Citrix 服务器虚拟化之二 Xenserver加域管理

Citrix 服务器虚拟化之二   Xenserver加域管理

如果要使用多个用户和用户组来管理XenServer服务器，就必须使用 Active Directory 用户账户进行身份验证。XenServer 用户能够使用其 Windows 域凭据登录到池的 XenServer。可以为特定用户配置不同访问权限级别。访问可通过使用者来控制。XenServer 中的一个主题对应目录服务器上的一个实体（用户或组）。启用外部身份验证后，将首先针对本地 root 用户的凭据来检查用于创建会话的凭据（以防目录服务器不可用），然后针对使用者列表进行检查。要允许访问，必须为授权访问的用户或组创建一个使用者。

即使XenServer是基于Linux的，它也让您为XenServer用户使用Active Directory帐户。要做到这一点，它必须能传递Active Directory凭据到域控制器上。外部身份验证过程如下：
1。连接到服务器时提供的凭据传递到ActiveDirectory域控制器进行身份验证。
2。域控制器检查凭据。如果它们是无效的，立即验证失败。
3。如果凭据有效，则ActiveDirectory控制器查询主体标识和组成员与认证相关。
4。如果拍摄对象标识符在XenServer存储在一个匹配，验证成功完成。当你加

入一个域，您启用Active Directory验证的池。然而，当加入池域，只有在该域中的用户（或与它有信任关系的域）可以连接到池中。

注意事项：
   手动更新的DNS配置一个DHCP配置网络PIF是不受支持并可能导致Active Directory集成，因此用

户认证失败或停止工作。XenServer支持使用Active Directory服务器使用的是Windows2003或更高版本。相同的DNS服务器同时用于XenServer主机需要Active Directory身份验证Active Directory服务器（配置为允许互操作性）和XenServer主机。在某些配置中，活动目录服务器可提供的DNS本身。这可以实现，无论是使用DHCP来提供到XenServer主机，或者通过设置PIF对象的值或使用的IP地址和DNS服务器列表如果手工静态配置安装使用。Citrix建议启用DHCP广播主机名。具体而言，主机名localhost或Linux的不应该被分配给主机。整个XenServer部署的XenServer主机名应该是唯一的。

请注意以下几点：

1.     XenServer的标签AD使用其主机名AD数据库的条目。因此，如果两个XenServer主机相同的主机名，并加入到相同的AD域，第二XenServer将覆盖AD项的XenServer的第一，不管，如果他们是在相同或不同的池，导致AD验证第一的XenServer停止工作。这是可能的两个XenServer主机使用相同的主机名，只要他们参加不同的AD域。

2.     XenServer主机可以在不同的时区，因为它是UTC时间进行比较。为了确保同步是正确的，你可以选择使用相同的NTP服务器XenServer池和Active目录服务器。

3.     混合认证池不支持（也就是说，你不能有一个游泳池，在池中的某些服务器被配置为使用ActiveDirectory的，有些则不是）。

4.     XenServer的Active Directory集成使用Kerberos协议的主动沟通目录服务器。因此，XenServer不支持Active Directory服务器通信，不使用Kerberos的。

5.     使用Active Directory的外部验证是成功的，但重要的是你上的时钟XenServer主机同步您的Active Directory服务器。，当XenServer的加入活动Directory网域中，这将检查和验证会失败，如果有太多之间的偏移服务器。

个字母数字字符组成，不得是纯粹的数字。一旦你有ActiveDirectory身份验证功能的，如果你随后给该池添加服务器，你是提示加入池的服务器上配置ActiveDirectory。当系统提示您输入凭据加入的服务器，输入具有足够的权限，将服务器添加到该域的ActiveDirectory凭据。
Active Directory集成请确保以下防火墙端口是开放的对外交通为XenServer访问域控制器。

53  UDP/TCP  DNS

88  UDP/TCP Kerberos 5

123  UDP    NTP

137  UDP     NetBIOSName Service

139  TCP     NetBIOS Session (SMB)

389  UDP/TCP  LDAP

445  TCP      SMB over TCP

464  UDP/TCP Machine password changes

3268  TCP    Global Catalog Search

说明

环境基于实验一

1、         首先准备一台Windows Server 2012的虚拟机名为DC，已经安装活动目录服务（kkfloat.com）和DNS功能。IP地址214.214.51.41

2、         在一台客户机使用XenCenter连接两台Xenserve主机Xen1/214.214.51.80 ，    Xen2/214.214.51.81，登陆凭据使用Root用户和密码

3、         在XenCenter上分别修改两台Xenserver主机管理网口的DNS指向DC服务器214.214.51.41

4、         分别添加两台Xenserver主机加入域kkfloat.com，添加时使用域管理员凭据。成功加入域后，会显示目前具有管理XenServer服务器的本地管理员root。要添加域中的管理员，单击“添加”按钮。也可以添加其他用户

5、         在XenCenter中重新使用域管理员连接两台Xenserver，测试是否成功。(注意添加后必须授权否则无法登陆)

6、         在XenCenter中修改用户角色权限：

1.        池管理员：池管理员和Root用户一样，可以执行所有操作。本地超级用

户（root），将始终有“池管理员”的角色。

2.        池操作员：除了添加/删除用户和修改其的角色，可以做一切操作。这个

角色主要集中在主机和池管理（即创建存储池，管理主机等）

3.        VM超级管理员：创建和管理虚拟机。这个角色专注于部署虚拟机

4.        VM管理员：类似于VM超级管理员，但不能迁移虚拟机或执行快照。

5.        VM操作员：类似于VM管理员，但不能创建/破坏虚拟机 - 但可以

执行“开始/停止生命周期操作

6.        只读：只可以查看资源池和性能数据。

视频分享：http://pan.baidu.com/share/link?shareid=3395425135&uk=1025659618