XenServerのEnterpriseおよびPlatinumエディションで利用できる「Role Based Access Control」(RBAC)機能の概要、カスタマイズの方法、XenCenterによる設定手順を解説する。
Citrix XenServerのEnterpriseおよびPlatinumエディションでは、「Role Based Access Control」(以下、RBAC)機能を利用することができる。言うまでもなく、システムにはローカルスーパーユーザーと呼ばれるシステム全体を管理・制御する権限を持つ特別な管理者がいる。しかしながら全てのシステム管理者がローカルスーパーユーザーの権限を持つのは望ましい形ではない。余計なオペレーションによる障害や悪意のある操作がなされる恐れがあるからである。システムを運用していく上で、各管理者に対し、業務・オペレーションの遂行に不必要な権限を付与する必要はなく、必要な範囲の権限だけを与えるのが望ましい。それによりシステム上の管理権限を分離し、管理・運用上のリスクを軽減できる。
この権限分離を実現するのがRBAC機能である。各管理者はRBACにより定義されたシステム上の管理タスクのセット(役割)に対応付けされ、この役割に基づいて実行可能な権限の範囲が決定されることになる。以下にXenServerにおけるRBACの役割の種類の概要、カスタマイズ方法、XenCenterによる設定手順を解説する。
まず、XenServerには、以下の6つの役割がデフォルトで用意されている。権限の詳細は「XenServer 5.6 FP1 管理者マニュアル」の10ページ、「RBAC役割の定義とアクセス権」を参照していただきたい。
| 役割 | 概要 |
|---|---|
| プール管理者(Pool Admin) | ローカルスーパーユーザー(root)と同レベルの管理者。XenServerに対する完全なアクセス権が付与される |
| プールオペレーター(Pool Operator) | プール全体の管理が可能だが、管理者ユーザーを追加/削除したり役割を変更することはできない。ホストやプールの管理(ストレージの作成、プールの作成、ホストの管理など)に特化した役割 |
| 仮想マシンパワー管理者(VM Power Admin) | 仮想マシンやテンプレート管理の権限を持つ。ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどを含む |
| 仮想マシン管理者(VM Admin) | 仮想マシンやテンプレート管理の権限を持つが、ホームサーバの指定、マイグレーション、メモリの動的制御、スナップショットなどの権限はない |
| 仮想マシンオペレーター(VM Operator) | 仮想マシンのコンソールにアクセスすることが可能だが、仮想マシンを作成したり破棄したりすることはできない。仮想マシンの開始/終了などのライフサイクル操作が許可される |
| 読み取りのみ(Read Only) | リソースプールとパフォーマンスのデータを表示することしかできない |
上記6つの役割は、より細かく権限を追加・削除するカスタマイズが可能だ。
例えば、ある役割に対してある権限を追加する場合は、以下のコマンドを用いる。役割サブジェクトのuuidを指定して、追加したい管理タスクの権限(ROLE PERMISSION)を付与する。詳細手順と制限はこちらを参考にしてほしい。
# xe subject-role-add uuid=<UUID> role-name=<ROLE PERMISSION>
削除する場合は、
# xe subject-role-remove uuid=<UUID> role-name=<ROLE PERMISSION>
次に、XenCenterで管理者ユーザーにRBACの役割を割り当てる方法を以下に解説する。
1.ドメインに参加する。XenServerのRBACは、Active Directoryのユーザーまたはグループアカウントに基づいて管理される。このため、RBACで役割を割り当てるには、事前にXenServerプールをドメインに追加して、Active Directoryアカウントを追加しておく必要がある
2.Active DirectoryのユーザーまたはグループをXenServerプールに追加する
3.ユーザーまたはグループにRBACの役割を割り当てる
プールを選択し[Users]タブを開くことで、ドメインへの参加、RBACの役割の割り当てができる。図1は、xen1〜xen4までの各ユーザーに、役割(Roles)が与えられているのが分かる。
ここでActive Directoryに登録されているxen5ユーザーを、XenServerのRBAC機構に取り込んでみる。図1の[Add]ボタンを押して、図2のようにxen5ユーザーを追加する(Cowleyはプールの名前)。
図3のように、XenServerプールへの追加が簡単に完了した。
図4の通りxen5ユーザーは追加されているが、役割(Roles)はまだ割り当てられていない。
[Change Role]をクリックし、図5のようにVM Operatorを割り当ててみる。
Xen5ユーザーにVM Operator(役割)が割り当てられたことが確認できる(図6)。
RBACは監査ログを取得でき、実行された全ての管理タスクが記録される。監査目的にも利用できる。
XenDesktop、XenApp、XenServerを中心とした仮想化ソリューションの提案活動、ビジネスパートナーへの技術支援などプリセールス全般に従事する。
Citrix Blog for Nobuchika Kobayashi
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
