Documentación de productos
XenServer
8 Citrix Hypervisor 8.2 CU1
Ver PDF

Funciones y permisos de RBAC

June 17, 2024
Contribución de: 
X X

Roles

XenServer se suministra con las siguientes seis funciones preestablecidas:

  • Administrador de grupos (administrador de grupos): igual que la raíz local. Puede realizar todas las operaciones.

    Nota:

    El superusuario local (root) tiene la función de “Administrador del grupo”. La función de administrador del grupo tiene los mismos permisos que la raíz local.

    Si le quitas la función de administrador del grupo a un usuario, considera la posibilidad de cambiar también la contraseña raíz y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.

  • Operador de Agrupación (Operador de Agrupación): Puede hacer todo aparte de agregar/eliminar usuarios y cambiar sus roles. Esta función se centra principalmente en la administración de hosts y grupos (es decir, crear almacenamiento, crear grupos, administrar los hosts, etc.).

  • Virtual Machine Power Administrator (VM Power Admin): crea y administra máquinas virtuales. Esta función se centra en aprovisionar máquinas virtuales para que las use un operador de VM.

  • Administrador de máquinas virtuales (administrador de VM): similar a un administrador de energía de VM, pero no puede migrar máquinas virtuales ni realizar instantáneas.

  • Operador de máquina virtual (operador de VM), similar al administrador de VM, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.

  • Solo lectura (solo lectura): puede ver el grupo de recursos y los datos de rendimiento.

Nota:

  • Para aplicar actualizaciones a los grupos de XenServer 8, debe iniciar sesión en XenCenter como administrador u operador de grupos, o con una cuenta raíz local.

  • Cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso SSH al host, el número de usuarios del grupo de Active Directory no debe superar los 500.

Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.

Al crear un usuario en XenServer, primero debe asignar un rol al usuario recién creado para que pueda usar la cuenta. XenServer no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.

  1. Modificar el tema a la asignación de roles. Esto requiere el permiso de asignar/modificar rol, que solo está disponible para un administrador del grupo.

  2. Modifique la pertenencia al grupo que contiene el usuario en Active Directory.

Definiciones de roles y permisos de RBAC

En la siguiente tabla se resumen los permisos disponibles para cada función. Para obtener detalles sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.

Permisos de roles Administrador del grupo Operador de grupo Administrador de energía de VM Administrador de VM Operador de VM Solo lectura
Asignar/modificar funciones X          
Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter) X          
Backup/restore de servidores X          
Instalar un certificado TLS en un servidor X          
Aplicar actualizaciones a un grupo X X        
Actualización gradual de versiones de grupos X          
Importar paquetes OVF/OVA; importar imágenes de disco X X        
Importar paquetes XVA X X X      
Exportar paquetes OVF/OVA/XVA X X X X    
Establecer núcleos por zócalo X X X X    
Convierta máquinas virtuales con XenServer Conversion Manager X          
Bloqueo del puerto del conmutador X X        
Múltiples rutas X X        
Cerrar sesión en las conexiones de usuario activas X X        
Supervisar los recursos del host y del dom0 con NRPE X          
Supervisar los recursos de host y dom0 con SNMP X          
Crear y descartar alertas X X        
Cancelar la tarea de cualquier usuario X X        
Administración de grupo X X        
Migración en vivo X X X      
Migración en vivo de X X X      
Operaciones avanzadas de VM X X X      
Operaciones de creación/destrucción de VM X X X X    
Medios de CD de cambio de VM X X X X X  
Cambio de estado de energía de VM X X X X X  
Ver consolas de VM X X X X X  
Operaciones de administración de vistas de XenCenter X X X X X  
Cancelar tareas propias X X X X X X
Leer registros de auditoría X X X X X X
Configurar, inicializar, habilitar o inhabilitar el equilibrio de carga de trabajo (WLB) X X        
Aplicar recomendaciones de optimización de WLB X X        
Aceptar las recomendaciones de ubicación de WLB X X X      
Mostrar la configuración de WLB X X X X X X
Generar informes de WLB X X X X X X
Conéctese al grupo y lea todos los metadatos del grupo X X X X X X
Configurar la GPU virtual X X        
Ver la configuración de GPU virtual X X X X X X
Recopilar información de diagnóstico X X        
Conexión en caliente de vCPU X X X X    
Configurar el seguimiento de bloques cambiados X X X X    
Listar bloques cambiados X X X X X  
Configurar PVS-Accelerator X X        
Ver la configuración del acelerador PVS X X X X X X
Instantáneas programadas (agregar/quitar máquinas virtuales a programaciones de instantáneas existentes) X X X      
Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas) X X        

Definiciones de permisos

Asignar/modificar funciones:

  • Agregar y eliminar usuarios
  • Agregar y eliminar roles de los usuarios
  • Habilitar y inhabilitar la integración de Active Directory (unirse al dominio)

Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.

Advertencia:

Esta función permite al usuario inhabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.

Inicie sesión en las consolas del servidor:

  • Acceso a la consola del servidor mediante ssh
  • Acceso a la consola del servidor mediante XenCenter

Advertencia:

Con acceso a un shell raíz, la persona asignada puede reconfigurar arbitrariamente todo el sistema, incluido el RBAC.

Copia de seguridad y restauración del servidor:

  • Realizar copias de seguridad y restaurar servidores
  • Realizar copias de seguridad y restaurar metadatos de grupos

La capacidad de restaurar una copia de seguridad permite a la persona asignada revertir los cambios de configuración de RBAC.

Instalar un certificado TLS en un servidor:

Este permiso permite a un administrador instalar un certificado TLS en un servidor que ejecute Citrix Hypervisor 8.2 o posterior.

Aplicar actualizaciones a un grupo:

  • Sincronice su grupo con la red de entrega de contenido (CDN)
  • Aplique las actualizaciones migrando las máquinas virtuales de cada host si es necesario y ejecutando las tareas de actualización necesarias, como reiniciar el host, reiniciar la pila de herramientas o reiniciar las máquinas virtuales.

Actualización gradual de versiones de grupos:

  • Actualice todos los hosts de un grupo mediante el asistente Actualización sucesiva de grupos.

Importar paquetes OVF/OVA e imágenes de disco:

  • Importar paquetes OVF y OVA
  • Importar imágenes de disco

Importar paquetes XVA:

  • Importar paquetes XVA

Exportar paquetes OVF/OVA/XVA e imágenes de disco:

  • Exportación de máquinas virtuales como paquetes OVF/OVA
  • Exportar máquinas virtuales como paquetes XVA
  • Exportar imágenes de disco

Establecer núcleos por zócalo:

  • Establecer la cantidad de núcleos por socket para las CPU virtuales de la VM

Este permiso permite al usuario especificar la topología de las CPU virtuales de la VM.

Convierta máquinas virtuales con XenServer Conversion Manager:

  • Convertir máquinas virtuales VMware ESXi/vCenter en máquinas virtuales de XenServer

Este permiso permite al usuario convertir cargas de trabajo de VMware a XenServer. Para convertir estas cargas de trabajo, copie lotes de máquinas virtuales VMware ESXi/vCenter en el entorno de XenServer.

Bloqueo del puerto del conmutador:

  • Controlar el tráfico en una red

Este permiso permite al usuario bloquear todo el tráfico en una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.

Rutas múltiples:

  • Habilitar multipathing
  • Inhabilitar rutas múltiples

Cerrar sesión en las conexiones de usuario activas:

  • Posibilidad de desconectar a los usuarios que han

Supervisar los recursos de host y dom0 con NRPE:

Para obtener más información, consulte Supervisar los recursos de host y dom0 con NRPE.

Supervisar los recursos de host y dom0 con SNMP:

Para obtener más información, consulte Supervisar los recursos de host y dom0 con SNMP.

Crear/descartar alertas:

  • Configurar XenCenter para que genere alertas cuando el uso de recursos supere ciertos umbrales
  • Eliminar alertas de la vista Alertas

Advertencia: un usuario con este permiso puede descartar las alertas de todo el grupo.

Nota: La capacidad de ver alertas forma parte del permiso Conectarse al grupo y leer todos los metadatos del grupo.

Cancela la tarea de cualquier usuario:

  • Cancelar la tarea en ejecución de cualquier usuario

Este permiso permite al usuario solicitar a XenServer que cancele una tarea en curso iniciada por cualquier usuario.

Gestión de agrupaciones:

  • Establecer las propiedades del grupo (nombre, SR predeterminados)
  • Crea un grupo agrupado
  • Habilitar, inhabilitar y configurar HA
  • Establecer prioridades de reinicio de AD por VM
  • Configure DR y realice operaciones de conmutación por error, conmutación por recuperación y conmutación por error de prueba de DR.
  • Habilitar, inhabilitar y configurar el equilibrio de carga de trabajo (WLB)
  • Agregar y quitar el servidor del grupo
  • Coordinador de transición de emergencia a agrupación
  • Dirección del coordinador de agrupaciones de emergencia
  • Recuperación de emergencia de los miembros del grupo
  • Designar un nuevo coordinador de agrupaciones
  • Administrar certificados de grupos y servidores
  • Aplicación de parches
  • Establecer las propiedades del servidor
  • Configurar el registro del servidor
  • Habilitar y inhabilitar servidores
  • Apagar, reiniciar y encender los servidores
  • Reiniciar toolstack
  • Informes de estado del sistema
  • Solicitar licencia
  • Migración en vivo de todas las demás VM de un servidor a otro servidor, debido a WLB, modo de mantenimiento o alta disponibilidad
  • Configurar interfaces de administración de servidores e interfaces secundarias
  • Desactivar la administración de
  • Eliminar volcados de memoria
  • Agregar, modificar y eliminar redes
  • Agregar, modificar y eliminar PBDS/PIFS/VLAN/Bonds/SRS
  • Agregar, eliminar y recuperar secretos

Este permiso incluye todas las acciones necesarias para mantener un grupo.

Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.

Migración en vivo:

  • Migrar máquinas virtuales de un host a otro cuando las máquinas virtuales estén en almacenamiento compartido por ambos hosts

Migración de almacenamiento en vivo:

  • Migrar de un host a otro host cuando las VM no estén en el almacenamiento compartido entre los dos hosts
  • Mover disco vDisk (VDI) de un SR a otro SR

Operaciones avanzadas de VM:

  • Ajuste de la memoria de la VM (mediante el control dinámico de memoria)
  • Cree una instantánea de VM con memoria, tome instantáneas de VM y deshaga las VM
  • Migrar máquinas virtuales
  • Iniciar máquinas virtuales, incluida la especificación del servidor físico
  • Reanudar VM

Este permiso proporciona al cesionario privilegios suficientes para iniciar una máquina virtual en un host diferente si no está satisfecho con el host XenServer seleccionado.

Operaciones de creación/destrucción de VM:

  • Instalar y eliminar máquinas virtuales
  • Clonar/copiar máquinas virtuales
  • Agregar, quitar y configurar dispositivos de disco vDisk/CD
  • Agregar, eliminar y configurar dispositivos de red virtuales
  • Cambio de configuración de VM

CD de cambio de VM:

  • Expulsar el CD actual
  • Insertar CD nuevo

Cambio de estado de energía de VM:

  • Iniciar máquinas virtuales (colocación automática)
  • Apagar máquinas virtuales
  • Reiniciar máquinas virtuales
  • Suspender máquinas virtuales
  • Reanudar máquinas virtuales (colocación automática)

Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.

Ver consolas de VM:

  • Vea e interactúe con consolas de VM

Este permiso no permite al usuario ver las consolas host.

Cancelar tareas propias:

  • Permite a los usuarios cancelar sus propias tareas

Lea el registro de auditoría:

  • Descargar el registro de auditoría de XenServer

Configurar, inicializar, habilitar, inhabilitar WLB:

  • Configurar WLB
  • Inicializar WLB y cambiar los servidores WLB
  • Habilitar WLB
  • Inhabilitar WLB

Aplicar las recomendaciones de optimización de WLB:

  • Aplicar las recomendaciones de optimización que aparecen en la ficha WLB

Modificar las suscripciones a informes de WLB:

  • Cambiar el informe de WLB generado o su destinatario

Aceptar las recomendaciones de ubicación de WLB:

  • Seleccione uno de los servidores que el equilibrio de carga de trabajo recomienda para su colocación (recomendaciones “estrella”)

Mostrar la configuración de WLB:

  • Ver la configuración de WLB para un grupo como se muestra en la ficha WLB

Generar informes de WLB:

  • Ver y generar informes de WLB, incluido el informe de seguimiento de auditoría de grupos

Operaciones de administración de vistas de XenCenter:

  • Crear y modificar carpetas globales de XenCenter
  • Crear y modificar campos personalizados globales de XenCenter
  • Crear y modificar búsquedas globales de XenCenter

Conéctese al grupo y lea todos los metadatos del grupo:

  • Inicie sesión en la agrupación
  • Ver metadatos del grupo
  • Ver datos de rendimiento históricos
  • Ver los usuarios que han iniciado sesión
  • Ver usuarios y roles
  • Ver tareas
  • Ver mensajes
  • Regístrese y reciba eventos

Configurar la GPU virtual:

  • Especificar una directiva de ubicación para todo el grupo
  • Asignar una GPU virtual a una VM
  • Eliminar una GPU virtual de una VM
  • Modificar los tipos de GPU virtuales permitidos
  • Crear, destruir o asignar un grupo de GPU

Ver la configuración de GPU virtual:

  • Consulte las GPU, las directivas de ubicación de GPU y las asignaciones de GPU virtuales.

Recopile información de diagnóstico de XenServer:

  • Iniciar la recolección de GC y la compactación del montón
  • Recopilar estadísticas de recolección de basura
  • Recopilar estadísticas de bases
  • Recopilar estadísticas de red

Configurar el seguimiento de bloques modificados:

  • Habilitar el seguimiento de bloques modificados
  • Desactivar el seguimiento de bloques modificados
  • Destruya los datos asociados a una instantánea y conserve los metadatos
  • Obtener la información de conexión NBD para una VDI
  • Exportar un VDI a través de una conexión NBD

El seguimiento de bloques modificados solo se puede habilitar en instancias con licencia de XenServer Premium Edition.

Lista de bloques cambiados:

  • Compare dos instantáneas de VDI y enumere los bloques que han cambiado entre ellas.

Configurar PVS-Accelerator:

  • Habilitar PVS-Accelerator
  • Inhabilitar PVS-Accelerator
  • Actualizar la configuración de caché del acelerador PVS
  • Agregar o quitar la configuración de caché del acelerador PVS

Ver la configuración del acelerador PVS:

  • Ver el estado de PVS-Accelerator

Instantáneas programadas (agregar o eliminar máquinas virtuales a las programaciones de instantáneas existentes):

  • Agregar máquinas virtuales a las programaciones de instantáneas existentes
  • Eliminar las máquinas virtuales de las programaciones de instantáneas existentes

Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas):

  • Agregar programaciones de instantáneas
  • Modificar programas de instantáneas
  • Eliminar programaciones de instantáneas

Nota:

A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir una solicitud de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario más privilegiado y vuelva a intentar la acción.

¿Cómo calcula XenServer las funciones de la sesión?

  1. El sujeto se autentica a través del servidor de Active Directory para comprobar a qué grupos contendientes puede pertenecer también el sujeto.

  2. A continuación, XenServer verifica qué funciones se han asignado tanto al sujeto como a los grupos que lo contienen.

  3. Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de las funciones asociadas.

En esta ilustración, como el sujeto 2 (grupo 2) es el operador de grupo y el usuario 1 es miembro del grupo 2, cuando el sujeto 3 (usuario 1) intenta iniciar sesión, heredan las funciones de sujeto 3 (operador de máquina virtual) y grupo 2 (operador de grupo). Como la función de operador de grupo es más alta, la función resultante para el sujeto 3 (usuario 1) es operador de grupo y no operador de máquina virtual.

Funciones y permisos de RBAC
June 17, 2024
Contribución de: 
X X
June 17, 2024
Contribución de: 
X X

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.