XenCenter

アクセス許可の決定プロセス

XenServerにログインしたユーザーのアクセス許可の決定プロセス

  1. Active Directoryサーバーがサブジェクトを認証します。認証時に、そのサブジェクトがほかのActive Directoryグループに属しているかどうかもチェックされます。

  2. 次に、XenServerは以下の情報を検証します:

    • サブジェクトに割り当てられた役割
    • サブジェクトが所属するActive Directoryグループに割り当てられた役割。
  3. XenServerが、そのサブジェクトに割り当てられている最も高いレベルのアクセス許可を適用します。サブジェクトが複数のActive Directoryグループに属している場合は、割り当てられている役割のすべてのアクセス許可がそのサブジェクトに継承されます。

ユーザーがActive Directoryのグループに含まれている可能性を示す図。Active Directoryのユーザーとグループは、XenCenterのサブジェクトにマップされます。サブジェクトに役割を割り当てることができます。役割には権限のセットが含まれています。

この図は以下の情報を示しています:

  • Subject 2(Group 2)はプールオペレータです。
  • User 1はGroup 2に属しています。
  • Subject 3(User 1)がログインすると、Subject 3(VMオペレータ)およびGroup 2(プールオペレータ)の役割が継承されます。
  • ただし、プールオペレータの役割レベルの方が高いため、Subject 3(User 1)は(VMオペレータではなく)プールオペレータになります。
アクセス許可の決定プロセス