XenCenter

Vue d’ensemble du contrôle d’accès basé

La fonctionnalité de contrôle d’accès basé sur les rôles (RBAC) vous permet d’attribuer des rôles prédéfinis ou des ensembles d’autorisations aux utilisateurs et aux groupes Active Directory. Ces autorisations contrôlent le niveau d’accès des administrateurs XenServer aux serveurs et aux pools. Le RBAC est configuré et déployé au niveau du pool. Étant donné que les utilisateurs obtiennent des autorisations via le rôle qui leur est attribué, attribuez un rôle à un utilisateur ou à leur groupe pour leur donner les autorisations requises.

Utilisation de comptes Active Directory pour les comptes utilisateur XenServer

Le RBAC vous permet de restreindre les opérations que différents groupes d’utilisateurs peuvent effectuer. Ce contrôle réduit la probabilité que des utilisateurs inexpérimentés effectuent des modifications accidentelles désastreuses. L’attribution de rôles RBAC permet également d’empêcher les modifications non autorisées de vos pools de ressources pour des raisons de conformité. Pour faciliter la conformité et l’audit, RBAC fournit également une fonctionnalité de journal d’audit et son rapport de piste d’audit du pool d’équilibrage de charge de travail correspondant. Pour plus d’informations, consultez Modifications apportées à l’audit.

Les utilisateurs correspondent aux rôles. Les rôles correspondent à un ensemble d'autorisations.

Le RBAC dépend d’Active Directory pour les services d’authentification. Plus précisément, XenServer conserve une liste d’utilisateurs autorisés en fonction des comptes d’utilisateurs et de groupes Active Directory. Par conséquent, vous devez joindre le pool au domaine et ajouter des comptes Active Directory avant de pouvoir attribuer des rôles.

Processus RBAC

Le processus standard d’implémentation du RBAC et d’attribution d’un rôle à un utilisateur ou à un groupe comprend les étapes suivantes :

  1. Joignez-vous au domaine.
  2. Ajoutez un utilisateur ou un groupe Active Directory au pool.
  3. Attribuez (ou modifiez) le rôle RBAC de l’utilisateur ou du groupe.

Super utilisateur local

Le super utilisateur local (LSU), ou root, est un compte d’utilisateur spécial utilisé pour l’administration du système et dispose de tous les droits ou autorisations. Dans XenServer, le super utilisateur local est le compte par défaut lors de l’installation. Le LSU est authentifié par XenServer et non par un service d’authentification externe. Si le service d’authentification externe échoue, le LSU peut toujours se connecter et gérer le système. Le LSU peut toujours accéder au serveur physique XenServer via SSH.

Rôles RBAC

XenServer est fourni avec six rôles préétablis conçus pour s’aligner sur les différentes fonctions d’une organisation informatique.

  • Administrateur de pool (administrateur de pool). Ce rôle est le rôle le plus puissant disponible. Les administrateurs du pool ont un accès complet à toutes les fonctionnalités et paramètres de XenServer. Ils peuvent effectuer toutes les opérations, y compris la gestion des rôles et des utilisateurs. Ils peuvent accorder l’accès à la console XenServer. En tant que meilleure pratique, Citrix recommande d’attribuer ce rôle à un nombre limité d’utilisateurs.

    Remarque :

    Le super utilisateur local (racine) a toujours le rôle d’administrateur du pool. Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.

    Si vous supprimez le rôle Admin du pool d’un utilisateur, pensez également à modifier le mot de passe racine du serveur et à faire pivoter le secret du pool. Pour plus d’informations, consultez la section Sécurité du pool.

  • Opérateur de pool (opérateur de pool). Ce rôle est conçu pour permettre au cessionnaire de gérer les ressources à l’échelle du pool. Les actions de gestion incluent la création de stockage, la gestion des serveurs, la gestion des correctifs et la création de pools. Les opérateurs de pool peuvent configurer les ressources de pool. Ils ont également un accès complet aux fonctionnalités suivantes : haute disponibilité, équilibrage de la charge de travail et gestion des correctifs. Les opérateurs de pool ne peuvent pas ajouter d’utilisateurs ni modifier de rôles
  • Administrateur de l’alimentation des machines virtuelles (VM Power Admin). Ce rôle dispose d’un accès complet à la gestion des machines virtuelles et des modèles. Ils peuvent choisir où démarrer les machines virtuelles. Ils ont un accès complet aux fonctionnalités de contrôle dynamique de la mémoire et à la fonction d’instantané de machine virtuelle. En outre, ils peuvent définir le serveur domestique et choisir où exécuter les charges de travail. L’attribution de ce rôle accorde au destinataire des autorisations suffisantes pour provisionner des machines virtuelles à l’usage de l’opérateur de machine virtuelle.
  • Administrateur de machine virtuelle (administrateur de machine virtuelle). Ce rôle peut gérer les machines virtuelles et les modèles et accéder au stockage nécessaire pour effectuer ces tâches. Toutefois, ce rôle repose sur XenServer pour choisir où exécuter les charges de travail et doit utiliser les paramètres des modèles pour le contrôle dynamique de la mémoire et le serveur domestique. (Ce rôle ne peut pas accéder aux fonctionnalités de contrôle dynamique de la mémoire, créer des instantanés, définir le serveur domestique ou choisir où exécuter les charges de travail.)
  • Opérateur de machine virtuelle (opérateur de machine virtuelle). Ce rôle peut utiliser les machines virtuelles d’un pool et gérer leur cycle de vie de base. Les opérateurs de machines virtuelles peuvent interagir avec les consoles de machines virtuelles et démarrer ou arrêter les machines virtuelles, à condition que des ressources matérielles suffisantes soient disponibles. De même, les opérateurs de machines virtuelles peuvent effectuer des opérations de démarrage et d’arrêt du cycle Le rôle Opérateur de machine virtuelle ne peut pas créer ou détruire des machines virtuelles, modifier les propriétés des machines virtuelles ou les ressources du serveur.
  • Lecture seule (lecture seule). Ce rôle peut uniquement afficher le pool de ressources et les données de performance.

Pour plus d’informations sur les autorisations associées à chaque rôle, consultez Définitions des rôles et des autorisations RBAC. Pour plus d’informations sur la façon dont le RBAC calcule les rôles qui s’appliquent à un utilisateur, consultez la section Calcul des rôles RBAC.

Remarque :

Lorsque vous créez un utilisateur, vous devez d’abord attribuer un rôle au nouvel utilisateur avant qu’il puisse utiliser le compte. XenServer n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé.

Vue d’ensemble du contrôle d’accès basé