XenCenter

管理用户

注意:

XenCenter 2023.x.x 目前为预览版,不支持用于生产。请注意,仅当 XenCenter 2023.x.x 和 XenServer 8 从预览版状态变为正式发布版时,将来提及生产支持的任何内容才适用。

可以使用 XenCenter 2023.x.x 来管理您的 XenServer 8 和 Citrix Hypervisor 8.2 CU1 非生产环境。但是,要管理您的 Citrix Hypervisor 8.2 CU1 生产环境,请使用 XenCenter 8.2.7。有关详细信息,请参阅 XenCenter 8.2.7 文档

可以在同一系统中安装 XenCenter 8.2.7 和 XenCenter 2023.x.x。安装 XenCenter 2023.x.x 不会覆盖您安装的 XenCenter 8.2.7。

首次安装 XenServer 时,会自动将一个用户帐户添加到 XenServer 中。此帐户是本地超级用户 (LSU) 或 root,XenServer 系统会在本地对其进行身份验证。您可以通过在 XenCenter 中的用户选项卡上添加 Active Directory 帐户,来创建其他用户。

注意:

此处的“用户”一词是指具有 XenServer 帐户的任何人,即管理 XenServer 主机的任何人,而与这些人的角色级别无关。

如果您希望在服务器或池上具有多个用户帐户,则必须使用 Active Directory 用户帐户进行身份验证。此功能允许 XenServer 用户使用其 Windows 域凭据登录池中的服务器。

注意:

不支持混合身份验证池。也就是说,您不能拥有以下池:池中的部分服务器使用 Active Directory ,且部分服务器不使用 Active Directory。

在 XenServer 中创建用户时,必须先为新创建的用户分配一个角色,然后才能使用帐户。XenServer 不会自动为新创建的用户分配角色。因此,在您为这些帐户分配角色之前,它们对 XenServer 池没有任何访问权限。

利用基于角色的访问控制 (RBAC) 功能,您可以根据用户角色为 Active Directory 帐户分配不同的权限等级。如果在您的环境中未使用 Active Directory,则只能使用 LSU 帐户。

XenServer 环境中的 AD 身份验证

虽然 XenServer 服务器基于 Linux,但 XenServer 允许您将 Active Directory 帐户用作 XenServer 用户帐户。为此,它会将 Active Directory 凭据传递到 Active Directory 域控制器。

注意:

可以在您的 AD 域控制器上启用 LDAP 通道绑定和 LDAP 签名。有关详细信息,请参阅 Microsoft Security Advisory

添加到 XenServer 后,Active Directory 用户和组即成为 XenServer 使用者,在 XenCenter 中则称之为用户。将使用者注册到 XenServer 后,用户和组在登录时会通过 Active Directory 进行身份验证。这些用户和组不需要通过使用域名来限定其用户名。

要限定某个用户名,必须以下层登录名格式输入该用户名,例如 mydomain\myuser

注意:

默认情况下,如果未限定用户名,XenCenter 将尝试使用用户加入的域将用户登录到 Active Directory 身份验证服务器。LSU 帐户属于此规则的例外情况,对于 LSU 帐户,XenCenter 始终首先在本地(即在 XenServer 上)对其进行身份验证。

外部身份验证工作流程如下:

  1. 将连接到服务器时提供的凭据传递到 Active Directory 域控制器,进行身份验证。
  2. 域控制器对凭据进行检查。如果凭据无效,身份验证立即失败。
  3. 如果凭据有效,会对 Active Directory 控制器进行查询,以获取与凭据相关联的使用者标识符和组成员身份。
  4. 如果使用者标识符与 XenServer 中存储的某个标识符相匹配,即可成功完成身份验证。

当您加入域时,您可以为池启用 Active Directory 身份验证。但是,池加入域后,只有该域(或与该域具有信任关系的域)中的用户才能连接到该池。

管理用户