Vue d’ensemble du RBAC

La fonctionnalité RBAC (RBAC) vous permet d’attribuer des rôles prédéfinis, ou des ensembles d’autorisations XenServer, aux utilisateurs et groupes Active Directory. Ces autorisations contrôlent le niveau d’accès que les utilisateurs XenServer (c’est-à-dire les personnes qui administrent XenServer) ont aux serveurs et aux pools : RBAC est configuré et déployé au niveau du pool. Étant donné que les utilisateurs acquièrent des autorisations via leur rôle assigné, vous devez simplement attribuer un rôle à un utilisateur ou à son groupe.

Utilisation des comptes Active Directory pour les comptes d’utilisateur XenServer

Le RBAC vous permet de limiter les opérations que différents groupes d’utilisateurs peuvent effectuer, ce qui réduit la probabilité que des utilisateurs inexpérimentés effectuent des changements accidentels et désastreux. L’attribution de rôles RBAC permet également d’éviter les modifications non autorisées à vos pools de ressources pour des raisons de conformité. Pour faciliter la conformité et la vérification, le CCRB fournit également un rapport de pisteFonction journal d’auditde vérification du pool d’équilibrage de la charge de travail correspondant.

Les utilisateurs mappent aux rôles. Les rôles sont mappés à un ensemble d'autorisations.

Le RBAC dépend d’Active Directory pour les services d’authentification. Plus précisément, XenServer conserve une liste d’utilisateurs autorisés basée sur les comptes d’utilisateurs et de groupes Active Directory. Par conséquent, vous devez joindre le pool au domaine et ajouter des comptes Active Directory avant de pouvoir attribuer des rôles.

Processus RBAC

Il s’agit du processus standard d’implémentation du RBAC et d’attribution d’un rôle à un utilisateur ou à un groupe :

  1. Rejoignez le domaine.
  2. Ajouter un utilisateur ou un groupe Active Directory au pool.
  3. Assigner( ou modifier) le rôle RBAC de l’utilisateur ou du groupe.

Super utilisateur local

Le super-utilisateur local (LSU), ou root, est un compte utilisateur spécial utilisé pour l’administration du système et dispose de tous les droits ou autorisations. Dans XenServer, le super-utilisateur local est le compte par défaut lors de l’installation. Le LSU est authentifié par XenServer et non par un service d’authentification externe. Cela signifie que si le service d’authentification externe échoue, le LSU peut toujours se connecter et gérer le système. Le LSU peut toujours accéder au serveur physique XenServer via SSH.

Rôles RBAC

XenServer est livré avec six rôles préétablis qui sont conçus pour s’aligner avec différentes fonctions d’une organisation informatique.

  • Administrateur de pool (administrateur de pool). Ce rôle est le rôle le plus puissant disponible. Les administrateurs du pool ont un accès complet à toutes les fonctionnalités et paramètres de XenServer. Ils peuvent effectuer toutes les opérations, y compris la gestion des rôles et des utilisateurs. Ils peuvent accorder l’accès à la console XenServer. Citrix recommande d’attribuer ce rôle à un nombre extrêmement limité d’utilisateurs.

    Remarque : Le super-utilisateur local (root) a toujours le rôle Admin Pool. Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.

  • Opérateur depool (opérateur de pool). Ce rôle est conçu pour permettre à l’administrateur de gérer les ressources à l’échelle du pool, y compris la création de stockage, la gestion des serveurs, la gestion des correctifs et la création de pools. Les opérateurs de pool peuvent configurer les ressources de pool. Ils disposent également d’un accès complet aux fonctionnalités suivantes : haute disponibilité (HA), équilibrage de charge de travail et gestion des correctifs. Les opérateurs de pool ne peuvent pas ajouter d’utilisateurs ou modifier des rôles.
  • Virtual Machine Power Administrator (VM Power Admin). Ce rôle a un accès complet à la gestion des machines virtuelles et des modèles. Ils peuvent choisir où démarrer les machines virtuelles. Ils ont un accès complet aux fonctionnalités de contrôle de la mémoire dynamique et à la fonctionnalité de snapshot de machine virtuelle. En outre, ils peuvent définir le serveur domestique et choisir où exécuter les charges de travail. L’attribution de ce rôle accorde au destinataire des autorisations suffisantes pour provisionner des machines virtuelles pour l’utilisation de l’opérateur de machine virtuelle.
  • Administrateur de machine virtuelle (VM Admin). Ce rôle peut gérer les machines virtuelles et les modèles et accéder au stockage nécessaire pour effectuer ces tâches. Toutefois, ce rôle dépend de XenServer pour choisir où exécuter les charges de travail et doit utiliser les paramètres des modèles pour le contrôle dynamique de la mémoire et le serveur domestique. (Ce rôle ne peut pas accéder aux fonctionnalités de contrôle de la mémoire dynamique, créer des instantanés, définir le serveur domestique ou choisir où exécuter les charges de travail.)
  • Opérateur demachine virtuelle (opérateur de machine virtuelle). Ce rôle peut utiliser les machines virtuelles d’un pool et gérer leur cycle de vie de base. Les opérateurs de machines virtuelles peuvent interagir avec les consoles de machines virtuelles et démarrer ou arrêter des machines virtuelles, à condition que des ressources matérielles suffisantes soient disponibles. De même, les opérateurs de machines virtuelles peuvent effectuer des opérations de démarrage et d’arrêt du cycle de vie. Le rôle Opérateur de machine virtuelle ne peut pas créer ou détruire des machines virtuelles, modifier les propriétés de la machine virtuelle ou les ressources du serveur.
  • Lecture seule (lecture seule). Ce rôle ne peut afficher que les données de pool de ressources et de performances.

Pour plus d’informations sur les autorisations associées à chaque rôle, reportez-vous à la sectionDéfinitions des rôles et autorisations RBAC. Pour plus d’informations sur la façon dont le RBAC calcule les rôles qui s’appliquent à un utilisateur, reportez-vous à la sectionCalcul des rôles RBAC.

Remarque : Lorsque vous créez un nouvel utilisateur, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. Notez que XenServer n’attribue pas automatiquement un rôle à l’utilisateur nouvellement créé.

Mise à niveau à partir de versions antérieures de XenServer

La prise en charge de RBAC a été introduite à XenServer version 5.6. Tous les comptes d’utilisateur créés dans des versions antérieures de XenServer se voient attribuer le rôle de Pool Admin lors de la mise à niveau vers XenServer version 5.6 ou ultérieure. Ceci est fait pour des raisons de compatibilité ascendante. Lors de la mise à niveau à partir de versions antérieures de XenServer, vous devez revoir le rôle associé à chaque compte d’utilisateur pour vous assurer qu’il est toujours approprié.