-
-
RBAC 概述
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
RBAC 概述
通过基于角色的访问控制 (RBAC) 功能,可以为 Active Directory 用户和组分配预定义的角色(或称 XenServer 权限集)。这些权限用于控制 XenServer 用户(即管理 XenServer 的人员)对服务器和池所拥有的访问级别:RBAC 在池级别配置和部署。由于用户通过分配的角色获取权限,因此您只需要为用户或其所在的组分配角色。
为 XenServer 用户帐户使用 Active Directory 帐户
通过 RBAC,您可以对不同用户组可执行的操作进行限制,从而降低缺乏经验的用户进行灾难性意外更改的可能性。分配 RBAC 角色还有助于防止资源池在未经授权的情况下被更改,从而确保合规性。为了便于检查合规性和进行审核,RBAC 还提供了审核日志功能及其相应的 Workload Balancing 池审核追踪报告。
RBAC 基于 Active Directory 提供身份验证服务。具体而言,XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此,您必须将池加入域并添加 Active Directory 帐户,然后才能分配角色。
RBAC 流程
实施 RBAC 并为用户或组分配角色的标准流程如下:
- 加入域。
- 添加 Active Directory 用户或组到池。
- 分配(或修改)用户或组的 RBAC 角色。
本地超级用户
本地超级用户 (LSU) 或 root 是一个用于系统管理的特殊用户帐户,该帐户具有所有权限。在 XenServer 中,本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。这表示如果外部身份验证服务失败,LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。
RBAC 角色
XenServer 附带六个预定义角色,这些角色旨在对应于 IT 组织中的不同职能。
-
池管理员。此角色是权限最大的可用角色。池管理员对所有 XenServer 功能和设置都具有完全访问权限。他们可以执行所有操作(包括角色和用户管理)。可以授予对 XenServer 控制台的访问权限。Citrix 建议的最佳做法是将此角色分配给极有限的用户。
注意:
本地超级用户(root 用户)将始终具有池管理员角色。池管理员角色与本地 root 用户具有相同的权限。
- 池操作员。获得此角色的人员可以管理池范围的资源(包括创建存储、管理服务器、管理修补程序和创建池)。池操作员可以配置池资源。池操作员还对以下功能具有完全访问权限:高可用性、Workload Balancing 和修补程序管理。池操作员不能添加用户或修改角色。
- 虚拟机超级管理员(VM 超级管理员)。此角色具有完全的 VM 和模板管理权限。他们可以选择 VM 的启动位置,并且对动态内存控制功能和 VM 快照功能具有完全访问权限。此外,他们还可以设置主服务器并选择工作负载的运行位置。分配此角色后,被授权人将具有足够的权限来预配虚拟机,以供 VM 操作员使用。
- 虚拟机管理员(VM 管理员)。此角色可以管理 VM 和模板,并且可以访问必要的存储来完成这些任务。但是,此角色依赖于 XenServer 来选择工作负载的运行位置,并且必须使用模板中的动态内存控制和主服务器设置。(此角色无法访问动态内存控制功能、生成快照、设置主服务器或选择工作负载的运行位置。)
- 虚拟机操作员(VM 操作员)。此角色可以使用池中的 VM 并管理这些 VM 的基本生命周期。如果有足够的可用硬件资源,VM 操作员可以与 VM 控制台交互并启动或停止 VM。同样,VM 操作员也可以执行生命周期的启动和停止操作。VM 操作员角色不能创建或销毁 VM,也不能更改 VM 属性或服务器属性。
- 只读。此角色只能查看资源池和性能数据。
有关每个角色所关联的权限的信息,请参阅 RBAC 角色和权限定义。有关 RBAC 如何为用户计算所应用角色的信息,请参阅计算 RBAC 角色。
注意:
创建新用户时,必须先向新创建的用户分配一个角色,之后才能使用该帐户。请注意,XenServer 不会自动为新创建的用户分配角色。
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.