Benutzer verwalten
Durch die Definition von Benutzern, Gruppen, Rollen und Berechtigungen können Sie steuern, wer Zugriff auf Ihre XenServer-Hosts und -Pools hat und welche Aktionen sie ausführen können.
Bei der ersten Installation von XenServer wird XenServer automatisch ein Benutzerkonto hinzugefügt. Dieses Konto ist der lokale Superuser (LSU) oder Root, den XenServer lokal authentifiziert.
Die LSU oder root ist ein spezielles Benutzerkonto, das für die Systemadministration bestimmt ist und über alle Berechtigungen verfügt. In XenServer ist die LSU das Standardkonto bei der Installation. XenServer authentifiziert das LSU-Konto. Die LSU benötigt keinen externen Authentifizierungsdienst. Wenn ein externer Authentifizierungsdienst ausfällt, kann sich die LSU trotzdem anmelden und das System verwalten. Die LSU kann jederzeit über SSH auf den physischen XenServer-Server zugreifen.
Sie können mehr Benutzer erstellen, indem Sie die Active Directory-Konten entweder über die Registerkarte Benutzer von XenCenter oder die xe-CLI hinzufügen. Wenn Ihre Umgebung kein Active Directory verwendet, sind Sie auf das LSU-Konto beschränkt.
Hinweis:
Wenn Sie Benutzer erstellen, weist XenServer neu erstellten Benutzerkonten nicht automatisch RBAC-Rollen zu. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.
Diese Berechtigungen werden über Rollen erteilt, wie im Abschnitt Authentifizierung von Benutzern mit Active Directory (AD) erläutert.
Authentifizieren von Benutzern mit Active Directory (AD)
Wenn Sie mehrere Benutzerkonten auf einem Host oder Pool haben möchten, müssen Sie Active Directory-Benutzerkonten für die Authentifizierung verwenden. Mit AD-Konten können sich XenServer-Benutzer mit ihren Windows-Domänenanmeldeinformationen an einem Pool anmelden.
Hinweis:
Sie können LDAP-Kanalbindung und LDAP-Signatur auf Ihren AD-Domänencontroller aktivieren Weitere Informationen finden Sie unter Microsoft Security Advisory.
Sie können verschiedene Zugriffsebenen für bestimmte Benutzer konfigurieren, indem Sie die Active Directory-Authentifizierung aktivieren, Benutzerkonten hinzufügen und diesen Konten Rollen zuweisen.
Active Directory-Benutzer können die xe-CLI verwenden (entsprechende Argumente -u
und -pw
übergeben) und mit XenCenter auch eine Verbindung zum Host herstellen. Die Authentifizierung erfolgt auf Poolbasis pro Ressource.
Die Probanden kontrollieren den Zugriff auf Benutzerkonten. Ein Betreff in XenServer ist einer Entität auf Ihrem Active Directory-Server zugeordnet (entweder einem Benutzer oder einer Gruppe). Wenn Sie die externe Authentifizierung aktivieren, überprüft XenServer die Anmeldeinformationen, die zum Erstellen einer Sitzung verwendet wurden, mit den lokalen Root-Anmeldeinformationen und dann mit der Betreffliste. Um den Zugriff zu ermöglichen, erstellen Sie einen Betreffeintrag für die Person oder Gruppe, für die Sie Zugriff gewähren möchten. Sie können XenCenter oder die xe CLI verwenden, um einen Betreffeintrag zu erstellen.
Wenn Sie mit XenCenter vertraut sind, beachten Sie, dass die Xe-CLI eine etwas andere Terminologie verwendet, um sich auf Active Directory- und Benutzerkontenfunktionen zu beziehen:
XenCenter-Begriff | xe-CLI-Begriff |
---|---|
Benutzer, Benutzer hinzufügen | Fächer, Fächer hinzufügen |
Obwohl XenServer Linux-basiert ist, können Sie mit XenServer Active Directory-Konten für XenServer-Benutzerkonten verwenden. Dazu werden Active Directory-Anmeldeinformationen an den Active Directory-Domänencontroller übergeben.
Wenn Sie Active Directory zu XenServer hinzufügen, werden Active Directory-Benutzer und -Gruppen zu XenServer-Themen. Die Themen werden in XenCenter als Benutzer bezeichnet. Benutzer/Gruppen werden bei der Anmeldung mithilfe von Active Directory authentifiziert, wenn Sie ein Subjekt bei XenServer registrieren. Benutzer und Gruppen müssen ihren Benutzernamen nicht mithilfe eines Domainnamens qualifizieren.
Um einen Benutzernamen zu qualifizieren, müssen Sie den Benutzernamen im Format Anmeldename der unteren Ebene eingeben, mydomain\myuser
z. B.
Hinweis:
Wenn Sie den Benutzernamen nicht qualifiziert haben, versucht XenCenter standardmäßig, Benutzer mit der Domäne, mit der es verbunden ist, bei AD-Authentifizierungsservern anzumelden. Die Ausnahme bildet das LSU-Konto, das XenCenter immer zuerst lokal (also auf dem XenServer) authentifiziert.
Der externe Authentifizierungsprozess funktioniert wie folgt:
-
Die beim Herstellen einer Verbindung mit einem Host angegebenen Anmeldeinformationen werden zur Authentifizierung an den Active Directory-Domänencontroller übergeben.
-
Der Domänencontroller prüft die Anmeldeinformationen. Wenn sie ungültig sind, schlägt die Authentifizierung sofort fehl.
-
Wenn die Anmeldeinformationen gültig sind, wird der Active Directory-Controller abgefragt, um die mit den Anmeldeinformationen verknüpfte Betreff-ID und die Gruppenmitgliedschaft abzurufen.
-
Wenn die Betreff-ID mit der im XenServer gespeicherten übereinstimmt, ist die Authentifizierung erfolgreich.
Wenn Sie einer Domäne beitreten, aktivieren Sie die Active Directory-Authentifizierung für den Pool. Wenn ein Pool jedoch einer Domäne beitritt, können nur Benutzer in dieser Domäne (oder einer Domäne, zu der er Vertrauensbeziehungen hat) eine Verbindung zum Pool herstellen.
Hinweis:
Das manuelle Aktualisieren der DNS-Konfiguration eines DHCP-konfigurierten Netzwerk-PIF wird nicht unterstützt und kann dazu führen, dass die AD-Integration und damit die Benutzerauthentifizierung fehlschlägt oder nicht mehr funktioniert.
Active Directory-Authentifizierung konfigurieren
XenServer unterstützt die Verwendung von Active Directory-Servern unter Windows 2008 oder höher.
Um Active Directory für XenServer-Hosts zu authentifizieren, müssen Sie denselben DNS-Server sowohl für den Active Directory-Server (konfiguriert für Interoperabilität) als auch für den XenServer-Host verwenden. In einigen Konfigurationen kann der Active Directory-Server das DNS selbst bereitstellen. Dies kann entweder mithilfe von DHCP erreicht werden, um dem XenServer-Host die IP-Adresse und eine Liste von DNS-Servern zur Verfügung zu stellen. Alternativ können Sie die Werte in den PIF-Objekten festlegen oder das Installationsprogramm verwenden, wenn eine manuelle statische Konfiguration verwendet wird.
Wir empfehlen, DHCP zu aktivieren, um Hostnamen zuzuweisen. Weisen Sie die Hostnamen localhost
oder linux
nicht Hosts zu.
Warnung:
XenServer-Hostnamen müssen in der gesamten XenServer-Bereitstellung eindeutig sein.
Beachten Sie Folgendes:
-
XenServer kennzeichnet seinen AD-Eintrag in der AD-Datenbank mit seinem Hostnamen. Wenn zwei XenServer-Hosts mit demselben Hostnamen derselben AD-Domäne angehören, überschreibt der zweite XenServer den AD-Eintrag des ersten XenServer. Das Überschreiben erfolgt unabhängig davon, ob die Hosts zu denselben oder verschiedenen Pools gehören. Dies kann dazu führen, dass die AD-Authentifizierung auf dem ersten XenServer nicht mehr funktioniert.
Sie können denselben Hostnamen in zwei XenServer-Hosts verwenden, sofern sie verschiedenen AD-Domänen beitreten.
-
Die XenServer-Hosts können sich in unterschiedlichen Zeitzonen befinden, da die UTC-Zeit verglichen wird. Um sicherzustellen, dass die Synchronisierung korrekt ist, können Sie dieselben NTP-Server für Ihren XenServer-Pool und den Active Directory-Server verwenden.
-
Pools mit gemischter Authentifizierung werden nicht unterstützt. Sie können keinen Pool haben, in dem einige Hosts im Pool für die Verwendung von Active Directory konfiguriert sind und andere nicht.
-
Die XenServer Active Directory-Integration verwendet das Kerberos-Protokoll für die Kommunikation mit den Active Directory-Servern. Daher unterstützt XenServer nicht die Kommunikation mit Active Directory-Servern, die Kerberos nicht verwenden.
-
Damit die externe Authentifizierung mit Active Directory erfolgreich ist, müssen die Uhren auf Ihren XenServer-Hosts mit den Uhren auf Ihrem Active Directory-Server synchronisiert werden. Wenn XenServer der Active Directory-Domäne beitritt, wird die Synchronisierung überprüft und die Authentifizierung schlägt fehl, wenn es zu viele Abweichungen zwischen den Servern gibt.
Warnung:
Hostnamen dürfen ausschließlich aus nicht mehr als 63 alphanumerischen Zeichen bestehen und dürfen nicht rein numerisch sein.
Eine Einschränkung in den neuesten SSH-Clients bedeutet, dass SSH nicht für Benutzernamen funktioniert, die eines der folgenden Zeichen enthalten:
{}[]|&
. Stellen Sie sicher, dass Ihre Benutzernamen und Active Directory-Servernamen keines dieser Zeichen enthalten.
Wenn Sie nach der Aktivierung der Active Directory-Authentifizierung einen Host zu einem Pool hinzufügen, werden Sie aufgefordert, Active Directory auf dem Host zu konfigurieren, der dem Pool beitritt. Wenn Sie auf dem beitretenden Host zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Active Directory-Anmeldeinformationen mit ausreichenden Rechten ein, um Hosts zu dieser Domäne hinzuzufügen.
Active Directory-Integration
Stellen Sie sicher, dass die folgenden Firewallports für ausgehenden Datenverkehr geöffnet sind, damit XenServer auf die Domänencontroller zugreifen kann.
Port | Protokoll | Verwenden |
---|---|---|
53 | UDP/TCP | DNS |
88 | UDP/TCP | Kerberos 5 |
123 | UDP | NTP |
137 | UDP | NetBIOS-Namensdienst |
139 | TCP | NetBIOS-Sitzung (SMB) |
389 | UDP/TCP | LDAP |
445 | TCP | SMB über TCP |
464 | UDP/TCP | Kennwortänderungen für |
636 | UDP/TCP | LDAP über SSL |
3268 | TCP | Globale Katalogsuche |
Weitere Informationen finden Sie unter Von XenServer verwendete Kommunikationsports.
Hinweise:
- Führen Sie den folgenden Befehl aus, um die Firewall-Regeln auf einem Linux-Computer mit iptablesanzuzeigen:
iptables -nL
.
Winbind
XenServer verwendet Winbind, um Active Directory-Benutzer (AD) beim AD-Server zu authentifizieren und die Kommunikation mit dem AD-Server zu verschlüsseln.
Winbind unterstützt die folgenden Szenarien nicht:
- Leerzeichen am Anfang oder Ende eines Domänenbenutzers oder eines Domänengruppennamens.
- Domain-Benutzernamen, die mindestens 64 Zeichen enthalten.
- Domänenbenutzernamen, die eines der Sonderzeichen enthalten +<>”=/%@:,;\ `
- Domänengruppennamen, die eines der Sonderzeichen enthalten,;\ `
Winbind konfigurieren
Konfigurieren Sie das Winbind-Verhalten mit den folgenden Konfigurationsoptionen, die in die Datei /etc/xapi.conf
aufgenommen werden können:
-
winbind_machine_pwd_timeout
: Der Wert dieser Option definiert, wie oft (in Sekunden) das Computerkennwort für diesen XenServer-Host rotiert wird. Definieren Sie einen Wert als Ganzzahl.Der Standardwert ist 1209600 Sekunden (14 Tage). Es wird empfohlen, den Standardwert beizubehalten oder den Wert nicht unter den Standardwert zu verringern, um genügend Zeit für die Synchronisierung des neuen Kennworts zwischen den Domänencontrollern zu gewährleisten.
-
winbind_kerberos_encryption_type
: Die Werte für diese Option sind strong, legacy und all. Der Standardwert ist all.-
Der Wert
all
erlaubt die folgenden Verschlüsselungssammlungen:aes256-cts-hmac-sha1-96
,aes128-cts-hmac-sha1-96
, undarcfour-hmac-md5
-
Der Wert
strong
erlaubt die folgenden Verschlüsselungssammlungen: undaes256-cts-hmac-sha1-96
aes128-cts-hmac-sha1-96
-
Der Wert
legacy
erlaubt die folgenden Verschlüsselungssammlungen:arcfour-hmac-md5
Die Legacy-Option ist unsicher und wir empfehlen, sie nur zum Debuggen von Problemen zu verwenden.
Zur Verbesserung der Sicherheit empfehlen wir, die AES-Verschlüsselung zu erzwingen. Führen Sie hierfür folgende Schritte aus:
- Stellen Sie sicher, dass der Domänencontroller
aes256-cts-hmac-sha1-96
und unterstütztaes128-cts-hmacsha1-96
. -
Konfigurieren Sie den Domänencontroller so, dass die andere Domäne die Kerberos-AES-Verschlüsselung in der Domänenvertrauensstellung
Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Methode 3: Konfiguration der Vertrauensstellung zur Unterstützung der AES128- und AES-256-Verschlüsselung anstelle der RC4-Verschlüsselung.
- Aktualisieren Sie die
winbind_kerberos_encryption_type
Option, um den Wert zu verwendenstrong
. -
Starten Sie den Toolstack neu.
Starten Sie den Toolstack nicht neu, solange HA aktiviert ist. Wenn möglich, deaktivieren Sie HA vorübergehend, bevor Sie den Toolstack neu starten.
-
-
winbind_cache_time
: Winbind speichert einige Domaininformationen lokal im Cache. Der Wert dieser Option definiert die Anzahl der Sekunden zwischen jeder Cache-Aktualisierung. Die Standardeinstellung ist 60 Sekunden.
Nachdem Sie eine dieser Konfigurationsoptionen aktualisiert haben, starten Sie den Toolstack neu.
Wie verwaltet XenServer das Maschinenkontokennwort für die AD-Integration?
Ähnlich wie bei Windows-Client-Computern aktualisiert Winbind automatisch das Kennwort für das Computerkonto. Winbind aktualisiert das Computerkontokennwort automatisch alle 14 Tage oder wie in der Konfigurationsoption winbind_machine_pwd_timeout
angegeben.
Externe Authentifizierung in einem Pool aktivieren
Die externe Authentifizierung mit Active Directory kann entweder mit XenCenter oder der CLI mit dem folgenden Befehl konfiguriert werden.
xe pool-enable-external-auth auth-type=AD \
service-name=full-qualified-domain \
config:user=username \
config:pass=password
<!--NeedCopy-->
Der angegebene Benutzer muss die Berechtigung Add/remove computer objects or workstations
haben, was die Standardeinstellung für Domänenadministratoren ist.
Wenn Sie in dem von Active Directory und Ihren XenServer-Hosts verwendeten Netzwerk kein DHCP verwenden, richten Sie Ihr DNS wie folgt ein:
-
Richten Sie Ihre Domain-DNS-Suffix-Suchreihenfolge zum Auflösen von Nicht-FQDN-Einträgen
xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \ "other-config:domain=suffix1.com suffix2.com suffix3.com" <!--NeedCopy-->
-
Konfigurieren Sie den DNS-Server für die Verwendung auf Ihren XenServer-Hosts:
xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \ gateway=gateway netmask=netmask uuid=uuid <!--NeedCopy-->
-
Stellen Sie die Verwaltungsschnittstelle manuell so ein, dass sie eine PIF verwendet, die sich im selben Netzwerk wie Ihr DNS-Server befindet:
xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork <!--NeedCopy-->
Hinweis:
Die externe Authentifizierung ist eine Pro-Host-Eigenschaft. Wir empfehlen jedoch, dass Sie die externe Authentifizierung pro Pool aktivieren und deaktivieren. Eine Einstellung pro Pool ermöglicht es XenServer, mit Fehlern umzugehen, die bei der Aktivierung der Authentifizierung auf einem bestimmten Host auftreten. XenServer macht auch alle Änderungen rückgängig, die möglicherweise erforderlich sind, um eine konsistente Konfiguration im gesamten Pool sicherzustellen. Verwenden Sie den
host-param-list
Befehl, um die Eigenschaften eines Hosts zu überprüfen und den Status der externen Authentifizierung zu ermitteln, indem Sie die Werte der entsprechenden Felder überprüfen.
Deaktivieren Sie mit XenCenter die Active Directory-Authentifizierung oder den folgenden xe-Befehl:
xe pool-disable-external-auth
<!--NeedCopy-->
Benutzerauthentifizierung
Um einem Benutzer Zugriff auf Ihren XenServer-Host zu gewähren, müssen Sie einen Betreff für diesen Benutzer oder eine Gruppe hinzufügen, der er angehört. (Transitive Gruppenmitgliedschaften werden ebenfalls wie gewohnt geprüft. Beispiel: Hinzufügen eines Betreffs für Gruppe A
, wobei Gruppe A
Gruppe B
enthält und user 1
Mitglied der Gruppe B
ist, würde den Zugriff auf user 1
erlauben.) Wenn Sie Benutzerberechtigungen in Active Directory verwalten möchten, können Sie eine einzelne Gruppe erstellen, die Sie dann Benutzer hinzufügen und aus löschen. Alternativ können Sie einzelne Benutzer oder eine Kombination von Benutzern und Gruppen, je nach Ihren Authentifizierungsanforderungen, zu XenServer hinzufügen und löschen. Sie können die Betreffliste über XenCenter oder über die CLI verwalten, wie im folgenden Abschnitt beschrieben.
Bei der Authentifizierung eines Benutzers werden die Anmeldeinformationen zunächst mit dem lokalen Root-Konto abgeglichen, sodass Sie ein System wiederherstellen können, dessen AD-Server ausgefallen ist. Wenn die Anmeldeinformationen (Benutzername und Kennwort) nicht übereinstimmen, wird eine Authentifizierungsanfrage an den AD-Server gestellt. Wenn die Authentifizierung erfolgreich ist, werden die Benutzerinformationen abgerufen und mit der lokalen Betreffliste abgeglichen. Der Zugriff wird verweigert, wenn die Authentifizierung fehlschlägt. Die Validierung anhand der Betreffliste ist erfolgreich, wenn sich der Benutzer oder eine Gruppe in der transitiven Gruppenzugehörigkeit des Benutzers in der Betreffliste befindet.
Hinweis:
Wenn Sie Active Directory-Gruppen verwenden, um Benutzern des Pool-Administrators Zugriff zu gewähren, die Host-SSH-Zugriff benötigen, darf die Größe der AD-Gruppe 500 Benutzer nicht überschreiten.
So fügen Sie XenServer ein AD-Betreff hinzu:
xe subject-add subject-name=entity_name
<!--NeedCopy-->
Der entity_name ist der Name des Benutzers oder der Gruppe, für die Sie Zugriff gewähren möchten. Sie können die Domäne der Entität einbeziehen (z. B. “xendt\ user1” im Gegensatz zu “Benutzer1”), obwohl das Verhalten dasselbe ist, sofern keine Begriffsklärung erforderlich ist.
Suchen Sie die Betreff-ID des Benutzers. Die Kennung ist der Benutzer oder die Gruppe, die den Benutzer enthält. Durch das Entfernen einer Gruppe wird der Zugriff für alle Benutzer in dieser Gruppe aufgehoben, sofern sie nicht auch in der Betreffliste angegeben sind. Verwenden Sie den subject list
Befehl, um die Betreff-ID des Benutzers zu finden. :
xe subject-list
<!--NeedCopy-->
Dieser Befehl gibt eine Liste aller Benutzer zurück.
Um einen Filter auf die Liste anzuwenden, z. B. um die Betreff-ID für einen Benutzer user1
in der testad
Domäne zu finden, verwenden Sie den folgenden Befehl:
xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->
Entfernen Sie den Benutzer mithilfe des subject-remove
Befehls und geben Sie die im vorherigen Schritt erlernte Fachkennung ein:
xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->
Sie können jede aktuelle Sitzung beenden, die dieser Benutzer bereits authentifiziert hat. Weitere Informationen finden Sie unter Beenden aller authentifizierten Sitzungen mit xe und Beenden einzelner Benutzersitzungen mit xe im folgenden Abschnitt. Wenn Sie die Sitzungen nicht beenden, können Benutzer mit entzogenen Berechtigungen weiterhin auf das System zugreifen, bis sie sich abmelden.
Führen Sie den folgenden Befehl aus, um die Liste der Benutzer und Gruppen zu identifizieren, die berechtigt sind, auf Ihren XenServer-Host oder -Pool zuzugreifen:
xe subject-list
<!--NeedCopy-->
Zugriff für einen Benutzer aufheben
Wenn ein Benutzer authentifiziert ist, kann er auf den Host zugreifen, bis er seine Sitzung beendet oder ein anderer Benutzer seine Sitzung beendet. Wenn Sie einen Benutzer aus der Betreffliste entfernen oder ihn aus einer Gruppe in der Betreffliste entfernen, werden nicht automatisch alle bereits authentifizierten Sitzungen des Benutzers widerrufen. Benutzer können weiterhin mit XenCenter oder anderen API-Sitzungen, die sie bereits erstellt haben, auf den Pool zugreifen. XenCenter und die CLI bieten Möglichkeiten, einzelne Sitzungen oder alle aktiven Sitzungen mit Nachdruck zu beenden. In der XenCenter-Dokumentation finden Sie Informationen zu Verfahren mit XenCenter oder im folgenden Abschnitt finden Sie Verfahren zur Verwendung der CLI.
Beenden Sie alle authentifizierten Sitzungen mit xe
Führen Sie den folgenden CLI-Befehl aus, um alle authentifizierten Sitzungen mit xe zu beenden:
xe session-subject-identifier-logout-all
<!--NeedCopy-->
Beenden einzelner Benutzersitzungen mit xe
-
Bestimmen Sie den Betreff, dessen Sitzung Sie abmelden möchten. Verwenden Sie entweder die Befehle
session-subject-identifier-list
odersubject-list
xe, um die Betreff-ID zu finden. Der erste Befehl zeigt Benutzer mit Sitzungen an. Der zweite Befehl zeigt alle Benutzer an, kann aber gefiltert werden. Zum Beispiel, indem Sie einen Befehl wiexe subject-list other-config:subject-name=xendt\\user1
verwenden. Möglicherweise benötigen Sie einen doppelten Backslash (wie gezeigt, abhängig von Ihrer Shell). -
Verwenden Sie den Befehl
session-subject-logout
, um die im vorherigen Schritt ermittelte Betreff-ID als Parameter zu übergeben, z. B.:xe session-subject-identifier-logout subject-identifier=subject_id <!--NeedCopy-->
Eine AD-Domäne verlassen
Warnung:
Wenn Sie die Domäne verlassen, werden alle Benutzer, die sich mit Active Directory-Anmeldeinformationen am Pool oder Host authentifiziert haben, getrennt.
Verwenden Sie XenCenter, um eine AD-Domäne zu verlassen. Weitere Informationen finden Sie in der XenCenter-Dokumentation. Führen Sie den alternativ Befehl pool-disable-external-auth
aus und geben Sie bei Bedarf die Pool-UUID an.
Hinweis:
Beim Verlassen der Domäne werden die Host-Objekte nicht aus der AD-Datenbank gelöscht. In der Active Directory-Dokumentation finden Sie Informationen darüber, wie Sie Ihre deaktivierten Host-Einträge erkennen und entfernen können.