Citrix Hypervisor

Gérer les utilisateurs

La définition d’utilisateurs, de groupes, de rôles et d’autorisations vous permet de contrôler qui a accès à vos serveurs et pools Citrix Hypervisor et quelles actions ils peuvent effectuer.

Lorsque vous installez Citrix Hypervisor pour la première fois, un compte d’utilisateur est automatiquement ajouté à Citrix Hypervisor. Ce compte est le super utilisateur local (LSU), ou racine, que Citrix Hypervisor authentifie localement.

Le LSU, ou root, est un compte d’utilisateur spécial destiné à l’administration du système et possède toutes les autorisations. Dans Citrix Hypervisor, le LSU est le compte par défaut lors de l’installation. Citrix Hypervisor authentifie le compte LSU. Le LSU ne nécessite aucun service d’authentification externe. Si un service d’authentification externe échoue, le LSU peut toujours se connecter et gérer le système. Le LSU peut toujours accéder au serveur physique Citrix Hypervisor via SSH.

Vous pouvez créer davantage d’utilisateurs en ajoutant les comptes Active Directory via l’onglet Utilisateurs de XenCenter ou l’interface de ligne de commande xe. Si votre environnement n’utilise pas Active Directory, vous êtes limité au compte LSU.

Remarque :

Lorsque vous créez des utilisateurs, Citrix Hypervisor n’attribue pas automatiquement les rôles RBAC des comptes d’utilisateurs nouvellement créés. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur avez pas attribué un rôle.

Ces autorisations sont accordées par le biais de rôles, comme indiqué dans la section Authentification des utilisateurs auprès d’Active Directory (AD) .

Authentification des utilisateurs avec Active Directory (AD)

Si vous souhaitez disposer de plusieurs comptes d’utilisateurs sur un serveur ou un pool, vous devez utiliser des comptes d’utilisateurs Active Directory pour l’authentification. Les comptes AD permettent aux utilisateurs de Citrix Hypervisor de se connecter à un pool à l’aide de leurs informations d’identification de domaine Windows.

Remarque :

Vous pouvez activer la liaison de canal LDAP et la signature LDAP sur vos contrôleurs de domaine AD. Pour plus d’informations, consultez Avis de sécurité Microsoft.

Vous pouvez configurer différents niveaux d’accès pour des utilisateurs spécifiques en activant l’authentification Active Directory, en ajoutant des comptes d’utilisateurs et en affectant des rôles à ces comptes.

Les utilisateurs Active Directory peuvent utiliser l’interface de ligne de commande xe (en transmettant les arguments -u et -pw appropriés) et également se connecter à l’hôte à l’aide de XenCenter. L’authentification est effectuée par pool de ressources.

Les sujets contrôlent l’accès aux comptes d’utilisateurs. Un objet dans Citrix Hypervisor est mappé à une entité sur votre serveur d’annuaire (un utilisateur ou un groupe). Lorsque vous activez l’authentification externe, Citrix Hypervisor vérifie les informations d’identification utilisées pour créer une session par rapport aux informations d’identification racine locale, puis par rapport à la liste des sujets. Pour autoriser l’accès, créez un sujet pour la personne ou le groupe auquel vous souhaitez accorder l’accès. Vous pouvez utiliser XenCenter ou l’interface de ligne de commande xe pour créer une entrée d’objet.

Si vous connaissez XenCenter, notez que l’interface de ligne de commande Citrix Hypervisor utilise une terminologie légèrement différente pour désigner les fonctionnalités d’Active Directory et de compte d’utilisateur : XenCenter Term Citrix Hypervisor CLI Terme Utilisateurs Sujets Ajouter des utilisateurs Ajouter des sujets

Même si Citrix Hypervisor est basé sur Linux, Citrix Hypervisor vous permet d’utiliser des comptes Active Directory pour les comptes d’utilisateurs Citrix Hypervisor. Pour ce faire, il transmet les informations d’identification Active Directory au contrôleur de domaine Active Directory.

Lorsque vous ajoutez Active Directory à Citrix Hypervisor, les utilisateurs et les groupes Active Directory deviennent des sujets Citrix Hypervisor. Les sujets sont appelés utilisateurs dans XenCenter. Les utilisateurs/groupes sont authentifiés à l’aide d’Active Directory lors de l’ouverture de session lorsque vous inscrivez un sujet auprès de Citrix Hypervisor. Les utilisateurs et les groupes n’ont pas besoin de qualifier leur nom d’utilisateur à l’aide d’un nom de domaine.

Pour qualifier un nom d’utilisateur, vous devez saisir le nom d’utilisateur au format Nom de connexion de bas niveau, par exemple, mydomain\myuser.

Remarque :

Par défaut, si vous n’avez pas qualifié le nom d’utilisateur, XenCenter tente de connecter les utilisateurs aux serveurs d’authentification AD à l’aide du domaine auquel il est joint. L’exception est le compte LSU, que XenCenter authentifie toujours localement (c’est-à-dire sur Citrix Hypervisor) en premier.

Le processus d’authentification externe fonctionne comme suit :

  1. Les informations d’identification fournies lors de la connexion à un serveur sont transmises au contrôleur de domaine Active Directory pour authentification.

  2. Le contrôleur de domaine vérifie les informations d’identification. S’ils ne sont pas valides, l’authentification échoue immédiatement.

  3. Si les informations d’identification sont valides, le contrôleur Active Directory est interrogé pour obtenir l’identifiant du sujet et l’appartenance au groupe associés aux informations d’identification.

  4. Si l’identifiant du sujet correspond à celui stocké dans Citrix Hypervisor, l’authentification réussit.

Lorsque vous rejoignez un domaine, vous activez l’authentification Active Directory pour le pool. Toutefois, lorsqu’un pool rejoint un domaine, seuls les utilisateurs de ce domaine (ou d’un domaine avec lequel il entretient des relations d’approbation) peuvent se connecter au pool.

Remarque :

La mise à jour manuelle de la configuration DNS d’un PIF réseau configuré par DHCP n’est pas prise en charge et peut entraîner l’échec ou l’arrêt du fonctionnement de l’intégration d’AD, et donc de l’authentification de l’utilisateur.

Configurer l’authentification Active Directory

Citrix Hypervisor prend en charge l’utilisation de serveurs Active Directory sous Windows 2008 ou version ultérieure.

Pour authentifier Active Directory pour les serveurs Citrix Hypervisor, vous devez utiliser le même serveur DNS à la fois pour le serveur Active Directory (configuré pour permettre l’interopérabilité) et le serveur Citrix Hypervisor. Dans certaines configurations, le serveur Active Directory peut fournir le DNS lui-même. Cela peut être réalisé en utilisant DHCP pour fournir l’adresse IP et une liste de serveurs DNS au serveur Citrix Hypervisor. Vous pouvez également définir les valeurs dans les objets PIF ou utiliser le programme d’installation lorsqu’une configuration statique manuelle est utilisée.

Nous vous recommandons d’activer DHCP pour attribuer des noms d’hôte. N’attribuez pas les noms d’hôte localhost ni linux aux hôtes.

Avertissement :

Les noms des serveurs Citrix Hypervisor doivent être uniques tout au long du déploiement Citrix Hypervisor.

Tenez compte de ce qui suit :

  • Citrix Hypervisor étiquette son entrée AD sur la base de données AD à l’aide de son nom d’hôte. Si deux serveurs Citrix Hypervisor portant le même nom d’hôte sont joints au même domaine AD, le deuxième Citrix Hypervisor remplace l’entrée AD du premier Citrix Hypervisor. L’écrasement se produit indépendamment du fait que les hôtes appartiennent au même pool ou à des pools différents. Cela peut entraîner l’arrêt de l’authentification AD sur le premier Citrix Hypervisor.

    Vous pouvez utiliser le même nom d’hôte sur deux serveurs Citrix Hypervisor, à condition qu’ils rejoignent des domaines AD différents.

  • Les serveurs Citrix Hypervisor peuvent se trouver dans différents fuseaux horaires, car c’est l’heure UTC qui est comparée. Pour vous assurer que la synchronisation est correcte, vous pouvez utiliser les mêmes serveurs NTP pour votre pool Citrix Hypervisor et le serveur Active Directory.

  • Les pools à authentification mixte ne sont pas pris en charge. Vous ne pouvez pas avoir un pool dans lequel certains serveurs du pool sont configurés pour utiliser Active Directory et d’autres non).

  • L’intégration Citrix Hypervisor Active Directory utilise le protocole Kerberos pour communiquer avec les serveurs Active Directory. Par conséquent, Citrix Hypervisor ne prend pas en charge la communication avec les serveurs Active Directory qui n’utilisent pas Kerberos.

  • Pour que l’authentification externe à l’aide d’Active Directory soit réussie, les horloges de vos serveurs Citrix Hypervisor doivent être synchronisées avec celles de votre serveur Active Directory. Lorsque Citrix Hypervisor rejoint le domaine Active Directory, la synchronisation est vérifiée et l’authentification échoue s’il y a trop de biais entre les serveurs.

Avertissement :

Les noms d’hôtes ne doivent pas comporter plus de 63 caractères alphanumériques et ne doivent pas être purement numériques.

Lorsque vous ajoutez un serveur à un pool après avoir activé l’authentification Active Directory, vous êtes invité à configurer Active Directory sur le serveur qui rejoint le pool. Lorsque vous êtes invité à entrer des informations d’identification sur le serveur de jonction, saisissez les informations d’identification Active Directory avec des privilèges suffisants pour ajouter des serveurs à ce domaine.

Intégration d’Active Directory

Assurez-vous que les ports de pare-feu suivants sont ouverts pour le trafic sortant afin que Citrix Hypervisor puisse accéder aux contrôleurs de domaine.

Port Protocole Utiliser
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP Service de noms NetBIOS
139 TCP Session NetBIOS (SMB)
389 UDP/TCP LDAP
445 TCP SMB sur TCP
464 UDP/TCP Changements de mot de passe
636 UDP/TCP LDAP sur SSL
3268 TCP Recherche dans le catalogue global

Pour plus d’informations, consultez Ports de communication utilisés par les technologies Citrix.

Remarques :

  • Pour afficher les règles de pare-feu sur un ordinateur Linux à l’aide d’ iptables, exécutez la commande suivante : iptables -nL.
  • Citrix Hypervisor utilise PowerBroker Identity Services (PBIS) pour authentifier l’utilisateur AD sur le serveur AD et pour chiffrer les communications avec le serveur AD.

Comment Citrix Hypervisor gère-t-il le mot de passe du compte de machine pour l’intégration AD ?

Comme pour les machines clientes Windows, PBIS met automatiquement à jour le mot de passe du compte de machine. PBIS renouvelle le mot de passe tous les 30 jours, ou conformément à la politique de renouvellement du mot de passe du compte machine sur le serveur AD.

Activer l’authentification externe sur un pool

L’authentification externe utilisant Active Directory peut être configurée à l’aide de XenCenter ou de l’interface de ligne de commande à l’aide de la commande suivante.

xe pool-enable-external-auth auth-type=AD \
  service-name=full-qualified-domain \
  config:user=username \
  config:pass=password
<!--NeedCopy-->

L’utilisateur spécifié doit disposer de Add/remove computer objects or workstations privilèges, ce qui est le privilège par défaut pour les administrateurs de domaine.

Si vous n’utilisez pas DHCP sur le réseau utilisé par Active Directory et vos serveurs Citrix Hypervisor, utilisez les approches suivantes pour configurer votre DNS :

  1. Configurez l’ordre de recherche du suffixe DNS de votre domaine pour résoudre les entrées non FQDN :

    xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
       "other-config:domain=suffix1.com suffix2.com suffix3.com"
    <!--NeedCopy-->
    
  2. Configurez le serveur DNS à utiliser sur vos serveurs Citrix Hypervisor :

    xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
      gateway=gateway netmask=netmask uuid=uuid
    <!--NeedCopy-->
    
  3. Configurez manuellement l’interface de gestion pour utiliser un PIF qui se trouve sur le même réseau que votre serveur DNS :

    xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
    <!--NeedCopy-->
    

Remarque :

L’authentification externe est une propriété par hôte. Toutefois, nous vous recommandons d’activer et de désactiver l’authentification externe par pool. Un paramètre par pool permet à Citrix Hypervisor de gérer les échecs qui se produisent lors de l’activation de l’authentification sur un hôte particulier. Citrix Hypervisor annule également toutes les modifications qui peuvent être nécessaires, garantissant ainsi une configuration cohérente dans l’ensemble du pool. Utilisez la commande host-param-list pour inspecter les propriétés d’un hôte et déterminer l’état de l’authentification externe en vérifiant les valeurs des champs appropriés.

Utilisez XenCenter pour désactiver l’authentification Active Directory ou la commande xe suivante :

xe pool-disable-external-auth
<!--NeedCopy-->

Authentification utilisateur

Pour autoriser un utilisateur à accéder à votre serveur Citrix Hypervisor, vous devez ajouter un objet pour cet utilisateur ou un groupe dont il fait partie. (Les appartenances aux groupes transitifs sont également vérifiées normalement. Par exemple, l’ajout d’un sujet pour un groupe A, où le groupe A contient le groupe B et user 1 est membre du groupe B autoriserait l’accès à user 1.) Si vous souhaitez gérer les autorisations des utilisateurs dans Active Directory, vous pouvez créer un groupe unique auquel vous pouvez ensuite ajouter et supprimer des utilisateurs vers/depuis. Vous pouvez également ajouter et supprimer des utilisateurs individuels de Citrix Hypervisor, ou une combinaison d’utilisateurs et de groupes selon vos besoins d’authentification. Vous pouvez gérer la liste des sujets à partir de XenCenter ou à l’aide de l’interface de ligne de commande comme décrit dans la section suivante.

Lors de l’authentification d’un utilisateur, les informations d’identification sont d’abord vérifiées par rapport au compte racine local, ce qui vous permet de récupérer un système dont le serveur AD est en panne. Si les informations d’identification (nom d’utilisateur et mot de passe) ne correspondent pas, une demande d’authentification est envoyée au serveur AD. Si l’authentification est réussie, les informations de l’utilisateur sont récupérées et validées par rapport à la liste des sujets locaux. L’accès est refusé en cas d’échec de l’authentification. La validation par rapport à la liste d’objets aboutit si l’utilisateur ou un groupe faisant partie de l’appartenance au groupe transitif de l’utilisateur figure dans la liste d’objets.

Remarque :

Lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs Administrateur de pool qui ont besoin d’un accès SSH hôte, la taille du groupe AD ne doit pas dépasser 500 utilisateurs.

Pour ajouter un objet AD à Citrix Hypervisor :

xe subject-add subject-name=entity_name
<!--NeedCopy-->

Le nom_entité est le nom de l’utilisateur ou du groupe auquel vous souhaitez accorder l’accès. Vous pouvez inclure le domaine de l’entité (par exemple, « xendt \ user1 » par opposition à « utilisateur1 ») bien que le comportement soit le même sauf si une désambiguïsation est requise.

Trouvez l’identifiant du sujet de l’utilisateur. L’identifiant est l’utilisateur ou le groupe contenant l’utilisateur. La suppression d’un groupe supprime l’accès à tous les utilisateurs de ce groupe, à condition qu’ils ne soient pas également spécifiés dans la liste des sujets. Utilisez la commande subject list pour rechercher l’identifiant du sujet de l’utilisateur. :

xe subject-list
<!--NeedCopy-->

Cette commande renvoie la liste de tous les utilisateurs.

Pour appliquer un filtre à la liste, par exemple pour rechercher l’identificateur de sujet d’un utilisateur user1 du domaine testad, utilisez la commande suivante :

xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->

Supprimez l’utilisateur à l’aide de la commande subject-remove, en transmettant l’identifiant de sujet que vous avez appris à l’étape précédente :

xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->

Vous pouvez mettre fin à n’importe quelle session en cours que cet utilisateur a déjà authentifiée. Pour plus d’informations, consultez Arrêt de toutes les sessions authentifiées à l’aide de xe et Arrêt de sessions utilisateur individuelles à l’aide de xe dans la section suivante. Si vous ne mettez pas fin aux sessions, les utilisateurs dont les autorisations ont été révoquées peuvent continuer à accéder au système jusqu’à ce qu’ils se déconnectent.

Exécutez la commande suivante pour identifier la liste des utilisateurs et des groupes autorisés à accéder à votre serveur ou pool Citrix Hypervisor :

xe subject-list
<!--NeedCopy-->

Supprimer l’accès d’un utilisateur

Lorsqu’un utilisateur est authentifié, il peut accéder au serveur jusqu’à ce qu’il mette fin à sa session ou qu’un autre utilisateur mette fin à sa session. La suppression d’un utilisateur de la liste des sujets, ou sa suppression d’un groupe de la liste d’objets, ne révoque pas automatiquement les sessions déjà authentifiées de l’utilisateur. Les utilisateurs peuvent continuer à accéder au pool à l’aide de XenCenter ou d’autres sessions d’API qu’ils ont déjà créées. XenCenter et l’interface de ligne de commande permettent de mettre fin à des sessions individuelles ou à toutes les sessions actives avec force. Consultez la documentation XenCenter pour plus d’informations sur les procédures utilisant XenCenter, ou la section suivante pour les procédures utilisant l’interface de ligne de commande.

Terminer toutes les sessions authentifiées à l’aide de xe

Exécutez la commande CLI suivante pour mettre fin à toutes les sessions authentifiées utilisant xe :

xe session-subject-identifier-logout-all
<!--NeedCopy-->

Mettre fin à des sessions utilisateur individuelles en utilisant xe

  1. Déterminez l’identifiant du sujet dont vous souhaitez vous déconnecter de la session. Utilisez les commandes session-subject-identifier-list ou subject-list xe pour rechercher l’identificateur du sujet. La première commande affiche les utilisateurs qui ont des sessions. La deuxième commande affiche tous les utilisateurs mais peut être filtrée. Par exemple, en utilisant une commande comme xe subject-list other-config:subject-name=xendt\\user1. Vous aurez peut-être besoin d’une double barre oblique inverse (selon votre shell).

  2. Utilisez la commande session-subject-logout en passant l’identificateur de sujet que vous avez déterminé à l’étape précédente en tant que paramètre, par exemple :

    xe session-subject-identifier-logout subject-identifier=subject_id
    <!--NeedCopy-->
    

Quitter un domaine AD

Avertissement :

Lorsque vous quittez le domaine, tous les utilisateurs qui se sont authentifiés auprès du pool ou du serveur avec des informations d’identification Active Directory sont déconnectés.

Utilisez XenCenter pour quitter un domaine AD. Pour plus d’informations, consultez la documentation XenCenter. Exécutez alternativement la commande pool-disable-external-auth, en spécifiant l’UUID du pool si nécessaire.

Remarque :

Le fait de quitter le domaine ne supprime pas les objets hôtes de la base de données AD. Consultez la documentation Active Directory pour savoir comment détecter et supprimer vos entrées d’hôte désactivées.

Gérer les utilisateurs