Documentación de productos
XenServer
8 Citrix Hypervisor 8.2 CU1
Ver PDF

Roles y permisos de RBAC

October 24, 2024
Contribución de: 
X X

Roles

XenServer se envía con las siguientes seis funciones preestablecidas:

  • Administrador de Pool (Pool Admin) – lo mismo que la raíz local. Puede realizar todas las operaciones.

    Nota: No

    El superusuario local (root) tiene el rol “Administrador del grupo”. El rol de administrador del grupo tiene los mismos permisos que la raíz local.

    Si quita el rol de administrador de grupo de un usuario, considere también la posibilidad de cambiar la contraseña raíz y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la piscina.

  • Operador de piscina (Operador de grupo): puede hacer todo, excepto agregar/eliminar usuarios y cambiar sus roles. Este rol se centra principalmente en la administración de hosts y grupos (es decir, la creación de almacenamiento, la creación de grupos, la administración de los hosts, etc.).

  • Administrador de energía de máquina virtual (VM Power Admin): crea y administra máquinas virtuales. Este rol se centra en el aprovisionamiento de máquinas virtuales para su uso por parte de un operador de máquinas virtuales.

  • Administrador de máquinas virtuales (VM Admin): similar a un VM Power Admin, pero no puede migrar máquinas virtuales ni realizar instantáneas.

  • Operador de máquina virtual (Operador de VM): similar al administrador de VM, pero no puede crear o destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.

  • Solo lectura (Solo lectura): puede ver el grupo de recursos y los datos de rendimiento.

Nota: No

  • Para aplicar actualizaciones a los grupos de XenServer 8, debe iniciar sesión en XenCenter como administrador u operador de grupo, o mediante una cuenta raíz local.

  • Al usar grupos de Active Directory para conceder acceso a los usuarios de Administrador de grupos que requieren acceso SSH de host, el número de usuarios en el grupo de Active Directory no debe superar los 500.

Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.

Al crear un usuario en XenServer, primero debe asignar una función al usuario recién creado para que pueda utilizar la cuenta. XenServer no asigna automáticamente una función al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.

  1. Modifique el asunto para la asignación de roles. Esto requiere el permiso de asignar/modificar rol, solo disponible para un administrador de grupo.

  2. Modifique la pertenencia al grupo contenedor del usuario en Active Directory.

Definiciones de roles y permisos de RBAC

En la tabla siguiente se resumen los permisos disponibles para cada rol. Para obtener más información sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.

Permisos de rol Administrador de la piscina Operador de agrupaciones Administrador avanzado de VM Administrador de máquinas virtuales Operador de VM Solo lectura
Asignar/modificar roles X          
Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter) X          
Copia de seguridad/restauración del servidor X          
Instalar un certificado TLS en un servidor X          
Aplicar actualizaciones a un grupo X X        
Actualización de la piscina rodante X          
Importar paquetes OVF/OVA; Importar imágenes de disco X X        
Importar paquetes XVA X X X      
Exportar paquetes OVF/OVA/XVA X X X X    
Establecer núcleos por socket X X X X    
Conversión de máquinas virtuales con XenServer Conversion Manager X          
Bloqueo de puerto de switch X X        
Rutas múltiples X X        
Cerrar sesión en las conexiones de usuario activas X X        
Supervise los recursos de host y dom0 con NRPE X          
Supervise los recursos de host y dom0 con SNMP X          
Crear y descartar alertas X X        
Cancelar tarea de cualquier usuario X X        
Gestión de piscinas X X        
Migración en vivo X X X      
Migración en vivo de almacenamiento X X X      
Operaciones avanzadas de VM X X X      
Operaciones de creación/destrucción de máquinas virtuales X X X X    
Cambiar el medio de CD de la máquina virtual X X X X X  
Cambiar el estado de energía de la máquina virtual X X X X X  
Visualización de consolas de VM X X X X X  
Grupos de máquinas virtuales (Agregar/Modificar/Eliminar grupos de máquinas virtuales) X X X X    
Grupos de máquinas virtuales (agregar o quitar máquinas virtuales a un grupo de máquinas virtuales existente) X X X X    
Grupos de máquinas virtuales (Ver grupos de máquinas virtuales) X X X X X X
vApps (Agregar/Modificar/Eliminar vApps) X X        
vApps (Iniciar/Apagar vApps) X X        
vApps (Agregar o quitar máquinas virtuales a una vApp existente) X X        
vApps (Ver vApps) X X X X X X
Operaciones de administración de vistas de XenCenter X X X X X  
Cancelar tareas propias X X X X X X
Leer registros de auditoría X X X X X X
Configure, inicialice, habilite, deshabilite el equilibrio de carga de trabajo (WLB) X X        
Aplicación de las recomendaciones de optimización de WLB X X        
Aceptar recomendaciones de ubicación de WLB X X X      
Mostrar la configuración de WLB X X X X X X
Generar informes de WLB X X X X X X
Conéctese al grupo y lea todos los metadatos del grupo (incluidas las alertas de visualización) X X X X X X
Configurar GPU virtual X X        
Visualización de la configuración de GPU virtual X X X X X X
Recopilación de información diagnóstica X X        
Conexión en caliente de vCPU X X X X    
Configurar el seguimiento de bloques modificados X X X X    
Lista de bloques modificados X X X X X  
Configurar PVS-Accelerator X X        
Ver la configuración de PVS-Accelerator X X X X X X
Instantáneas programadas (agregar o quitar máquinas virtuales a las programaciones de instantáneas existentes) X X X      
Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas) X X        

Definiciones de permisos

Asignar/modificar roles:

  • Agregar y quitar usuarios
  • Agregar y quitar roles de los usuarios
  • Habilitar y deshabilitar la integración de Active Directory (que se une al dominio)

Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.

Advertencia:

Este rol permite al usuario deshabilitar la integración de Active Directory y todos los asuntos agregados desde Active Directory.

Inicie sesión en las consolas del servidor:

  • Acceso a la consola del servidor a través de ssh
  • Acceso a la consola del servidor a través de XenCenter

Advertencia:

Con acceso a un shell raíz, la persona asignada puede reconfigurar arbitrariamente todo el sistema, incluido RBAC.

Copia de seguridad/restauración del servidor:

  • Copia de seguridad y restauración de servidores
  • Copia de seguridad y restauración de metadatos del grupo

La capacidad de restaurar una copia de seguridad permite al usuario asignado revertir los cambios de configuración de RBAC.

Instalar un certificado TLS en un servidor:

Este permiso permite a un administrador instalar un certificado TLS en un servidor que ejecuta Citrix Hypervisor 8.2 o posterior.

Aplicar actualizaciones a un grupo:

  • Sincronice su grupo con la red de entrega de contenido (CDN)
  • Aplique las actualizaciones migrando las máquinas virtuales de cada host si es necesario y ejecutando las tareas de actualización necesarias, como reiniciar el host, reiniciar la pila de herramientas o reiniciar las máquinas virtuales

Actualización de la piscina rodante:

  • Actualice todos los hosts de un grupo mediante el Asistente para actualización gradual de grupo.

Importar paquetes OVF/OVA e imágenes de disco:

  • Importación de paquetes OVF y OVA
  • Importar imágenes de disco

Importar paquetes XVA:

  • Importar paquetes XVA

Exportación de paquetes OVF/OVA/XVA e imágenes de disco:

  • Exportación de máquinas virtuales como paquetes OVF/OVA
  • Exportación de máquinas virtuales como paquetes XVA
  • Exportar imágenes de disco

Establecer núcleos por socket:

  • Establezca el número de núcleos por socket para las CPU virtuales de la máquina virtual

Este permiso permite al usuario especificar la topología de las CPU virtuales de la máquina virtual.

Conversión de máquinas virtuales mediante XenServer Conversion Manager:

  • Conversión de máquinas virtuales VMware ESXi/vCenter en máquinas virtuales de XenServer

Este permiso permite al usuario convertir cargas de trabajo de VMware a XenServer. Convierta estas cargas de trabajo copiando lotes de máquinas virtuales VMware ESXi/vCenter en el entorno de XenServer.

Bloqueo del puerto del conmutador:

  • Controlar el tráfico en una red

Este permiso permite al usuario bloquear todo el tráfico de una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.

Múltiples rutas:

  • Habilitación de múltiples rutas
  • Deshabilitar múltiples rutas

Cerrar la sesión de las conexiones de usuario activas:

  • Posibilidad de desconectar a los usuarios que han iniciado sesión

Supervise los recursos de host y dom0 con NRPE:

Para obtener más información, consulte Supervise los recursos de host y dom0 con NRPE.

Supervise los recursos de host y dom0 con SNMP:

Para obtener más información, consulte Supervise los recursos de host y dom0 con SNMP.

Crear/descartar alertas:

  • Configurar XenCenter para generar alertas cuando el uso de recursos supere ciertos umbrales
  • Eliminar alertas de la vista Alertas

Advertencia: Un usuario con este permiso puede descartar alertas para todo el grupo.

Nota: No

La capacidad de ver alertas es parte de la Permiso Conectarse al grupo y leer todos los metadatos del grupo.

Cancelar tarea de cualquier usuario:

  • Cancelar la tarea en ejecución de cualquier usuario

Este permiso permite al usuario solicitar a XenServer que cancele una tarea en curso iniciada por cualquier usuario.

Gestión de piscinas:

  • Establecer las propiedades del grupo (nomenclatura, SR predeterminados)
  • Creación de un grupo agrupado
  • Habilitar, deshabilitar y configurar alta disponibilidad
  • Establecimiento de prioridades de reinicio de alta disponibilidad por máquina virtual
  • Configure la recuperación ante desastres y realice operaciones de conmutación por error, conmutación por recuperación y conmutación por error de prueba de recuperación ante desastres.
  • Habilite, deshabilite y configure el equilibrio de carga de trabajo (WLB)
  • Agregar y quitar servidor del grupo
  • Transición de emergencia a coordinador de piscina
  • Dirección del coordinador de la piscina de emergencia
  • Recuperación de emergencia de los miembros del grupo
  • Designar un nuevo coordinador de piscina
  • Administrar certificados de grupo y servidor
  • Parches
  • Establecer las propiedades del servidor
  • Configurar el registro del servidor
  • Habilitar y deshabilitar servidores
  • Apagar, reiniciar y encender servidores
  • Reiniciar la pila de herramientas
  • Informes de estado del sistema
  • Solicitar licencia
  • Migración en vivo de todas las demás máquinas virtuales de un servidor a otro servidor, debido a WLB, modo de mantenimiento o alta disponibilidad
  • Configurar interfaces de administración de servidor e interfaces secundarias
  • Deshabilitar la administración del servidor
  • Eliminación de volcados de memoria
  • Agregar, editar y eliminar redes
  • Agregue, edite y elimine PBD/PIF/VLAN/Bonds/SR
  • Agregar, quitar y recuperar secretos

Este permiso incluye todas las acciones necesarias para mantener un grupo.

Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.

Migración en vivo:

  • Migración de máquinas virtuales de un host a otro host cuando las máquinas virtuales están en almacenamiento compartido por ambos hosts

Migración en vivo de almacenamiento:

  • Migrar de un host a otro host cuando las máquinas virtuales no están en el almacenamiento compartido entre los dos hosts
  • Mover discos virtuales (VDI) de un SR a otro SR

Operaciones avanzadas de VM:

  • Ajuste de la memoria de la máquina virtual (a través del control dinámico de memoria)
  • Creación de una instantánea de máquina virtual con memoria, toma de instantáneas de máquina virtual y reversión de máquinas virtuales
  • Migración de máquinas virtuales
  • Iniciar máquinas virtuales, incluida la especificación del servidor físico
  • Reanudar máquinas virtuales

Este permiso proporciona a la persona asignada suficientes privilegios para iniciar una máquina virtual en un host diferente si no está satisfecho con el host XenServer seleccionado.

Operaciones de creación/destrucción de máquinas virtuales:

  • Instalación y eliminación de máquinas virtuales
  • Clonar o copiar máquinas virtuales
  • Agregar, quitar y configurar dispositivos de disco virtual/CD
  • Agregar, quitar y configurar dispositivos de red virtual
  • Cambio en la configuración de la máquina virtual

Cambiar el medio de CD de la máquina virtual:

  • Expulsar CD actual
  • Insertar nuevo CD

Cambiar el estado de energía de la máquina virtual:

  • Iniciar máquinas virtuales (ubicación automática)
  • Apagar las máquinas virtuales
  • Reiniciar máquinas virtuales
  • Suspensión de máquinas virtuales
  • Reanudar máquinas virtuales (colocación automática)

Este permiso no incluye start_on, resume_on y migrar, que forman parte del permiso de operaciones avanzadas de máquina virtual.

Ver consolas de VM:

  • Visualización e interacción con consolas de máquinas virtuales

Este permiso no permite al usuario ver las consolas de host.

Grupos de máquinas virtuales (Agregar/Modificar/Eliminar grupos):

  • Creación de un grupo de máquinas virtuales
  • Eliminación de un grupo de máquinas virtuales
  • Cambiar las propiedades de un grupo de máquinas virtuales

Grupos de máquinas virtuales (agregar o quitar máquinas virtuales a un grupo de máquinas virtuales existente):

  • Asignación de una máquina virtual a un grupo de máquinas virtuales
  • Eliminación de una máquina virtual de un grupo de máquinas virtuales
  • Cambiar el grupo de máquinas virtuales al que se asigna una máquina virtual

Grupos de máquinas virtuales (Ver grupos de máquinas virtuales):

  • Visualización de grupos de máquinas virtuales en el grupo

vApps (Agregar/Modificar/Eliminar vApps):

  • Creación de una vApp
  • Eliminar una vApp
  • Cambiar las propiedades de una vApp

vApps (Iniciar/Apagar vApps):

  • Iniciar una vApp
  • Apagar una vApp

vApps (agregar o quitar máquinas virtuales a una vApp existente):

  • Agregue una máquina virtual a una vApp.
  • Eliminación de una máquina virtual de una vApp

vApps (Ver vApps):

  • Ver vApps en el grupo

Cancelar tareas propias:

  • Permite a los usuarios cancelar sus propias tareas

Leer el registro de auditoría:

  • Descargar el registro de auditoría de XenServer

Configurar, inicializar, habilitar, deshabilitar WLB:

  • Configurar WLB
  • Inicializar WLB y cambiar servidores WLB
  • Habilitar WLB
  • Deshabilitar WLB

Aplique las recomendaciones de optimización de WLB:

  • Aplique las recomendaciones de optimización que aparecen en el archivo WLB pestaña

Modificar las suscripciones a informes de WLB:

  • Cambiar el informe WLB generado o su destinatario

Acepte las recomendaciones de ubicación de WLB:

  • Seleccione uno de los servidores que Equilibrio de carga de trabajo recomienda para la ubicación (recomendaciones de “estrella”)

Mostrar la configuración de WLB:

  • Vea la configuración de WLB para un grupo como se muestra en el WLB pestaña

Generar informes de WLB:

  • Ver y ejecutar informes de WLB, incluido el informe de seguimiento de auditoría del grupo

Operaciones de administración de vistas de XenCenter:

  • Creación y modificación de carpetas globales de XenCenter
  • Creación y modificación de campos personalizados globales de XenCenter
  • Crear y modificar búsquedas globales de XenCenter

Conéctese al grupo y lea todos los metadatos del grupo:

  • Iniciar sesión en el grupo
  • Visualización de metadatos del grupo
  • Ver datos históricos de rendimiento
  • Ver usuarios registrados
  • Visualización de usuarios y roles
  • Ver tareas
  • Ver mensajes
  • Regístrese y reciba eventos

Configurar GPU virtual:

  • Especificar una política de selección de ubicación para todo el grupo
  • Asignación de una GPU virtual a una máquina virtual
  • Quitar una GPU virtual de una máquina virtual
  • Modificar los tipos de GPU virtuales permitidos
  • Crear, destruir o asignar un grupo de GPU

Ver la configuración de GPU virtual:

  • Vea las GPU, las políticas de ubicación de GPU y las asignaciones de GPU virtuales.

Recopile información de diagnóstico de XenServer:

  • Iniciar la recolección de GC y la compactación de pilas
  • Recopilación de estadísticas de recolección de elementos no utilizados
  • Recopilación de estadísticas de la base de datos
  • Recopilación de estadísticas de red

Configurar el seguimiento de bloques modificados:

  • Habilitar el seguimiento de bloques modificados
  • Deshabilitar el seguimiento de bloques modificados
  • Destruya los datos asociados a una instantánea y conserve los metadatos
  • Obtener la información de conexión NBD para una VDI
  • Exportar una VDI a través de una conexión NBD

El seguimiento de bloques modificados solo se puede habilitar para instancias con licencia de XenServer Premium Edition.

Lista de bloques modificados:

  • Compare dos instantáneas de VDI y enumere los bloques que han cambiado entre ellas.

Configurar PVS-Accelerator:

  • Habilitar PVS-Accelerator
  • Desactivar PVS-Accelerator
  • Actualizar la configuración de caché de PVS-Accelerator
  • Agregar o eliminar la configuración de caché de PVS-Accelerator

Ver la configuración del PVS-Accelerator:

  • Ver el estado de PVS-Accelerator

Instantáneas programadas (agregar o quitar máquinas virtuales a programaciones de instantáneas existentes):

  • Adición de máquinas virtuales a programaciones de instantáneas existentes
  • Eliminación de máquinas virtuales de las programaciones de instantáneas existentes

Instantáneas programadas (Agregar/Modificar/Eliminar programaciones de instantáneas):

  • Adición de programaciones de instantáneas
  • Modificación de programaciones de instantáneas
  • Eliminación de programaciones de instantáneas

Nota: No

A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir un mensaje de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario con más privilegios y vuelva a intentar la acción.

¿Cómo calcula XenServer las funciones de la sesión?

  1. El sujeto se autentica a través del servidor de Active Directory para verificar a qué grupos contenedores, el sujeto también puede pertenecer.

  2. A continuación, XenServer verifica qué roles se han asignado tanto al asunto como a los grupos que los contienen.

  3. Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de los roles asociados.

En esta ilustración, dado que el sujeto 2 (grupo 2) es el operador del grupo y el usuario 1 es miembro del grupo 2, cuando el sujeto 3 (usuario 1) intenta iniciar sesión, hereda los roles del sujeto 3 (operador de máquina virtual) y del grupo 2 (operador del grupo). Dado que el rol de Operador de grupo es mayor, el rol resultante para el Sujeto 3 (Usuario 1) es Operador de grupo y no Operador de máquina virtual.

Roles y permisos de RBAC
October 24, 2024
Contribución de: 
X X
October 24, 2024
Contribución de: 
X X

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.