8.2. Administrateurs de Oracle VDI

8.2.1. A propos de l'administration de Oracle VDI à base de rôles
8.2.2. Création d'administrateurs et assignation des rôles

8.2.1. A propos de l'administration de Oracle VDI à base de rôles

Tout utilisateur valide pour un hôte Oracle VDI peut être administrateur de Oracle VDI. Ces administrateurs sont identifiés par leur nom de connexion. Pour pouvoir administrer Oracle VDI à partir de n'importe quel hôte du Centre Oracle VDI, le compte d'utilisateur doit être présent dans tous les hôtes. Si ce n'est pas le cas, l'utilisateur peut uniquement administrer Oracle VDI sur les hôtes dans lesquels il possède un compte d'utilisateur.

Par défaut, l'utilisateur root est le seul administrateur d'un hôte Oracle VDI. Des privilèges administratifs peuvent être accordés aux autres utilisateurs. Oracle VDI limite l'accès système aux deux principales zones d'administration (Sociétés et Fournisseurs de bureau) par un contrôle d'accès à base de rôles. Ces rôles sont prédéfinis et peuvent être assignés à des administrateurs dans le cadre de leurs fonctions.

Il existe trois types de rôle :

  • Administrateur : ce type de rôle dispose d'un accès complet en lecture et en écriture à une zone.

  • Opérateur : ce type de rôle dispose d'un accès limité à une zone.

  • Moniteur : ce type de rôle dispose d'un accès en lecture seule à une zone.

Six rôles sont disponibles dans Oracle VDI :

  • Administrateur principal

    Ce rôle dispose d'un accès complet à Oracle VDI. Il peut créer, modifier et supprimer des sociétés. Ce rôle hérite des rôles Administrateur de société et Administrateur de fournisseur de bureau.

  • Administrateur de société

    Ce rôle peut créer et supprimer des pools. Il fournit un accès complet à la gestion des modèles. Ce rôle hérite du rôle Opérateur de société.

  • Opérateur de société

    Ce rôle peut modifier les paramètres des pools et assigner des utilisateurs aux pools. Il fournit un accès complet aux bureaux. Ce rôle hérite du rôle Moniteur de société.

  • Moniteur de société

    Ce rôle peut afficher tous les détails de la zone Utilisateurs et Pools.

  • Administrateur de fournisseur de bureau

    Ce rôle peut créer, modifier et supprimer des fournisseurs de bureau, et modifier tous les paramètres. Ce rôle hérite du rôle Moniteur de fournisseur de bureau.

  • Moniteur de fournisseur de bureau

    Ce rôle peut afficher tous les détails dans la zone Fournisseur de bureau.

L'utilisateur root est toujours l'Administrateur principal. Cet utilisateur ne peut pas changer de rôle ni être retiré de la liste des administrateurs.

Plusieurs rôles peuvent être assignés à un administrateur, mais certaines restrictions régissent les combinaisons. Un administrateur ne peut être assigné qu'à un seul des rôles suivants :

  • Rôle d'Administrateur principal

  • Rôle d'une seule Société

  • Rôle d'un seul Fournisseur de bureau

  • Rôle d'une seule Société et d'un seul Fournisseur de bureau

Administration par rôle dans Oracle VDI Manager

L'apparence d'Oracle VDI Manager est limitée en fonction des rôles assignés à l'administrateur. Les catégories de niveau supérieur ne s'affichent que si l'administrateur dispose des droits d'affichage requis pour cette catégorie, comme suit :

  • La zone Utilisateurs et pools s'affiche pour les rôles Société et Administrateur principal.

  • La zone Fournisseur de bureau s'affiche pour les rôles Fournisseur de bureau et Administrateur principal.

  • La zone Paramètres s'affiche pour le rôle Administrateur principal.

Les liens inter-zones sont désactivés lorsque l'administrateur ne dispose pas des droits d'affichage requis pour la zone cible du lien.

Dans une zone, l'apparence d'Oracle VDI Manager ne change pas en fonction des rôles assignés à l'administrateur. Tous les boutons ou éléments d'action sont actifs. Lorsqu'un administrateur tente d'effectuer une opération non autorisée, celle-ci échoue et le message suivant s'affiche :

Vous ne disposez pas de droits d'administration suffisants pour effectuer cette opération.

Administration par rôle sur la ligne de commande

La commande vda peut être exécutée par l'utilisateur root et les utilisateurs non root. Toutes les autres commandes de Oracle VDI ne peuvent être exécutées que par l'utilisateur root.

Chaque fois qu'un utilisateur non root exécute une commande vda, il est invité à saisir un mot de passe.

Pour exécuter une commande vda avec une autre identité que celle de l'utilisateur en cours, définissez la variable d'environnement VDA_USERNAME sur le nom d'utilisateur requis. Lorsque vous exécutez une commande de cette manière, vous devez saisir le mot de passe de l'utilisateur VDA_USERNAME.

Si l'administrateur n'est pas autorisé à exécuter une sous-commande vda, la commande échoue et le message suivant s'affiche :

Vous ne disposez pas de droits d'administration suffisants pour effectuer cette opération.

Administration par rôle et services Web Oracle VDI

L'administration à base de rôles s'applique aux services Web Oracle VDI. Une exception com.sun.vda.service.api.ServiceException est renvoyée lorsque les informations d'identification fournies ne disposent pas des autorisations nécessaires pour exécuter l'opération demandée.

8.2.2. Création d'administrateurs et assignation des rôles

Pour qu'un rôle puisse être assigné à administrateur, ce dernier doit être un utilisateur valide dans l'hôte Oracle VDI.

Pour plus d'informations sur les administrateurs et les rôles, reportez-vous à la Section 8.2.1, « A propos de l'administration de Oracle VDI à base de rôles ».

Avec Oracle VDI Manager, un Administrateur principal ne peut pas modifier sa propre assignation à un rôle ni retirer son nom d'utilisateur de la liste des administrateurs. Ces tâches doivent être effectuées par un autre Administrateur principal.

Procédure Oracle VDI Manager

  1. Connectez-vous à Oracle VDI Manager en tant qu'Administrateur principal.

    Seul un Administrateur principal peut accorder des privilèges d'administration. Par défaut, l'utilisateur root est l'Administrateur principal.

  2. Accédez à Paramètres → Centre VDI.

  3. Ouvrez l'onglet Administrateur.

    La liste des administrateurs configurés et leurs rôles s'affichent.

  4. Ajoutez un administrateur.

    1. Cliquez sur le bouton Créer.

    2. Saisissez le nom de connexion de l'administrateur.

    3. Cliquez sur OK.

    Le nouvel administrateur est ajouté à la liste et est assigné par défaut au rôle Moniteur de société.

  5. (Facultatif) Modifiez les rôles assignés à un administrateur.

    1. Dans la liste des administrateurs, cliquez sur le nom d'utilisateur de l'administrateur concerné.

      La liste Assignation des rôles s'affiche.

    2. Cochez les cases du ou des rôles que vous souhaitez assigner à l'administrateur, puis cliquez sur le bouton Enregistrer.

    3. Cliquez sur le bouton Enregistrer.

      Le message qui s'affiche confirme que les assignations des rôles ont été mises à jour.

Procédure de l'interface de ligne de commande

  1. Accédez à un hôte Oracle VDI et connectez-vous en tant qu'Administrateur principal.

    Seul un Administrateur principal peut accorder des privilèges d'administration. Par défaut, l'utilisateur root est l'Administrateur principal.

  2. Vérifiez que l'utilisateur est administrateur.

    # /opt/SUNWvda/sbin/vda admin-list
  3. Répertoriez les rôles disponibles.

    # /opt/SUNWvda/sbin/vda role-list
  4. Assignez des rôles à un administrateur.

    # /opt/SUNWvda/sbin/vda admin-assign -r <role>,<role>... <username>

    Exemple :

    # /opt/SUNWvda/sbin/vda admin-assign -r company.monitor,provider.operator jsmith