基于角色的访问控制

通过 XenServer 中的基于角色的访问控制 (RBAC) 功能,您可以分配用户、角色和权限,以控制有权访问您的 XenServer 的用户及其可以执行的操作。XenServer RBAC 系统将一个用户(或一组用户)映射到定义的角色(一组命名权限)。角色具有关联的 XenServer 权限,能够执行某些操作。

权限不直接分配给用户。用户通过为其分配的角色获取权限。因此,要管理单个用户的权限,只需将用户分配到适当的角色即可,这样便简化了常规操作。XenServer 会维护授权用户及其角色的列表。

通过 RBAC,您可以限制不同的用户组可以执行的操作,从而降低缺乏经验的用户造成事故的可能性。

RBAC 还提供“审核日志”功能以开展合规和审核工作。

用户可以有一个角色,该角色拥有一组权限。

RBAC 基于 Active Directory 提供身份验证服务。具体而言,XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此,您必须将池加入域并添加 Active Directory 帐户,然后才能分配角色。

本地超级用户 (LSU) 或 root 是一个用于系统管理的特殊用户帐户,该帐户具有所有权限。在 XenServer 中,本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。如果外部身份验证服务失败,LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理主机。

RBAC 流程

下面的部分介绍了实施 RBAC 并为用户或组分配角色的标准过程:

  1. 加入域。有关详细信息,请参阅对池启用外部身份验证

  2. 将 Active Directory 用户或组添加到池。该用户或组将成为使用者。有关详细信息,请参阅将使用者添加到 RBAC

  3. 分配(或更改)使用者的 RBAC 角色。有关详细信息,请参阅向使用者分配 RBAC 角色

基于角色的访问控制

In this article