计算 RBAC 角色

在我登录时,XenServer 如何计算用于会话的角色?

  1. Active Directory 服务器对使用者进行身份验证。在身份验证期间,Active Directory 还将确定该使用者是否属于 Active Directory 中的任何其他包含组。
  2. XenServer 之后将确认已经为 (a) 使用者和 (b) 使用者所属的任何 Active Directory 组分配了角色。
  3. XenServer 为使用者应用最高级别的权限。由于使用者可以是多个 Active Directory 组的成员,因此,使用者会继承关联角色的所有权限。

示意图显示了用户可以属于 Active Directory 中的多个组。Active Directory 中的用户和组可以映射到 XenCenter 中的使用者。使用者可以有一个角色。角色具有一组权限。

在上图中,由于使用者 2(组 2)是池操作员,而用户 1 是组 2 的成员,因此,使用者 3(用户 1)尝试登录时,会同时继承使用者 3(VM 操作员)和组 2(池操作员)角色。由于池操作员角色级别更高,因此,使用者 3(用户 1)的最终角色是池操作员而非 VM 操作员。

计算 RBAC 角色

In this article