Documentación de productos
XenServer
8 Citrix Hypervisor 8.2 CU1
Ver PDF

Administrar usuarios

October 24, 2024
Contribución de: 
X X

La definición de usuarios, grupos, roles y permisos le permite controlar quién tiene acceso a los hosts y grupos de XenServer y qué acciones pueden realizar.

Cuando se instala XenServer por primera vez, se agrega automáticamente una cuenta de usuario a XenServer. Esta cuenta es el superusuario local (LSU), o raíz, que XenServer autentica localmente.

La LSU, o raíz, es una cuenta de usuario especial destinada a la administración del sistema y tiene todos los permisos. En XenServer, la LSU es la cuenta predeterminada en el momento de la instalación. XenServer autentica la cuenta de LSU. LSU no requiere ningún servicio de autenticación externo. Si se produce un error en un servicio de autenticación externo, la LSU aún puede iniciar sesión y administrar el sistema. La LSU siempre puede acceder al servidor físico de XenServer a través de SSH.

Puede crear más usuarios agregando las cuentas de Active Directory a través de la pestaña Usuarios de XenCenter o la CLI de xe. Si su entorno no usa Active Directory, está limitado a la cuenta de LSU.

Nota: No

Al crear usuarios, XenServer no asigna automáticamente roles RBAC a las cuentas de usuario recién creadas. Por lo tanto, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.

Estos permisos se conceden a través de roles, como se describe en el Autenticación de usuarios con Active Directory (AD) sección.

Autenticación de usuarios con Active Directory (AD)

Si desea tener varias cuentas de usuario en un host o un grupo, debe usar cuentas de usuario de Active Directory para la autenticación. Las cuentas de AD permiten a los usuarios de XenServer iniciar sesión en un grupo con sus credenciales de dominio de Windows.

Nota: No

Puede habilitar el enlace de canal LDAP y la firma LDAP en los controladores de dominio de AD. Para obtener más información, consulta Aviso de seguridad de Microsoft.

Puede configurar diferentes niveles de acceso para usuarios específicos habilitando la autenticación de Active Directory, agregando cuentas de usuario y asignando roles a esas cuentas.

Los usuarios de Active Directory pueden usar la CLI xe (pasando la -u y -prisionero de guerra argumentos) y también se conectan al host mediante XenCenter. La autenticación se realiza por grupo de recursos.

Temas Controle el acceso a las cuentas de usuario. Un asunto de XenServer se asigna a una entidad del servidor de Active Directory (ya sea un usuario o un grupo). Cuando se habilita la autenticación externa, XenServer compara las credenciales utilizadas para crear una sesión con las credenciales raíz locales y, a continuación, con la lista de asuntos. Para permitir el acceso, cree una entrada de asunto para la persona o el grupo al que desea conceder acceso. Puede utilizar XenCenter o xe CLI para crear una entrada de asunto.

Si está familiarizado con XenCenter, tenga en cuenta que la CLI de xe utiliza una terminología ligeramente diferente para referirse a las funciones de Active Directory y de la cuenta de usuario:

Término de XenCenter xe CLI Término
Usuarios, Agregar usuarios Asignaturas, Añadir asignaturas

Aunque XenServer está basado en Linux, XenServer permite utilizar cuentas de Active Directory para cuentas de usuario de XenServer. Para ello, pasa las credenciales de Active Directory al controlador de dominio de Active Directory.

Al agregar Active Directory a XenServer, los usuarios y grupos de Active Directory se convierten en sujetos de XenServer. Los sujetos se denominan usuarios en XenCenter. Los usuarios o grupos se autentican mediante Active Directory al iniciar sesión cuando se registra un asunto con XenServer. Los usuarios y grupos no necesitan calificar su nombre de usuario mediante un nombre de dominio.

Para iniciar sesión en un host de XenServer, los usuarios de Active Directory deben tener permiso en el nivel de dominio para iniciar sesión en el equipo que aloja la cuenta de equipo de XenServer. De forma predeterminada, en un dominio de Windows Server 2019, todos los usuarios pueden iniciar sesión en cualquier equipo del dominio. Sin embargo, si ha cambiado esta configuración, asegúrese de que los usuarios que desea que tengan acceso a un host de XenServer tengan permiso para iniciar sesión en el nivel de dominio.

Para calificar un nombre de usuario, debe escribir el nombre de usuario en el formato de nombre de registro de nivel inferior, por ejemplo, midominio\miusuario.

Nota: No

De forma predeterminada, si no calificó el nombre de usuario, XenCenter intenta iniciar sesión en los usuarios de los servidores de autenticación de AD mediante el dominio al que está unido. La excepción a esto es la cuenta LSU, que XenCenter siempre autentica localmente (es decir, en XenServer) primero.

El proceso de autenticación externa funciona de la siguiente manera:

  1. Las credenciales proporcionadas al conectarse a un host se pasan al controlador de dominio de Active Directory para la autenticación.

  2. El controlador de dominio comprueba las credenciales. Si no son válidos, se produce un error en la autenticación inmediatamente.

  3. Si las credenciales son válidas, se consulta al controlador de Active Directory para obtener el identificador de sujeto y la pertenencia al grupo asociados a las credenciales.

  4. Si el identificador del sujeto coincide con el almacenado en XenServer, la autenticación se realiza correctamente.

Al unirse a un dominio, se habilita la autenticación de Active Directory para el grupo. Sin embargo, cuando un grupo se une a un dominio, solo los usuarios de ese dominio (o de un dominio con el que tenga relaciones de confianza) pueden conectarse al grupo.

Nota: No

La actualización manual de la configuración de DNS de un PIF de red configurado por DHCP no es compatible y puede hacer que la integración de AD y, por lo tanto, la autenticación de usuario, falle o deje de funcionar.

Configurar la autenticación de Active Directory

XenServer admite el uso de servidores de Active Directory con Windows 2008 o posterior.

Para autenticar Active Directory para hosts de XenServer, debe utilizar el mismo servidor DNS tanto para el servidor de Active Directory (configurado para permitir la interoperabilidad) como para el host de XenServer. En algunas configuraciones, el servidor de Active Directory puede proporcionar el propio DNS. Esto se puede lograr mediante DHCP para proporcionar la dirección IP y una lista de servidores DNS al host de XenServer. Como alternativa, puede establecer los valores en los objetos PIF o utilizar el instalador cuando se utiliza una configuración estática manual.

Se recomienda habilitar DHCP para asignar nombres de host. No asigne los nombres de host localhost o Linux a los anfitriones.

Advertencia:

Los nombres de host de XenServer deben ser únicos en toda la implementación de XenServer.

Tenga en cuenta lo siguiente:

  • XenServer etiqueta su entrada de AD en la base de datos de AD con su nombre de host. Si dos hosts de XenServer con el mismo nombre de host se unen al mismo dominio de AD, el segundo XenServer sobrescribe la entrada de AD del primer XenServer. La sobrescritura se produce independientemente de si los hosts pertenecen al mismo grupo o a grupos diferentes. Esto puede hacer que la autenticación AD en el primer XenServer deje de funcionar.

    Puede utilizar el mismo nombre de host en dos hosts de XenServer, siempre que se unan a diferentes dominios de AD.

  • Los hosts de XenServer pueden estar en diferentes zonas horarias, ya que es la hora UTC la que se compara. Para asegurarse de que la sincronización es correcta, puede utilizar los mismos servidores NTP para el grupo de XenServer y el servidor de Active Directory.

  • No se admiten grupos de autenticación mixta. No puede tener un grupo en el que algunos hosts del grupo estén configurados para usar Active Directory y otros no.

  • La integración de XenServer Active Directory utiliza el protocolo Kerberos para comunicarse con los servidores de Active Directory. Por lo tanto, XenServer no admite la comunicación con servidores de Active Directory que no utilicen Kerberos.

  • Para que la autenticación externa mediante Active Directory se realice correctamente, los relojes de los hosts de XenServer deben estar sincronizados con los relojes del servidor de Active Directory. Cuando XenServer se une al dominio de Active Directory, se comprueba la sincronización y se produce un error en la autenticación si hay demasiado desviación entre los servidores.

Advertencia:

Los nombres de host no deben constar únicamente de 63 caracteres alfanuméricos y no deben ser puramente numéricos.

Una limitación en los clientes SSH recientes significa que SSH no funciona para los nombres de usuario que contienen cualquiera de los siguientes caracteres: {}[]|&. Asegúrese de que los nombres de usuario y los nombres de los servidores de Active Directory no contengan ninguno de estos caracteres.

Al agregar un host a un grupo después de habilitar la autenticación de Active Directory, se le pedirá que configure Active Directory en el host que se une al grupo. Cuando se le soliciten credenciales en el host que se une, escriba credenciales de Active Directory con privilegios suficientes para agregar hosts a ese dominio.

Integración con Active Directory

Asegúrese de que los siguientes puertos de firewall estén abiertos para el tráfico saliente para que XenServer pueda acceder a los controladores de dominio.

Puerto Protocolo Utilice
53 UDP/TCP DNS
88 UDP/TCP Kerberos 5
123 UDP NTP
137 UDP Servicio de nombres de NetBIOS
139 TCP Sesión NetBIOS (SMB)
389 UDP/TCP LDAP
445 TCP SMB por TCP
464 UDP/TCP Cambios de contraseña de máquina
636 UDP/TCP LDAP a través de SSL
3268 TCP Búsqueda global en el catálogo

Para obtener más información, consulte Puertos de comunicación utilizados por XenServer.

Notes:

  • Para ver las reglas de firewall en un equipo Linux mediante iptables, ejecute el siguiente comando: iptables -nL.

Winbind

XenServer utiliza Winbind para autenticar a los usuarios de Active Directory (AD) con el servidor AD y para cifrar las comunicaciones con el servidor AD.

Winbind no admite los siguientes escenarios:

  • Espacio al principio o al final de un nombre de dominio, usuario o grupo de dominio.
  • Nombres de usuario de dominio que contengan 64 caracteres o más.
  • Nombres de usuario de dominio que incluyen cualquiera de los caracteres especiales +<>”=/%@:,;\`
  • Nombres de grupos de dominio que incluyen cualquiera de los caracteres especiales ,;\'

Configuración de Winbind

Configure el comportamiento de Winbind con las siguientes opciones de configuración, que se pueden incluir en el archivo /etc/xapi.conf archivo:

  • winbind_machine_pwd_timeout: El valor de esta opción define la frecuencia, en segundos, con la que se rota la contraseña del equipo para este host de XenServer. Defina un valor como un número entero.

    El valor predeterminado es 1209600 segundos (14 días). Se recomienda mantener el valor predeterminado o no disminuirlo por debajo del valor predeterminado para garantizar tiempo suficiente para sincronizar la nueva contraseña entre controladores de dominio.

  • winbind_kerberos_encryption_type: Los valores de esta opción son strong, legacy y all. El valor predeterminado es all.

    • El valor todo Permite los siguientes conjuntos de cifrado: AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96y Arcfour-HMAC-MD5

    • El valor fuerte Permite los siguientes conjuntos de cifrado: AES256-CTS-HMAC-SHA1-96 y AES128-CTS-HMAC-SHA1-96

    • El valor legado Permite los siguientes conjuntos de cifrado: Arcfour-HMAC-MD5

      La opción heredada es insegura y se recomienda usarla solo para depurar problemas.

    Para mejorar la seguridad, le recomendamos que aplique el cifrado AES. Para ello:

    1. Asegúrese de que el controlador de dominio admite AES256-CTS-HMAC-SHA1-96 y AES128-CTS-HMACSHA1-96.

    2. Configure el controlador de dominio para habilitar El otro dominio es compatible con el cifrado AES de Kerberos en la confianza de dominio.

      Para obtener más información, consulte Método 3: Configure la confianza para que admita el cifrado AES128 y AES 256 en lugar del cifrado RC4 en la documentación de Microsoft.

    3. Actualice el archivo winbind_kerberos_encryption_type opción para usar el valor fuerte.

    4. Reinicie la pila de herramientas.

      No reinicie la pila de herramientas mientras HA esté habilitada. Si es posible, deshabilite temporalmente HA antes de reiniciar la pila de herramientas.

  • winbind_cache_time: Winbind almacena en caché cierta información del dominio localmente. El valor de esta opción define el número de segundos entre cada actualización de caché. El valor predeterminado es de 60 segundos.

Después de actualizar cualquiera de estas opciones de configuración, reinicie la pila de herramientas.

¿Cómo administra XenServer la contraseña de la cuenta de equipo para la integración de AD?

De forma similar a los equipos cliente de Windows, Winbind actualiza automáticamente la contraseña de la cuenta del equipo. Winbind actualiza automáticamente la contraseña de la cuenta de la máquina cada 14 días o según lo especificado por la opción de configuración winbind_machine_pwd_timeout.

Habilitación de la autenticación externa en un grupo

La autenticación externa mediante Active Directory se puede configurar mediante XenCenter o la CLI mediante el siguiente comando.

  xe pool-enable-external-auth auth-type=AD \
    service-name=full-qualified-domain \
    config:user=username \
    config:pass=password
<!--NeedCopy-->

El usuario especificado debe tener Agregar o eliminar objetos de computadora o estaciones de trabajo , que es el valor predeterminado para los administradores de dominio.

Si no utiliza DHCP en la red utilizada por Active Directory y los hosts de XenServer, utilice los siguientes enfoques para configurar el DNS:

  1. Configure el orden de búsqueda del sufijo DNS de su dominio para resolver entradas que no sean FQDN:

      xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \
     "other-config:domain=suffix1.com suffix2.com suffix3.com"
<!--NeedCopy-->

  2. Configure el servidor DNS que se utilizará en los hosts de XenServer:

      xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \
    gateway=gateway netmask=netmask uuid=uuid
<!--NeedCopy-->

  3. Configure manualmente la interfaz de administración para usar un PIF que esté en la misma red que su servidor DNS:

      xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork
<!--NeedCopy-->

Nota: No

La autenticación externa es una propiedad por host. Sin embargo, se recomienda habilitar y deshabilitar la autenticación externa por grupo. Una configuración por grupo permite a XenServer hacer frente a los errores que se producen al habilitar la autenticación en un host determinado. XenServer también revierte los cambios que puedan ser necesarios, lo que garantiza una configuración coherente en todo el grupo. Utilice la función lista-param-host para inspeccionar las propiedades de un host y determinar el estado de la autenticación externa comprobando los valores de los campos relevantes.

Utilice XenCenter para inhabilitar la autenticación de Active Directory o el siguiente comando xe:

  xe pool-disable-external-auth
<!--NeedCopy-->

Autenticación de usuarios

Para permitir que un usuario acceda al host de XenServer, debe agregar un asunto para ese usuario o un grupo en el que se encuentre. (Las pertenencias a grupos transitivos también se comprueban de la manera normal. Por ejemplo, agregar un asunto para el grupo Un, donde el grupo Un Contiene el grupo B y Usuario 1 es miembro del grupo B permitiría el acceso a Usuario 1.) Si desea administrar los permisos de usuario en Active Directory, puede crear un único grupo al que luego agregue y elimine usuarios de origen o de acceso. Como alternativa, puede agregar y eliminar usuarios individuales de XenServer o una combinación de usuarios y grupos, según corresponda según sus requisitos de autenticación. Puede administrar la lista de asuntos desde XenCenter o mediante la CLI como se describe en la siguiente sección.

Al autenticar a un usuario, las credenciales se comprueban primero con la cuenta raíz local, lo que le permite recuperar un sistema cuyo servidor AD ha fallado. Si las credenciales (nombre de usuario y contraseña) no coinciden, se realiza una solicitud de autenticación al servidor AD. Si la autenticación se realiza correctamente, la información del usuario se recupera y se valida con la lista de asuntos local. Se deniega el acceso si se produce un error en la autenticación. La validación con respecto a la lista de asuntos se realiza correctamente si el usuario o un grupo de la pertenencia al grupo transitivo del usuario está en la lista de asuntos.

Nota: No

Al utilizar grupos de Active Directory para conceder acceso a los usuarios del administrador del grupo que requieren acceso ssh de host, el tamaño del grupo de AD no debe superar los 500 usuarios.

Para agregar un asunto de AD a XenServer:

  xe subject-add subject-name=entity_name
<!--NeedCopy-->

El entity_name es el nombre del usuario o grupo al que desea conceder acceso. Puede incluir el dominio de la entidad (por ejemplo, ‘xendt\user1’ en lugar de ‘user1’) aunque el comportamiento es el mismo a menos que se requiera desambiguación.

Busque el identificador de asunto del usuario. El identificador es el usuario o el grupo que contiene al usuario. Al eliminar un grupo, se elimina el acceso a todos los usuarios de ese grupo, siempre que no estén también especificados en la lista de asuntos. Utilice la función Lista de materias para encontrar el identificador de sujeto del usuario. :

  xe subject-list
<!--NeedCopy-->

Este comando devuelve una lista de todos los usuarios.

Para aplicar un filtro a la lista, por ejemplo, para encontrar el identificador de asunto de un usuario Usuario1 En Testad dominio, utilice el siguiente comando:

  xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->

Elimine el usuario mediante el comando sujeto-eliminar , pasando el identificador de asunto que aprendió en el paso anterior:

  xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->

Puede finalizar cualquier sesión actual que este usuario ya haya autenticado. Para obtener más información, consulte Finalización de todas las sesiones autenticadas mediante xe y Finalización de sesiones de usuario individuales mediante xe en la siguiente sección. Si no finaliza las sesiones, los usuarios con permisos revocados pueden seguir accediendo al sistema hasta que cierren la sesión.

Ejecute el siguiente comando para identificar la lista de usuarios y grupos con permiso para acceder al host o grupo de XenServer:

  xe subject-list
<!--NeedCopy-->

Quitar el acceso de un usuario

Cuando un usuario se autentica, puede acceder al host hasta que finalice su sesión o hasta que otro usuario finalice su sesión. Al eliminar a un usuario de la lista de asuntos, o eliminarlo de un grupo de la lista de asuntos, no se revocan automáticamente las sesiones ya autenticadas que tenga el usuario. Los usuarios pueden seguir accediendo al grupo mediante XenCenter u otras sesiones de API que ya hayan creado. XenCenter y la CLI proporcionan facilidades para finalizar sesiones individuales o todas las sesiones activas a la fuerza. Véase el Documentación de XenCenter para obtener información sobre los procedimientos que utilizan XenCenter, o en la siguiente sección para los procedimientos que utilizan la CLI.

Finalice todas las sesiones autenticadas mediante xe

Ejecute el siguiente comando de la CLI para finalizar todas las sesiones autenticadas mediante xe:

  xe session-subject-identifier-logout-all
<!--NeedCopy-->

Finalizar sesiones de usuario individuales mediante xe

  1. Determine el identificador del sujeto cuya sesión desea cerrar la sesión. Utilice la función lista-de-identificadores-de-sujeto-sesión o lista-de-materias xe para encontrar el identificador del sujeto. El primer comando muestra los usuarios que tienen sesiones. El segundo comando muestra todos los usuarios, pero se puede filtrar. Por ejemplo, mediante el uso de un comando como xe subject-list other-config:subject-name=xendt\\user1. Es posible que necesite una barra invertida doble como se muestra dependiendo de su caparazón).

  2. Utilice la función sesión-sujeto-cerrar sesión , pasando el identificador de sujeto que ha determinado en el paso anterior como parámetro, por ejemplo:

      xe session-subject-identifier-logout subject-identifier=subject_id
<!--NeedCopy-->

Dejar un dominio AD

Advertencia:

Al abandonar el dominio, se desconectan los usuarios que se autenticaron en el grupo o host con credenciales de Active Directory.

Utilice XenCenter para salir de un dominio de AD. Para obtener más información, consulte la Documentación de XenCenter. Alternativamente, ejecute el comando pool-disable-external-auth , especificando el UUID del grupo si es necesario.

Nota: No

Al salir del dominio, no se eliminan los objetos host de la base de datos de AD. Consulte la documentación de Active Directory para obtener información sobre cómo detectar y eliminar las entradas de host deshabilitadas.

Administrar usuarios
October 24, 2024
Contribución de: 
X X
October 24, 2024
Contribución de: 
X X

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.