사용자 관리
사용자, 그룹, 역할 및 사용 권한을 정의하면 XenServer 호스트 및 풀에 액세스할 수 있는 사용자와 이들이 수행할 수 있는 작업을 제어할 수 있습니다.
XenServer를 처음 설치하면 사용자 계정이 XenServer에 자동으로 추가됩니다. 이 계정은 XenServer가 로컬로 인증하는 로컬 LSU(슈퍼 사용자) 또는 루트입니다.
LSU 또는 루트는 시스템 관리를 위한 특수 사용자 계정이며 모든 권한이 있습니다. XenServer에서 LSU는 설치 시 기본 계정입니다. XenServer가 LSU 계정을 인증합니다. LSU에는 외부 인증 서비스가 필요하지 않습니다. 외부 인증 서비스가 실패하더라도 LSU는 계속 로그인하여 시스템을 관리할 수 있습니다. LSU는 항상 SSH를 통해 XenServer 물리적 서버에 액세스할 수 있습니다.
XenCenter의 사용자 탭 또는 xe CLI를 통해 Active Directory 계정을 추가하여 더 많은 사용자를 만들 수 있습니다. 환경에서 Active Directory를 사용하지 않는 경우 LSU 계정으로 제한됩니다.
메모:
사용자를 만들 때 XenServer는 새로 만든 사용자 계정 RBAC 역할을 자동으로 할당하지 않습니다. 따라서 이러한 계정은 역할을 할당할 때까지 XenServer 풀에 액세스할 수 없습니다.
이러한 권한은 에 설명된 대로 역할을 통해 부여됩니다. AD(Active Directory)를 사용하여 사용자 인증 절.
AD(Active Directory)를 사용하여 사용자 인증
호스트 또는 풀에서 여러 사용자 계정을 사용하려면 인증에 Active Directory 사용자 계정을 사용해야 합니다. AD 계정을 사용하면 XenServer 사용자가 Windows 도메인 자격 증명을 사용하여 풀에 로그온할 수 있습니다.
메모:
AD 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명을 활성화할 수 있습니다. 자세한 내용은 Microsoft 보안 권고.
Active Directory 인증을 사용하도록 설정하고, 사용자 계정을 추가하고, 해당 계정에 역할을 할당하여 특정 사용자에 대해 다양한 액세스 수준을 구성할 수 있습니다.
Active Directory 사용자는 xe CLI를 사용할 수 있습니다(적절한 -유 그리고 -포로 인수) XenCenter를 사용하여 호스트에 연결할 수도 있습니다. 인증은 리소스 풀별로 수행됩니다.
과목 사용자 계정에 대한 액세스를 제어합니다. XenServer의 주체는 Active Directory 서버의 엔터티(사용자 또는 그룹)에 매핑됩니다. 외부 인증을 사용하도록 설정하면 XenServer는 세션을 만드는 데 사용된 자격 증명을 로컬 루트 자격 증명에 대해 확인한 다음 주체 목록에 대해 확인합니다. 액세스를 허용하려면 액세스 권한을 부여하려는 개인 또는 그룹에 대한 주제 항목을 만듭니다. XenCenter 또는 xe CLI를 사용하여 주체 항목을 만들 수 있습니다.
XenCenter에 익숙하다면 xe CLI는 약간 다른 용어를 사용하여 Active Directory 및 사용자 계정 기능을 참조합니다.
| XenCenter 용어 | xe CLI 용어 |
|---|---|
| 사용자, 사용자 추가 | 주제, 주제 추가 |
XenServer는 Linux 기반이지만 XenServer를 사용하면 XenServer 사용자 계정에 대해 Active Directory 계정을 사용할 수 있습니다. 이를 위해 Active Directory 자격 증명을 Active Directory 도메인 컨트롤러에 전달합니다.
XenServer에 Active Directory를 추가하면 Active Directory 사용자 및 그룹이 XenServer 주체가 됩니다. 주체는 XenCenter에서 사용자라고 합니다. 사용자/그룹은 XenServer에 주체를 등록할 때 로그온 시 Active Directory를 사용하여 인증됩니다. 사용자 및 그룹은 도메인 이름을 사용하여 사용자 이름을 한정할 필요가 없습니다.
XenServer 호스트에 로그온하려면 Active Directory 사용자는 도메인 수준에서 XenServer의 컴퓨터 계정을 호스팅하는 컴퓨터에 로그온할 수 있는 권한이 있어야 합니다. 기본적으로 Windows Server 2019 도메인에서는 모든 사용자가 도메인의 모든 컴퓨터에 로그온할 수 있습니다. 그러나 이 설정을 변경한 경우 XenServer 호스트에 액세스할 수 있는 사용자가 도메인 수준에서 로그온할 수 있도록 허용해야 합니다.
사용자 이름을 한정하려면 다음과 같이 하위 수준 로그온 이름 형식으로 사용자 이름을 입력해야 합니다. mydomain\myuser.
메모:
기본적으로 사용자 이름을 한정하지 않은 경우 XenCenter는 가입된 도메인을 사용하여 AD 인증 서버에 사용자를 로그인하려고 시도합니다. 단, XenCenter는 항상 로컬(즉, XenServer)에서 먼저 인증하는 LSU 계정은 예외입니다.
외부 인증 프로세스는 다음과 같이 작동합니다.
-
호스트에 연결할 때 제공된 자격 증명은 인증을 위해 Active Directory 도메인 컨트롤러로 전달됩니다.
-
도메인 컨트롤러가 자격 증명을 확인합니다. 유효하지 않으면 인증이 즉시 실패합니다.
-
자격 증명이 유효한 경우 자격 증명과 연결된 주체 식별자 및 그룹 구성원 자격을 가져오기 위해 Active Directory 컨트롤러를 쿼리합니다.
-
주체 식별자가 XenServer에 저장된 식별자와 일치하면 인증이 성공합니다.
도메인에 가입할 때 풀에 대해 Active Directory 인증을 사용하도록 설정합니다. 그러나 풀이 도메인에 가입하면 해당 도메인(또는 신뢰 관계가 있는 도메인)의 사용자만 풀에 연결할 수 있습니다.
메모:
DHCP로 구성된 네트워크 PIF의 DNS 구성을 수동으로 업데이트하는 것은 지원되지 않으며 이로 인해 AD 통합 및 사용자 인증이 실패하거나 작동이 중지될 수 있습니다.
Active Directory 인증 구성
XenServer는 Windows 2008 이상을 사용하는 Active Directory 서버 사용을 지원합니다.
XenServer 호스트에 대해 Active Directory를 인증하려면 Active Directory 서버(상호 운용성을 허용하도록 구성됨)와 XenServer 호스트 모두에 대해 동일한 DNS 서버를 사용해야 합니다. 일부 구성에서는 Active Directory 서버가 DNS 자체를 제공할 수 있습니다. 이 작업은 DHCP를 사용하여 IP 주소 및 DNS 서버 목록을 XenServer 호스트에 제공하거나 수행할 수 있습니다. 또는 PIF 개체에서 값을 설정하거나 수동 정적 구성을 사용할 때 설치 프로그램을 사용할 수 있습니다.
DHCP를 활성화하여 호스트 이름을 할당하는 것이 좋습니다. 호스트 이름을 할당하지 마십시오. 로컬호스트 또는 리눅스 호스트에게.
경고:
XenServer 호스트 이름은 XenServer 배포 전체에서 고유해야 합니다.
다음 사항에 유의하세요.
-
XenServer는 호스트 이름을 사용하여 AD 데이터베이스의 AD 항목에 레이블을 지정합니다. 호스트 이름이 같은 두 XenServer 호스트가 동일한 AD 도메인에 가입된 경우 두 번째 XenServer가 첫 번째 XenServer의 AD 항목을 덮어씁니다. 덮어쓰기는 호스트가 동일한 풀에 속하는지 아니면 다른 풀에 속하는지에 관계없이 발생합니다. 이로 인해 첫 번째 XenServer의 AD 인증이 작동을 멈출 수 있습니다.
두 XenServer 호스트가 서로 다른 AD 도메인에 가입되어 있는 한 두 XenServer 호스트에서 동일한 호스트 이름을 사용할 수 있습니다.
-
XenServer 호스트는 UTC 시간을 기준으로 비교되므로 서로 다른 표준 시간대에 있을 수 있습니다. 동기화가 올바르게 이루어졌는지 확인하기 위해 XenServer 풀과 Active Directory 서버에 동일한 NTP 서버를 사용할 수 있습니다.
-
혼합 인증 풀은 지원되지 않습니다. 풀의 일부 호스트는 Active Directory를 사용하도록 구성되고 일부는 그렇지 않은 풀이 있을 수 없습니다.
-
XenServer Active Directory 통합은 Kerberos 프로토콜을 사용하여 Active Directory 서버와 통신합니다. 따라서 XenServer는 Kerberos를 사용하지 않는 Active Directory 서버와의 통신을 지원하지 않습니다.
-
Active Directory를 사용한 외부 인증이 성공하려면 XenServer 호스트의 클럭이 Active Directory 서버의 클럭과 동기화되어야 합니다. XenServer가 Active Directory 도메인에 가입하면 동기화가 확인되고 서버 간에 오차가 너무 많으면 인증이 실패합니다.
경고:
호스트 이름은 63자 이하의 영숫자로만 구성되어야 하며 순전히 숫자로만 구성되어서는 안 됩니다.
최근 SSH 클라이언트의 제한 사항은 SSH가 다음 문자를 포함하는 사용자 이름에 대해 작동하지 않음을 의미합니다.
{}[]|&. 사용자 이름 및 Active Directory 서버 이름에 이러한 문자가 포함되어 있지 않은지 확인합니다.
Active Directory 인증을 활성화한 후 풀에 호스트를 추가하면 풀에 가입하는 호스트에서 Active Directory를 구성하라는 메시지가 표시됩니다. 가입 호스트에 대한 자격 증명을 입력하라는 메시지가 표시되면 해당 도메인에 호스트를 추가할 수 있는 충분한 권한이 있는 Active Directory 자격 증명을 입력합니다.
Active Directory 통합
XenServer가 도메인 컨트롤러에 액세스할 수 있도록 아웃바운드 트래픽에 대해 다음 방화벽 포트가 열려 있는지 확인합니다.
| 포트 | 프로토콜 | 쓰다 |
|---|---|---|
| 53 | UDP/TCP | DNS (영문) |
| 88 | UDP/TCP | 커베로스 5 |
| 123 | 증권 시세 표시기 | 증권 시세 표시기 |
| 137 | 증권 시세 표시기 | NetBIOS 이름 서비스 |
| 139 | TCP (영문) | NetBIOS 세션(SMB) |
| 389 | UDP/TCP | LDAP |
| 445 | TCP (영문) | TCP를 통한 SMB |
| 464 | UDP/TCP | 컴퓨터 암호 변경 |
| 636 | UDP/TCP | SSL을 통한 LDAP |
| 3268 | TCP (영문) | 글로벌 카탈로그 검색 |
자세한 내용은 XenServer에서 사용하는 통신 포트.
노트:
- 다음을 사용하여 Linux 컴퓨터에서 방화벽 규칙을 보려면To view the firewall rules on a Linux computer iptables에서 다음 명령을 실행합니다.
iptables -nL.
윈바인드
XenServer는 Winbind를 사용하여 AD 서버를 통해 AD(Active Directory) 사용자를 인증하고 AD 서버와의 통신을 암호화합니다.
Winbind는 다음 시나리오를 지원하지 않습니다.
- 도메인 사용자 또는 도메인 그룹 이름의 시작 또는 끝에 있는 공백입니다.
- 64자 이상을 포함하는 도메인 사용자 이름입니다.
- 특수 문자 +<>”=/를 포함하는 도메인 사용자 이름%@:,;\`
- 특수 문자를 포함하는 도메인 그룹 이름 ,;\'
Winbind 구성
에 포함될 수 있는 다음 구성 옵션을 사용하여 Winbind 동작을 구성합니다. /etc/xapi.conf 파일:
-
winbind_machine_pwd_timeout: 이 옵션의 값은 이 XenServer 호스트에 대한 컴퓨터 암호가 회전되는 빈도(초)를 정의합니다. 값을 정수로 정의합니다.기본값은 1209600초(14일)입니다. 도메인 컨트롤러 간에 새 암호를 동기화할 수 있는 충분한 시간을 보장하기 위해 기본값을 유지하거나 기본값 아래로 값을 줄이지 않는 것이 좋습니다.
-
winbind_kerberos_encryption_type: 이 옵션의 값은 strong, legacy 및 all입니다. 기본값은 all입니다.-
값
모두다음 암호 그룹을 허용합니다.AES256-CTS-HMAC-SHA1-96,AES128-CTS-HMAC-SHA1-96그리고아크포-HMAC-MD5 -
값
강하다다음 암호 그룹을 허용합니다.AES256-CTS-HMAC-SHA1-96그리고AES128-CTS-HMAC-SHA1-96 -
값
유산다음 암호 그룹을 허용합니다.아크포-HMAC-MD5legacy 옵션은 안전하지 않으므로 문제를 디버그하는 데만 사용하는 것이 좋습니다.
보안을 강화하려면 AES 암호화를 적용하는 것이 좋습니다. 이렇게하려면
- 도메인 컨트롤러가 지원하는지 확인합니다.
AES256-CTS-HMAC-SHA1-96그리고AES128-CTS-HMACSHA1-96. -
사용하도록 도메인 컨트롤러를 구성합니다. 다른 도메인은 Kerberos AES 암호화를 지원합니다. 도메인 트러스트에서.
자세한 내용은 방법 3: Microsoft 설명서에서 RC4 암호화 대신 AES128 및 AES 256 암호화를 지원하도록 트러스트 구성.
- 를 업데이트합니다.
winbind_kerberos_encryption_type값을 사용하는 옵션강하다. -
도구 스택을 다시 시작합니다.
HA가 활성화되어 있는 동안에는 도구 스택을 다시 시작하지 마십시오. 가능한 경우 도구 스택을 다시 시작하기 전에 HA를 일시적으로 비활성화합니다.
-
-
winbind_cache_time: Winbind는 일부 도메인 정보를 로컬로 캐시합니다. 이 옵션의 값은 각 캐시 새로 고침 사이의 시간(초)을 정의합니다. 기본값은 60초입니다.
이러한 구성 옵션을 업데이트한 후 도구 스택을 다시 시작합니다.
XenServer는 AD 통합을 위한 컴퓨터 계정 암호를 어떻게 관리합니까?
Windows 클라이언트 컴퓨터와 마찬가지로 Winbind는 컴퓨터 계정 암호를 자동으로 업데이트합니다. Winbind는 14일마다 또는 구성 옵션에 지정된 대로 컴퓨터 계정 암호를 자동으로 업데이트합니다 winbind_machine_pwd_timeout.
풀에서 외부 인증 사용Enable external authentication on a pool
Active Directory를 사용하는 외부 인증은 XenCenter 또는 CLI에서 다음 명령을 사용하여 구성할 수 있습니다.
xe pool-enable-external-auth auth-type=AD \
service-name=full-qualified-domain \
config:user=username \
config:pass=password
<!--NeedCopy-->
지정된 사용자는 다음을 가지고 있어야 합니다. 컴퓨터 개체 또는 워크스테이션 추가/제거 privilege는 도메인 관리자의 기본값입니다.
Active Directory 및 XenServer 호스트에서 사용하는 네트워크에서 DHCP를 사용하지 않는 경우 다음 방법을 사용하여 DNS를 설정합니다.
-
FQDN이 아닌 항목을 확인하기 위해 도메인 DNS 접미사 검색 순서를 설정합니다.
xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \ "other-config:domain=suffix1.com suffix2.com suffix3.com" <!--NeedCopy--> -
XenServer 호스트에서 사용할 DNS 서버를 구성합니다.
xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \ gateway=gateway netmask=netmask uuid=uuid <!--NeedCopy--> -
DNS 서버와 동일한 네트워크에 있는 PIF를 사용하도록 관리 인터페이스를 수동으로 설정합니다.
xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork <!--NeedCopy-->
메모:
외부 인증은 호스트별 속성입니다. 그러나 풀별로 외부 인증을 사용하거나 사용하지 않도록 설정하는 것이 좋습니다. 풀별 설정을 사용하면 XenServer가 특정 호스트에서 인증을 사용하도록 설정할 때 발생하는 오류를 처리할 수 있습니다. 또한 XenServer는 필요할 수 있는 모든 변경 사항을 롤백하여 풀 전체에서 일관된 구성을 보장합니다. 를 사용하십시오.
호스트 매개 변수 목록명령을 사용하여 호스트의 속성을 검사하고 관련 필드의 값을 확인하여 외부 인증의 상태를 확인합니다.
XenCenter를 사용하여 Active Directory 인증을 비활성화하거나 다음 xe 명령을 사용합니다.
xe pool-disable-external-auth
<!--NeedCopy-->
사용자 인증
XenServer 호스트에 대한 사용자 액세스를 허용하려면 해당 사용자 또는 사용자가 속한 그룹에 대한 제목을 추가해야 합니다. (전이적 그룹 구성원 자격도 일반적인 방법으로 확인됩니다. 예를 들어, 그룹에 대한 제목을 추가합니다 A, where 그룹 A 그룹 포함 B 그리고 사용자 1 의 구성원입니다. B 에 대한 액세스를 허용합니다. 사용자 1.) Active Directory에서 사용자 권한을 관리하려는 경우 단일 그룹을 만든 다음 사용자를 추가 및 삭제할 수 있습니다. 또는 XenServer에서 개별 사용자를 추가 및 삭제하거나 인증 요구 사항에 따라 사용자 및 그룹을 조합하여 추가 및 삭제할 수 있습니다. XenCenter에서 또는 다음 섹션에 설명된 대로 CLI를 사용하여 주체 목록을 관리할 수 있습니다.
사용자를 인증할 때 먼저 로컬 루트 계정에 대해 자격 증명을 확인하여 AD 서버에 오류가 발생한 시스템을 복구할 수 있습니다. 자격 증명(사용자 이름 및 암호)이 일치하지 않으면 AD 서버에 대한 인증 요청이 이루어집니다. 인증에 성공하면 사용자 정보가 검색되고 로컬 주체 목록에 대해 유효성이 검사됩니다. 인증에 실패하면 액세스가 거부됩니다. 주제 목록에 대한 유효성 검사는 사용자의 전이적 그룹 구성원 자격에 있는 사용자 또는 그룹이 주제 목록에 있는 경우 성공합니다.
메모:
Active Directory 그룹을 사용하여 호스트 ssh 액세스가 필요한 풀 관리자 사용자에게 액세스 권한을 부여하는 경우 AD 그룹의 크기는 500명의 사용자를 초과할 수 없습니다.
XenServer에 AD 주체를 추가하려면:
xe subject-add subject-name=entity_name
<!--NeedCopy-->
entity_name는 액세스 권한을 부여할 사용자 또는 그룹의 이름입니다. 엔터티의 도메인(예: ‘user1’이 아닌 ‘xendt\user1’)을 포함할 수 있지만 명확성이 필요하지 않는 한 동작은 동일합니다.
사용자의 주체 식별자를 찾습니다. 식별자는 사용자 또는 사용자를 포함하는 그룹입니다. 그룹을 제거하면 해당 그룹의 모든 사용자에 대한 액세스 권한이 제거됩니다(해당 사용자가 주제 목록에도 지정되지 않은 경우). 를 사용하십시오. 주제 목록 명령을 사용하여 사용자의 주체 식별자를 찾습니다. :
xe subject-list
<!--NeedCopy-->
이 명령은 모든 사용자 목록을 반환합니다.
목록에 필터를 적용하려면(예: 사용자의 주체 식별자 찾기) 사용자1 안에 테스타드 도메인에서 다음 명령을 사용합니다.
xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->
를 사용하여 사용자를 제거합니다. 제목 제거 명령을 사용하여 이전 단계에서 학습한 주체 식별자를 전달합니다.
xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->
이 사용자가 이미 인증한 현재 세션을 종료할 수 있습니다. 자세한 내용은 xe를 사용하여 인증된 모든 세션 종료 그리고 xe를 사용하여 개별 사용자 세션 종료 다음 섹션에서 설명합니다. 세션을 종료하지 않으면 권한이 취소된 사용자는 로그아웃할 때까지 시스템에 계속 액세스할 수 있습니다.
다음 명령을 실행하여 XenServer 호스트 또는 풀에 액세스할 수 있는 권한이 있는 사용자 및 그룹 목록을 식별합니다.
xe subject-list
<!--NeedCopy-->
사용자의 액세스 권한 삭제
사용자가 인증되면 세션을 종료하거나 다른 사용자가 세션을 종료할 때까지 호스트에 액세스할 수 있습니다. 주제 목록에서 사용자를 제거하거나 주제 목록의 그룹에서 사용자를 제거해도 사용자가 이미 인증한 세션은 자동으로 취소되지 않습니다. 사용자는 XenCenter 또는 이미 만든 다른 API 세션을 사용하여 풀에 계속 액세스할 수 있습니다. XenCenter 및 CLI는 개별 세션 또는 모든 활성 세션을 강제로 종료할 수 있는 기능을 제공합니다. 자세한 내용은 XenCenter 설명서 XenCenter를 사용하는 절차에 대한 자세한 내용을 보려면 다음 섹션을 참조하고, CLI를 사용하는 절차에 대해서는 다음 섹션을 참조하십시오.
xe를 사용하여 인증된 모든 세션을 종료합니다
다음 CLI 명령을 실행하여 xe를 사용하여 인증된 모든 세션을 종료합니다.
xe session-subject-identifier-logout-all
<!--NeedCopy-->
xe를 사용하여 개별 사용자 세션 종료
-
세션에서 로그아웃하려는 주체 식별자를 확인합니다. 다음 중 하나를 사용합니다.
세션 주제 식별자 목록또는주제 목록xe 명령을 사용하여 주체 식별자를 찾을 수 있습니다. 첫 번째 명령은 세션이 있는 사용자를 표시합니다. 두 번째 명령은 모든 사용자를 표시하지만 필터링할 수 있습니다. 예를 들어 다음과 같은 명령을 사용합니다.xe 주제 목록 other-config:주제 이름=xendt\\user1. 쉘에 따라 표시된 대로 이중 백슬래시가 필요할 수 있습니다). -
를 사용하십시오.
세션 제목 로그아웃명령을 사용하여 이전 단계에서 결정한 주체 식별자를 매개 변수로 전달합니다(예:xe session-subject-identifier-logout subject-identifier=subject_id <!--NeedCopy-->
AD 도메인 탈퇴
경고:
도메인을 탈퇴하면 Active Directory 자격 증명을 사용하여 풀 또는 호스트에 인증한 모든 사용자의 연결이 끊어집니다.
XenCenter를 사용하여 AD 도메인에서 탈퇴합니다. 자세한 내용은 XenCenter 설명서. 또는 다음을 실행합니다. 풀 비활성화 외부 인증 필요한 경우 풀 UUID를 지정하여 명령을 실행합니다.
메모:
도메인을 탈퇴해도 AD 데이터베이스에서 호스트 개체가 삭제되지는 않습니다. 비활성화된 호스트 항목을 감지하고 제거하는 방법에 대한 자세한 내용은 Active Directory 설명서를 참조하십시오.