管理用户

首次安装 XenServer 时,会自动将一个用户帐户添加到 XenServer 中。此帐户是 本地超级用户 (LSU) 或 root 用户 ,由 XenServer 计算机在本地进行身份验证。可以通过在 XenCenter 中的 用户 选项卡上添加 Active Directory 帐户,来创建其他用户。(请注意,“用户”一词是指拥有 XenServer 帐户的任何人,即管理 XenServer 主机的任何人,而不论其具有何种角色级别。)如果要在服务器或池中拥有多个用户帐户,必须使用 Active Directory 用户帐户进行身份验证。这样,XenServer 用户将可以使用其 Windows 域凭据登录池中的服务器。

注意: 不支持混合身份验证池(即,不能将池中的某些服务器配置为使用 Active Directory,而另一些不使用)。

在 XenServer 中创建新用户时,必须先向新创建的用户分配一个角色,之后才能使用该帐户。请注意,XenServer 不会 自动将角色分配给新创建的用户。因此,在您为这些帐户分配角色之前,它们对 XenServer 池没有任何访问权限。

利用 基于角色的访问控制 (RBAC) 功能,您可以根据用户角色为 Active Directory 帐户分配不同的权限等级。如果在您的环境中未使用 Active Directory,则只能使用 LSU 帐户。

XenServer 环境中的 AD 身份验证

虽然 XenServer 是基于 Linux 的,但 XenServer 允许您使用 Active Directory 帐户作为 XenServer 用户帐户。为此,它会将 Active Directory 凭据传递到 Active Directory 域控制器。

添加到 XenServer 后,Active Directory 用户和组即成为 XenServer 使用者 ,在 XenCenter 中通常简单地称之为 用户 。将使用者注册到 XenServer 后,用户/组在登录时会通过 Active Directory 进行身份验证,并且不需要用域名来限定其用户名。

要限定某个用户名,必须以下层登录名格式输入该用户名,例如 mydomain\myuser 。

注意: 默认情况下,如果未限定用户名,XenCenter 将始终尝试使用用户当前加入的域将用户登录到 Active Directory 身份验证服务器。LSU 帐户属例外情况,对于 LSU 帐户,XenCenter 始终首先在本地(即在 XenServer 上)对其进行身份验证。

外部身份验证工作流程如下:

  1. 将连接到服务器时提供的凭据传递到 Active Directory 域控制器,进行身份验证。
  2. 域控制器对凭据进行检查。如果凭据无效,身份验证立即失败。
  3. 如果凭据有效,会对 Active Directory 控制器进行查询,以获取与凭据相关联的使用者标识符和组成员身份。
  4. 如果使用者标识符与 XenServer 中存储的某个标识符相匹配,即可成功完成身份验证。

您加入域后,可以为池启用 Active Directory 身份验证。但是,池加入域后,只有该域(或与该域具有信任关系的域)中的用户才能连接到该池。

管理用户