RBAC 概述

通过基于角色的访问控制 (RBAC) 功能,可以为 Active Directory 用户和组分配预定义的 角色 (或称 XenServer 权限集)。这些权限用于控制 XenServer 用户(即管理 XenServer 的人员)对服务器和池所拥有的访问级别:RBAC 在池级别配置和部署。由于用户通过分配的角色获取权限,因此您只需要为用户或其所在的组分配角色。

为 XenServer 用户帐户使用 Active Directory 帐户

通过 RBAC,您可以对不同用户组可执行的操作进行限制,从而降低缺乏经验的用户进行灾难性意外更改的可能性。分配 RBAC 角色还有助于防止资源池在未经授权的情况下被更改,从而确保合规性。为了便于检查合规性和进行审核,RBAC 还提供了 审核日志功能 及其相应的 Workload Balancing 池审核追踪报告。

A

RBAC 基于 Active Directory 提供身份验证服务。具体而言,XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此,您必须将池加入域并添加 Active Directory 帐户,然后才能分配角色。

RBAC 流程

实施 RBAC 并为用户或组分配角色的标准流程如下:

  1. 加入域
  2. 将 Active Directory 用户或组添加 到池。
  3. 分配 (或修改)用户或组的 RBAC 角色。

本地超级用户

本地超级用户 (LSU) 或 root 用户是一个用于系统管理的特殊用户帐户,具有完全权限。在 XenServer 中,本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。这表示如果外部身份验证服务失败,LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。

RBAC 角色

XenServer 附带六个预定义角色,这些角色旨在对应于 IT 组织中的不同职能。

  • 池管理员 。此角色是权限最大的可用角色。池管理员对所有 XenServer 功能和设置都具有完全访问权限。他们可以执行所有操作(包括角色和用户管理)。他们可以授予对 XenServer 控制台的访问权限。Citrix 建议的最佳做法是将此角色分配给极有限的用户。

    注意: 本地超级用户(root 用户)将始终具有池管理员角色。池管理员角色与本地 root 用户具有相同的权限。

  • 池操作员 。获得此角色的人员可以管理池范围的资源(包括创建存储、管理服务器、管理修补程序和创建池)。池操作员可以配置池资源。池操作员还对以下功能具有完全访问权限:高可用性、Workload Balancing 和修补程序管理。池操作员不能添加用户或修改角色。
  • 虚拟机超级管理员(VM 超级管理员) 。此角色具有完全的 VM 和模板管理权限。他们可以选择 VM 的启动位置,并且对动态内存控制功能和 VM 快照功能具有完全访问权限。此外,他们还可以设置主服务器并选择工作负载的运行位置。分配此角色后,被授权人将具有足够的权限来置备虚拟机,以供 VM 操作员使用。
  • 虚拟机管理员(VM 管理员) 。此角色可以管理 VM 和模板,并且可以访问必要的存储来完成这些任务。但是,此角色依赖于 XenServer 来选择工作负载的运行位置,并且必须使用模板中的动态内存控制和主服务器设置。(此角色无法访问动态内存控制功能、生成快照、设置主服务器或选择工作负载的运行位置。)
  • 虚拟机操作员(VM 操作员) 。此角色可以使用池中的 VM 并管理这些 VM 的基本生命周期。如果有足够的可用硬件资源,VM 操作员可以与 VM 控制台交互并启动或停止 VM。同样,VM 操作员也可以执行生命周期的启动和停止操作。VM 操作员角色不能创建或销毁 VM,也不能更改 VM 属性或服务器属性。
  • 只读 。此角色只能查看资源池和性能数据。

有关每个角色所关联的权限的信息,请参阅 RBAC 角色和权限定义。有关 RBAC 如何为用户计算所应用角色的信息,请参阅 计算 RBAC 角色

注意: 创建新用户时,必须先向新创建的用户分配一个角色,之后才能使用该用户的帐户。请注意,XenServer 不会 自动为新创建的用户分配角色。

从 XenServer 早期版本升级

RBAC 支持功能自 XenServer 5.6 版本起引入。在升级到 XenServer 5.6 版或更高版本时,系统会为在 XenServer 早期版本中创建的任何用户帐户分配池管理员角色。执行此操作的原因是存在向后兼容。从早期版本的 XenServer 进行升级时,应重新访问与每个用户帐户相关联的角色,以确保角色仍然适用。