XenCenter

基于角色的访问控制概述

注意:

XenCenter 2023.x.x 目前为预览版,不支持用于生产。请注意,仅当 XenCenter 2023.x.x 和 XenServer 8 从预览版状态变为正式发布版时,将来提及生产支持的任何内容才适用。

可以使用 XenCenter 2023.x.x 来管理您的 XenServer 8 和 Citrix Hypervisor 8.2 CU1 非生产环境。但是,要管理您的 Citrix Hypervisor 8.2 CU1 生产环境,请使用 XenCenter 8.2.7。有关详细信息,请参阅 XenCenter 8.2.7 文档

可以在同一系统中安装 XenCenter 8.2.7 和 XenCenter 2023.x.x。安装 XenCenter 2023.x.x 不会覆盖您安装的 XenCenter 8.2.7。

通过基于角色的访问控制 (RBAC) 功能,可以为 Active Directory 用户和组分配预定义的角色或权限集。这些权限控制 XenServer 管理员对服务器和池的访问级别。RBAC 将在池级别进行配置和部署。由于用户通过分配的角色获取权限,因此将角色分配给用户或其组,以便为他们提供所需的权限。

为 XenServer 用户帐户使用 Active Directory 帐户

RBAC 允许您限制不同用户组可以执行的操作。此控制可降低缺乏经验的用户进行灾难性意外更改的可能性。分配 RBAC 角色还有助于防止资源池在未经授权的情况下被更改,从而确保合规性。为了便于检查合规性和进行审核,RBAC 还提供了审核日志功能及其相应的 Workload Balancing 池审核追踪报告。有关详细信息,请参阅审核更改

用户映射到角色。角色映射到一组权限。

RBAC 基于 Active Directory 提供身份验证服务。具体而言,XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此,您必须将池加入域并添加 Active Directory 帐户,然后才能分配角色。

RBAC 流程

实施 RBAC 并为用户或组分配角色的标准过程包括以下步骤:

  1. 加入域
  2. 向池中添加 Active Directory 用户或组
  3. 分配(或修改)用户或组的 RBAC 角色。

本地超级用户

本地超级用户 (LSU) 或 root 是一个用于系统管理的特殊用户帐户,该帐户具有所有权限。在 XenServer 中,本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。如果外部身份验证服务失败,LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。

RBAC 角色

XenServer 附带六个预定义角色,这些角色旨在对应于 IT 组织中的不同职能。

  • 池管理员。此角色是权限最大的可用角色。池管理员对所有 XenServer 功能和设置都具有完全访问权限。他们可以执行所有操作(包括角色和用户管理)。这些用户可以授予对 XenServer 控制台的访问权限。Citrix 建议的最佳做法是将此角色分配给有限的用户。

    注意:

    本地超级用户(root 用户)将始终具有池管理员角色。池管理员角色与本地 root 用户具有相同的权限。

    如果从用户中删除池管理员角色,还可以考虑更改服务器 root 用户密码并轮换池密码。有关详细信息,请参阅池安全性

  • 池操作员。此角色旨在让被分派人管理池范围内的资源。管理操作包括创建存储、管理服务器、管理修补程序和创建池。池操作员可以配置池资源。他们还对以下功能具有完全访问权限:高可用性、Workload Balancing 和修补程序管理。池操作员不能添加用户或修改角色。
  • 虚拟机超级管理员(VM 超级管理员)。此角色具有完全的 VM 和模板管理权限。他们可以选择 VM 的启动位置,并且对动态内存控制功能和 VM 快照功能具有完全访问权限。此外,他们还可以设置主服务器并选择工作负载的运行位置。分配此角色后,被授权人将具有足够的权限来预配虚拟机,以供 VM 操作员使用。
  • 虚拟机管理员(VM 管理员)。此角色可以管理 VM 和模板,并且可以访问必要的存储来完成这些任务。但是,此角色依赖于 XenServer 来选择工作负载的运行位置,并且必须使用模板中的动态内存控制和主服务器设置。(此角色无法访问动态内存控制功能、生成快照、设置主服务器或选择工作负载的运行位置。)
  • 虚拟机操作员(VM 操作员)。此角色可以使用池中的 VM 并管理这些 VM 的基本生命周期。如果有足够的可用硬件资源,VM 操作员可以与 VM 控制台交互并启动或停止 VM。同样,VM 操作员也可以执行生命周期的启动和停止操作。VM 操作员角色不能创建或销毁 VM,也不能更改 VM 属性或服务器属性。
  • 只读。此角色只能查看资源池和性能数据。

有关每个角色所关联的权限的信息,请参阅RBAC 角色和权限定义。有关 RBAC 如何为用户计算所应用角色的信息,请参阅计算 RBAC 角色

注意:

创建用户时,必须先为新创建的用户分配角色,然后才能使用帐户。XenServer 不会自动为新创建的用户分配角色。

基于角色的访问控制概述