XenServer

CLI와 함께 RBAC 사용

RBAC xe CLI 명령

다음 명령을 사용하여 역할 및 주제로 작업합니다.

사용 가능한 정의된 역할을 모두 나열하려면

다음 명령을 실행합니다. xe role-list

이 명령은 다음 예와 같이 현재 정의된 역할 목록을 반환합니다.

    uuid( RO): 0165f154-ba3e-034e-6b27-5d271af109ba
    name ( RO): pool-admin
    description ( RO): The Pool Administrator role has full access to all
    features and settings, including accessing Dom0 and managing subjects,
    roles and external authentication

    uuid ( RO): b9ce9791-0604-50cd-0649-09b3284c7dfd
    name ( RO): pool-operator
    description ( RO): The Pool Operator role manages host-  and pool-wide resources,
    including setting up storage, creating resource pools and managing patches, and
    high availability (HA).

    uuid( RO): 7955168d-7bec-10ed-105f-c6a7e6e63249
    name ( RO): vm-power-admin
    description ( RO): The VM Power Administrator role has full access to VM and
    template management and can choose where to start VMs and use the dynamic memory
    control and VM snapshot features

    uuid ( RO): aaa00ab5-7340-bfbc-0d1b-7cf342639a6e
    name ( RO): vm-admin
    description ( RO):  The VM Administrator role can manage VMs and templates

    uuid ( RO): fb8d4ff9-310c-a959-0613-54101535d3d5
    name ( RO): vm-operator
    description ( RO):  The VM Operator role can use VMs and interact with VM consoles

    uuid ( RO): 7233b8e3-eacb-d7da-2c95-f2e581cdbf4e
    name ( RO): read-only
    description ( RO): The Read-Only role can log in with basic read-only access
<!--NeedCopy-->

참고:

이 역할 목록은 정적입니다. 역할을 추가, 제거 또는 수정할 수 없습니다.

현재 주제 목록을 표시하려면

다음 명령을 실행합니다.

xe subject-list
<!--NeedCopy-->

이 명령은 XenServer 사용자, 해당 uuid 및 관련 역할 목록을 반환합니다.

    uuid ( RO): bb6dd239-1fa9-a06b-a497-3be28b8dca44
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2244
    other-config (MRO): subject-name: example01\user_vm_admin; subject-upn: \
      user_vm_admin@XENDT.NET; subject-uid: 1823475908; subject-gid: 1823474177; \
      subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2244; subject-gecos: \
      user_vm_admin; subject-displayname: user_vm_admin; subject-is-group: false; \
      subject-account-disabled: false; subject-account-expired: false; \
      subject-account-locked: false;subject-password-expired: false
    roles (SRO): vm-admin

    uuid ( RO): 4fe89a50-6a1a-d9dd-afb9-b554cd00c01a
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2245
    other-config (MRO): subject-name: example02\user_vm_op; subject-upn: \
      user_vm_op@XENDT.NET; subject-uid: 1823475909; subject-gid: 1823474177; \
      subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2245; \
      subject-gecos: user_vm_op; subject-displayname: user_vm_op; \
      subject-is-group: false; subject-account-disabled: false; \
      subject-account-expired: false; subject-account-locked: \
      false; subject-password-expired: false
    roles (SRO): vm-operator

    uuid ( RO): 8a63fbf0-9ef4-4fef-b4a5-b42984c27267
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2242
    other-config (MRO): subject-name: example03\user_pool_op; \
      subject-upn: user_pool_op@XENDT.NET; subject-uid: 1823475906; \
      subject-gid: 1823474177; subject-s id:
      S-1-5-21-1539997073-1618981536-2562117463-2242; \
      subject-gecos: user_pool_op; subject-displayname: user_pool_op; \
      subject-is-group: false; subject-account-disabled: false; \
      subject-account-expired: false; subject-account-locked: \
      false; subject-password-expired: false
      roles (SRO): pool-operator
<!--NeedCopy-->

RBAC에 주제를 추가하려면

기존 AD 사용자가 RBAC를 사용할 수 있도록 하려면 XenServer 내에 AD 사용자용 또는 포함하는 그룹에 대한 주제 인스턴스를 만드십시오.

다음 명령을 실행하여 새 주체 인스턴스를 추가합니다.

xe subject-add subject-name=AD user/group
<!--NeedCopy-->

주체에 RBAC 역할을 할당하려면

제목을 추가한 후 RBAC 역할에 할당할 수 있습니다. UUID 또는 이름으로 역할을 참조할 수 있습니다.

다음 명령을 실행합니다.

xe subject-role-add uuid=subject uuid role-uuid=role_uuid
<!--NeedCopy-->

또는

xe subject-role-add uuid=subject uuid role-name=role_name
<!--NeedCopy-->

예를 들어 다음 명령은 b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 UUID가 있는 주제를 풀 관리자 역할에 추가합니다.

xe subject-role-add uuid=b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 role-name=pool-admin
<!--NeedCopy-->

주체의 RBAC 역할을 변경하려면

사용자의 역할을 변경하려면 기존 역할에서 사용자를 제거하고 새 역할에 추가해야 합니다.

다음 명령을 실행합니다.

xe subject-role-remove uuid=subject_uuid role-name=role_name_to_remove
xe subject-role-add uuid=subject_uuid role-name=role_name_to_add
<!--NeedCopy-->

새 역할이 적용되도록 하려면 사용자가 로그아웃했다가 다시 로그인해야 합니다. 이렇게 하려면 풀 관리자 또는 풀 운영자가 사용할 수 있는 “활성 사용자 연결 로그아웃” 권한이 필요합니다.

사용자로부터 풀 관리자 역할을 제거하는 경우 루트 암호를 변경하고 풀 암호를 교체하는 것도 고려해 보십시오. 자세한 내용은 풀 보안을 참조하십시오.

경고:

pool-admin 주제를 추가하거나 제거할 때 풀의 모든 호스트가 이 주제와 연결된 ssh 세션을 수락하는 데 몇 초가 걸릴 수 있습니다.

감사

RBAC 감사 로그는 로그인한 사용자가 수행한 모든 작업을 기록합니다.

  • 이 메시지는 작업을 호출한 세션과 연관된 주체 ID 및 사용자 이름을 기록합니다.

  • 주체가 권한이 없는 작업을 호출하면 작업이 기록됩니다.

  • 모든 성공적인 작업도 기록됩니다. 작업이 실패하면 오류 코드가 기록됩니다.

감사 로그 xe CLI 명령

다음 명령은 풀에 있는 RBAC 감사 파일의 사용 가능한 모든 레코드를 파일로 다운로드합니다. 선택적 매개 변수 ‘이후’가 있으면 해당 특정 시점의 레코드만 다운로드합니다.

xe audit-log-get [since=timestamp] filename=output filename
<!--NeedCopy-->

풀에서 모든 감사 레코드를 가져오려면

다음 명령을 실행합니다.

xe audit-log-get filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->

정확한 밀리초 타임스탬프 이후 풀의 감사 레코드를 가져오려면

다음 명령을 실행합니다.

xe audit-log-get since=2009-09-24T17:56:20.530Z \
    filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->

정확한 분 타임스탬프 이후 풀의 감사 레코드를 가져오려면

다음 명령을 실행합니다.

xe audit-log-get since=2009-09-24T17:56Z \
    filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->
CLI와 함께 RBAC 사용