Gestion des utilisateurs

Lorsque vous installez XenServer pour la première fois, un compte d’utilisateur est automatiquement ajouté à XenServer. Ce compte est lesuper-utilisateur local (LSU), ou racine, qui est authentifié localement par votre ordinateur XenServer. Vous pouvez créer d’autres utilisateurs en ajoutant des comptes Active Directory à partir de l’onglet Utilisateurs de XenCenter. (Notez que le terme « utilisateur » désigne toute personne ayant un compte XenServer, c’est-à-dire toute personne qui administre des hôtes XenServer, quel que soit le niveau de son rôle.) Si vous souhaitez disposer de plusieurs comptes d’utilisateurs sur un serveur ou un pool, vous devez utiliser des comptes d’utilisateurs Active Directory pour l’authentification. Cela permet aux utilisateurs XenServer de se connecter aux serveurs d’un pool à l’aide de leurs informations d’identification de domaine Windows.

Remarque : les pools d’authentification mixte ne sont pas pris en charge (c’est-à-dire que vous ne pouvez pas avoir de pool dans lequel certains serveurs du pool sont configurés pour utiliser Active Directory et d’autres ne le sont pas).

Lorsque vous créez un nouvel utilisateur dans XenServer, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. Notez que XenServer n’attribue pas automatiquement un rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’auront aucun accès au pool XenServer tant que vous ne leur affecterez pas un rôle.

À l’aide deContrôle d’accès basé sur les rôles (RBAC)cette fonctionnalité, vous pouvez attribuer aux comptes Active Directory différents niveaux d’autorisations en fonction du rôle de l’utilisateur. Si vous n’utilisez pas Active Directory dans votre environnement, vous êtes limité au compte LSU.

Authentification AD dans l’environnement XenServer

Même si XenServers sont basés sur Linux, XenServer vous permet d’utiliser des comptes Active Directory pour les comptes d’utilisateur XenServer. Pour ce faire, il transmet les informations d’identification Active Directory au contrôleur de domaine Active Directory.

Lorsqu’ils sont ajoutés à XenServer, les utilisateurs et les groupes Active Directory deviennent des sujets XenServer, généralement appelés simplement utilisateurs dans XenCenter. Lorsqu’un sujet est enregistré auprès de XenServer, les utilisateurs/groupes sont authentifiés avec Active Directory lors de la connexion et n’ont pas besoin de qualifier leur nom d’utilisateur avec un nom de domaine.

Pour qualifier un nom d’utilisateur, vous devez entrer le nom d’utilisateur au format Nom d’ouverture de session de bas niveau, par exemple, mondomainmonutilisateur.

Remarque : Par défaut, si vous n’avez pas qualifié le nom d’utilisateur, XenCenter tente toujours de se connecter aux serveurs d’authentification Active Directory à l’aide du domaine auquel il est actuellement joint. L’exception est le compte LSU, que XenCenter authentifie toujours localement (c’est-à-dire sur XenServer) en premier.

Le processus d’authentification externe fonctionne comme suit :

  1. Les informations d’identification fournies lors de la connexion à un serveur sont transmises au contrôleur de domaine Active Directory pour authentification.
  2. Le contrôleur de domaine vérifie les informations d’identification. S’ils ne sont pas valides, l’authentification échoue immédiatement.
  3. Si les informations d’identification sont valides, le contrôleur Active Directory est interrogé pour obtenir l’identificateur de sujet et l’appartenance au groupe associés aux informations d’identification.
  4. Si l’identificateur de sujet correspond à celui stocké dans XenServer, l’authentification est terminée avec succès.

Lorsque vous rejoignez un domaine, vous activez l’authentification Active Directory pour le pool. Toutefois, lorsqu’un pool est joint à un domaine, seuls les utilisateurs de ce domaine (ou un domaine avec lequel il a des relations d’approbation) peuvent se connecter au pool.