XenCenter

Administración de usuarios

Al instalar XenServer por primera vez, se agrega automáticamente una cuenta de usuario a XenServer. Esta cuenta es el superusuario local (LSU) o rootla que el sistema XenServer autentica localmente. Puede crear usuarios adicionales agregando cuentas de Active Directory desde la ficha Usuarios de XenCenter.

Nota:

El término “usuario” se refiere a cualquier persona que tenga una cuenta de XenServer, es decir, a cualquier persona que administre los hosts de XenServer, independientemente del nivel de su rol.

Si quiere tener varias cuentas de usuario en un servidor o un grupo, debe usar cuentas de usuario de Active Directory para la autenticación. Esta función permite a los usuarios de XenServer iniciar sesión en los servidores de un grupo con sus credenciales de dominio de Windows.

Nota:

No se admiten los grupos de autenticación mixta. Es decir, no puede tener un grupo en el que algunos servidores del grupo usen Active Directory y otros no.

Al crear un usuario en XenServer, primero debe asignar un rol al usuario recién creado para que pueda usar la cuenta. XenServer no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.

Con la función Control de acceso basado en roles (RBAC), puede asignar a las cuentas de Active Directory diferentes niveles de permisos en función del rol del usuario. Si no usa Active Directory en su entorno, está limitado a la cuenta de LSU.

Autenticación AD en el entorno XenServer

Aunque los servidores XenServer están basados en Linux, XenServer le permite usar cuentas de Active Directory para las cuentas de usuario de XenServer. Para hacerlo, pasa las credenciales de Active Directory al controlador de dominio de Active Directory.

Nota:

Puede habilitar el enlace de canales LDAP y la firma LDAP en sus controladores de dominio de AD. Para obtener más información, consulte Asesoramiento de seguridad de Microsoft.

Cuando se agregan a XenServer, los usuarios y grupos de Active Directory se convierten en sujetos de XenServer, denominados usuarios en XenCenter. Cuando un sujeto se registra en XenServer, los usuarios y los grupos se autentican con Active Directory al iniciar sesión. Estos usuarios y grupos no necesitan calificar su nombre de usuario con un nombre de dominio.

Para calificar un nombre de usuario, debe escribir el nombre de usuario en el formato de nombre de inicio de sesión de nivel inferior; por ejemplo, mydomain\myuser.

Nota:

De forma predeterminada, si no califica el nombre de usuario, XenCenter intentará iniciar sesión en los servidores de autenticación de Active Directory mediante el dominio al que está unido. La excepción a esta regla es la cuenta de LSU, que XenCenter siempre autentica primero de forma local (es decir, en XenServer).

El proceso de autenticación externa funciona de la siguiente manera:

  1. Las credenciales proporcionadas al conectarse a un servidor se transfieren al controlador de dominio de Active Directory para la autenticación.
  2. El controlador de dominio comprueba las credenciales. Si no son válidas, la autenticación falla de inmediato.
  3. Si las credenciales son válidas, se consulta al controlador de Active Directory para obtener el identificador del sujeto y la pertenencia al grupo asociados a las credenciales.
  4. Si el identificador del sujeto coincide con el almacenado en XenServer, la autenticación se completa correctamente.

Cuando se une a un dominio, habilita la autenticación de Active Directory para el grupo. Sin embargo, cuando un grupo se une a un dominio, solo los usuarios de ese dominio (o un dominio con el que tenga relaciones de confianza) pueden conectarse al grupo.

Administración de usuarios