役割に基づいたアクセス制御

XenServerの役割ベースのアクセス制御(RBAC:Role Based Access Control)機能では、特定のユーザー(つまりXenServer管理者)に役割を割り当てて、XenServerへのアクセスや実行可能な管理タスクを制御できます。この機能では、ユーザー(またはグループ)がXenServerの管理タスクの定義済みセットである「役割」にマップされ、この役割に基づいて、特定の管理タスクを実行するために必要なXenServerホストへのアクセス許可が決定されます。

管理者にはアクセス許可は直接割り当てられず、そのユーザーアカウントまたはグループアカウントに割り当てられた役割によりアクセス許可が付与されます。このため、管理者を適切な役割に割り当てることが個々のアクセス許可の管理になり、管理者アカウントの管理が簡単になります。管理者のアカウントおよび役割のリストは、XenServerにより保持されます。

役割ベースのアクセス制御により、異なるグループに属する管理者に異なるアクセス許可を付与できます。これにより、十分な経験のない管理者による不適切な変更を防ぐことができます。

役割ベースのアクセス制御には、法規制の順守と監査のための監視ログ機能が用意されています。

ユーザーは1つの役割を持つことができ、その役割には権限のセットが含まれています。

役割ベースのアクセス制御では、認証サービスとしてActive Directoryが使用されます。XenServerは、認証されたユーザーの一覧をActive Directoryのユーザーおよびグループアカウントに基づいて管理します。このため、役割を割り当てるには、事前にリソースプールをドメインに追加して、Active Directoryアカウントを追加しておく必要があります。

ローカルスーパーユーザー(root)は特別なシステム管理用アカウントであり、すべての権限およびアクセス許可を持ちます。ローカルスーパーユーザーは、XenServerをインストールするときのデフォルトのアカウントです。このアカウントはXenServerにより認証され、外部の認証サービスは使用されません。このため、外部の認証サービスに障害が生じた場合でも、ローカルスーパーユーザーとしてログインすればシステムを管理できます。ローカルスーパーユーザーは、SSHを使用してXenServer物理ホストに常にアクセスできます。

役割ベースのアクセス制御の基本的な手順

次のセクションでは、役割ベースのアクセス制御を有効にしてユーザーやグループに役割を割り当てるための手順について説明します:

  1. ドメインに参加する。詳しくは、「[リソースプールの外部認証を有効にする]」((/ja-jp/xenserver/current-release/users.html/#enable-external-authentication-on-a-pool))を参照してください。

  2. Active Directoryのユーザーまたはグループをプールに追加する。追加したユーザーやグループはサブジェクトになります。詳しくは、「[RBACにサブジェクトを追加するには]」((/ja-jp/xenserver/current-release/users/rbac-cli.html#to-add-a-subject-to-rbac))を参照してください。

  3. サブジェクトにRBACの役割を割り当てる(または変更する)。詳しくは、「[新しいサブジェクトにRBACの役割を割り当てるには]」((/ja-jp/xenserver/current-release/users/rbac-cli.html#to-assign-an-rbac-role-to-a-subject))を参照してください。

役割に基づいたアクセス制御