XenCenter

역할 기반 액세스 제어 개요

RBAC(역할 기반 액세스 제어) 기능을 사용하면 미리 정의된 역할 또는 사용 권한 집합을 Active Directory 사용자 및 그룹에 할당할 수 있습니다. 이러한 권한은 XenServer 관리자가 서버 및 풀에 대해 갖는 액세스 수준을 제어합니다. RBAC는 풀 수준에서 구성 및 배포됩니다. 사용자는 할당된 역할을 통해 권한을 획득하므로 사용자 또는 그룹에 역할을 할당하여 필요한 권한을 부여합니다.

XenServer 사용자 계정에 Active Directory 계정 사용

RBAC를 사용하면 서로 다른 사용자 그룹이 수행할 수 있는 작업을 제한할 수 있습니다. 이 제어는 경험이 없는 사용자가 재앙적인 우발적 변경을 할 가능성을 줄여줍니다. 또한 RBAC 역할을 할당하면 규정 준수를 위해 리소스 풀에 대한 무단 변경을 방지할 수 있습니다. 규정 준수 및 감사를 용이하게 하기 위해 RBAC는 감사 로그 기능과 해당 Workload Balancing 풀 감사 추적 보고서도 제공합니다. 자세한 내용은 변경 감사를 참조하십시오.

사용자는 역할에 매핑됩니다. 역할은 권한 집합에 매핑됩니다.

RBAC에서는 인증 서비스에 Active Directory를 사용합니다. 특히, XenServer는 Active Directory 사용자 및 그룹 계정을 기반으로 인증된 사용자 목록을 유지합니다. 따라서 역할을 할당하려면 먼저 도메인에 풀을 참가시키고 Active Directory 계정을 추가해야 합니다.

RBAC 프로세스

RBAC를 구현하고 사용자 또는 그룹에 역할을 할당하는 표준 프로세스는 다음 단계로 구성됩니다.

  1. 도메인에 가입합니다.
  2. 풀에 Active Directory 사용자 또는 그룹을 추가합니다.
  3. 사용자 또는 그룹의 RBAC 역할을할당(또는 수정)합니다.

로컬 수퍼 사용자

LSU(로컬 슈퍼 사용자) 또는 루트는 시스템 관리에 사용되는 특수 사용자 계정이며 모든 권한을 가지고 있습니다. XenServer에서는 설치할 때 로컬 슈퍼 사용자가 기본 계정입니다. LSU는 외부 인증 서비스가 아닌 XenServer에 의해 인증됩니다. 외부 인증 서비스가 실패하더라도 LSU는 여전히 로그인하여 시스템을 관리할 수 있습니다. LSU는 SSH를 통해 항상 XenServer 물리적 서버에 액세스할 수 있습니다.

RBAC 역할

XenServer에는 IT 조직의 다양한 기능에 맞게 설계된 6개의 사전 설정된 역할이 포함되어 있습니다.

  • 풀 관리자 (풀 관리자) 이 역할은 사용 가능한 가장 강력한 역할입니다. 풀 관리자는 모든 XenServer 기능 및 설정에 대한 전체 액세스 권한을 가집니다. 역할 및 사용자 관리를 포함한 모든 작업을 수행할 수 있습니다. XenServer 콘솔에 대한 액세스 권한을 부여할 수 있습니다 Citrix는 모범 사례로 제한된 수의 사용자에게 이 역할을 할당할 것을 권장합니다.

    참고:

    로컬 수퍼 사용자(루트)는 항상 풀 관리자 역할을 가집니다. 풀 관리 역할은 로컬 루트와 동일한 권한을 가집니다.

    사용자에서 풀 관리자 역할을 제거하는 경우 서버 루트 암호를 변경하고 풀 암호를 교체하는 것도 고려해 보십시오. 자세한 내용은 풀 보안을 참조하십시오.

  • 풀 운영자 (풀 운영자). 이 역할은 임무 책임자가 풀 차원의 리소스를 관리할 수 있도록 설계되었습니다. 관리 작업에는 스토리지 생성, 서버 관리, 패치 관리 및 풀 생성이 포함됩니다. 풀 운영자는 풀 리소스를 구성할 수 있습니다. 또한 고가용성, Workload Balancing 및 패치 관리와 같은 기능에 대한 전체 액세스 권한을 갖습니다. 풀 운영자는 사용자를 추가하거나 역할을 수정할 수 없습니다.
  • 가상 시스템 전원 관리자 (VM 전원 관리). 이 역할은 VM 및 템플릿 관리에 대한 전체 액세스 권한을 가집니다. VM을 시작할 위치를 선택할 수 있습니다. 동적 메모리 제어 기능 및 VM 스냅샷 기능에 대한 모든 액세스 권한이 있습니다. 또한 홈 서버를 설정하고 워크로드 실행 위치를 선택할 수 있습니다. 이 역할을 할당하면 담당자에게 VM 운영자가 사용할 가상 시스템을 프로비저닝할 수 있는 충분한 권한이 부여됩니다.
  • 가상 컴퓨터 관리자 (VM 관리자) 이 역할은 VM 및 템플릿을 관리하고 이러한 작업을 완료하는 데 필요한 스토리지에 액세스할 수 있습니다. 그러나 이 역할은 XenServer를 사용하여 워크로드를 실행할 위치를 선택하고 동적 메모리 제어 및 홈 서버에 대한 템플릿의 설정을 사용해야 합니다. (이 역할은 동적 메모리 제어 기능에 액세스하거나, 스냅샷을 만들거나, 홈 서버를 설정하거나, 워크로드 실행 위치를 선택할 수 없습니다.)
  • 가상 컴퓨터 운영자 (VM 운영자). 이 역할은 풀에서 VM을 사용하고 기본 수명 주기를 관리할 수 있습니다. VM 운영자는 충분한 하드웨어 리소스를 사용할 수 있는 경우 VM 콘솔과 상호 작용하고 VM을 시작하거나 중지할 수 있습니다. 마찬가지로 VM 운영자는 수명 주기 작업을 시작하고 중지할 수 있습니다. VM 운영자 역할은 VM을 만들거나 제거하거나 VM 속성 또는 서버 리소스를 변경할 수 없습니다.
  • 읽기 전용 (읽기 전용) 이 역할은 리소스 풀과 성능 데이터만 볼 수 있습니다.

각 역할과 연결된 사용 권한에 대한 자세한 내용은 RBAC 역할 및 사용 권한의 정의를 참조하십시오. RBAC가 사용자에게 적용되는 역할을 계산하는 방법에 대한 자세한 내용은 RBAC 역할 계산을 참조하십시오.

참고:

사용자를 만들 때 새로 생성된 사용자에게 먼저 역할을 할당해야 계정을 사용할 수 있습니다. XenServer는 새로 만든 사용자에게 역할을 자동으로 할당하지 않습니다.

역할 기반 액세스 제어 개요