XenServerのEnterpriseおよびPlatinumエディションで利用できる「Role Based Access Control」(RBAC)機能の概要、カスタマイズの方法、XenCenterによる設定手順を解説する。
Citrix XenServerのEnterpriseおよびPlatinumエディションでは、「Role Based Access Control」(以下、RBAC)機能を利用することができる。言うまでもなく、システムにはローカルスーパーユーザーと呼ばれるシステム全体を管理・制御する権限を持つ特別な管理者がいる。しかしながら全てのシステム管理者がローカルスーパーユーザーの権限を持つのは望ましい形ではない。余計なオペレーションによる障害や悪意のある操作がなされる恐れがあるからである。システムを運用していく上で、各管理者に対し、業務・オペレーションの遂行に不必要な権限を付与する必要はなく、必要な範囲の権限だけを与えるのが望ましい。それによりシステム上の管理権限を分離し、管理・運用上のリスクを軽減できる。
この権限分離を実現するのがRBAC機能である。各管理者はRBACにより定義されたシステム上の管理タスクのセット(役割)に対応付けされ、この役割に基づいて実行可能な権限の範囲が決定されることになる。以下にXenServerにおけるRBACの役割の種類の概要、カスタマイズ方法、XenCenterによる設定手順を解説する。
まず、XenServerには、以下の6つの役割がデフォルトで用意されている。権限の詳細は「XenServer 5.6 FP1 管理者マニュアル」の10ページ、「RBAC役割の定義とアクセス権」を参照していただきたい。
| 役割 | 概要 |
|---|---|
| プール管理者(Pool Admin) | ローカルスーパーユーザー(root)と同レベルの管理者。XenServerに対する完全なアクセス権が付与される |
| プールオペレーター(Pool Operator) | プール全体の管理が可能だが、管理者ユーザーを追加/削除したり役割を変更することはできない。ホストやプールの管理(ストレージの作成、プールの作成、ホストの管理など)に特化した役割 |
| 仮想マシンパワー管理者(VM Power Admin) | 仮想マシンやテンプレート管理の権限を持つ。ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどを含む |
| 仮想マシン管理者(VM Admin) | 仮想マシンやテンプレート管理の権限を持つが、ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどの権限はない |
| 仮想マシンオペレーター(VM Operator) | 仮想マシンのコンソールにアクセスすることが可能だが、仮想マシンを作成したり破棄したりすることはできない。仮想マシンの開始/終了などのライフサイクル操作が許可される |
| 読み取りのみ(Read Only) | リソースプールとパフォーマンスのデータを表示することしかできない |
上記6つの役割は、より細かく権限を追加・削除するカスタマイズが可能だ。
例えば、ある役割に対してある権限を追加する場合は、以下のコマンドを用いる。役割サブジェクトのuuidを指定して、追加したい管理タスクの権限(ROLE PERMISSION)を付与する。詳細手順と制限はこちらを参考にしてほしい。
# xe subject-role-add uuid=<UUID> role-name=<ROLE PERMISSION>
削除する場合は、
# xe subject-role-remove uuid=<UUID> role-name=<ROLE PERMISSION>
次に、XenCenterで管理者ユーザーにRBACの役割を割り当てる方法を以下に解説する。
1.ドメインに参加する。XenServerのRBACは、Active Directoryのユーザーまたはグループアカウントに基づいて管理される。このため、RBACで役割を割り当てるには、事前にXenServerプールをドメインに追加して、Active Directoryアカウントを追加しておく必要がある
2.Active DirectoryのユーザーまたはグループをXenServerプールに追加する
3.ユーザーまたはグループにRBACの役割を割り当てる
プールを選択し[Users]タブを開くことで、ドメインへの参加、RBACの役割の割り当てができる。図1は、xen1~xen4までの各ユーザーに、役割(Roles)が与えられているのが分かる。
ここでActive Directoryに登録されているxen5ユーザーを、XenServerのRBAC機構に取り込んでみる。図1の[Add]ボタンを押して、図2のようにxen5ユーザーを追加する(Cowleyはプールの名前)。
図3のように、XenServerプールへの追加が簡単に完了した。
図4の通りxen5ユーザーは追加されているが、役割(Roles)はまだ割り当てられていない。
[Change Role]をクリックし、図5のようにVM Operatorを割り当ててみる。
Xen5ユーザーにVM Operator(役割)が割り当てられたことが確認できる(図6)。
RBACは監査ログを取得でき、実行された全ての管理タスクが記録される。監査目的にも利用できる。
XenDesktop、XenApp、XenServerを中心とした仮想化ソリューションの提案活動、ビジネスパートナーへの技術支援などプリセールス全般に従事する。
Citrix Blog for Nobuchika Kobayashi
Copyright © ITmedia, Inc. All Rights Reserved.
AIや機械学習を基盤とするシステムを活用した、高度な研究を支えるインフラ整備が必要となったキャンベラ大学。だが負担が増大していたIT部門は、効率的な対応を行うことが難しかった。こうした中、同大学が採用したアプローチとは?
VMware製品の永続ライセンスが廃止され、新ライセンスモデルが導入されたことで、多くの企業はITインフラ戦略の再検討を迫られている。本資料では、3つの選択肢のメリットとデメリットを整理し、最適な判断を下すための方法を紹介する。
VMwareの体制変更を機に、IT基盤のクラウド移行を検討する組織が増えつつある。そこでMicrosoft AzureとNutanixを活用した柔軟なインフラ基盤の構築方法や、実際の成功事例を解説。VMwareからの移行を検討中の担当者はぜひ確認してほしい。
仮想化環境の移行は、チームがどれだけ高いスキルを有していても困難を伴う。「今の環境と同じ機能を利用できるか」などのチェック事項も多い。そこで、ベンダーロックインを伴わずに、優れた仮想化テクノロジーへ移行する方法を紹介する。
IT環境の多様化・複雑化に、VMware買収の話が加わって、組織のIT担当者の悩みは増える一方だ。このような状況において、管理運用の簡素化とリスクの軽減をどのように実現すればよいだろうか。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
