layout: doc description: Learn about the different roles and permissions that can be assigned to your XenServer users.—

Rôles et autorisations RBAC

Rôles

XenServer est fourni avec les six rôles préétablis suivants :

Administrateur de pool (administrateur de pool) — identique à la racine locale. Peut effectuer toutes les opérations.

Remarque :

Le super utilisateur local (root) a le rôle « Administrateur du pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.

Si vous supprimez le rôle d’administrateur du pool à un utilisateur, pensez également à modifier le mot de passe root et à alterner le secret du pool. Pour plus d’informations, consultez la section Sécurité du pool.
Opérateur de pool (Pool Operator) — peut tout faire, sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).
Virtual Machine Power Administrator (VM Power Admin) : crée et gère les machines virtuelles. Ce rôle est axé sur le provisionnement de machines virtuelles destinées à être utilisées par un opérateur de machine virtuelle.
Virtual Machine Administrator (VM Admin) : similaire à un Power Admin VM, mais ne peut pas migrer les machines virtuelles ni effectuer des snapshots.
Virtual Machine Operator (VM Operator), similaire à VM Admin, mais ne peut pas créer/détruire des machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.
Lecture seule (lecture seule) : permet d’afficher le pool de ressources et les données de performance.

Remarque :

Pour appliquer des mises à jour aux pools XenServer 8, vous devez être connecté à XenCenter en tant qu’administrateur ou opérateur de pool, ou en utilisant un compte root local.

Lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs de l’administrateur du pool qui ont besoin d’un accès SSH à l’hôte, le nombre d’utilisateurs du groupe Active Directory ne doit pas dépasser 500.

Pour un résumé des autorisations disponibles pour chaque rôle et pour plus d’informations sur les opérations disponibles pour chaque autorisation, consultez la section Définitions des rôles et autorisations RBAC dans la section suivante.

Lorsque vous créez un utilisateur dans XenServer, vous devez d’abord attribuer un rôle au nouvel utilisateur avant qu’il puisse utiliser le compte. XenServer n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool XenServer tant que vous ne leur avez pas attribué un rôle.

Modifiez le mappage sujet/rôle. Cela nécessite l’autorisation d’attribuer/modifier le rôle, disponible uniquement pour un administrateur de pool.
Modifiez l’appartenance au groupe contenant l’utilisateur dans Active Directory.

Définitions des rôles et des autorisations RBAC

Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus de détails sur les opérations disponibles pour chaque autorisation, consultez la section Définitions des autorisations.

Autorisations des rôles	Administrateur du pool	Opérateur de pool	Administrateur d’alimentation de la machine virtuelle	Administrateur de machine virtuelle	Opérateur de VM	Lecture seule
Attribuer/modifier des rôles	X
Connectez-vous aux consoles de serveur (physiques) (via SSH et XenCenter)	X
Sauvegarde/restauration du serveur	X
Importer/exporter des packages OVF/OVA et des images disque	X
Jeu de noyaux par socket	X	X	X	X
Convertir des machines virtuelles à l’aide de XenServer Conversion Manager	X
Verrouillage du port de commutation	X	X
Multiacheminement	X	X
Déconnexion des connexions utilisateur actives	X	X
Surveillez les ressources de l’hôte et du dom0 avec NRPE	X
Surveiller les ressources de l’hôte et du dom0 avec SNMP	X
Création et rejet d’alertes	X	X
Annuler la tâche de n’importe quel utilisateur	X	X
Gestion du pool	X	X
Migration dynamique	X	X	X
Migration dynamique du stockage	X	X	X
Opérations avancées de la machine virtuelle	X	X	X
Opérations de création/destruction de machines virtuelles	X	X	X	X
Support CD pour changer de machine virtuelle	X	X	X	X	X
VM change l’état de l’alimentation	X	X	X	X	X
Afficher les consoles de VM	X	X	X	X	X
Opérations de gestion des vues XenCenter	X	X	X	X	X
Annuler ses propres tâches	X	X	X	X	X	X
Lire les journaux d’audit	X	X	X	X	X	X
Se connecter au pool et lire toutes les métadonnées du pool	X	X	X	X	X	X
Configuration du GPU virtuel	X	X
Afficher la configuration du GPU virtuel	X	X	X	X	X	X
Accéder au lecteur de configuration (machines virtuelles CoreOS uniquement)	X
Instantanés planifiés (ajouter/supprimer des machines virtuelles aux planifications d’instantanés existantes)	X	X	X
Instantanés planifiés (ajouter/modifier/supprimer des planifications d’instantanés)	X	X
Collecte des informations de diagnostic	X	X
Configuration du suivi des blocs modifiés	X	X	X	X
Lister les blocs modifiés	X	X	X	X	X
Configurer PVS-Accelerator	X	X
Afficher la configuration PVS-Accelerator	X	X	X	X	X	X

Définitions des autorisations

Attribuer/modifier des rôles :

Ajouter/supprimer des utilisateurs
Ajouter/supprimer des rôles pour les utilisateurs
Activer et désactiver l’intégration Active Directory (en cours de connexion au domaine)

Cette autorisation permet à l’utilisateur de s’accorder n’importe quelle autorisation ou d’effectuer n’importe quelle tâche.

Avertissement : ce rôle permet à l’utilisateur de désactiver l’intégration d’Active Directory et tous les sujets ajoutés à partir d’Active Directory.

Connectez-vous aux consoles du serveur :

Accès à la console du serveur via SSH
Accès à la console du serveur via XenCenter

Avertissement : Avec l’accès à un shell racine, le destinataire peut reconfigurer arbitrairement l’ensemble du système, y compris le RBAC.

Opérations de création/destruction de machines virtuelles de sauvegarde/restauration du serveur :

Sauvegarde et restauration des serveurs
Sauvegarde et restauration des métadonnées du pool

La capacité de restauration d’une sauvegarde permet au destinataire d’annuler les modifications de configuration RBAC.

Importer/exporter des packages OVF/OVA et des images disque :

Importer des packages OVF et O
Importer des images de disque
Exporter les machines virtuelles sous forme de packages OVF/OVA

Définir les cœurs par socket :

Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle

Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.

Convertissez des machines virtuelles à l’aide de XenServer Conversion Manager :

Convertir les machines virtuelles VMware ESXi/vCenter en machines virtuelles XenServer

Cette autorisation permet à l’utilisateur de convertir les charges de travail de VMware vers XenServer en copiant des lots de machines virtuelles VMware ESXi/vCenter vers l’environnement XenServer.

Verrouillage du port de commutation :

Contrôler le trafic sur un réseau

Cette autorisation permet à l’utilisateur de bloquer tout le trafic sur un réseau par défaut, ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle est autorisée à envoyer du trafic.

Multiacheminement :

Activer le multiacheminement
Désactiver le multiacheminement

Déconnectez les connexions utilisateur actives :

Possibilité de déconnecter les utilisateurs connectés

Créer/rejeter des alertes :

Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
Supprimer les alertes de la vue Alertes

Avertissement : un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.

Remarque : La possibilité d’afficher les alertes fait partie de l’ autorisation Se connecter au pool et lire toutes les métadonnées du pool.

Annuler la tâche de n’importe quel utilisateur :

Annuler la tâche en cours d’exécution d’un utilisateur

Cette autorisation permet à l’utilisateur de demander à XenServer d’annuler une tâche en cours initiée par n’importe quel utilisateur.

Gestion de pools :

Définir les propriétés du pool (dénomination, SR par défaut)
Créer un pool en cluster
Activation, désactivation et configuration de la haute disponibilité
Définir les priorités de redémarrage haute disponibilité par machine virtuelle
Configurer la reprise après sinistre et effectuer des opérations de basculement, de restauration et de test de basculement
Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
Ajouter et supprimer un serveur du pool
Transition d’urgence vers le coordinateur
Adresse du coordonnateur du pool d’urgence
Membres du pool de récupération d’urgence
Désigner un nouveau coordonnateur de pool
Gérer les certificats du pool et de l’hôte
Application de correctifs
Définir les propriétés de l’hôte
Configurer la journalisation de l’hôte
Activation et désactivation des serveurs
Arrêtez, redémarrez et mettez les serveurs sous tension
Pile d’outils de redémarrage
Rapports d’état du système
Appliquer une licence
Migration en direct de toutes les autres machines virtuelles d’un hôte vers un autre hôte, en raison du mode maintenance ou de la haute disponibilité
Configuration de l’interface de gestion de l’hôte et des interfaces secondaires
Désactiver la gestion des hôtes
Supprimer les crashdumps
Ajouter, modifier et supprimer des réseaux
Ajouter, modifier et supprimer des PBD/PIFS/VLAN/Bonds/SR
Ajouter, supprimer et récupérer des secrets

Cette autorisation inclut toutes les actions requises pour gérer un pool.

Remarque : si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, sauf les connexions racine locales.

Migration en direct :

Migrer les machines virtuelles d’un hôte vers un autre hôte lorsque les machines virtuelles se trouvent sur un stockage partagé par les deux hôtes

Migration en direct du stockage :

Migration d’un hôte vers un autre hôte lorsque les machines virtuelles ne se trouvent pas sur un stockage partagé entre les deux hôtes
Déplacer un disque virtuel (VDI) d’un SR vers un autre SR

Opérations avancées des machines virtuelles :

Régler la mémoire de la machine virtuelle (via Dynamic Memory Control)
Créer un instantané de machine virtuelle avec de la mémoire, prendre des instantanés de VM et restaurer des machines virtuelles
Migration des machines virtuelles
Démarrage des machines virtuelles, y compris la spécification du serveur physique
Reprendre les machines virtuelles

Cette autorisation fournit au destinataire suffisamment de privilèges pour démarrer une machine virtuelle sur un autre hôte s’il n’est pas satisfait de l’hôte XenServer sélectionné.

Opérations de création/destruction de machines virtuelles :

Installer ou supprimer
Cloner/copier des machines virtuelles
Ajouter, supprimer et configurer des périphériques de disque virtuel/CD
Ajouter, supprimer et configurer des périphériques réseau virtuels
Importer/exporter des fichiers XVA
Modification de la configuration de la machine virtuelle
Sauvegarde/restauration du serveur

Remarque :

le rôle d’administrateur de machine virtuelle ne peut importer des fichiers XVA que dans un pool avec une SR partagée. Le rôle d’administrateur de machine virtuelle ne dispose pas des autorisations suffisantes pour importer un fichier XVA dans un hôte ou dans un pool sans stockage partagé.

Support CD pour changer de machine virtuelle :

Éjecter le CD actuel
Insérer un nouveau CD

Import/export de packages OVF/OVA ; importation d’images disque

Modification de l’état d’alimentation de la machine virtuelle :

Démarrage des machines virtuelles (placement automatique)
Arrêter les machines virtuelles
Redémarrer les machines virtuelles
Suspendre les VM
Reprendre les machines virtuelles (placement automatique)

Cette autorisation n’inclut pas start_on, resume_on et migrate, qui font partie de l’autorisation des opérations avancées de la machine virtuelle.

Afficher les consoles de machines virtuelles :

Voir et interagir avec les consoles de machines virtuelles

Cette autorisation ne permet pas à l’utilisateur de consulter les consoles hôtes.

Opérations de gestion des vues XenCenter :

Créer et modifier des dossiers XenCenter globaux
Créer et modifier des champs personnalisés XenCenter globaux
Créer et modifier des recherches globales XenCenter

Les dossiers, les champs personnalisés et les recherches sont partagés entre tous les utilisateurs accédant au pool

Annulez vos propres tâches :

Permet à un utilisateur d’annuler ses propres tâches

Lire le journal d’audit :

Téléchargez le journal d’audit XenServer

Connectez-vous au pool et lisez toutes les métadonnées du pool :

Se connecter au pool
Afficher les métadonnées du pool
Afficher les données de performance historiques
Afficher les utilisateurs connectés
Afficher les utilisateurs et les rôles
Afficher les messages
S’inscrire et recevoir des événements

Configurez le GPU virtuel :

Spécifier une stratégie de placement à l’échelle du pool
Attribuer un GPU virtuel à une machine virtuelle
Supprimer un GPU virtuel d’une machine virtuelle
Modifier les types de GPU virtuels autorisés
Création, destruction ou attribution d’un groupe de GPU

Afficher la configuration du GPU virtuel :

Afficher les GPU, les stratégies de placement des GPU et les attributions de GPU virtuels

Instantanés planifiés :

Ajouter des machines virtuelles aux planifications de snapshots existantes
Supprimer les machines virtuelles des planifications de snapshots existantes
Ajouter des calendriers instantanés
Modifier les calendriers des captures d’écran
Supprimer des plannings de snapshots

Collectez des informations de diagnostic à partir de XenServer :

Lancement de la collecte du GC et du compactage du tas
Recueillir les statistiques de collecte
Recueillir des statistiques
Collectez des statistiques réseau

Configurer le suivi des blocs modifiés :

Activer le suivi des blocs modifiés
Désactiver le suivi des blocs modifiés
Détruire les données associées à un instantané et conserver les métadonnées
Obtenir les informations de connexion NBD pour un VDI

Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de XenServer Premium Edition.

Lister les blocs modifiés :

Comparez deux instantanés VDI et répertoriez les blocs qui ont changé entre eux

Configurer PVS-Accelerator :

Activer l’accélérateur PVS
Désactiver PVS-Accelerator
Configuration du cache de mise à jour (PVS-Accelerator)
Ajouter/supprimer la configuration du cache (PVS-Accelerator)

Afficher la configuration PVS-Accelerator :

Afficher l’état de PVS-Accelerator

Remarque :

Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource vers un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur disposant de privilèges et réessayez l’action.

Comment XenServer calcule-t-il les rôles de la session ?

Le sujet est authentifié via le serveur Active Directory pour vérifier à quels groupes de contenants il peut également appartenir.
XenServer vérifie ensuite quels rôles ont été attribués à la fois au sujet et aux groupes qui le contiennent.
Comme les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.