sont authentifiés au pool ou au serveur avec des informations d’identification Active Directory sont déconnectés.

Utilisez HASH (0x2e6c8e8) pour quitter un domaine AD. Consultez l’aide HASH (0x2e6c8e8) pour plus d’informations. Exécutez alternativement lapool-disable-external-auth commande, en spécifiant le pool uuid si nécessaire.

Note :

Le fait de quitter le domaine ne supprime pas les objets hôtes de la base de données AD. Pour plus d’informations sur la suppression d’entrées d’hôte désactivées, reportez-vous à la sectionArticle du support technique Microsoft.