Citrix XenServer - Authentification via l'Active Directory

Page 1 / 3

Par défaut, XenServer est administrable uniquement avec le compte root.
Néanmoins, en production, il sera probablement nécessaire de déléguer certaines opérations à certains utilisateurs.

De plus, il sera aussi possible de limiter leurs droits en fonction de leur compte utilisateur et le groupe dans lequel ils se trouvent.

Pour que cela soit possible, Citrix permet de joindre votre serveur XenServer au serveur Active Directory présent dans votre intranet.

  1. Configuration requise
  2. Informations importantes
  3. Explications concernant les droits (rôles) disponibles
  4. Configuration des paramètres NTP et DNS du serveur XenServer
    1. Configuration lors de l'installation de XenServer
    2. Configuration après l'installation de XenServer grâce à XenCenter
  5. Ajout d'utilisateurs et de groupes dans l'Active Directory
  6. Joindre le serveur XenServer à l'Active Directory
  7. Ajout des utilisateurs et des groupes AD dans le serveur XenServer
  8. Test des rôles associés aux utilisateurs et/ou aux groupes AD

1. Configuration requise

Pour mettre en place l'authentification Active Directory sur votre serveur XenServer, vous aurez besoin :

  • d'un serveur Active Directory
  • un serveur DNS local (par défaut, ce service est installé en même temps que l'Active Directory)
  • un serveur NTP pour synchroniser l'heure de votre serveur XenServer avec votre Active Directory. (Par défaut, l'installation du rôle Active Directory installe aussi le service NTP)
  • un serveur XenServer.

Dans notre cas, nous avons utilisé 2 serveurs :

  1. un serveur Windows Server 2012 avec le rôle Active Directory, ainsi que le service DNS et le service NTP qui ont été installés automatiquement lors de l'installation de l'Active Directory.
  2. un serveur XenServer 6.5.0 fraichement installé

2. Informations importantes

Voici quelques informations importantes pour la mise en place de l'authentification Active Directory sur votre serveur XenServer :

  • Dans XenCenter, les utilisateurs et groupes Active Directory s'appellent des "utilisateurs" (users). Mais, en ligne de commandes (CLI), ceux-ci s'appellent des sujets (subjects).
  • Vous devez indiquer l'adresse IP de votre serveur Active Directory comme serveur DNS primaire de votre serveur XenServer pour que celui-ci puisse résoudre le nom de domaine de votre serveur Active Directory.
  • Chaque serveur XenServer de votre réseau doit posséder un nom unique. Dans le cas contraire, lorsque vous lierez votre 2ème serveur XenServer à votre Active Directory, le 1er serveur ne sera plus en mesure de se connecter à votre serveur Active Directory.
    En effet, étant donné que vos 2 serveurs XenServer possèdent le même nom, l'objet "ordinateur" correspondant à votre 1er serveur XenServer aura été écrasé par l'objet ordinateur créé lors de la liaison de votre 2ème serveur XenServer à votre serveur Active Directory.
  • Si vous utilisez plusieurs serveurs XenServer, sachez que ceux-ci peuvent se trouver dans différentes zones de temps (time-zones), car le "temps" comparé est le temps UTC (ce temps ne varie pas en fonction du fuseau horaire). Néanmoins, vos serveurs XenServer devront être synchronisés avec le même serveur NTP pour que ceux-ci possèdent exactement la même date et la même heure.
  • XenServer utilise le protocole Kerberos pour communiquer avec votre Active Directory. Il faut donc que votre serveur Active Directory supporte ce protocole. Sinon, l'authentification Active Directory échouera.
  • Le déplacement d'un utilisateur AD d'un groupe à un autre risque de lui retirer ou lui ajouter des droits sur votre serveur XenServer. (Comme vous le verrez plus tard dans ce tutoriel)

Si vos serveurs XenServer se trouvent dans un pool de serveurs, sachez qu'il est interdit de "mixer" les types d'authentifications.
Autrement dit, tous les serveurs XenServer de votre pool de serveurs devront utiliser l'authentification Active Directory ou aucun ne devra l'utiliser.
En résumé, vous ne pourrez pas activer l'authentification Active Directory uniquement sur certains serveurs de votre pool de serveurs.

Pour éviter que votre serveur XenServer ne devienne inaccessible en cas de panne de votre serveur Active Directory, XenServer tente toujours de s'authentifier :
- localement (pour tester si le mot de passe correspond au compte root local)
- puis, grâce à votre Active Directory, si celui-ci est joignable.
Autrement dit, en cas de panne de votre serveur Active Directory, vous ne pourrez vous connecter qu'avec le compte root du serveur XenServer concerné.

Pour terminer, pour que votre serveur XenServer puisse se connecter à votre serveur Active Directory, vous devrez autoriser ces ports en sorties.
Note : ceci est seulement à titre indicatif, car dans notre cas, aucune configuration n'a été nécessaire pour que XenServer puisse se connecter à notre serveur Active Directory.

Source : Citrix XenServer 6.5 Service Pack 1 Administrator's Guide (à partir de la page 3).

3. Explications concernant les droits (rôles) disponibles

Par défaut, XenServer possède 6 rôles qui permettent d'appliquer telles ou telles permissions à un utilisateur et/ou à un groupe.

Dans la version 6.5.0 de XenServer, vous trouverez ces 6 rôles :

  1. Pool Admin : ce rôle permet d'avoir les mêmes droits que le compte root local de votre serveur XenServer. Autrement dit, vous aurez le droit de tout faire (gérer les pools de serveurs, les serveurs XenServer, les machines virtuelles, la haute disponibilité, ...).
  2. Pool Operator : ce rôle permet de tout faire, sauf gérer les utilisateurs et leurs droits.
  3. VM Power Admin (Virtual Machine Power Administrator) : ce rôle permet de créer et gérer les machines virtuelles du serveur XenServer
  4. VM Admin (Virtual Machine Administrator) : ce rôle est similaire au rôle "VM Power Admin", sauf qu'il ne permet pas de migrer (déplacer) des machines virtuelles d'un serveur XenServer à un autre.
  5. VM Operator (Virtual Machine Operator) : ce rôle est similaire au rôle "VM Admin", sauf qu'il ne permet pas de créer ou supprimer des machines virtuelles (VM). Néanmoins, ce rôle permet tout de même de démarrer et arrêter des machines virtuelles (VM).
  6. Read Only : permet uniquement de consulter l'utilisation des ressources du serveur XenServer, ainsi que les statistiques du serveur.

Comme indiqué en haut de la fenêtre "Select Roles", chaque rôle de la liste hérite des droits disponibles grâce aux rôles listés en dessous de lui.

Pour terminer, sachez que ces rôles peuvent être assignés à des utilisateurs Active Directory, mais aussi à des groupes Active Directory.
Si un utilisateur reçoit plusieurs rôles différents (un pour son compte utilisateur et un autre pour le groupe Active Directory dans lequel il se trouve), XenServer lui attribuera le rôle proposant le + de permissions. (Comme vous le verrez plus tard dans ce tutoriel)