在企业管理中,用户的权限管理非常有必要,管理员,只读用户,网络管理人员,IT经理等。通过基于角色的访问控制 (RBAC)对企业管理来说,很方便。我们本节介绍集合Windows AD域用户来管理Xen Server。首先要用Windows AD域用户来管理Xen Server,那么Xen Server必须要加入到企业的域中,然后再分配用户及权限。
XenServer加域要求:
(1)XenServer支持运行 Windows Server 2003 或更新版本的 Active Directory 服务器。
(2)XenServer 主机的 ActiveDirectory 身份验证要求 Active Directory 域控制器(配置为允许互操作)和XenServer 主机要使用相同的 DNS 服务器,并在DHCP中使为XenServer手动添加IP地址和DNS服务器列表。
(3)Citrix建议您启用 DHCP 来广播主机名称。另外不建议将特殊的主机名称 localhost 或 linux 分配给XenServer主机使用。
(4)XenServer主机名在企业局域网中应唯一,并且不能由超过63个字母数字字符组成,不能使用纯数字。
(5)如果两台 XenServer 主机具有相同的主机名,且加入相同的 AD 域,则无论这两台主机位于相同的池中还是不同的池中,第二台XenServer加入域时都会覆盖第一台 XenServer 的AD相关信息,因而会导致第一台 XenServer 上的 AD 身份验证停止工作(如果这两台XenServer主机加入不同的AD域,则可以使用相同的主机名)。
(6)要确保使用 Active Directory 的外部身份验证成功,必须使 XenServer 主机上的时间与 ActiveDirectory 域控制器上的时间要保持同步。因为在XenServer加入 Active Directory 域时,将会对时间同步进行检测,而且身份验证将在服务器时间偏差过大时失败。方法是配置NTP时间服务器保持所有的服务器的时间保持同步。
下面的步骤是Windows AD域用户管理的全过程。
注:如果加入域不成功的话,一般可能性是Windows防火墙有可能拦掉,请关掉系统自带的防火墙再试一下。如有开启企业防火墙,如下域控制器相关端口必须要放行。
| 端口号 |
功能 |
协议 |
| 53 |
DNS |
UDP/TCP |
| 88 |
Kerberos5 |
UDP/TCP |
| 123 |
NTP |
UDP |
| 137 |
NetBIOS名称服务 |
UDP |
| 139 |
NetBIOS会话(SMB) |
TCP |
| 389 |
LDAP |
UDP/TCP |
| 445 |
TCP上的SMB |
TCP |
| 464 |
计算机密码更改 |
UDP/TCP |
| 3268 |
全局目录搜索 |
TCP |
(1)打开XenCenter软件,点击 “xen01”服务器,再点击右边的“用户”页面,点击 “加入域”,如下图示。
(2) 在“正在启用AD身份验证”对话框中,输入企业的域名,域管理员帐号和密码。然后点“确定”,如图所示。
(3)如图所示,已经成功把xen01主机加入到测试的域hangyc.com中。
新建一个用户,来添加到XenServer权限中。
(4)我们在Windows Server 2012 R2的域控制器的 “Active Directory用户和计算机” 窗口中,建一个测试帐号,用户名为xen-guest如图9-5所示。
(4)我们在Windows Server 2012 R2的域控制器的 “Active Directory用户和计算机” 窗口中,建一个测试帐号,用户名为xen-guest如图9-5所示。
本文转自成杭 51CTO博客,原文链接:http://blog.51cto.com/hangtc/1751715,如需转载请自行联系原作者
