Citrix XenServer - Authentification via l'Active Directory

Page 3 / 3

7. Ajout des utilisateurs et des groupes AD dans le serveur XenServer

Comme indiqué précédemment, les rôles peuvent être associés à des utilisateurs AD, ainsi qu'à des groupes AD.
Maintenant que votre serveur XenServer est joint à votre domaine, vous pourrez ajouter des utilisateurs et des groupes de votre Active Directory pour gérer les utilisateurs de votre serveur XenServer.

Pour commencer, cliquez sur "Add".

Indiquez le ou les noms des utilisateurs AD que vous souhaitez utiliser pour gérer votre serveur XenServer.
Note : comme indiqué par XenCenter, vous pouvez ajouter plusieurs utilisateurs en une fois en séparant leur nom par une virgule. De plus, si vous n'indiquez par le nom de domaine devant le nom d'utilisateur, XenServer ajoutera automatiquement le nom de domaine indiqué lors de sa jonction à votre domaine AD.

Comme vous pouvez le voir, XenServer a détecté que nos utilisateurs faisaient partie du domaine NETBIOS "INFORMATIWEB".

Pour le moment, XenServer connait les 3 utilisateurs que nous venons d'ajouter.
Maintenant, nous allons ajouter nos 2 groupes Active Directory en cliquant aussi sur Add.

Indiquez le nom des 2 groupes en les séparant par des virgules et cliquez sur "Grant Access".

XenServer détecte que ces 2 groupes font aussi partie du domaine "INFORMATIWEB".

Maintenant, nous pouvons associer un rôle pour chacun de ces utilisateurs et groupes AD.

Pour commencer, nous allons attribuer un rôle à l'utilisateur "User3".

Cet utilisateur aura seulement le droit de consulter les statistiques du serveur et l'utilisation de ses ressources.

Ensuite, sélectionnez le groupe "xenserver-pool-operators" et cliquez sur "Change Role".

Sélectionnez le rôle "Pool Operator".

Et attribuez le rôle "VM Operator" pour le groupe "xenserver-vm-operators".

Comme vous pouvez le voir ici, certains utilisateurs n'ont pas de rôle associé et un utilisateur a un rôle "Read Only".
Néanmoins, vous verrez que XenServer attribuera un rôle à chacun de ces utilisateurs.

8. Test des rôles associés aux utilisateurs et/ou aux groupes AD

8.1. User1 : Pool Operator

Pour tester quel utilisateur possède quel rôle, nous allons nous déconnecter du serveur XenServer et nous reconnecter avec un des utilisateurs AD.
Pour cela, faites un clic droit sur le serveur XenServer et cliquez sur "Reconnect As".

Indiquez le nom et le mot de passe du 1er utilisateur.

Comme vous pouvez le voir, XenServer a attribué le rôle "Pool Operator" à cet utilisateur.
En effet, par défaut, cet utilisateur ne possède pas de rôle dans XenServer, mais comme cet utilisateur se trouve dans le groupe "XenServer-Pool-Operators", il a hérité du rôle "Pool Operator".

Ensuite, étant donné que cet utilisateur n'a pas le droit d'accéder à la console du serveur XenServer, XenCenter lui bloque cet accès.

De plus, étant donné que le rôle "Pool Operator" ne permet pas de modifier les droits des utilisateurs du serveur XenServer, vous verrez que XenCenter demandera les identifiants d'un compte autorisé à effectuer cette action.

Si un utilisateur tente d'effectuer quelque chose qu'il ne peut pas faire, XenCenter refusera de le faire et demandera les identifiants d'un compte ayant au moins le rôle requis.
Dans ce cas-ci : Pool Admin.

De plus, une alerte apparaitra dans l'historique du serveur.
Note : notez que certains rôles permettent de supprimer ces alertes et d'autres non.

8.2. User2 : VM Operator

Connectez-vous avec le 2ème utilisateur.

Etant donné que cet utilisateur n'a aucun rôle sur le serveur XenServer, mais qu'il fait partie du groupe "XenServer-VM-Operators", XenServer lui attribuera le rôle "VM Operator".

8.3. User3 : Read Only (promu en : VM Operator)

Connectez-vous avec le 3ème utilisateur.

Pour cet utilisateur, le choix du rôle est légèrement différent.
En effet, l'utilisateur "User3" a le rôle "Read Only", mais étant donné que cet utilisateur se trouve dans le groupe "XenServer-VM-Operators", XenServer devra choisir entre les 2 rôles disponibles pour cet utilisateur : Read Only ou VM Operator.

Comme vous pouvez le voir dans l'onglet "Console" du serveur XenServer, XenCenter affiche bien les 2 rôles "associés" à cet utilisateur.
Et comme indiqué dans la documentation officielle de XenServer, XenServer aura bien choisi le rôle le plus haut (à savoir : VM Operator).
Notez que le rôle de l'utilisateur est toujours indiqué en haut à droite : Logged in as: User3 (VM Operator).