XenCenter

管理用户

首次安装 Citrix Hypervisor 时,系统会自动将一个用户帐户添加到 Citrix Hypervisor 中。此帐户是本地超级用户 (LSU) 或 root,Citrix Hypervisor 系统在本地对其进行身份验证。您可以通过在 XenCenter 中的用户选项卡上添加 Active Directory 帐户,来创建其他用户。

注意:

术语“用户”是指具有 Citrix Hypervisor 帐户的任何人,即管理 Citrix Hypervisor 主机的任何人,而与这些人的角色级别无关。

如果您希望在服务器或池上具有多个用户帐户,则必须使用 Active Directory 用户帐户进行身份验证。此功能允许 Citrix Hypervisor 用户使用其 Windows 域凭据登录池中的服务器。

注意:

不支持混合身份验证池。也就是说,您不能拥有以下池:池中的部分服务器使用 Active Directory ,且部分服务器不使用 Active Directory。

在 Citrix Hypervisor 中创建用户时,必须先为新创建的用户分配一个角色,然后才能使用该帐户。Citrix Hypervisor 不会自动将角色分配给新创建的用户。因此,在您为这些帐户分配角色之前,它们对 Citrix Hypervisor 池没有任何访问权限。

利用基于角色的访问控制 (RBAC) 功能,您可以根据用户角色为 Active Directory 帐户分配不同的权限等级。如果在您的环境中未使用 Active Directory,则只能使用 LSU 帐户。

Citrix Hypervisor 环境中的 AD 身份验证

虽然 Citrix Hypervisor 是基于 Linux 的,但 Citrix Hypervisor 允许您使用 Active Directory 帐户作为 Citrix Hypervisor 用户帐户。为此,它会将 Active Directory 凭据传递到 Active Directory 域控制器。

注意:

可以在您的 AD 域控制器上启用 LDAP 通道绑定和 LDAP 签名。有关详细信息,请参阅Microsoft Security Advisory

添加到 Citrix Hypervisor 后,Active Directory 用户和组即成为 Citrix Hypervisor 使用者,在 XenCenter 中则称之为用户。将使用者注册到 Citrix Hypervisor 后,用户和组在登录时会通过 Active Directory 进行身份验证。这些用户和组不需要通过使用域名来限定其用户名。

要限定某个用户名,必须以下层登录名格式输入该用户名,例如 mydomain\myuser

注意:

默认情况下,如果未限定用户名,XenCenter 将尝试使用用户加入的域将用户登录到 Active Directory 身份验证服务器。LSU 帐户属于此规则的例外情况,对于 LSU 帐户,XenCenter 始终首先在本地(即在 Citrix Hypervisor 上)对其进行身份验证。

外部身份验证工作流程如下:

  1. 将连接到服务器时提供的凭据传递到 Active Directory 域控制器,进行身份验证。
  2. 域控制器对凭据进行检查。如果凭据无效,身份验证立即失败。
  3. 如果凭据有效,会对 Active Directory 控制器进行查询,以获取与凭据相关联的使用者标识符和组成员身份。
  4. 如果使用者标识符与 Citrix Hypervisor 中存储的某个标识符相匹配,即可成功完成身份验证。

当您加入域时,您可以为池启用 Active Directory 身份验证。但是,池加入域后,只有该域(或与该域具有信任关系的域)中的用户才能连接到该池。

管理用户