《Citrix服务器虚拟化之二Xenserver加域管理》由会员分享,可在线阅读,更多相关《Citrix服务器虚拟化之二Xenserver加域管理(3页珍藏版)》请在金锄头文库上搜索。
1、如果要使用多个用户和用户组来管理XenServer服务器,就必须使用ActiveDirectory用户账户进行身份验证。XenServer用户能够使用其Windows域凭据登录到池的XenServer。可以为特定用户配置不同访问权限级别。访问可通过使用者来控制。XenServer中的一个主题对应目录服务器上的一个实体(用户或组)。启用外部身份验证后,将首先针对本地root用户的凭据来检查用于创建会话的凭据(以防目录服务器不可用),然后针对使用者列表进行检查。要允许访问,必须为授权访问的用户或组创建一个使用者。即使XenServer是基于Linux的,它也让您为XenServer用户使用Acti
2、veDirectory帐户。要做到这一点,它必须能传递ActiveDirectory凭据到域控制器上。外部身份验证过程如下:1。连接到服务器时提供的凭据传递到ActiveDirectory域控制器进行身份验证。2。域控制器检查凭据。如果它们是无效的,立即验证失败。3。如果凭据有效,则ActiveDirectory控制器查询主体标识和组成员与认证相关。4。如果拍摄对象标识符在XenServer存储在一个匹配,验证成功完成。当你加入一个域,您启用ActiveDirectory验证的池。然而,当加入池域,只有在该域中的用户(或与它有信任关系的域)可以连接到池中。注意事项:手动更新的DNS配置一个DH
3、CP配置网络PIF是不受支持并可能导致ActiveDirectory集成,因此用户认证失败或停止工作。XenServer支持使用ActiveDirectory服务器使用的是Windows2003或更高版本。相同的DNS服务器同时用于XenServer主机需要ActiveDirectory身份验证ActiveDirectory服务器(配置为允许互操作性)和XenServer主机。在某些配置中,活动目录服务器可提供的DNS本身。这可以实现,无论是使用DHCP来提供到XenServer主机,或者通过设置PIF对象的值或使用的IP地址和DNS服务器列表如果手工静态配置安装使用。Citrix建议启用DH
4、CP广播主机名。具体而言,主机名localhost或Linux的不应该被分配给主机。整个XenServer部署的XenServer主机名应该是唯一的。请注意以下几点:1. XenServer的标签AD使用其主机名AD数据库的条目。因此,如果两个XenServer主机相同的主机名,并加入到相同的AD域,第二XenServer将覆盖AD项的XenServer的第一,不管,如果他们是在相同或不同的池,导致AD验证第一的XenServer停止工作。这是可能的两个XenServer主机使用相同的主机名,只要他们参加不同的AD域。2. XenServer主机可以在不同的时区,因为它是UTC时间进行比较。为
5、了确保同步是正确的,你可以选择使用相同的NTP服务器XenServer池和Active目录服务器。3. 混合认证池不支持(也就是说,你不能有一个游泳池,在池中的某些服务器被配置为使用ActiveDirectory的,有些则不是)。4.XenServer的ActiveDirectory集成使用Kerberos协议的主动沟通目录服务器。因此,XenServer不支持ActiveDirectory服务器通信,不使用Kerberos的。5.使用ActiveDirectory的外部验证是成功的,但重要的是你上的时钟XenServer主机同步您的ActiveDirectory服务器。,当XenServer
6、的加入活动Directory网域中,这将检查和验证会失败,如果有太多之间的偏移服务器。6.主机名必须仅不超过63个字母数字字符组成,不得是纯粹的数字。一旦你有ActiveDirectory身份验证功能的,如果你随后给该池添加服务器,你是提示加入池的服务器上配置ActiveDirectory。当系统提示您输入凭据加入的服务器,输入具有足够的权限,将服务器添加到该域的ActiveDirectory凭据。ActiveDirectory集成请确保以下防火墙端口是开放的对外交通为XenServer访问域控制器。53UDP/TCPDNS88UDP/TCPKerberos5123UDPNTP137UDPNe
7、tBIOSNameService139TCPNetBIOSSession(SMB)389UDP/TCPLDAP445TCPSMBoverTCP464UDP/TCPMachinepasswordchanges3268TCPGlobalCatalogSearch说明环境基于实验一1、首先准备一台WindowsServer2012的虚拟机名为DC,已经安装活动目录服务()和DNS功能。IP地址214.214.51.412、在一台客户机使用XenCenter连接两台Xenserve主机Xen1/214.214.51.80,Xen2/214.214.51.81,登陆凭据使用Root用户和密码3、在Xen
8、Center上分别修改两台Xenserver主机管理网口的DNS指向DC服务器214.214.51.414、分别添加两台Xenserver主机加入域,添加时使用域管理员凭据。成功加入域后,会显示目前具有管理XenServer服务器的本地管理员root。要添加域中的管理员,单击“添加”按钮。也可以添加其他用户5、在XenCenter中重新使用域管理员连接两台Xenserver,测试是否成功。(注意添加后必须授权否则无法登陆)6、在XenCenter中修改用户角色权限:1. 池管理员:池管理员和Root用户一样,可以执行所有操作。本地超级用户(root),将始终有“池管理员”的角色。2. 池操作员:除了添加/删除用户和修改其的角色,可以做一切操作。这个角色主要集中在主机和池管理(即创建存储池,管理主机等)3. VM超级管理员:创建和管理虚拟机。这个角色专注于部署虚拟机4. VM管理员:类似于VM超级管理员,但不能迁移虚拟机或执行快照。5. VM操作员:类似于VM管理员,但不能创建/破坏虚拟机-但可以执行“开始/停止生命周期操作6. 只读:只可以查看资源池和性能数据。
