-
-
RBAC 概述
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
基于角色的访问控制概述
通过基于角色的访问控制 (RBAC) 功能,可以为 Active Directory 用户和组分配预定义的角色或权限集。这些权限控制 XenServer 管理员对服务器和池的访问级别。RBAC 将在池级别进行配置和部署。由于用户通过分配的角色获取权限,因此将角色分配给用户或其组,以便为他们提供所需的权限。
为 XenServer 用户帐户使用 Active Directory 帐户
RBAC 允许您限制不同用户组可以执行的操作。此控制可降低缺乏经验的用户进行灾难性意外更改的可能性。分配 RBAC 角色还有助于防止资源池在未经授权的情况下被更改,从而确保合规性。为了便于检查合规性和进行审核,RBAC 还提供了审核日志功能及其相应的 Workload Balancing 池审核追踪报告。有关详细信息,请参阅审核更改。
RBAC 基于 Active Directory 提供身份验证服务。具体而言,XenServer 会保留基于 Active Directory 用户和组帐户的授权用户列表。因此,您必须将池加入域并添加 Active Directory 帐户,然后才能分配角色。
RBAC 流程
实施 RBAC 并为用户或组分配角色的标准过程包括以下步骤:
- 加入域。
- 向池中添加 Active Directory 用户或组。
- 分配(或修改)用户或组的 RBAC 角色。
本地超级用户
本地超级用户 (LSU) 或 root 是一个用于系统管理的特殊用户帐户,该帐户具有所有权限。在 XenServer 中,本地超级用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。如果外部身份验证服务失败,LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。
RBAC 角色
XenServer 附带六个预定义角色,这些角色旨在对应于 IT 组织中的不同职能。
-
池管理员。此角色是权限最大的可用角色。池管理员对所有 XenServer 功能和设置都具有完全访问权限。他们可以执行所有操作(包括角色和用户管理)。这些用户可以授予对 XenServer 控制台的访问权限。Citrix 建议的最佳做法是将此角色分配给有限的用户。
注意:
本地超级用户(root 用户)将始终具有池管理员角色。池管理员角色与本地 root 用户具有相同的权限。
如果从用户中删除池管理员角色,还可以考虑更改服务器 root 用户密码并轮换池密码。有关详细信息,请参阅池安全性。
- 池操作员。此角色旨在让被分派人管理池范围内的资源。管理操作包括创建存储、管理服务器、管理修补程序和创建池。池操作员可以配置池资源。他们还对以下功能具有完全访问权限:高可用性、Workload Balancing 和修补程序管理。池操作员不能添加用户或修改角色。
- 虚拟机超级管理员(VM 超级管理员)。此角色具有完全的 VM 和模板管理权限。他们可以选择 VM 的启动位置。并且对动态内存控制功能和 VM 快照功能具有完全访问权限。此外,他们还可以设置主服务器并选择工作负载的运行位置。分配此角色后,被授权人将具有足够的权限来预配虚拟机,以供 VM 操作员使用。
- 虚拟机管理员(VM 管理员)。此角色可以管理 VM 和模板,并且可以访问必要的存储来完成这些任务。但是,此角色依赖于 XenServer 来选择工作负载的运行位置,并且必须使用模板中的动态内存控制和主服务器设置。(此角色无法访问动态内存控制功能、生成快照、设置主服务器或选择工作负载的运行位置。)
- 虚拟机操作员(VM 操作员)。此角色可以使用池中的 VM 并管理这些 VM 的基本生命周期。如果有足够的可用硬件资源,VM 操作员可以与 VM 控制台交互并启动或停止 VM。同样,VM 操作员也可以执行生命周期的启动和停止操作。VM 操作员角色不能创建或销毁 VM,也不能更改 VM 属性或服务器属性。
- 只读。此角色只能查看资源池和性能数据。
有关每个角色所关联的权限的信息,请参阅RBAC 角色和权限定义。有关 RBAC 如何为用户计算所应用角色的信息,请参阅计算 RBAC 角色。
注意:
创建用户时,必须先为新创建的用户分配角色,然后才能使用帐户。XenServer 不会自动为新创建的用户分配角色。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.