RBAC 概述

通过基于角色的访问控制 (RBAC) 功能，可以为 Active Directory 用户和组分配预定义的 角色 （或称 XenServer 权限集）。这些权限用于控制 XenServer 用户（即管理 XenServer 的人员）对服务器和池所拥有的访问级别：RBAC 在池级别配置和部署。由于用户通过分配的角色获取权限，因此您只需要为用户或其所在的组分配角色。

为 XenServer 用户帐户使用 Active Directory 帐户

通过 RBAC，您可以对不同用户组可执行的操作进行限制，从而降低缺乏经验的用户进行灾难性意外更改的可能性。分配 RBAC 角色还有助于防止资源池在未经授权的情况下被更改，从而确保合规性。为了便于检查合规性和进行审核，RBAC 还提供了 审核日志功能 及其相应的 Workload Balancing 池审核追踪报告。

RBAC 基于 Active Directory 提供身份验证服务。具体而言，XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此，您必须将池加入域并添加 Active Directory 帐户，然后才能分配角色。

RBAC 流程

实施 RBAC 并为用户或组分配角色的标准流程如下：

1. 加入域 。
2. 将 Active Directory 用户或组 添加到池。
3. 分配 （或修改）用户或组的 RBAC 角色。

本地超级用户

本地超级用户 (LSU) 或 root 是一个用于系统管理的特殊用户帐户，该帐户具有所有权限。在 XenServer 中，本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。这表示如果外部身份验证服务失败，LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。

RBAC 角色

XenServer 附带六个预定义角色，这些角色旨在对应于 IT 组织中的不同职能。

• 池管理员 。此角色是权限最大的可用角色。池管理员对所有 XenServer 功能和设置都具有完全访问权限。他们可以执行所有操作（包括角色和用户管理）。他们可以授予对 XenServer 控制台的访问权限。Citrix 建议的最佳做法是将此角色分配给极有限的用户。

  注意： 本地超级用户（root 用户）将始终具有池管理员角色。池管理员角色与本地 root 用户具有相同的权限。

• 池操作员 。获得此角色的人员可以管理池范围的资源（包括创建存储、管理服务器、管理修补程序和创建池）。池操作员可以配置池资源。池操作员还对以下功能具有完全访问权限：高可用性、Workload Balancing 和修补程序管理。池操作员不能添加用户或修改角色。
• 虚拟机超级管理员(VM 超级管理员) 。此角色具有完全的 VM 和模板管理权限。他们可以选择 VM 的启动位置，并且对动态内存控制功能和 VM 快照功能具有完全访问权限。此外，他们还可以设置主服务器并选择工作负载的运行位置。分配此角色后，被授权人将具有足够的权限来预配虚拟机，以供 VM 操作员使用。
• 虚拟机管理员(VM 管理员) 。此角色可以管理 VM 和模板，并且可以访问必要的存储来完成这些任务。但是，此角色依赖于 XenServer 来选择工作负载的运行位置，并且必须使用模板中的动态内存控制和主服务器设置。（此角色无法访问动态内存控制功能、生成快照、设置主服务器或选择工作负载的运行位置。）
• 虚拟机操作员（VM 操作员） 。此角色可以使用池中的 VM 并管理这些 VM 的基本生命周期。如果有足够的可用硬件资源，VM 操作员可以与 VM 控制台交互并启动或停止 VM。同样，VM 操作员也可以执行生命周期的启动和停止操作。VM 操作员角色不能创建或销毁 VM，也不能更改 VM 属性或服务器属性。
• 只读 。此角色只能查看资源池和性能数据。

有关每个角色所关联的权限的信息，请参阅 RBAC 角色和权限定义 。有关 RBAC 如何为用户计算所应用角色的信息，请参阅 计算 RBAC 角色 。

注意： 创建新用户时，必须先向新创建的用户分配一个角色，之后才能使用该用户的帐户。请注意，XenServer 不会 自动为新创建的用户分配角色。