XenCenter

Gestion des utilisateurs

Remarque :

XenCenter 2023.x.x est actuellement en version préliminaire et n’est pas pris en charge pour une utilisation en production. Notez que toute référence future au support de production ne s’applique que lorsque XenCenter 2023.x.x et XenServer 8 passent du statut de version préliminaire à celui de disponibilité générale.

Vous pouvez utiliser XenCenter 2023.x.x pour gérer vos environnements hors production XenServer 8 et Citrix Hypervisor 8.2 CU1. Toutefois, pour gérer votre environnement de production Citrix Hypervisor 8.2 CU1, utilisez XenCenter 8.2.7. Pour plus d’informations, consultez la documentation XenCenter 8.2.7.

Vous pouvez installer XenCenter 8.2.7 et XenCenter 2023.x.x sur le même système. L’installation de XenCenter 2023.x.x ne remplace pas votre installation de XenCenter 8.2.7.

Lorsque vous installez XenServer pour la première fois, un compte utilisateur est automatiquement ajouté à XenServer. Ce compte est le super utilisateur local (LSU), ou root, que le système XenServer authentifie localement. Vous pouvez créer des utilisateurs supplémentaires en ajoutant des comptes Active Directory à partir de l’onglet Utilisateurs de XenCenter.

Remarque :

Le terme « utilisateur » désigne toute personne possédant un compte XenServer, c’est-à-dire toute personne administrant des hôtes XenServer, quel que soit son niveau de rôle.

Si vous souhaitez disposer de plusieurs comptes d’utilisateurs sur un serveur ou un pool, vous devez utiliser des comptes d’utilisateurs Active Directory pour l’authentification. Cette fonctionnalité permet aux utilisateurs de XenServer de se connecter aux serveurs d’un pool à l’aide de leurs informations d’identification de domaine Windows.

Remarque :

Les pools à authentification mixte ne sont pas pris en charge. En d’autres termes, vous ne pouvez pas avoir un pool dans lequel certains serveurs du pool utilisent Active Directory et d’autres non.

Lorsque vous créez un utilisateur dans XenServer, vous devez d’abord attribuer un rôle au nouvel utilisateur avant qu’il puisse utiliser le compte. XenServer n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool XenServer tant que vous ne leur avez pas attribué un rôle.

À l’aide de la fonctionnalité RBAC (Role Based Access Control), vous pouvez attribuer aux comptes Active Directory différents niveaux d’autorisations en fonction du rôle de l’utilisateur. Si vous n’utilisez pas Active Directory dans votre environnement, vous êtes limité au compte LSU.

Authentification AD dans l’environnement XenServer

Même si les serveurs XenServer sont basés sur Linux, XenServer vous permet d’utiliser des comptes Active Directory pour les comptes utilisateur XenServer. Pour ce faire, il transmet les informations d’identification Active Directory au contrôleur de domaine Active Directory.

Remarque :

Vous pouvez activer la liaison de canal LDAP et la signature LDAP sur vos contrôleurs de domaine AD. Pour plus d’informations, consultez Avis de sécurité Microsoft.

Lorsqu’ils sont ajoutés à XenServer, les utilisateurs et les groupes Active Directory deviennent des sujets XenServer, appelés utilisateurs dans XenCenter. Lorsqu’un sujet est enregistré auprès de XenServer, les utilisateurs et les groupes sont authentifiés auprès d’Active Directory lors de la connexion. Ces utilisateurs et groupes n’ont pas besoin de qualifier leur nom d’utilisateur avec un nom de domaine.

Pour qualifier un nom d’utilisateur, vous devez entrer le nom d’utilisateur au format Nom d’ouverture de session de bas niveau, par exemple, mydomain\myuser.

Remarque :

Par défaut, si vous ne qualifiez pas le nom d’utilisateur, XenCenter tente de connecter les utilisateurs aux serveurs d’authentification Active Directory à l’aide du domaine auquel il est joint. L’exception à cette règle est le compte LSU, que XenCenter authentifie toujours localement (c’est-à-dire sur XenServer) en premier.

Le processus d’authentification externe fonctionne comme suit :

  1. Les informations d’identification fournies lors de la connexion à un serveur sont transmises au contrôleur de domaine Active Directory pour authentification.
  2. Le contrôleur de domaine vérifie les informations d’identification. S’ils ne sont pas valides, l’authentification échoue immédiatement.
  3. Si les informations d’identification sont valides, le contrôleur Active Directory est interrogé pour obtenir l’identifiant du sujet et l’appartenance au groupe associés aux informations d’identification.
  4. Si l’identifiant du sujet correspond à celui stocké dans XenServer, l’authentification est terminée avec succès.

Lorsque vous rejoignez un domaine, vous activez l’authentification Active Directory pour le pool. Toutefois, lorsqu’un pool est joint à un domaine, seuls les utilisateurs de ce domaine (ou d’un domaine avec lequel il entretient des relations d’approbation) peuvent se connecter au pool.

Gestion des utilisateurs