ユーザーの管理

XenServerの初回インストール時に、1つの管理者ユーザーアカウントが自動的にXenServerに追加されます。このアカウントは ローカルスーパーユーザー(LSU) または root と呼ばれ、そのXenServerコンピュータにより認証されるものです。ほかのユーザーを追加するには、XenCenterの [ユーザー] タブを使用してActive Directoryアカウントを追加します(ここで「ユーザー」とは、その役割レベルにかかわらず、 アカウントを持つXenServer管理者を指します)。XenServerサーバーやプールに対して複数のユーザーアカウントを使用するには、Active Directoryユーザーアカウントで認証する必要があります。これにより、リソースプール内のXenServerにWindowsドメインの資格情報でログインできるようになります。

注: リソースプールで複数の認証方法を使用することはサポートされていません。つまり、プール内の一部のサーバーでのみActive Directory認証を有効にして、ほかのサーバーで無効にすることはできません。

管理者ユーザーを作成した後で役割を割り当てないと、そのアカウントは使用できません。役割が 自動的に割り当てられない ことに注意してください。このため、これらのユーザーにXenServerリソースプールへのアクセスを許可するには、いずれかの役割を割り当てる必要があります。

役割ベースのアクセス制御(RBAC) 機能を使用すると、管理者ユーザーとして追加したActive Directoryアカウントにさまざまなレベルのアクセス許可を割り当てることができます。Active Directoryを使用しない環境では、ローカルスーバーユーザーのみを使用します。

XenServer環境でのActive Directory認証

XenServerはLinuxベースのシステムですが、XenServerではXenServerユーザーアカウントとしてActive Directoryアカウントを使用できます。このため、Active Directory資格情報がActive Directoryドメインコントローラに渡されます。

XenServerにActive Directoryのユーザーまたはグループアカウントを追加すると、これらのアカウントはXenServerのサブジェクトになります。 サブジェクト は、XenCenterでは ユーザー として表記されます。サブジェクトがXenServerに登録されると、ユーザー/グループがログイン時にActive Directoryで認証されます。ドメイン名でユーザー名を修飾する必要はありません。

ユーザー名を修飾するには、ダウンレベルログオン名形式で入力する必要があります。例: mydomain\myuser 。

注: ユーザー名を修飾しない場合、XenCenterでは、デフォルトで現在のActive Directoryドメインユーザーでのログインが試行されます。ただし、ローカルスーバーユーザーでのログインは、XenCenterによって常にローカルでの認証(つまりXenServer上での認証)が試行されます。

外部認証プロセスは、以下のように機能します。

  1. XenServerホストに接続するときに提供された資格情報がActive Directoryドメインコントローラに渡され、認証が要求されます。
  2. Active Directoryドメインコントローラが、その資格情報を確認します。資格情報が無効な場合は、ここで認証に失敗します。
  3. 資格情報が有効な場合は、Active Directoryドメインコントローラに照会され、その資格情報に関連付けられているサブジェクト識別子およびグループメンバーシップが取得されます。
  4. 取得したサブジェクト識別子がXenServerに格納されているものと一致した場合は、認証が正しく完了します。

ドメインにXenServerを追加すると、そのリソースプールでのActive Directory認証が有効になります。これにより、そのドメイン(および信頼関係のあるドメイン)のユーザーだけがリソースプールに接続できるようになります。

ユーザーの管理