XenCenter

Gestion des utilisateurs

Lorsque vous installez Citrix Hypervisor pour la première fois, un compte d’utilisateur est automatiquement ajouté à Citrix Hypervisor. Ce compte est le super utilisateur local (LSU), ou root, que le système Citrix Hypervisor authentifie localement. Vous pouvez créer des utilisateurs supplémentaires en ajoutant des comptes Active Directory à partir de l’onglet Utilisateurs de XenCenter.

Remarque :

Le terme « utilisateur » désigne toute personne disposant d’un compte Citrix Hypervisor, c’est-à-dire toute personne administrant des hôtes Citrix Hypervisor, quel que soit le niveau de son rôle.

Si vous souhaitez disposer de plusieurs comptes d’utilisateurs sur un serveur ou un pool, vous devez utiliser des comptes d’utilisateurs Active Directory pour l’authentification. Cette fonctionnalité permet aux utilisateurs de Citrix Hypervisor de se connecter aux serveurs d’un pool à l’aide de leurs informations d’identification de domaine Windows.

Remarque :

Les pools d’authentification mixte ne sont pas pris en charge. En d’autres termes, vous ne pouvez pas avoir un pool dans lequel certains serveurs du pool utilisent Active Directory et d’autres non.

Lorsque vous créez un utilisateur dans Citrix Hypervisor, vous devez d’abord attribuer un rôle au nouvel utilisateur avant qu’il puisse utiliser le compte. Citrix Hypervisor n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur avez pas attribué un rôle.

À l’aide de la fonctionnalité RBAC (Role Based Access Control), vous pouvez attribuer aux comptes Active Directory différents niveaux d’autorisations en fonction du rôle de l’utilisateur. Si vous n’utilisez pas Active Directory dans votre environnement, vous êtes limité au compte LSU.

Authentification AD dans l’environnement Citrix Hypervisor

Même si les serveurs Citrix Hypervisor sont basés sur Linux, Citrix Hypervisor vous permet d’utiliser des comptes Active Directory pour les comptes d’utilisateurs Citrix Hypervisor. Pour ce faire, il transmet les informations d’identification Active Directory au contrôleur de domaine Active Directory.

Remarque :

Vous pouvez activer la liaison de canal LDAP et la signature LDAP sur vos contrôleurs de domaine AD. Pour plus d’informations, consultez Avis de sécurité Microsoft.

Lorsqu’ils sont ajoutés à Citrix Hypervisor, les utilisateurs et les groupes Active Directory deviennent des sujets Citrix Hypervisor, appelés utilisateurs dans XenCenter. Lorsqu’un sujet est inscrit auprès de Citrix Hypervisor, les utilisateurs et les groupes sont authentifiés auprès d’Active Directory lors de la connexion. Ces utilisateurs et groupes n’ont pas besoin de qualifier leur nom d’utilisateur avec un nom de domaine.

Pour qualifier un nom d’utilisateur, vous devez entrer le nom d’utilisateur au format Nom d’ouverture de session de bas niveau, par exemple, mydomain\myuser.

Remarque :

Par défaut, si vous ne qualifiez pas le nom d’utilisateur, XenCenter tente de connecter les utilisateurs aux serveurs d’authentification Active Directory à l’aide du domaine auquel il est joint. L’exception à cette règle est le compte LSU, que XenCenter authentifie toujours localement (c’est-à-dire sur Citrix Hypervisor) en premier.

Le processus d’authentification externe fonctionne comme suit :

  1. Les informations d’identification fournies lors de la connexion à un serveur sont transmises au contrôleur de domaine Active Directory pour authentification.
  2. Le contrôleur de domaine vérifie les informations d’identification. S’ils ne sont pas valides, l’authentification échoue immédiatement.
  3. Si les informations d’identification sont valides, le contrôleur Active Directory est interrogé pour obtenir l’identificateur de sujet et l’appartenance au groupe associés aux informations d’identification.
  4. Si l’identifiant du sujet correspond à celui stocké dans Citrix Hypervisor, l’authentification est terminée avec succès.

Lorsque vous rejoignez un domaine, vous activez l’authentification Active Directory pour le pool. Toutefois, lorsqu’un pool est joint à un domaine, seuls les utilisateurs de ce domaine (ou d’un domaine avec lequel il entretient des relations d’approbation) peuvent se connecter au pool.

Gestion des utilisateurs