사용자 관리
사용자, 그룹, 역할 및 권한을 정의하면 Citrix Hypervisor 서버 및 풀에 액세스할 수 있는 사용자와 수행할 수 있는 작업을 제어할 수 있습니다.
Citrix Hypervisor를 처음 설치하면 사용자 계정이 Citrix Hypervisor에 자동으로 추가됩니다. 이 계정은 Citrix Hypervisor가 로컬로 인증하는 로컬 수퍼유저 (LSU) 또는 루트입니다.
LSU 또는 루트는 시스템 관리를 위한 특수 사용자 계정이며 모든 권한이 있습니다. Citrix Hypervisor에서 LSU는 설치 시 기본 계정입니다. Citrix Hypervisor는 LSU 계정을 인증합니다. LSU에는 외부 인증 서비스가 필요하지 않습니다. 외부 인증 서비스가 실패하더라도 LSU는 계속 로그인하여 시스템을 관리할 수 있습니다. LSU는 항상 SSH를 통해 Citrix Hypervisor 물리적 서버에 액세스할 수 있습니다.
XenCenter의 사용자 탭 또는 xe CLI를 통해 Active Directory 계정을 추가하여 더 많은 사용자를 만들 수 있습니다. 환경에서 Active Directory를 사용하지 않는 경우 LSU 계정으로 제한됩니다.
메모:
사용자를 생성할 때 Citrix Hypervisor는 새로 생성된 사용자 계정 RBAC 역할을 자동으로 할당하지 않습니다. 따라서 이러한 계정은 역할을 할당할 때까지 Citrix Hypervisor 풀에 액세스할 수 없습니다.
최근 SSH 클라이언트의 제한 사항은 SSH가 다음 문자를 포함하는 사용자 이름에 대해 작동하지 않음을 의미합니다.
{}[]|&
. 사용자 이름 및 Active Directory 서버 이름에 이러한 문자가 포함되어 있지 않은지 확인합니다.
이러한 권한은 에 설명된 대로 역할을 통해 부여됩니다. AD(Active Directory)를 사용하여 사용자 인증 절.
AD(Active Directory)를 사용하여 사용자 인증
서버 또는 풀에 여러 사용자 계정을 사용하려면 인증에 Active Directory 사용자 계정을 사용해야 합니다. AD 계정을 사용하면 Citrix Hypervisor 사용자가 Windows 도메인 자격 증명을 사용하여 풀에 로그온할 수 있습니다.
메모:
AD 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명을 활성화할 수 있습니다. 자세한 내용은 Microsoft 보안 권고.
Active Directory 인증을 사용하도록 설정하고, 사용자 계정을 추가하고, 해당 계정에 역할을 할당하여 특정 사용자에 대해 다양한 액세스 수준을 구성할 수 있습니다.
Active Directory 사용자는 xe CLI를 사용할 수 있습니다(적절한 -유
그리고 -포로
인수) XenCenter를 사용하여 호스트에 연결할 수도 있습니다. 인증은 리소스 풀별로 수행됩니다.
과목 사용자 계정에 대한 액세스를 제어합니다. Citrix Hypervisor의 주제는 디렉토리 서버의 엔터티 (사용자 또는 그룹) 에 매핑됩니다. 외부 인증을 활성화하면 Citrix Hypervisor는 세션을 만드는 데 사용되는 자격 증명을 로컬 루트 자격 증명에 대해 확인한 다음 주체 목록에 대해 확인합니다. 액세스를 허용하려면 액세스 권한을 부여하려는 개인 또는 그룹에 대한 주제 항목을 만듭니다. XenCenter 또는 xe CLI를 사용하여 주체 항목을 만들 수 있습니다.
XenCenter에 익숙한 경우 Citrix Hypervisor CLI는 Active Directory 및 사용자 계정 기능을 참조하기 위해 약간 다른 용어를 사용합니다. XenCenter 용어 Citrix Hypervisor CLI 용어 사용자 주제 사용자 추가 주제 추가
Citrix Hypervisor는 Linux 기반이지만 Citrix Hypervisor를 사용하면 Citrix Hypervisor 사용자 계정에 Active Directory 계정을 사용할 수 있습니다. 이를 위해 Active Directory 자격 증명을 Active Directory 도메인 컨트롤러에 전달합니다.
Citrix Hypervisor에 Active Directory를 추가하면 Active Directory 사용자 및 그룹이 Citrix Hypervisor 주체가 됩니다. 주체는 XenCenter에서 사용자라고 합니다. 사용자/그룹은 Citrix Hypervisor에 주체를 등록할 때 로그온 시 Active Directory를 사용하여 인증됩니다. 사용자 및 그룹은 도메인 이름을 사용하여 사용자 이름을 한정할 필요가 없습니다.
Citrix Hypervisor 서버에 로그온하려면 Active Directory 사용자에게 Citrix Hypervisor의 컴퓨터 계정을 호스팅하는 컴퓨터에 로그온할 수 있는 도메인 수준의 권한이 있어야 합니다. 기본적으로 Windows Server 2019 도메인에서는 모든 사용자가 도메인의 모든 컴퓨터에 로그온할 수 있습니다. 그러나 이 설정을 변경한 경우 Citrix Hypervisor 서버에 액세스하려는 사용자가 도메인 수준에서 로그온할 수 있는지 확인하십시오.
사용자 이름을 한정하려면 다음과 같이 하위 수준 로그온 이름 형식으로 사용자 이름을 입력해야 합니다. mydomain\myuser
.
메모:
기본적으로 사용자 이름을 한정하지 않은 경우 XenCenter는 가입된 도메인을 사용하여 AD 인증 서버에 사용자를 로그인하려고 시도합니다. 이에 대한 예외는 XenCenter가 항상 로컬(즉, Citrix Hypervisor)에서 먼저 인증하는 LSU 계정입니다.
외부 인증 프로세스는 다음과 같이 작동합니다.
-
서버에 연결할 때 제공된 자격 증명은 인증을 위해 Active Directory 도메인 컨트롤러로 전달됩니다.
-
도메인 컨트롤러가 자격 증명을 확인합니다. 유효하지 않으면 인증이 즉시 실패합니다.
-
자격 증명이 유효한 경우 자격 증명과 연결된 주체 식별자 및 그룹 구성원 자격을 가져오기 위해 Active Directory 컨트롤러를 쿼리합니다.
-
주체 식별자가 Citrix Hypervisor에 저장된 식별자와 일치하면 인증이 성공합니다.
도메인에 가입할 때 풀에 대해 Active Directory 인증을 사용하도록 설정합니다. 그러나 풀이 도메인에 가입하면 해당 도메인(또는 신뢰 관계가 있는 도메인)의 사용자만 풀에 연결할 수 있습니다.
메모:
DHCP로 구성된 네트워크 PIF의 DNS 구성을 수동으로 업데이트하는 것은 지원되지 않으며 이로 인해 AD 통합 및 사용자 인증이 실패하거나 작동이 중지될 수 있습니다.
Active Directory 인증 구성
Citrix Hypervisor는 Windows 2008 이상을 사용하여 Active Directory 서버 사용을 지원합니다.
Citrix Hypervisor 서버에 대해 Active Directory를 인증하려면 Active Directory 서버 (상호 운용성을 허용하도록 구성됨) 와 Citrix Hypervisor 서버 모두에 동일한 DNS 서버를 사용해야 합니다. 일부 구성에서는 Active Directory 서버가 DNS 자체를 제공할 수 있습니다. 이 작업은 DHCP를 사용하여 IP 주소 및 DNS 서버 목록을 Citrix Hypervisor 서버에 제공하거나 수행할 수 있습니다. 또는 PIF 개체에서 값을 설정하거나 수동 정적 구성을 사용할 때 설치 프로그램을 사용할 수 있습니다.
DHCP를 활성화하여 호스트 이름을 할당하는 것이 좋습니다. 호스트 이름을 할당하지 마십시오. 로컬호스트
또는 리눅스
호스트에게.
경고:
Citrix Hypervisor 서버 이름은 Citrix Hypervisor 배포 전체에서 고유해야 합니다.
다음 사항에 유의하세요.
-
Citrix Hypervisor는 호스트 이름을 사용하여 AD 데이터베이스의 AD 항목에 레이블을 지정합니다. 호스트 이름이 동일한 두 개의 Citrix Hypervisor 서버가 동일한 AD 도메인에 가입된 경우 두 번째 Citrix Hypervisor는 첫 번째 Citrix Hypervisor의 AD 항목을 덮어씁니다. 덮어쓰기는 호스트가 동일한 풀에 속하는지 아니면 다른 풀에 속하는지에 관계없이 발생합니다. 이로 인해 첫 번째 Citrix Hypervisor의 AD 인증이 작동을 멈출 수 있습니다.
서로 다른 AD 도메인에 가입되어 있는 한 두 Citrix Hypervisor 서버에서 동일한 호스트 이름을 사용할 수 있습니다.
-
Citrix Hypervisor 서버는 비교되는 UTC 시간이기 때문에 다른 시간대에 있을 수 있습니다. 동기화가 올바른지 확인하기 위해 Citrix Hypervisor 풀과 Active Directory 서버에 동일한 NTP 서버를 사용할 수 있습니다.
-
혼합 인증 풀은 지원되지 않습니다. 풀의 일부 서버는 Active Directory를 사용하도록 구성되고 일부는 그렇지 않은 풀을 가질 수 없습니다.
-
Citrix Hypervisor Active Directory 통합은 Kerberos 프로토콜을 사용하여 Active Directory 서버와 통신합니다. 따라서 Citrix Hypervisor는 Kerberos를 사용하지 않는 Active Directory 서버와의 통신을 지원하지 않습니다.
-
Active Directory를 사용한 외부 인증이 성공하려면 Citrix Hypervisor 서버의 시계를 Active Directory 서버의 시계와 동기화해야 합니다. Citrix Hypervisor가 Active Directory 도메인에 가입하면 동기화가 확인되고 서버 간에 오차가 너무 많으면 인증이 실패합니다.
경고:
호스트 이름은 63자 이하의 영숫자로만 구성되어야 하며 순전히 숫자로만 구성되어서는 안 됩니다.
Active Directory 인증을 사용하도록 설정한 후 풀에 서버를 추가하면 풀에 가입하는 서버에서 Active Directory를 구성하라는 메시지가 표시됩니다. 참가 서버에 대한 자격 증명을 입력하라는 메시지가 표시되면 해당 도메인에 서버를 추가할 수 있는 충분한 권한이 있는 Active Directory 자격 증명을 입력합니다.
Active Directory 통합
Citrix Hypervisor가 도메인 컨트롤러에 액세스할 수 있도록 아웃바운드 트래픽에 대해 다음 방화벽 포트가 열려 있는지 확인합니다.
포트 | 프로토콜 | 쓰다 |
---|---|---|
53 | UDP/TCP | DNS (영문) |
88 | UDP/TCP | 커베로스 5 |
123 | 증권 시세 표시기 | 증권 시세 표시기 |
137 | 증권 시세 표시기 | NetBIOS 이름 서비스 |
139 | TCP (영문) | NetBIOS 세션(SMB) |
389 | UDP/TCP | LDAP |
445 | TCP (영문) | TCP를 통한 SMB |
464 | UDP/TCP | 컴퓨터 암호 변경 |
636 | UDP/TCP | SSL을 통한 LDAP |
3268 | TCP (영문) | 글로벌 카탈로그 검색 |
자세한 내용은 Citrix Hypervisor에서 사용하는 통신 포트.
노트:
- 다음을 사용하여 Linux 컴퓨터에서 방화벽 규칙을 보려면To view the firewall rules on a Linux computer iptables에서 다음 명령을 실행합니다.
iptables -nL
.- Citrix Hypervisor는 PBIS(PowerBroker Identity Services)를 사용하여 AD 서버에서 AD 사용자를 인증하고 AD 서버와의 통신을 암호화합니다.
Citrix Hypervisor는 AD 통합을 위한 컴퓨터 계정 암호를 어떻게 관리합니까?
Windows 클라이언트 컴퓨터와 마찬가지로 PBIS는 컴퓨터 계정 암호를 자동으로 업데이트합니다. PBIS는 30일마다 또는 AD 서버의 컴퓨터 계정 암호 갱신 정책에 지정된 대로 암호를 갱신합니다.
풀에서 외부 인증 사용Enable external authentication on a pool
Active Directory를 사용하는 외부 인증은 XenCenter 또는 CLI에서 다음 명령을 사용하여 구성할 수 있습니다.
xe pool-enable-external-auth auth-type=AD \
service-name=full-qualified-domain \
config:user=username \
config:pass=password
<!--NeedCopy-->
지정된 사용자는 다음을 가지고 있어야 합니다. 컴퓨터 개체 또는 워크스테이션 추가/제거
privilege는 도메인 관리자의 기본값입니다.
Active Directory 및 Citrix Hypervisor 서버에서 사용하는 네트워크에서 DHCP를 사용하지 않는 경우 다음 방법을 사용하여 DNS를 설정합니다.
-
FQDN이 아닌 항목을 확인하기 위해 도메인 DNS 접미사 검색 순서를 설정합니다.
xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \ "other-config:domain=suffix1.com suffix2.com suffix3.com" <!--NeedCopy-->
-
Citrix Hypervisor 서버에서 사용할 DNS 서버를 구성합니다.
xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \ gateway=gateway netmask=netmask uuid=uuid <!--NeedCopy-->
-
DNS 서버와 동일한 네트워크에 있는 PIF를 사용하도록 관리 인터페이스를 수동으로 설정합니다.
xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork <!--NeedCopy-->
메모:
외부 인증은 호스트별 속성입니다. 그러나 풀별로 외부 인증을 사용하거나 사용하지 않도록 설정하는 것이 좋습니다. 풀별 설정을 사용하면 Citrix Hypervisor가 특정 호스트에서 인증을 사용하도록 설정할 때 발생하는 오류를 처리할 수 있습니다. 또한 Citrix Hypervisor는 필요할 수 있는 모든 변경 사항을 롤백하여 풀 전체에서 일관된 구성을 보장합니다. 를 사용하십시오.
호스트 매개 변수 목록
명령을 사용하여 호스트의 속성을 검사하고 관련 필드의 값을 확인하여 외부 인증의 상태를 확인합니다.
XenCenter를 사용하여 Active Directory 인증을 비활성화하거나 다음 xe 명령을 사용합니다.
xe pool-disable-external-auth
<!--NeedCopy-->
사용자 인증
사용자가 Citrix Hypervisor 서버에 액세스할 수 있도록 하려면 해당 사용자 또는 사용자가 속한 그룹에 대한 제목을 추가해야 합니다. (전이적 그룹 구성원 자격도 일반적인 방법으로 확인됩니다. 예를 들어, 그룹에 대한 제목을 추가합니다 A
, where 그룹 A
그룹 포함 B
그리고 사용자 1
의 구성원입니다. B
에 대한 액세스를 허용합니다. 사용자 1
.) Active Directory에서 사용자 권한을 관리하려는 경우 단일 그룹을 만든 다음 사용자를 추가 및 삭제할 수 있습니다. 또는 Citrix Hypervisor에서 개별 사용자를 추가 및 삭제하거나 인증 요구 사항에 맞게 사용자 및 그룹을 조합할 수 있습니다. XenCenter에서 또는 다음 섹션에 설명된 대로 CLI를 사용하여 주체 목록을 관리할 수 있습니다.
사용자를 인증할 때 먼저 로컬 루트 계정에 대해 자격 증명을 확인하여 AD 서버에 오류가 발생한 시스템을 복구할 수 있습니다. 자격 증명(사용자 이름 및 암호)이 일치하지 않으면 AD 서버에 대한 인증 요청이 이루어집니다. 인증에 성공하면 사용자 정보가 검색되고 로컬 주체 목록에 대해 유효성이 검사됩니다. 인증에 실패하면 액세스가 거부됩니다. 주제 목록에 대한 유효성 검사는 사용자의 전이적 그룹 구성원 자격에 있는 사용자 또는 그룹이 주제 목록에 있는 경우 성공합니다.
메모:
Active Directory 그룹을 사용하여 호스트 ssh 액세스가 필요한 풀 관리자 사용자에게 액세스 권한을 부여하는 경우 AD 그룹의 크기는 500명의 사용자를 초과할 수 없습니다.
Citrix Hypervisor에 AD 주체를 추가하려면 다음을 수행합니다.
xe subject-add subject-name=entity_name
<!--NeedCopy-->
entity_name는 액세스 권한을 부여할 사용자 또는 그룹의 이름입니다. 엔터티의 도메인(예: ‘user1’이 아닌 ‘xendt\user1’)을 포함할 수 있지만 명확성이 필요하지 않는 한 동작은 동일합니다.
사용자의 주체 식별자를 찾습니다. 식별자는 사용자 또는 사용자를 포함하는 그룹입니다. 그룹을 제거하면 해당 그룹의 모든 사용자에 대한 액세스 권한이 제거됩니다(해당 사용자가 주제 목록에도 지정되지 않은 경우). 를 사용하십시오. 주제 목록
명령을 사용하여 사용자의 주체 식별자를 찾습니다. :
xe subject-list
<!--NeedCopy-->
이 명령은 모든 사용자 목록을 반환합니다.
목록에 필터를 적용하려면(예: 사용자의 주체 식별자 찾기) 사용자1
안에 테스타드
도메인에서 다음 명령을 사용합니다.
xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->
를 사용하여 사용자를 제거합니다. 제목 제거
명령을 사용하여 이전 단계에서 학습한 주체 식별자를 전달합니다.
xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->
이 사용자가 이미 인증한 현재 세션을 종료할 수 있습니다. 자세한 내용은 xe를 사용하여 인증된 모든 세션 종료 그리고 xe를 사용하여 개별 사용자 세션 종료 다음 섹션에서 설명합니다. 세션을 종료하지 않으면 권한이 취소된 사용자는 로그아웃할 때까지 시스템에 계속 액세스할 수 있습니다.
다음 명령을 실행하여 Citrix Hypervisor 서버 또는 풀에 액세스할 수 있는 권한이 있는 사용자 및 그룹 목록을 식별합니다.
xe subject-list
<!--NeedCopy-->
사용자의 액세스 권한 삭제
사용자가 인증되면 세션을 종료하거나 다른 사용자가 세션을 종료할 때까지 서버에 액세스할 수 있습니다. 주제 목록에서 사용자를 제거하거나 주제 목록의 그룹에서 사용자를 제거해도 사용자가 이미 인증한 세션은 자동으로 취소되지 않습니다. 사용자는 XenCenter 또는 이미 만든 다른 API 세션을 사용하여 풀에 계속 액세스할 수 있습니다. XenCenter 및 CLI는 개별 세션 또는 모든 활성 세션을 강제로 종료할 수 있는 기능을 제공합니다. 자세한 내용은 XenCenter 설명서 XenCenter를 사용하는 절차에 대한 자세한 내용을 보려면 다음 섹션을 참조하고, CLI를 사용하는 절차에 대해서는 다음 섹션을 참조하십시오.
xe를 사용하여 인증된 모든 세션을 종료합니다
다음 CLI 명령을 실행하여 xe를 사용하여 인증된 모든 세션을 종료합니다.
xe session-subject-identifier-logout-all
<!--NeedCopy-->
xe를 사용하여 개별 사용자 세션 종료
-
세션에서 로그아웃하려는 주체 식별자를 확인합니다. 다음 중 하나를 사용합니다.
세션 주제 식별자 목록
또는주제 목록
xe 명령을 사용하여 주체 식별자를 찾을 수 있습니다. 첫 번째 명령은 세션이 있는 사용자를 표시합니다. 두 번째 명령은 모든 사용자를 표시하지만 필터링할 수 있습니다. 예를 들어 다음과 같은 명령을 사용합니다.xe 주제 목록 other-config:주제 이름=xendt\\user1
. 쉘에 따라 표시된 대로 이중 백슬래시가 필요할 수 있습니다). -
를 사용하십시오.
세션 제목 로그아웃
명령을 사용하여 이전 단계에서 결정한 주체 식별자를 매개 변수로 전달합니다(예:xe session-subject-identifier-logout subject-identifier=subject_id <!--NeedCopy-->
AD 도메인 탈퇴
경고:
도메인을 탈퇴하면 Active Directory 자격 증명을 사용하여 풀 또는 서버에 인증한 모든 사용자의 연결이 끊어집니다.
XenCenter를 사용하여 AD 도메인에서 탈퇴합니다. 자세한 내용은 XenCenter 설명서. 또는 다음을 실행합니다. 풀 비활성화 외부 인증
필요한 경우 풀 UUID를 지정하여 명령을 실행합니다.
메모:
도메인을 탈퇴해도 AD 데이터베이스에서 호스트 개체가 삭제되지는 않습니다. 비활성화된 호스트 항목을 감지하고 제거하는 방법에 대한 자세한 내용은 Active Directory 설명서를 참조하십시오.