XenServer

Usar RBAC con la CLI

comandos CLI de RBAC xe

Use los siguientes comandos para trabajar con roles y temas.

Para enumerar todos los roles definidos disponibles

Ejecute el comando: xe role-list

Este comando devuelve una lista de los roles definidos actualmente, por ejemplo:

    uuid( RO): 0165f154-ba3e-034e-6b27-5d271af109ba
    name ( RO): pool-admin
    description ( RO): The Pool Administrator role has full access to all
    features and settings, including accessing Dom0 and managing subjects,
    roles and external authentication

    uuid ( RO): b9ce9791-0604-50cd-0649-09b3284c7dfd
    name ( RO): pool-operator
    description ( RO): The Pool Operator role manages host-  and pool-wide resources,
    including setting up storage, creating resource pools and managing patches, and
    high availability (HA).

    uuid( RO): 7955168d-7bec-10ed-105f-c6a7e6e63249
    name ( RO): vm-power-admin
    description ( RO): The VM Power Administrator role has full access to VM and
    template management and can choose where to start VMs and use the dynamic memory
    control and VM snapshot features

    uuid ( RO): aaa00ab5-7340-bfbc-0d1b-7cf342639a6e
    name ( RO): vm-admin
    description ( RO):  The VM Administrator role can manage VMs and templates

    uuid ( RO): fb8d4ff9-310c-a959-0613-54101535d3d5
    name ( RO): vm-operator
    description ( RO):  The VM Operator role can use VMs and interact with VM consoles

    uuid ( RO): 7233b8e3-eacb-d7da-2c95-f2e581cdbf4e
    name ( RO): read-only
    description ( RO): The Read-Only role can log in with basic read-only access
<!--NeedCopy-->

Nota:

Esta lista de funciones es estática. No puede agregar, eliminar ni modificar roles.

Para mostrar una lista de temas actuales

Ejecute este comando:

xe subject-list
<!--NeedCopy-->

Este comando devuelve una lista de los usuarios de XenServer, su uuid y las funciones a las que están asociados:

    uuid ( RO): bb6dd239-1fa9-a06b-a497-3be28b8dca44
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2244
    other-config (MRO): subject-name: example01\user_vm_admin; subject-upn: \
      user_vm_admin@XENDT.NET; subject-uid: 1823475908; subject-gid: 1823474177; \
      subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2244; subject-gecos: \
      user_vm_admin; subject-displayname: user_vm_admin; subject-is-group: false; \
      subject-account-disabled: false; subject-account-expired: false; \
      subject-account-locked: false;subject-password-expired: false
    roles (SRO): vm-admin

    uuid ( RO): 4fe89a50-6a1a-d9dd-afb9-b554cd00c01a
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2245
    other-config (MRO): subject-name: example02\user_vm_op; subject-upn: \
      user_vm_op@XENDT.NET; subject-uid: 1823475909; subject-gid: 1823474177; \
      subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2245; \
      subject-gecos: user_vm_op; subject-displayname: user_vm_op; \
      subject-is-group: false; subject-account-disabled: false; \
      subject-account-expired: false; subject-account-locked: \
      false; subject-password-expired: false
    roles (SRO): vm-operator

    uuid ( RO): 8a63fbf0-9ef4-4fef-b4a5-b42984c27267
    subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2242
    other-config (MRO): subject-name: example03\user_pool_op; \
      subject-upn: user_pool_op@XENDT.NET; subject-uid: 1823475906; \
      subject-gid: 1823474177; subject-s id:
      S-1-5-21-1539997073-1618981536-2562117463-2242; \
      subject-gecos: user_pool_op; subject-displayname: user_pool_op; \
      subject-is-group: false; subject-account-disabled: false; \
      subject-account-expired: false; subject-account-locked: \
      false; subject-password-expired: false
      roles (SRO): pool-operator
<!--NeedCopy-->

Para agregar un asunto a RBAC

Para permitir que los usuarios de AD existentes usen RBAC, cree una instancia de asunto en XenServer, ya sea directamente para el usuario de AD o para los grupos que la contienen:

Ejecute el siguiente comando para agregar una nueva instancia de asunto:

xe subject-add subject-name=AD user/group
<!--NeedCopy-->

Para asignar una función de RBAC a un sujeto

Después de agregar un asunto, puede asignarlo a una función de RBAC. Puede hacer referencia a la función por su UUID o nombre:

Ejecute el comando:

xe subject-role-add uuid=subject uuid role-uuid=role_uuid
<!--NeedCopy-->

O bien:

xe subject-role-add uuid=subject uuid role-name=role_name
<!--NeedCopy-->

Por ejemplo, el siguiente comando agrega un asunto con el UUID b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 a la función de administrador del grupo:

xe subject-role-add uuid=b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 role-name=pool-admin
<!--NeedCopy-->

Para cambiar la función de RBAC de un sujeto

Para cambiar el rol de un usuario, es necesario quitarlo de su rol existente y agregarlo a un nuevo rol:

Ejecute los comandos siguientes:

xe subject-role-remove uuid=subject_uuid role-name=role_name_to_remove
xe subject-role-add uuid=subject_uuid role-name=role_name_to_add
<!--NeedCopy-->

El usuario debe cerrar sesión y volver a iniciarla para asegurarse de que la nueva función surta efecto. Esto requiere el permiso «Cerrar sesión de conexiones de usuario activas» disponible para el administrador o el operador del grupo.

Si le quitas la función de administrador del grupo a un usuario, considera la posibilidad de cambiar también la contraseña raíz y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.

Advertencia:

Cuando agrega o elimina un asunto de administrador de grupo, todos los hosts del grupo pueden tardar unos segundos en aceptar sesiones ssh asociadas con este tema.

Auditoría

El registro de auditoría de RBAC registra cualquier operación realizada por un usuario que ha iniciado sesión.

  • El mensaje registra el ID de asunto y el nombre de usuario asociados a la sesión que invocó la operación.

  • Si un sujeto invoca una operación que no está autorizada, se registra la operación.

  • También se graba cualquier operación correcta. Si la operación falló, se registrará el código de error.

Comandos CLI de auditoría log xe

El siguiente comando descarga todos los registros disponibles del archivo de auditoría RBAC en el grupo en un archivo. Si el parámetro opcional “desde” está presente, solo descarga los registros de ese punto específico en el tiempo.

xe audit-log-get [since=timestamp] filename=output filename
<!--NeedCopy-->

Para obtener todos los registros de auditoría del grupo

Ejecute este comando:

xe audit-log-get filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->

Para obtener registros de auditoría del grupo desde una marca de tiempo precisa en milisegundos

Ejecute este comando:

xe audit-log-get since=2009-09-24T17:56:20.530Z \
    filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->

Para obtener registros de auditoría del grupo desde una marca de tiempo precisa por minuto

Ejecute este comando:

xe audit-log-get since=2009-09-24T17:56Z \
    filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->
Usar RBAC con la CLI