Documentation produit
XenServer
8 Citrix Hypervisor 8.2 CU1
Voir PDF

Rôles et autorisations RBAC

October 24, 2024
Contributeur: 
X X

Rôles

XenServer est livré avec les six rôles préétablis suivants :

  • Administrateur de pool (Pool Admin) – identique à la racine locale. Peut effectuer toutes les opérations.

    Remarque :

    Le super utilisateur local (root) a le rôle « Admin de pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.

    Si vous supprimez le rôle Administrateur de pool d’un utilisateur, envisagez également de modifier le mot de passe root et de faire pivoter le secret de pool. Pour plus d’informations, consultez Sécurité de la piscine.

  • Exploitant de piscine (Opérateur de pool) – peut tout faire sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).

  • Administrateur d’alimentation de machine virtuelle (VM Power Admin) : crée et gère des machines virtuelles. Ce rôle est axé sur l’approvisionnement de machines virtuelles à l’usage d’un opérateur de machine virtuelle.

  • Administrateur de machine virtuelle (Administrateur de machine virtuelle) : similaire à un Power Admin de machine virtuelle, mais ne peut pas migrer des machines virtuelles ou effectuer des instantanés.

  • Opérateur de machine virtuelle (Opérateur de machine virtuelle) : similaire à l’administrateur de machine virtuelle, mais ne peut pas créer/détruire de machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.

  • Lecture seule (Lecture seule) : permet d’afficher le pool de ressources et les données de performances.

Remarque :

  • Pour appliquer des mises à jour aux pools XenServer 8, vous devez être connecté à XenCenter en tant qu’administrateur ou opérateur de pool, ou à l’aide d’un compte racine local.

  • Lors de l’utilisation de groupes Active Directory pour accorder l’accès aux utilisateurs de l’administrateur de pool qui ont besoin d’un accès SSH à l’hôte, le nombre d’utilisateurs dans le groupe Active Directory ne doit pas dépasser 500.

Pour obtenir un résumé des autorisations disponibles pour chaque rôle et des informations sur les opérations disponibles pour chaque autorisation, consultez Définitions des rôles et des autorisations RBAC dans la section suivante.

Lorsque vous créez un utilisateur dans XenServer, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. XenServer ne le fait pas Attribuez automatiquement un rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont pas accès au pool XenServer tant que vous ne leur avez pas attribué un rôle.

  1. Modifiez l’objet du mappage de rôle. Cela nécessite l’autorisation d’attribuer/modifier le rôle, disponible uniquement pour un administrateur de pool.

  2. Modifiez l’appartenance au groupe contenant l’utilisateur dans Active Directory.

Définitions des rôles et des autorisations RBAC

Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus d’informations sur les opérations disponibles pour chaque autorisation, consultez Définitions des autorisations.

Autorisations de rôle Administrateur de piscine Opérateur de pool Administrateur d’alimentation de VM Administrateur de machine virtuelle Opérateur de machine virtuelle Lecture seule
Attribuer/modifier des rôles X          
Connectez-vous aux consoles de serveur (physiques) (via SSH et XenCenter) X          
Sauvegarde/restauration du serveur X          
Installer un certificat TLS sur un serveur X          
Appliquer des mises à jour à un pool X X        
Mise à niveau du pool roulant X          
Importer des packages OVF/OVA ; Importer des images disque X X        
Importer des packages XVA X X X      
Exporter des packages OVF/OVA/XVA X X X X    
Définir les cœurs par socket X X X X    
Convertir des machines virtuelles à l’aide du gestionnaire de conversion XenServer X          
Verrouillage de l’orifice de commutation X X        
Chemins d’accès multiples X X        
Déconnexion des connexions des utilisateurs actifs X X        
Surveillez les ressources host et dom0 avec NRPE X          
Surveiller les ressources host et dom0 avec SNMP X          
Créer et ignorer des alertes X X        
Annuler la tâche de n’importe quel utilisateur X X        
Gestion de piscine X X        
Migration en direct X X X      
Migration dynamique du stockage X X X      
Opérations avancées de VM X X X      
Opérations de création/destruction de machines virtuelles X X X X    
Changer de support de CD de machine virtuelle X X X X X  
Modification de l’état d’alimentation de la machine virtuelle X X X X X  
Afficher les consoles VM X X X X X  
Groupes de machines virtuelles (Ajouter/Modifier/Supprimer des groupes de machines virtuelles) X X X X    
Groupes de machines virtuelles (ajouter/supprimer des machines virtuelles à un groupe de machines virtuelles existant) X X X X    
Groupes de machines virtuelles (Afficher les groupes de machines virtuelles) X X X X X X
vApps (Ajouter/Modifier/Supprimer des vApps) X X        
vApps (Démarrer/Arrêter les vApps) X X        
vApps (ajouter/supprimer des machines virtuelles à un vApp existant) X X        
vApps (Afficher les vApps) X X X X X X
Opérations de gestion des vues XenCenter X X X X X  
Annuler ses propres tâches X X X X X X
Lire les journaux d’audit X X X X X X
Configurer, initialiser, activer, désactiver l’équilibrage de la charge de travail (WLB) X X        
Appliquer les recommandations d’optimisation WLB X X        
Accepter les recommandations de placement WLB X X X      
Affichage de la configuration WLB X X X X X X
Générer des rapports WLB X X X X X X
Se connecter au pool et lire toutes les métadonnées du pool (y compris l’affichage des alertes) X X X X X X
Configurer le GPU virtuel X X        
Afficher la configuration du GPU virtuel X X X X X X
Collecte d’informations de diagnostic X X        
Plug-in à chaud vCPU X X X X    
Configurer le suivi des blocs modifiés X X X X    
Répertorier les blocs modifiés X X X X X  
Configurer PVS-Accelerator X X        
Voir la configuration de PVS-Accelerator X X X X X X
Instantanés planifiés (ajout/suppression de machines virtuelles à des planifications d’instantanés existantes) X X X      
Instantanés planifiés (Ajouter/Modifier/Supprimer des planifications d’instantanés) X X        

Définitions des autorisations

Attribuer/modifier des rôles :

  • Ajouter et supprimer des utilisateurs
  • Ajouter et supprimer des rôles d’utilisateurs
  • Activer et désactiver l’intégration d’Active Directory (joint au domaine)

Cette autorisation permet à l’utilisateur de s’accorder n’importe quelle autorisation ou d’effectuer n’importe quelle tâche.

Avertissement :

Ce rôle permet à l’utilisateur de désactiver l’intégration d’Active Directory et tous les sujets ajoutés à partir d’Active Directory.

Connectez-vous aux consoles du serveur :

  • Accès à la console du serveur via ssh
  • Accès à la console du serveur via XenCenter

Avertissement :

Avec l’accès à un shell racine, l’intervenant peut reconfigurer arbitrairement l’ensemble du système, y compris RBAC.

Sauvegarde/restauration du serveur :

  • Sauvegarder et restaurer les serveurs
  • Sauvegarder et restaurer les métadonnées du pool

La possibilité de restaurer une sauvegarde permet à la personne assignée d’annuler les modifications de configuration RBAC.

Installez un certificat TLS sur un serveur :

Cette autorisation permet à un administrateur d’installer un certificat TLS sur un serveur qui exécute Citrix Hypervisor 8.2 ou version ultérieure.

Appliquer des mises à jour à un pool :

  • Synchroniser votre pool avec le réseau de diffusion de contenu (CDN)
  • Appliquez les mises à jour en migrant les machines virtuelles de chaque hôte si nécessaire et en exécutant les tâches de mise à jour nécessaires, telles que le redémarrage de l’hôte, le redémarrage de la pile d’outils ou le redémarrage des machines virtuelles

Mise à niveau de la piscine roulante :

  • Mettez à niveau tous les hôtes d’un pool à l’aide de l’Assistant Mise à niveau du pool propagé.

Importez des packages OVF/OVA et des images disque :

  • Importer des packages OVF et OVA
  • Importer des images disque

Importer des packages XVA :

  • Importer des packages XVA

Exportez des packages OVF/OVA/XVA et des images disque :

  • Exporter des machines virtuelles sous forme de packages OVF/OVA
  • Exporter des machines virtuelles en tant que packages XVA
  • Exporter des images disque

Définir le nombre de cœurs par socket :

  • Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle

Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.

Convertir des machines virtuelles à l’aide du gestionnaire de conversion XenServer :

  • Convertir des machines virtuelles VMware ESXi/vCenter en machines virtuelles XenServer

Cette autorisation permet à l’utilisateur de convertir des charges de travail de VMware vers XenServer. Convertissez ces charges de travail en copiant des lots de machines virtuelles VMware ESXi/vCenter dans l’environnement XenServer.

Verrouillage du port de commutation :

  • Contrôler le trafic sur un réseau

Cette autorisation permet à l’utilisateur de bloquer tout le trafic sur un réseau par défaut ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle peut envoyer du trafic.

Multipathing :

  • Activer le multipathing
  • Désactiver le multipathing

Déconnectez-vous des connexions des utilisateurs actifs :

  • Possibilité de déconnecter les utilisateurs connectés

Surveillez les ressources host et dom0 avec NRPE :

Pour plus d’informations, consultez Surveillez les ressources host et dom0 avec NRPE.

Surveillez les ressources host et dom0 avec SNMP :

Pour plus d’informations, consultez Surveiller les ressources host et dom0 avec SNMP.

Créer/ignorer des alertes :

  • Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
  • Supprimer des alertes de la vue Alertes

Avertissement : Un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.

Remarque :

La possibilité d’afficher les alertes fait partie de la Se connecter au pool et lire toutes les métadonnées du pool.

Tâche d’annulation de n’importe quel utilisateur :

  • Annuler la tâche en cours d’exécution d’un utilisateur

Cette autorisation permet à l’utilisateur de demander à XenServer d’annuler une tâche en cours initiée par n’importe quel utilisateur.

Gestion de la piscine :

  • Définir les propriétés du pool (nommage, SR par défaut)
  • Créer un pool en cluster
  • Activer, désactiver et configurer la haute disponibilité
  • Définir les priorités de redémarrage HA par machine virtuelle
  • Configurez la récupération d’urgence et effectuez les opérations de basculement, de restauration automatique et de test de basculement.
  • Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
  • Ajouter et supprimer un serveur du pool
  • Transition d’urgence vers le coordonnateur de piscine
  • Adresse du coordinateur de piscine d’urgence
  • Récupération d’urgence des membres de la piscine
  • Désigner un nouveau coordonnateur de piscine
  • Gérer les certificats de pool et de serveur
  • Rapiéçage
  • Définir les propriétés du serveur
  • Configurer la journalisation du serveur
  • Activer et désactiver les serveurs
  • Arrêt, redémarrage et mise sous tension des serveurs
  • Redémarrer la pile d’outils
  • Rapports sur l’état du système
  • Appliquer une licence
  • Migration en direct de toutes les autres machines virtuelles d’un serveur vers un autre serveur, en raison de WLB, du mode de maintenance ou de la haute disponibilité
  • Configurer les interfaces de gestion de serveur et les interfaces secondaires
  • Désactiver la gestion du serveur
  • Supprimer les crashdumps
  • Ajouter, modifier et supprimer des réseaux
  • Ajouter, modifier et supprimer des PBD/PIF/VLAN/Bonds/SR
  • Ajouter, supprimer et récupérer des secrets

Cette autorisation inclut toutes les actions requises pour gérer un pool.

Remarque : Si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, à l’exception des connexions racines locales.

Migration en direct :

  • Migrer des machines virtuelles d’un hôte vers un autre lorsque les machines virtuelles se trouvent sur un stockage partagé par les deux hôtes

Migration en direct du stockage :

  • Migrer d’un hôte vers un autre lorsque les machines virtuelles ne se trouvent pas sur le stockage partagé entre les deux hôtes
  • Déplacer des disques virtuels (VDI) d’un SR à un autre SR

Opérations avancées de la machine virtuelle :

  • Ajuster la mémoire de la machine virtuelle (via le contrôle dynamique de la mémoire)
  • Créez un instantané de machine virtuelle avec de la mémoire, prenez des instantanés de machine virtuelle et restaurez des machines virtuelles
  • Migrer des machines virtuelles
  • Démarrer des machines virtuelles, y compris la spécification d’un serveur physique
  • Reprendre les machines virtuelles

Cette autorisation fournit à la personne assignée des privilèges suffisants pour démarrer une machine virtuelle sur un autre hôte si elle n’est pas satisfaite de l’hôte XenServer sélectionné.

Opérations de création/destruction de VM :

  • Installer et supprimer des machines virtuelles
  • Cloner/copier des machines virtuelles
  • Ajouter, supprimer et configurer des disques virtuels/CD
  • Ajouter, supprimer et configurer des périphériques de réseau virtuel
  • Modification de la configuration de la machine virtuelle

Support CD de changement de VM :

  • Éjecter le CD actuel
  • Insérer un nouveau CD

Modification de l’état d’alimentation de la machine virtuelle :

  • Démarrer des machines virtuelles (placement automatique)
  • Arrêter les machines virtuelles
  • Redémarrer les machines virtuelles
  • Suspendre des machines virtuelles
  • Reprendre les machines virtuelles (placement automatique)

Cette autorisation n’inclut pas start_on, resume_on et migrer, qui font partie de l’autorisation Opérations avancées de machine virtuelle.

Afficher les consoles VM :

  • Afficher et interagir avec les consoles de machine virtuelle

Cette autorisation ne permet pas à l’utilisateur d’afficher les consoles hôtes.

Groupes de machines virtuelles (Ajouter/Modifier/Supprimer des groupes) :

  • Créer un groupe de machines virtuelles
  • Supprimer un groupe de machines virtuelles
  • Modifier les propriétés d’un groupe de machines virtuelles

Groupes de machines virtuelles (Ajouter/Supprimer des machines virtuelles à un groupe de machines virtuelles existant) :

  • Attribuer une machine virtuelle à un groupe de machines virtuelles
  • Supprimer une machine virtuelle d’un groupe de machines virtuelles
  • Modifier le groupe de machines virtuelles auquel une machine virtuelle est affectée

Groupes de machines virtuelles (Afficher les groupes de machines virtuelles) :

  • Afficher les groupes de machines virtuelles dans le pool

vApps (Ajouter/Modifier/Supprimer des vApps) :

  • Créer un vApp
  • Supprimer un vApp
  • Modifier les propriétés d’un vApp

vApps (démarrer/arrêter les vApps) :

  • Démarrer un vApp
  • Arrêt d’un vApp

vApps (Ajouter/Supprimer des machines virtuelles à un vApp existant) :

  • Ajouter une machine virtuelle à un vApp.
  • Supprimer une machine virtuelle d’un vApp

vApps (Afficher les vApps) :

  • Afficher les vApps dans le pool

Annuler vos propres tâches :

  • Permet aux utilisateurs d’annuler leurs propres tâches

Lire le journal d’audit :

  • Télécharger le journal d’audit XenServer

Configurer, initialiser, activer, désactiver WLB :

  • Configurer WLB
  • Initialiser WLB et changer de serveur WLB
  • Activer WLB
  • Désactiver WLB

Appliquez les recommandations d’optimisation WLB :

  • Appliquez toutes les recommandations d’optimisation qui apparaissent dans le WLB onglet

Modifier les abonnements aux rapports WLB :

  • Modifier le rapport WLB généré ou son destinataire

Acceptez les recommandations de placement WLB :

  • Sélectionnez l’un des serveurs recommandés par Workload Balancing pour le placement (recommandations « étoiles »)

Configuration WLB de l’écran :

  • Affichez les paramètres WLB d’un pool comme indiqué sur la page WLB onglet

Générer des rapports WLB :

  • Affichez et exécutez des rapports WLB, y compris le rapport Piste d’audit du pool

Opérations de gestion des vues XenCenter :

  • Création et modification de dossiers XenCenter globaux
  • Créer et modifier des champs personnalisés XenCenter globaux
  • Créer et modifier des recherches globales XenCenter

Connectez-vous au pool et lisez toutes les métadonnées du pool :

  • Se connecter au pool
  • Afficher les métadonnées du pool
  • Afficher les données de performances historiques
  • Afficher les utilisateurs connectés
  • Afficher les utilisateurs et les rôles
  • Afficher les tâches
  • Afficher les messages
  • Inscrivez-vous et recevez des événements

Configurer le GPU virtuel :

  • Spécifier une stratégie de placement à l’échelle du pool
  • Attribuer un GPU virtuel à une machine virtuelle
  • Supprimer un GPU virtuel d’une machine virtuelle
  • Modifier les types de GPU virtuels autorisés
  • Créer, détruire ou attribuer un groupe de GPU

Voir la configuration du GPU virtuel :

  • Affichez les GPU, les politiques de placement des GPU et les attributions de GPU virtuels.

Collectez des informations de diagnostic à partir de XenServer :

  • Lancement de la collecte GC et du compactage du tas
  • Collecter les statistiques de nettoyage de la mémoire
  • Collecter les statistiques de la base de données
  • Collecte de statistiques réseau

Configurer le suivi des blocs modifiés :

  • Activer le suivi des blocs modifiés
  • Désactiver le suivi des blocs modifiés
  • Détruisez les données associées à un instantané et conservez les métadonnées
  • Obtenir les informations de connexion NBD pour une VDI
  • Exporter un VDI via une connexion NBD

Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de XenServer Premium Edition.

Liste des blocs modifiés :

  • Comparez deux instantanés VDI et répertoriez les blocs qui ont changé entre eux.

Configurer PVS-Accelerator:

  • Activer PVS-Accelerator
  • Désactiver l’accélérateur PVS
  • Mettre à jour la configuration du cache de PVS-Accelerator
  • Ajouter ou supprimer la configuration du cache de PVS-Accelerator

Voir la configuration de PVS-Accelerator :

  • Voir l’état de PVS-Accelerator

Instantanés planifiés (Ajouter/Supprimer des machines virtuelles aux planifications d’instantanés existantes) :

  • Ajouter des machines virtuelles à des planifications de snapshots existantes
  • Supprimer des machines virtuelles de planifications de snapshots existantes

Instantanés planifiés (Ajouter/Modifier/Supprimer des planifications d’instantanés) :

  • Ajouter des planifications d’instantanés
  • Modifier les planifications d’instantanés
  • Supprimer les planifications d’instantanés

Remarque :

Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource dans un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur le plus privilégié et réessayez l’action.

Comment XenServer calcule-t-il les rôles pour la session ?

  1. L’objet est authentifié via le serveur Active Directory pour vérifier à quels groupes de confinement l’objet peut également appartenir.

  2. XenServer vérifie ensuite quels rôles ont été attribués à la fois au sujet et aux groupes qui le contiennent.

  3. Étant donné que les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.

Dans cette illustration, comme le sujet 2 (groupe 2) est l’opérateur de pool et que l’utilisateur 1 est membre du groupe 2, lorsque le sujet 3 (utilisateur 1) tente de se connecter, il hérite des rôles Sujet 3 (opérateur de machine virtuelle) et Groupe 2 (opérateur de pool). Étant donné que le rôle Opérateur de pool est plus élevé, le rôle résultant pour le Sujet 3 (Utilisateur 1) est Opérateur de pool et non Opérateur de machine virtuelle.

Rôles et autorisations RBAC
October 24, 2024
Contributeur: 
X X
October 24, 2024
Contributeur: 
X X

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.