RBAC-Rollen und Berechtigungen
Rollen
Citrix Hypervisor wird mit den folgenden sechs vorab festgelegten Rollen geliefert:
-
Pool-Administrator (Pool Admin) — das gleiche wie das lokale Stammverzeichnis. Kann alle Vorgänge ausführen.
Hinweis:
Der lokale Superuser (root) hat die Rolle “Pool Admin”. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.
Wenn Sie die Pool-Admin-Rolle von einem Benutzer entfernen, sollten Sie auch das Server-Root-Kennwort ändern und das Pool-Geheimnis rotieren. Weitere Informationen finden Sie unter Pool-Sicherheit.
-
Pool Operator (Pool Operator) — kann alles außer dem Hinzufügen/Entfernen von Benutzern und dem Ändern ihrer Rollen tun. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Pool-Verwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).
-
Virtual Machine Power Administrator (VM Power Admin) — erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs zur Verwendung durch einen VM-Betreiber.
-
Virtual Machine Administrator (VM Admin) — ähnelt einem VM Power Admin, kann jedoch keine VMs migrieren oder Snapshots ausführen.
-
Virtual Machine Operator (VM Operator) — ähnlich wie VM Admin, kann aber keine VMs erstellen/löschen — kann aber Lebenszyklusvorgänge starten/stoppen.
-
Schreibgeschützt (schreibgeschützt ) — kann Ressourcenpool- und Leistungsdaten anzeigen.
Warnung:
Wenn Sie Active Directory-Gruppen verwenden, um Benutzern des Pool-Administrators Zugriff zu gewähren, die Host-SSH-Zugriff benötigen, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.
Eine Zusammenfassung der für jede Rolle verfügbaren Berechtigungen und Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und Berechtigungen im folgenden Abschnitt.
Wenn Sie einen Benutzer in Citrix Hypervisor erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. Citrix Hypervisor weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den Citrix Hypervisor-Pool, bis Sie ihnen eine Rolle zuweisen.
-
Ändern Sie das Thema der Rollenzuordnung. Dies erfordert die Berechtigung zum Zuweisen/Ändern der Rolle, die nur einem Pool-Administrator zur Verfügung steht.
-
Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.
Definitionen von RBAC-Rollen und Berechtigungen
In der folgenden Tabelle wird zusammengefasst, welche Berechtigungen für jede Rolle verfügbar sind. Einzelheiten zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.
Rollen-Berechtigungen | Pooladministrator | Poolbetreiber | VM Power Admin | VM-Admin | VM-Betreiber | Lesezugriff |
---|---|---|---|---|---|---|
Rollen zuweisen/ändern | X | |||||
Melden Sie sich bei (physischen) Serverkonsolen an (über SSH und XenCenter) | X | |||||
Serverbackup/-wiederherstellung | X | |||||
OVF-/OVA-Pakete importieren; Datenträgerimages importieren | X | |||||
XVA-Pakete importieren | X | X | X | |||
OVF-/OVA-Pakete exportieren | X | |||||
XVA-Pakete exportieren | X | X | X | |||
Kerne pro Sockel festlegen | X | X | X | X | ||
VMs mit XenServer Conversion Manager konvertieren | X | |||||
Switch-Port-Verriegelung | X | X | ||||
Multipathing | X | X | ||||
Aktive Benutzerverbindungen abmelden | X | X | ||||
Benachrichtigungen erstellen und verwerfen | X | X | ||||
Aufgabe eines Benutzers abbrechen | X | X | ||||
Poolmanagement | X | X | ||||
Livemigration | X | X | X | |||
Live-Speichermigration | X | X | X | |||
Erweiterte VM-Vorgänge | X | X | X | |||
VM Erstellen/Löschen von Vorgängen | X | X | X | X | ||
VM ändern CD-Medien | X | X | X | X | X | |
VM-Energiezustand ändern | X | X | X | X | X | |
VM-Konsolen anzeigen | X | X | X | X | X | |
vApps (vApps hinzufügen/ändern/löschen) | X | X | ||||
vApps (vApps starten/herunterfahren) | X | X | ||||
vApps (VMs zu einer vorhandenen vApp hinzufügen/entfernen) | X | X | ||||
vApps (vApps anzeigen) | X | X | X | X | X | X |
XenCenter Ansichtsverwaltungsvorgänge | X | X | X | X | X | |
Eigene Aufgaben abbrechen | X | X | X | X | X | X |
Auditprotokolle lesen | X | X | X | X | X | X |
Verbindung mit Pool herstellen und alle Poolmetadaten lesen | X | X | X | X | X | X |
Konfigurieren der virtuellen GPU | X | X | ||||
Virtuelle GPU-Konfiguration anzeigen | X | X | X | X | X | X |
Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs) | X | |||||
Geplante Snapshots (Hinzufügen und Entfernen von VMs zu vorhandenen Snapshot-Zeitplänen) | X | X | X | |||
Geplante Snapshots (Snapshot-Zeitpläne hinzufügen/ändern/löschen) | X | X | ||||
Sammeln von Diagnoseinformationen | X | X | ||||
Geänderte Blockverfolgung konfigurieren | X | X | X | X | ||
Changed Blocks auflisten | X | X | X | X | X | |
Konfigurieren von PVS-Accelerator | X | X | ||||
PVS-Beschleunigerkonfiguration anzeigen | X | X | X | X | X | X |
Definitionen von Berechtigungen
Rollen zuweisen/ändern:
- Benutzer hinzufügen/entfernen
- Rollen von Benutzern hinzufügen/entfernen
- Aktivieren und deaktivieren Sie die Active Directory-Integration (wird der Domäne hinzugefügt)
Mit dieser Berechtigung kann sich der Benutzer selbst eine Berechtigung erteilen oder eine Aufgabe ausführen.
Warnung: Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Themen deaktivieren.
Bei Serverkonsolen anmelden:
- Zugriff auf die Serverkonsole über SSH
- Zugriff auf die Serverkonsole über XenCenter
Warnung: Mit Zugriff auf eine Root-Shell kann der Empfänger das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.
Serverbackup/-wiederherstellung VM Erstellen/Löschen von virtuellen Rechnern:
- Backup und Wiederherstellen von Servern
- Backup und Wiederherstellen von Poolmetadaten
Durch die Möglichkeit, ein Backup wiederherzustellen, kann der Beauftragte Änderungen an der RBAC-Konfiguration rückgängig machen.
Import/Export von OVF/OVA-Paketen und Datenträgerimages:
- Import von OVF- und OVA-Paketen
- Importieren von Datenträgerimages
- VMs als OVF/OVA-Pakete exportieren
Kerne pro Sockel einstellen:
- Legen Sie die Anzahl der Kerne pro Socket für die virtuellen CPUs der VM fest
Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs der VM angeben.
VMs mit XenServer Conversion Manager (früher Citrix Hypervisor Conversion Manager) konvertieren:
- VMware ESXi/vCenter VMs in Citrix Hypervisor VMs konvertieren
Mit dieser Berechtigung kann der Benutzer Workloads von VMware in Citrix Hypervisor konvertieren, indem er Stapel von VMware ESXi/vCenter-VMs in die Citrix Hypervisor-Umgebung kopiert.
Switch-Port-Verriegelung:
- Steuern Sie den Verkehr in einem Netzwerk
Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden darf.
Multipathing:
- Multipathing aktivieren
- Deaktivieren Sie Multipathing
Aktive Benutzerverbindungen abmelden:
- Möglichkeit, angemeldete Benutzer zu trennen
Warnungen erstellen/verwerfen:
- Konfigurieren Sie XenCenter so, dass Warnungen generiert werden, wenn die Ressourcenauslastung bestimmte Schwellenwerte überschreitet
- Warnmeldungen aus der Alerts-Ansicht entfernen
Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool verwerfen.
Hinweis: Die Möglichkeit, Benachrichtigungen anzuzeigen, ist Teil der Berechtigung “Mit Pool verbinden” und “Alle Pool-Metadaten lesen”.
Aufgabe eines beliebigen Benutzers abbrechen:
- Die ausgeführte Aufgabe eines Benutzers abbrechen
Mit dieser Berechtigung kann der Benutzer Citrix Hypervisor auffordern, eine laufende Aufgabe abzubrechen, die von einem beliebigen Benutzer initiiert wurde.
Pool-Verwaltung:
- Pool-Eigenschaften festlegen (Benennung, Standard-SRs)
- Erstellen eines Clusterpools
- Hochverfügbarkeit aktivieren, deaktivieren und konfigurieren
- Neustartprioritäten für Hochverfügbarkeit pro VM festlegen
- Konfigurieren Sie DR und führen Sie DR-Failover-, Failback- und Test-Failover-Vorgänge durch
- Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
- Server zum Pool hinzufügen und daraus entfernen
- Notfallübergang zum Master
- Masteradresse für Notfälle
- Notfall-Poolmitglieder
- Benenne einen neuen Master
- Pool- und Serverzertifikate verwalten
- Patchen
- Servereigenschaften festlegen
- Serverprotokollierung konfigurieren
- Server aktivieren und deaktivieren
- Server herunterfahren, neu starten und einschalten
- Starten Sie toolstack neu
- Berichte über den Systemstatus
- Lizenz anwenden
- Livemigration aller anderen virtuellen Maschinen auf einem Server auf einen anderen Server aufgrund des Wartungsmodus oder hoher Verfügbarkeit
- Konfigurieren der Serververwaltungsschnittstelle und der sekundären Schnittstellen
- Serververwaltung deaktivieren
- Crashdumps löschen
- Netzwerke hinzufügen, bearbeiten und entfernen
- Hinzufügen, Bearbeiten und Entfernen von PBDS/PIFS/VLANs/Bonds/SRs
- Secrets hinzufügen, entfernen und abrufen
Diese Berechtigung umfasst alle Aktionen, die zur Verwaltung eines Pools erforderlich sind.
Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen außer lokalen Root-Anmeldungen authentifizieren.
Livemigration:
- Migrieren Sie VMs von einem Host auf einen anderen Host, wenn sich die VMs auf einem von beiden Hosts gemeinsam genutzten Speicher befinden
Speicher-Livemigration:
- Migration von einem Host zu einem anderen Host, wenn sich die VMs nicht auf einem von den beiden Hosts gemeinsam genutzten Speicher befinden
- Verschieben von Virtual Disk (VDIs) von einem SR zu einem anderen SR
Erweiterter VM-Betrieb:
- VM-Speicher anpassen (über Dynamic Memory Control)
- Erstellen eines VM-Snapshots mit Arbeitsspeicher, Erstellung von VM-Snapshots und Rollback von VMs
- VMs migrieren
- Starten von VMs, einschließlich Angabe des physischen Servers
- VMs fortsetzen
Diese Berechtigung gibt dem Empfänger genügend Berechtigungen, um eine VM auf einem anderen Server zu starten, wenn er mit dem ausgewählten Server von Citrix Hypervisor nicht zufrieden ist.
VM-Erstellen/Löschen von Vorgängen:
- Installieren oder löschen
- VMs klonen/kopieren
- Hinzufügen, Entfernen und Konfigurieren von virtuellen Laufplatten/CD-Geräten
- Hinzufügen, Entfernen und Konfigurieren virtueller Netzwerkgeräte
- XVA-Dateien importieren/exportieren
- Änderung der VM-Konfiguration
- Serverbackup/-wiederherstellung
VM CD-Medien wechseln:
- Aktuelle CD auswerfen
- Neue CD einlegen
Import/Export von OVF/OVA-Paketen; Import von Datenträgerimages
VM ändert den Energiezustand:
- VMs starten (automatische Platzierung)
- VMs herunterfahren
- Starten Sie VMs neu
- VMs aussetzen
- VMs fortsetzen (automatische Platzierung)
Diese Berechtigung umfasst nicht start_on, resume_on und migrate, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.
VM-Konsolen anzeigen:
- VM-Konsolen sehen und mit ihnen interagieren
Mit dieser Berechtigung kann der Benutzer keine Serverkonsolen anzeigen.
vApps (vApps hinzufügen/ändern/löschen):
- vApp erstellen
- vApp löschen
- Ändern Sie die Eigenschaften einer vApp
vApps (vApps starten/herunterfahren):
- Starten Sie eine vApp
- Eine vApp herunterfahren
vApps (VMs zu einer vorhandenen vApp hinzufügen/entfernen):
- Fügen Sie einer vApp eine VM hinzu.
- Eine VM aus einer vApp entfernen
vApps (vApps anzeigen):
- vApps im Pool anzeigen
XenCenter View-Verwaltungsvorgänge:
- Erstellen und Ändern globaler XenCenter-Ordner
- Erstellen und Ändern globaler benutzerdefinierter XenCenter-Felder
- Erstellen und Ändern globaler XenCenter-Suchen
Ordner, benutzerdefinierte Felder und Suchen werden von allen Benutzern geteilt, die auf den Pool zugreifen
Stornieren eigener Aufgaben:
- Ermöglicht es einem Benutzer, seine eigenen Aufgaben abzubrechen
Prüfprotokoll lesen:
- Laden Sie das Citrix Hypervisor Überwachungsprotokoll herunter
Verbinden Sie sich mit Pool und lesen Sie alle Poolmetadaten:
- Melden Sie sich bei Pool an
- Poolmetadaten anzeigen
- Historische Leistungsdaten anzeigen
- Eingeloggte Benutzer anzeigen
- Benutzer und Rollen anzeigen
- Nachrichten ansehen
- Registrieren und Ereignisse erhalten
Konfigurieren der virtuellen GPU:
- Angeben einer poolweiten Platzierungsrichtlinie
- Weisen Sie einer VM eine virtuelle GPU zu
- Entfernen einer virtuellen GPU von einer VM
- Zulässige virtuelle GPU-Typen ändern
- GPU-Gruppe erstellen, zerstören oder zuweisen
Virtuelle GPU-Konfiguration anzeigen:
- GPUs, GPU-Platzierungsrichtlinien und virtuelle GPU-Zuweisungen anzeigen
Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs):
- Greifen Sie auf den Konfigurations-Treiber der VM zu
Geplante Snapshots:
- VMs zu vorhandenen Snapshot-Zeitplänen hinzufügen
- VMs aus vorhandenen Snapshot-Zeitplänen entfernen
- Snapshot-Zeitpläne hinzufügen
- Snapshot-Zeitpläne ändern
- Snapshot-Zeitpläne löschen
Sammeln Sie Diagnoseinformationen von Citrix Hypervisor:
- GC-Sammlung und Heap-Verdichtung einleiten
- Sammeln von Statistiken zur Müllsammlung
- Sammeln von Datenbankstatistiken
- Netzwerkstatistiken sammeln
Geändertes Block-Tracking konfigurieren:
- Geänderte Blockverfolgung aktivieren
- Geänderte Blockverfolgung deaktivieren
- Löschen Sie die mit einem Snapshot verknüpften Daten und behalten Sie die Metadaten bei
- Abrufen der NBD-Verbindungsinformationen für einen VDI
Die geänderte Blockverfolgung kann nur für lizenzierte Instanzen von Citrix Hypervisor Premium Edition aktiviert werden.
Geänderte Blöcke auflisten:
- Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben
Konfigurieren des PVS-Beschleunigers:
- PVS-Beschleuniger aktivieren
- PVS-Accelerator deaktivieren
- Cache-Konfiguration aktualisieren (PVS-Accelerator)
- Cache-Konfiguration hinzufügen/entfernen (PVS-Accelerator)
PVS-Accelerator-Konfiguration anzeigen:
- Status von PVS-Accelerator anzeigen
Hinweis:
Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung mit erhöhten Rechten erhalten und die Anmeldeinformationen eines privilegierteren Benutzers angegeben hat. In diesem Fall melden Sie sich als privilegierterer Benutzer bei XenCenter an und versuchen Sie die Aktion erneut.
Wie berechnet Citrix Hypervisor die Rollen für die Sitzung?
-
Der Antragsteller wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen der Betreff auch gehören kann.
-
Citrix Hypervisor überprüft dann, welche Rollen sowohl dem Betreff als auch den enthaltenen Gruppen zugewiesen wurden.
-
Da Subjekte Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugehörigen Rollen.