XenCenter

Übersicht über die rollenbasierte Zugriffssteuerung

Mit der Funktion Role Based Access Control (RBAC) können Sie Active Directory-Benutzern und -Gruppen vordefinierte Rollen oder Berechtigungssätze zuweisen. Diese Berechtigungen steuern die Zugriffsebene, die XenServer-Administratoren auf Server und Pools haben. RBAC wird auf Poolebene konfiguriert und bereitgestellt. Da Benutzer Berechtigungen über ihre zugewiesene Rolle erwerben, weisen Sie einem Benutzer oder seiner Gruppe eine Rolle zu, um ihnen die erforderlichen Berechtigungen zu erteilen.

Verwenden von Active Directory Directory-Konten für XenServer-Benutzerkonten

Mit RBAC können Sie einschränken, welche Operationen verschiedene Benutzergruppen ausführen können. Diese Kontrolle verringert die Wahrscheinlichkeit, dass unerfahrene Benutzer katastrophale versehentliche Änderungen vornehmen. Die Zuweisung von RBAC-Rollen hilft auch dabei, nicht autorisierte Änderungen an Ihren Ressourcenpools aus Compliance-Gründen zu verhindern. Um die Compliance und die Überwachung zu erleichtern, bietet RBAC außerdem eine Überwachungsprotokollfunktion und den entsprechenden Bericht “Workload Balancing Pool Audit Trail”. Weitere Informationen finden Sie unter Änderungen der Prüfung.

Benutzer werden Rollen zugeordnet. Rollen werden einer Reihe von Berechtigungen zugeordnet.

RBAC hängt von Active Directory für Authentifizierungsdienste ab. Insbesondere führt XenServer eine Liste autorisierter Benutzer auf der Grundlage von Active Directory Directory-Benutzer- und Gruppenkonten. Daher müssen Sie den Pool der Domäne beitreten und Active Directory-Konten hinzufügen, bevor Sie Rollen zuweisen können.

RBAC-Prozess

Der Standardprozess für die Implementierung von RBAC und die Zuweisung einer Rolle eines Benutzers oder einer Gruppe besteht aus den folgenden Schritten:

  1. Treten Sie der Domänebei.
  2. Fügen Sie dem Pool einen Active Directory-Benutzer oder eine Gruppe hinzu.
  3. Weisen Sie die RBAC-Rolle des Benutzers oder der Gruppe zu (oder ändern Sie sie).

Lokaler Superbenutzer

Der lokale Superuser (LSU) oder root ist ein spezielles Benutzerkonto, das für die Systemadministration verwendet wird und über alle Rechte oder Berechtigungen verfügt. In XenServer ist der lokale Superuser das Standardkonto bei der Installation. Die LSU wird von XenServer authentifiziert und nicht von einem externen Authentifizierungsdienst. Wenn der externe Authentifizierungsdienst ausfällt, kann sich die LSU trotzdem anmelden und das System verwalten. Die LSU kann jederzeit über SSH auf den physischen XenServer-Server zugreifen.

RBAC-Rollen

XenServer verfügt über sechs vordefinierte Rollen, die auf unterschiedliche Funktionen in einer IT-Organisation abgestimmt sind.

  • Pool-Administrator (Pool-Administrator). Diese Rolle ist die mächtigste verfügbare Rolle. Pool-Admins haben vollen Zugriff auf alle Funktionen und Einstellungen von XenServer. Sie können alle Vorgänge ausführen, einschließlich Rollen- und Benutzerverwaltung. Sie können Zugriff auf die XenServer-Konsole gewähren. Als Best Practice empfiehlt Citrix, diese Rolle einer begrenzten Anzahl von Benutzern zuzuweisen.

    Hinweis:

    Der lokale Superuser (root) hat immer die Pool-Admin-Rolle. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.

    Wenn Sie die Pool-Admin-Rolle von einem Benutzer entfernen, sollten Sie auch das Server-Root-Kennwort ändern und das Pool-Geheimnis rotieren. Weitere Informationen finden Sie unter Pool-Sicherheit.

  • Poolbetreiber (Poolbetreiber). Diese Rolle soll dem Beauftragten die Verwaltung von poolweiten Ressourcen ermöglichen. Zu den Verwaltungsaktionen gehören das Erstellen von Speicher, das Verwalten von Servern, das Verwalten von Patches und das Erstellen von Pools. Pool-Operatoren können Poolressourcen konfigurieren. Sie haben außerdem vollen Zugriff auf die folgenden Funktionen: Hochverfügbarkeit, Workload Balancing und Patch-Management. Pool-Operatoren können keine Benutzer hinzufügen oder Rollen ändern.
  • Energieadministrator der virtuellen Maschine (VM Power Admin). Diese Rolle hat vollen Zugriff auf die VM- und Vorlagenverwaltung. Sie können wählen, wo VMs gestartet werden sollen. Sie haben vollen Zugriff auf die Funktionen zur dynamischen Speichersteuerung und die VM-Snapshot-Funktion. Darüber hinaus können sie den Homeserver festlegen und festlegen, wo Workloaden ausgeführt werden sollen. Durch Zuweisen dieser Rolle erhält der Empfänger ausreichende Berechtigungen, um virtuelle Maschinen für die Verwendung durch den VM-Betreiber bereitzustellen.
  • Administrator der virtuellen Maschine (VM-Administrator). Diese Rolle kann VMs und Vorlagen verwalten und auf den Speicher zugreifen, der für die Ausführung dieser Aufgaben erforderlich ist. Diese Rolle hängt jedoch davon ab, dass XenServer auswählt, wo Workloads ausgeführt werden sollen, und muss die Einstellungen in Vorlagen für die dynamische Speichersteuerung und den Home Server verwenden. (Diese Rolle kann nicht auf die dynamischen Speichersteuerungsfunktionen zugreifen, Snapshots erstellen, den Homeserver festlegen oder festlegen, wo Workloaden ausgeführt werden sollen.)
  • Betreiber virtueller Maschinen (VM-Betreiber). Diese Rolle kann die VMs in einem Pool verwenden und ihren grundlegenden Lebenszyklus verwalten. VM-Betreiber können mit den VM-Konsolen interagieren und VMs starten oder stoppen, sofern ausreichende Hardwareressourcen verfügbar sind. Ebenso können VM-Betreiber Lebenszyklusvorgänge zum Starten und Stoppen ausführen. Die Rolle des VM-Operators kann keine VMs erstellen oder zerstören, VM-Eigenschaften oder Serverressourcen ändern.
  • Schreibgeschützt (schreibgeschützt). Diese Rolle kann nur Ressourcenpool und Performance-Daten anzeigen.

Informationen zu den Berechtigungen, die mit jeder Rolle verknüpft sind, finden Sie unter Definitionen von RBAC-Rollen und Berechtigungen. Informationen darüber, wie RBAC berechnet, welche Rollen für einen Benutzer gelten, finden Sie unter Berechnen von RBAC-Rollen.

Hinweis:

Wenn Sie einen Benutzer erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor dieser das Konto verwenden kann. XenServer weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu.

Übersicht über die rollenbasierte Zugriffssteuerung