XenServerにおけるRole Based Access Control機能の解説：XenServer Tips

XenServerのEnterpriseおよびPlatinumエディションで利用できる「Role Based Access Control」（RBAC）機能の概要、カスタマイズの方法、XenCenterによる設定手順を解説する。

[小林伸睦，シトリックス・システムズ・ジャパン]

　Citrix XenServerのEnterpriseおよびPlatinumエディションでは、「Role Based Access Control」（以下、RBAC）機能を利用することができる。言うまでもなく、システムにはローカルスーパーユーザーと呼ばれるシステム全体を管理・制御する権限を持つ特別な管理者がいる。しかしながら全てのシステム管理者がローカルスーパーユーザーの権限を持つのは望ましい形ではない。余計なオペレーションによる障害や悪意のある操作がなされる恐れがあるからである。システムを運用していく上で、各管理者に対し、業務・オペレーションの遂行に不必要な権限を付与する必要はなく、必要な範囲の権限だけを与えるのが望ましい。それによりシステム上の管理権限を分離し、管理・運用上のリスクを軽減できる。

　この権限分離を実現するのがRBAC機能である。各管理者はRBACにより定義されたシステム上の管理タスクのセット（役割）に対応付けされ、この役割に基づいて実行可能な権限の範囲が決定されることになる。以下にXenServerにおけるRBACの役割の種類の概要、カスタマイズ方法、XenCenterによる設定手順を解説する。

XenServer Tips ジャンル別インデックス

XenServerにおけるスナップショットバックアップの設定

XenServerで無償／有償機能ライセンスを取得する

解説

6つの役割

　まず、XenServerには、以下の6つの役割がデフォルトで用意されている。権限の詳細は「XenServer 5.6 FP1 管理者マニュアル」の10ページ、「RBAC役割の定義とアクセス権」を参照していただきたい。

役割	概要
プール管理者（Pool Admin）	ローカルスーパーユーザー（root）と同レベルの管理者。XenServerに対する完全なアクセス権が付与される
プールオペレーター（Pool Operator）	プール全体の管理が可能だが、管理者ユーザーを追加／削除したり役割を変更することはできない。ホストやプールの管理（ストレージの作成、プールの作成、ホストの管理など）に特化した役割
仮想マシンパワー管理者（VM Power Admin）	仮想マシンやテンプレート管理の権限を持つ。ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどを含む
仮想マシン管理者（VM Admin）	仮想マシンやテンプレート管理の権限を持つが、ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどの権限はない
仮想マシンオペレーター（VM Operator）	仮想マシンのコンソールにアクセスすることが可能だが、仮想マシンを作成したり破棄したりすることはできない。仮想マシンの開始／終了などのライフサイクル操作が許可される
読み取りのみ（Read Only）	リソースプールとパフォーマンスのデータを表示することしかできない

権限のカスタマイズ方法

　上記6つの役割は、より細かく権限を追加・削除するカスタマイズが可能だ。

例えば、ある役割に対してある権限を追加する場合は、以下のコマンドを用いる。役割サブジェクトのuuidを指定して、追加したい管理タスクの権限（ROLE PERMISSION）を付与する。詳細手順と制限はこちらを参考にしてほしい。

# xe subject-role-add uuid=<UUID> role-name=<ROLE PERMISSION>

削除する場合は、

# xe subject-role-remove uuid=<UUID> role-name=<ROLE PERMISSION>

XenCenterによる設定手順

　次に、XenCenterで管理者ユーザーにRBACの役割を割り当てる方法を以下に解説する。

1．ドメインに参加する。XenServerのRBACは、Active Directoryのユーザーまたはグループアカウントに基づいて管理される。このため、RBACで役割を割り当てるには、事前にXenServerプールをドメインに追加して、Active Directoryアカウントを追加しておく必要がある

2．Active DirectoryのユーザーまたはグループをXenServerプールに追加する

3．ユーザーまたはグループにRBACの役割を割り当てる

　プールを選択し［Users］タブを開くことで、ドメインへの参加、RBACの役割の割り当てができる。図1は、xen1〜xen4までの各ユーザーに、役割（Roles）が与えられているのが分かる。

図1《クリックで拡大》

　ここでActive Directoryに登録されているxen5ユーザーを、XenServerのRBAC機構に取り込んでみる。図1の［Add］ボタンを押して、図2のようにxen5ユーザーを追加する（Cowleyはプールの名前）。

図2《クリックで拡大》

　図3のように、XenServerプールへの追加が簡単に完了した。

図3《クリックで拡大》

　図4の通りxen5ユーザーは追加されているが、役割（Roles）はまだ割り当てられていない。

図4《クリックで拡大》

　［Change Role］をクリックし、図5のようにVM Operatorを割り当ててみる。

図5《クリックで拡大》

　Xen5ユーザーにVM Operator（役割）が割り当てられたことが確認できる（図6）。

図6《クリックで拡大》

補足解説

　RBACは監査ログを取得でき、実行された全ての管理タスクが記録される。監査目的にも利用できる。

小林伸睦（こばやし のぶちか）

シトリックス・システムズ・ジャパン システムズエンジニアリング本部所属

XenDesktop、XenApp、XenServerを中心とした仮想化ソリューションの提案活動、ビジネスパートナーへの技術支援などプリセールス全般に従事する。

Citrix Blog for Nobuchika Kobayashi

関連ホワイトペーパー

仮想化 | Xen