XenCenter

Resumen del control de acceso basado en roles

La función Control de acceso basado en roles (RBAC) le permite asignar roles predefinidos o conjuntos de permisos a los usuarios y grupos de Active Directory. Estos permisos controlan el nivel de acceso que tienen los administradores de XenServer a los servidores y grupos. El RBAC se configura e implementa en el nivel del grupo. Como los usuarios adquieren permisos a través de su función asignada, asigne una función a un usuario o a su grupo para otorgarles los permisos necesarios.

Uso de cuentas de Active Directory para las cuentas de usuario de XenServer

El RBAC le permite restringir las operaciones que pueden realizar los distintos grupos de usuarios. Este control reduce la probabilidad de que los usuarios inexpertos realicen cambios accidentales desastrosos. La asignación de funciones de RBAC también ayuda a evitar cambios no autorizados en sus grupos de recursos por motivos de cumplimiento. Para facilitar el cumplimiento y la auditoría, el RBAC también proporciona una función de registro de auditoría y su correspondiente informe de seguimiento de auditoría del grupo de equilibrio de carga de trabajo. Para obtener más información, consulte Cambios de auditoría.

Los usuarios se asignan a roles. Los roles se asignan a un conjunto de permisos.

El RBAC depende de Active Directory para los servicios de autenticación. En concreto, XenServer mantiene una lista de usuarios autorizados basada en las cuentas de usuario y grupo de Active Directory. Como resultado, debe unirse al grupo al dominio y agregar cuentas de Active Directory antes de poder asignar funciones.

Proceso RBAC

El proceso estándar para implementar RBAC y asignar un rol a un usuario o grupo consiste en los siguientes pasos:

  1. Únete al dominio.
  2. Agregue un usuario o grupo de Active Directory al grupo.
  3. Asigne (o modifique) la función RBAC del usuario o del grupo.

Superusuario local

El superusuario local (LSU), o raíz, es una cuenta de usuario especial que se utiliza para la administración del sistema y tiene todos los derechos o permisos. En XenServer, el superusuario local es la cuenta predeterminada en la instalación. La LSU se autentica mediante XenServer y no mediante un servicio de autenticación externo. Si el servicio de autenticación externa falla, la LSU aún puede iniciar sesión y administrar el sistema. La LSU siempre puede acceder al servidor físico de XenServer a través de SSH.

Roles de RBAC

XenServer incluye seis funciones preestablecidas que están diseñadas para alinearse con las diferentes funciones de una organización de TI.

  • Administrador de grupos (administrador de grupos). Esta función es la función más poderosa disponible. Los administradores del grupo tienen acceso completo a todas las funciones y configuraciones de XenServer. Pueden realizar todas las operaciones, incluida la administración de roles y usuarios. Pueden conceder acceso a la consola de XenServer. Como práctica recomendada, Citrix recomienda asignar esta función a un número limitado de usuarios.

    Nota:

    El superusuario local (root) siempre tiene la función de administrador del grupo. La función de administrador del grupo tiene los mismos permisos que la raíz local.

    Si elimina la función de administrador del grupo de un usuario, considere también cambiar la contraseña raíz del servidor y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.

  • Operador de agrupación (operador de agrupación). Esta función está diseñada para permitir que la persona asignada administre los recursos de todo el grupo. Las acciones de administración incluyen crear almacenamiento, administrar servidores, administrar parches y crear grupos. Los operadores de grupos pueden configurar los recursos del grupo. También tienen acceso total a las siguientes funciones: alta disponibilidad, equilibrio de carga de trabajo y administración de parches. Los operadores de grupos no pueden agregar usuarios ni modificar roles.
  • Administradorde energía de máquinas virtuales (administrador de energía de VM). Esta función tiene acceso completo a la administración de VM y plantillas. Pueden elegir dónde iniciar las VM. Tienen acceso completo a las funciones de control de memoria dinámica y a la función de instantánea de VM. Además, pueden configurar el servidor doméstico y elegir dónde ejecutar las cargas de trabajo. La asignación de esta función otorga a la persona asignada permisos suficientes para aprovisionar máquinas virtuales para el uso de VM Operator.
  • Administrador de máquinas virtuales (administrador de VM). Esta función puede administrar máquinas virtuales y plantillas y acceder al almacenamiento necesario para completar estas tareas. Sin embargo, esta función depende de XenServer para elegir dónde ejecutar las cargas de trabajo y debe usar la configuración de las plantillas para el control dinámico de la memoria y el servidor doméstico. (Esta función no puede acceder a las funciones de control dinámico de la memoria, realizar instantáneas, configurar el servidor doméstico ni elegir dónde ejecutar las cargas de trabajo).
  • Operador de máquina virtual (operador de VM). Esta función puede usar las VM en un grupo y administrar su ciclo de vida básico. Los operadores de VM pueden interactuar con las consolas de VM e iniciar o detener las VM, siempre que haya suficientes recursos de hardware disponibles. Del mismo modo, los operadores de VM pueden realizar operaciones de ciclo de vida inicial y final La función de operador de máquina virtual no puede crear ni destruir máquinas virtuales, modificar las propiedades de la máquina virtual ni los recursos del servidor.
  • Solo lectura (solo lectura). Esta función solo puede ver el agrupación de recursos y los datos de rendimiento.

Para obtener información sobre los permisos asociados a cada función, consulte Definiciones de funciones y permisos de RBAC. Para obtener información sobre cómo RBAC calcula qué roles se aplican a un usuario, consulte Cálculo de roles RBAC.

Nota:

Cuando crea un usuario, primero debe asignar una función al usuario recién creado antes de que pueda usar la cuenta. XenServer no asigna automáticamente un rol al usuario recién creado.

Resumen del control de acceso basado en roles