CLI와 함께 RBAC 사용
중요:
Citrix Hypervisor 8.2 누적 업데이트 1은 2025년 6월 25일에 수명이 종료됩니다. 원활한 전환과 지속적인 지원을 위해 지금 XenServer 8로의 업그레이드를 계획하십시오. 자세한 내용은 업그레이드.
Citrix Virtual Apps and Desktops 라이센스 파일을 사용하여 Citrix Hypervisor 8.2 누적 업데이트 1 호스트에 라이센스를 부여하는 경우 이러한 라이센스 파일은 XenServer 8과 호환되지 않습니다. 업그레이드하기 전에 XenServer 8에서 사용할 XenServer Premium Edition 소켓 라이센스 파일을 얻어야 합니다. 이러한 소켓 라이센스 파일은 Citrix 워크로드를 실행하기 위한 Citrix for Private Cloud, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP 및 Citrix Platform License 구독의 자격으로 사용할 수 있습니다. 아직 이러한 새로운 서브스크립션으로 전환하지 않은 Citrix 고객은 XenServer Premium Edition 소켓 라이센스 10,000개에 대한 무료 프로모션에 참여를 요청할 수 있습니다. 자세한 내용은 XenServer 서버.
업그레이드하기 전에 XenServer 8에 대한 호환 라이센스를 얻지 못한 경우 호스트를 업그레이드할 때 90일 평가판으로 되돌아갑니다. 평가판은 Premium Edition과 동일한 기능을 제공하지만 몇 가지 제한 사항이 있습니다. 자세한 내용은 XenServer 8 라이센스 개요.
RBAC xe CLI 명령
다음 명령을 사용하여 역할 및 주제에 대해 작업할 수 있습니다.
사용 가능한 정의된 모든 역할을 나열하려면
다음 명령을 실행합니다. xe 역할 목록
이 명령은 다음과 같이 현재 정의된 역할 목록을 반환합니다.
uuid( RO): 0165f154-ba3e-034e-6b27-5d271af109ba
name ( RO): pool-admin
description ( RO): The Pool Administrator role has full access to all
features and settings, including accessing Dom0 and managing subjects,
roles and external authentication
uuid ( RO): b9ce9791-0604-50cd-0649-09b3284c7dfd
name ( RO): pool-operator
description ( RO): The Pool Operator role manages host- and pool-wide resources,
including setting up storage, creating resource pools and managing patches, and
high availability (HA).
uuid( RO): 7955168d-7bec-10ed-105f-c6a7e6e63249
name ( RO): vm-power-admin
description ( RO): The VM Power Administrator role has full access to VM and
template management and can choose where to start VMs and use the dynamic memory
control and VM snapshot features
uuid ( RO): aaa00ab5-7340-bfbc-0d1b-7cf342639a6e
name ( RO): vm-admin
description ( RO): The VM Administrator role can manage VMs and templates
uuid ( RO): fb8d4ff9-310c-a959-0613-54101535d3d5
name ( RO): vm-operator
description ( RO): The VM Operator role can use VMs and interact with VM consoles
uuid ( RO): 7233b8e3-eacb-d7da-2c95-f2e581cdbf4e
name ( RO): read-only
description ( RO): The Read-Only role can log in with basic read-only access
<!--NeedCopy-->
메모:
이 역할 목록은 정적입니다. 역할을 추가, 제거 또는 수정할 수 없습니다.
현재 주제 목록을 표시하려면
다음 명령을 실행합니다.
xe subject-list
<!--NeedCopy-->
이 명령은 Citrix Hypervisor 사용자, 해당 uuid 및 연결된 역할 목록을 반환합니다.
uuid ( RO): bb6dd239-1fa9-a06b-a497-3be28b8dca44
subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2244
other-config (MRO): subject-name: example01\user_vm_admin; subject-upn: \
user_vm_admin@XENDT.NET; subject-uid: 1823475908; subject-gid: 1823474177; \
subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2244; subject-gecos: \
user_vm_admin; subject-displayname: user_vm_admin; subject-is-group: false; \
subject-account-disabled: false; subject-account-expired: false; \
subject-account-locked: false;subject-password-expired: false
roles (SRO): vm-admin
uuid ( RO): 4fe89a50-6a1a-d9dd-afb9-b554cd00c01a
subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2245
other-config (MRO): subject-name: example02\user_vm_op; subject-upn: \
user_vm_op@XENDT.NET; subject-uid: 1823475909; subject-gid: 1823474177; \
subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2245; \
subject-gecos: user_vm_op; subject-displayname: user_vm_op; \
subject-is-group: false; subject-account-disabled: false; \
subject-account-expired: false; subject-account-locked: \
false; subject-password-expired: false
roles (SRO): vm-operator
uuid ( RO): 8a63fbf0-9ef4-4fef-b4a5-b42984c27267
subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2242
other-config (MRO): subject-name: example03\user_pool_op; \
subject-upn: user_pool_op@XENDT.NET; subject-uid: 1823475906; \
subject-gid: 1823474177; subject-s id:
S-1-5-21-1539997073-1618981536-2562117463-2242; \
subject-gecos: user_pool_op; subject-displayname: user_pool_op; \
subject-is-group: false; subject-account-disabled: false; \
subject-account-expired: false; subject-account-locked: \
false; subject-password-expired: false
roles (SRO): pool-operator
<!--NeedCopy-->
RBAC에 주제를 추가하려면
기존 AD 사용자가 RBAC를 사용할 수 있도록 하려면 AD 사용자가 직접 또는 포함하는 그룹에 대해 Citrix Hypervisor 내에 주체 인스턴스를 만듭니다.
다음 명령을 실행하여 새 주제 인스턴스를 추가합니다.
xe subject-add subject-name=AD user/group
<!--NeedCopy-->
주체에 RBAC 역할을 할당하려면
주제를 추가한 후 RBAC 역할에 할당할 수 있습니다. UUID 또는 이름으로 역할을 참조할 수 있습니다.
다음 명령을 실행합니다.
xe subject-role-add uuid=subject uuid role-uuid=role_uuid
<!--NeedCopy-->
또는
xe subject-role-add uuid=subject uuid role-name=role_name
<!--NeedCopy-->
예를 들어, 다음 명령은 uuid가 있는 제목을 추가합니다. b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 풀 관리자 역할로:
xe subject-role-add uuid=b9b3d03b-3d10-79d3-8ed7-a782c5ea13b4 role-name=pool-admin
<!--NeedCopy-->
주제의 RBAC 역할을 변경하려면
사용자의 역할을 변경하려면 기존 역할에서 사용자를 제거하고 새 역할에 추가해야 합니다.
다음 명령을 실행합니다.
xe subject-role-remove uuid=subject_uuid role-name=role_name_to_remove
xe subject-role-add uuid=subject_uuid role-name=role_name_to_add
<!--NeedCopy-->
사용자는 로그아웃했다가 다시 로그인해야 새 역할이 적용됩니다. 이를 위해서는 풀 관리자 또는 풀 운영자가 사용할 수 있는 “활성 사용자 연결 로그아웃” 권한이 필요합니다.
사용자로부터 풀 관리자 역할을 제거하는 경우 서버 루트 암호를 변경하고 풀 암호를 교체하는 것도 고려합니다. 자세한 내용은 풀 보안.
경고:
pool-admin 주제를 추가하거나 제거할 때 풀의 모든 호스트가 이 주제와 연결된 ssh 세션을 수락하는 데 몇 초 정도 걸릴 수 있습니다.
감사
RBAC 감사 로그는 로그인한 사용자가 수행한 모든 작업을 기록합니다.
-
메시지는 작업을 호출한 세션과 연결된 주체 ID 및 사용자 이름을 기록합니다.
-
주제가 권한이 부여되지 않은 조작을 호출하면 조작이 로그됩니다.
-
성공한 모든 작업도 기록됩니다. 작업이 실패하면 오류 코드가 기록됩니다.
감사 로그 xe CLI 명령
다음 명령은 풀에 있는 RBAC 감사 파일의 사용 가능한 모든 레코드를 파일로 다운로드합니다. 선택적 매개 변수 ‘since’가 있으면 해당 특정 시점의 레코드만 다운로드합니다.
xe audit-log-get \[since=timestamp\] filename=output filename
<!--NeedCopy-->
풀에서 모든 감사 레코드를 가져오려면To obtain all audit records from the pool
다음 명령을 실행합니다.
xe audit-log-get filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->
정확한 밀리초 타임스탬프 이후 풀의 감사 레코드를 가져오려면To obtain audit records of the pool since a precise millisecond timestamp
다음 명령을 실행합니다.
xe audit-log-get since=2009-09-24T17:56:20.530Z \
filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->
정확한 분 타임스탬프 이후 풀의 감사 레코드를 가져오려면To obtain audit records of the pool since a exact minute timestamp
다음 명령을 실행합니다.
xe audit-log-get since=2009-09-24T17:56Z \
filename=/tmp/auditlog-pool-actions.out
<!--NeedCopy-->