Citrix XenServer - Authentification via l'Active Directory - Citrix - InformatiWeb Pro

Menu Rechercher

Citrix XenServer - Authentification via l'Active Directory

InformatiWeb Pro Virtualisation Citrix Citrix ... Page 1 / 3

Publié le : 21 juin 2017 à 11:04 Par Lionel Eppe

Par défaut, XenServer est administrable uniquement avec le compte root.

Néanmoins, en production, il sera probablement nécessaire de déléguer certaines opérations à certains utilisateurs.

De plus, il sera aussi possible de limiter leurs droits en fonction de leur compte utilisateur et le groupe dans lequel ils se
trouvent.

Pour que cela soit possible, Citrix permet de joindre votre serveur XenServer au serveur Active Directory présent dans
votre intranet.

Sommaire
1. Configuration requise
2. Informations importantes
3. Explications concernant les droits (rôles)
disponibles
4. Configuration des paramètres NTP et DNS du
serveur XenServer
1. Configuration lors de l'installation de XenServer
2. Configuration après l'installation de XenServer
grâce à XenCenter
5. Ajout d'utilisateurs et de groupes dans l'Active
Directory
6. Joindre le serveur XenServer à l'Active Directory
7. Ajout des utilisateurs et des groupes AD dans le
serveur XenServer
Ce8.site utilise
Test des des cookies
rôles pouraux
associés vous assurer d'obtenir
utilisateurs la meilleure expérience sur notre site En savoir plus
et/ou aux OK
groupes AD

http://www.informatiweb-pro.net/virtualisation/1-citrix/25--citrix-xenserver-authentification-via-l-active-directory.html[21/02/2018 16:53:20]
Citrix XenServer - Authentification via l'Active Directory - Citrix - InformatiWeb Pro

1. Configuration requise

Pour mettre en place l'authentification Active Directory sur votre serveur XenServer, vous aurez besoin :

d'un serveur Active Directory

un serveur DNS local (par défaut, ce service est installé en même temps que l'Active Directory)
un serveur NTP pour synchroniser l'heure de votre serveur XenServer avec votre Active Directory. (Par défaut,
l'installation du rôle Active Directory installe aussi le service NTP)
un serveur XenServer.

Dans notre cas, nous avons utilisé 2 serveurs :

1. un serveur Windows Server 2012 avec le rôle Active Directory, ainsi que le service DNS et le service NTP qui ont été
installés automatiquement lors de l'installation de l'Active Directory.
2. un serveur XenServer 6.5.0 fraichement installé

2. Informations importantes

Voici quelques informations importantes pour la mise en place de l'authentification Active Directory sur votre serveur
XenServer :

Dans XenCenter, les utilisateurs et groupes Active Directory s'appellent des "utilisateurs" (users). Mais, en ligne de
commandes (CLI), ceux-ci s'appellent des sujets (subjects).
Vous devez indiquer l'adresse IP de votre serveur Active Directory comme serveur DNS primaire de votre serveur
XenServer pour que celui-ci puisse résoudre le nom de domaine de votre serveur Active Directory.
Chaque serveur XenServer de votre réseau doit posséder un nom unique. Dans le cas contraire, lorsque vous lierez
votre 2ème serveur XenServer à votre Active Directory, le 1er serveur ne sera plus en mesure de se connecter à votre
serveur Active Directory.
En effet, étant donné que vos 2 serveurs XenServer possèdent le même nom, l'objet "ordinateur" correspondant à votre
1er serveur XenServer aura été écrasé par l'objet ordinateur créé lors de la liaison de votre 2ème serveur XenServer à
votre serveur Active Directory.
Si vous utilisez plusieurs serveurs XenServer, sachez que ceux-ci peuvent se trouver dans différentes zones de temps
(time-zones), car le "temps" comparé est le temps UTC (ce temps ne varie pas en fonction du fuseau horaire).
Néanmoins, vos serveurs XenServer devront être synchronisés avec le même serveur NTP pour que ceux-ci possèdent
exactement la même date et la même heure.
XenServer utilise le protocole Kerberos pour communiquer avec votre Active Directory. Il faut donc que votre serveur
Active Directory supporte ce protocole. Sinon, l'authentification Active Directory échouera.
Le déplacement d'un utilisateur AD d'un groupe à un autre risque de lui retirer ou lui ajouter des droits sur votre
serveur XenServer. (Comme vous le verrez plus tard dans ce tutoriel)

Si vos serveurs XenServer se trouvent dans un pool de serveurs, sachez qu'il est interdit de "mixer" les types
d'authentifications.
Autrement dit, tous les serveurs XenServer de votre pool de serveurs devront utiliser l'authentification Active Directory ou
aucun ne devra l'utiliser.
En résumé, vous ne pourrez pas activer l'authentification Active Directory uniquement sur certains serveurs de votre pool
de serveurs.

Pour éviter que votre serveur XenServer ne devienne inaccessible en cas de panne de votre serveur Active Directory,
XenServer tente toujours de s'authentifier :
- localement (pour tester si le mot de passe correspond au compte root local)
- puis, grâce à votre Active Directory, si celui-ci est joignable.
Autrement dit, en cas de panne de votre serveur Active Directory, vous ne pourrez vous connecter qu'avec le compte root
du serveur XenServer concerné.

Pour terminer, pour que votre serveur XenServer puisse se connecter à votre serveur Active Directory, vous devrez
autoriser ces ports en sorties.
Note : ceci est seulement à titre indicatif, car dans notre cas, aucune configuration n'a été nécessaire pour que XenServer
puisse se connecter à notre serveur Active Directory.

http://www.informatiweb-pro.net/virtualisation/1-citrix/25--citrix-xenserver-authentification-via-l-active-directory.html[21/02/2018 16:53:20]
Citrix XenServer - Authentification via l'Active Directory - Citrix - InformatiWeb Pro

Source : Citrix XenServer 6.5 Service Pack 1 Administrator's Guide (à partir de la page 3).

3. Explications concernant les droits (rôles) disponibles

Par défaut, XenServer possède 6 rôles qui permettent d'appliquer telles ou telles permissions à un utilisateur et/ou à un
groupe.

Dans la version 6.5.0 de XenServer, vous trouverez ces 6 rôles :

1. Pool Admin : ce rôle permet d'avoir les mêmes droits que le compte root local de votre serveur XenServer. Autrement
dit, vous aurez le droit de tout faire (gérer les pools de serveurs, les serveurs XenServer, les machines virtuelles, la haute
disponibilité, ...).
2. Pool Operator : ce rôle permet de tout faire, sauf gérer les utilisateurs et leurs droits.
3. VM Power Admin (Virtual Machine Power Administrator) : ce rôle permet de créer et gérer les machines virtuelles du
serveur XenServer
4. VM Admin (Virtual Machine Administrator) : ce rôle est similaire au rôle "VM Power Admin", sauf qu'il ne permet pas de
migrer (déplacer) des machines virtuelles d'un serveur XenServer à un autre.
5. VM Operator (Virtual Machine Operator) : ce rôle est similaire au rôle "VM Admin", sauf qu'il ne permet pas de créer ou
supprimer des machines virtuelles (VM). Néanmoins, ce rôle permet tout de même de démarrer et arrêter des machines
virtuelles (VM).
6. Read Only : permet uniquement de consulter l'utilisation des ressources du serveur XenServer, ainsi que les statistiques
du serveur.

Comme indiqué en haut de la fenêtre "Select Roles", chaque rôle de la liste hérite des droits disponibles grâce aux rôles
listés en dessous de lui.

http://www.informatiweb-pro.net/virtualisation/1-citrix/25--citrix-xenserver-authentification-via-l-active-directory.html[21/02/2018 16:53:20]
Citrix XenServer - Authentification via l'Active Directory - Citrix - InformatiWeb Pro

Pour terminer, sachez que ces rôles peuvent être assignés à des utilisateurs Active Directory, mais aussi à des groupes
Active Directory.
Si un utilisateur reçoit plusieurs rôles différents (un pour son compte utilisateur et un autre pour le groupe Active
Directory dans lequel il se trouve), XenServer lui attribuera le rôle proposant le + de permissions. (Comme vous le verrez
plus tard dans ce tutoriel)

Page suivante

Vous aimez ce tutoriel ?

Like 3

Partagez-le
Share 3 Share

Tweeter

Nous sommes désolés, mais le navigateur Internet que vous utilisez n'est pas compatible avec Disqus. Les
navigateurs supportés sont :

Firefox
Chrome
Internet Explorer 11+
Safari

http://www.informatiweb-pro.net/virtualisation/1-citrix/25--citrix-xenserver-authentification-via-l-active-directory.html[21/02/2018 16:53:20]
Citrix XenServer - Authentification via l'Active Directory - Citrix - InformatiWeb Pro

Retrouvez-nous sur les réseaux sociaux

Contenu épinglé Liens

Besoin de matériel ? Goodies
Besoin d'un hébergeur ? Nos publicités
Administration Linux Retour dans le passé
Administration Win. Server
Nos programmes
Autres Contact
Logiciels utiles (Windows) Contact
Logiciels utiles (Linux) A propos du WebMaster
Conditions générales
Livre d'or

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2017 - © Lionel Eppe. Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée
par les articles L.335-2 et suivants du Code de la propriété intellectuelle.

http://www.informatiweb-pro.net/virtualisation/1-citrix/25--citrix-xenserver-authentification-via-l-active-directory.html[21/02/2018 16:53:20]