8.3. Administrateurs Oracle VDI

8.3.1. A propos de l'administration d'Oracle VDI à base de rôles
8.3.2. Création d'administrateurs et assignation de rôles

8.3.1. A propos de l'administration d'Oracle VDI à base de rôles

Les administrateurs Oracle VDI peuvent être n'importe quel utilisateur sur un hôte Oracle VDI. Ces administrateurs sont identifiés par leur nom de connexion. Pour pouvoir administrer Oracle VDI depuis n'importe quel hôte d'un centre Oracle VDI, le compte utilisateur doit exister sur tous les hôtes. Sinon un utilisateur peut uniquement administrer Oracle VDI sur les hôtes sur lesquels ils disposent d'un compte utilisateur.

Oracle VDI limite l'accès système aux deux principales zones d'administration (Sociétés et Fournisseurs de bureau) par un contrôle d'accès à base de rôles. Ces rôles sont prédéfinis et peuvent être assignés à des administrateurs dans le cadre de leurs fonctions.

Il existe trois types de rôle :

  • Administrateur : ce type de rôle dispose d'un accès complet en lecture et en écriture à une zone.

  • Opérateur : ce type de rôle dispose d'un accès limité à une zone.

  • Moniteur : ce type de rôle dispose d'un accès en lecture seule à une zone.

Six rôles sont disponibles dans Oracle VDI :

  • Administrateur principal

    Ce rôle dispose d'un accès complet à Oracle VDI. Il peut créer, modifier et supprimer des sociétés. Ce rôle hérite des rôles Administrateur de société et Administrateur de fournisseur de bureau.

  • Administrateur de société

    Ce rôle peut créer et supprimer des pools. Il fournit un accès complet à la gestion des modèles. Ce rôle hérite du rôle Opérateur de société.

  • Opérateur de société

    Ce rôle peut modifier les paramètres des pools et assigner des utilisateurs aux pools. Il fournit un accès complet aux bureaux. Ce rôle hérite du rôle Moniteur de société.

  • Moniteur de société

    Ce rôle peut afficher tous les détails de la zone Utilisateurs et Pools.

  • Administrateur de fournisseur de bureau

    Ce rôle peut créer, modifier et supprimer des fournisseurs de bureau, et modifier tous les paramètres. Ce rôle hérite du rôle Moniteur de fournisseur de bureau.

  • Moniteur de fournisseur de bureau

    Ce rôle peut afficher tous les détails dans la zone Fournisseur de bureau.

Lorsque vous configurez un nouveau centre Oracle VDI, vous êtes invité à indiquer le nom de l'utilisateur qui doit recevoir le rôle d'administrateur principal. Les autres utilisateurs peuvent alors se voir attribuer des privilèges d'administrateur par cet utilisateur. Il doit toujours y avoir au moins un administrateur principal.

Plusieurs rôles peuvent être assignés à un administrateur, mais certaines restrictions régissent les combinaisons. Un administrateur ne peut être assigné qu'à un seul des rôles suivants :

  • Rôle d'Administrateur principal

  • Rôle d'une seule Société

  • Rôle d'un seul Fournisseur de bureau

  • Rôle d'une seule Société et d'un seul Fournisseur de bureau

Administration à base de rôles dans Oracle VDI Manager

L'apparence d'Oracle VDI Manager est limitée en fonction des rôles assignés à l'administrateur. Les catégories de niveau supérieur ne s'affichent que si l'administrateur dispose des droits d'affichage requis pour cette catégorie, comme suit :

  • La zone Utilisateurs et pools s'affiche pour les rôles Société et Administrateur principal.

  • La zone Fournisseur de bureau s'affiche pour les rôles Fournisseur de bureau et Administrateur principal.

  • La zone Paramètres s'affiche pour le rôle Administrateur principal.

Les liens inter-zones sont désactivés lorsque l'administrateur ne dispose pas des droits d'affichage requis pour la zone cible du lien.

Dans une zone, l'apparence d'Oracle VDI Manager ne change pas en fonction des rôles assignés à l'administrateur. Tous les boutons ou éléments d'action sont actifs. Lorsqu'un administrateur tente d'effectuer une opération non autorisée, celle-ci échoue et le message suivant s'affiche :

Vous ne disposez pas de droits d'administration suffisants pour effectuer cette opération.

L'utilisateur root est identique à n'importe quel autre utilisateur et il ne peut accéder à Oracle VDI Manager que s'il a reçu un rôle d'administrateur.

Avec Oracle VDI Manager, un Administrateur principal ne peut pas modifier ses propres assignations à un rôle ni retirer son nom d'utilisateur de la liste des administrateurs. Ces tâches doivent être effectuées par un autre Administrateur principal.

Administration par rôle sur la ligne de commande

La commande vda peut être exécutée par l'utilisateur root et les utilisateurs non root. Toutes les autres commandes Oracle VDI doivent être exécutées par l'utilisateur root ou par un utilisateur qui a pris le rôle d'utilisateur root (plates-formes Oracle Solaris).

L'utilisateur root peut toujours exécuter les commandes Oracle VDI, même s'il n'a reçu aucun rôle d'administrateur.

Chaque fois qu'un utilisateur non root exécute une commande vda, il est invité à saisir un mot de passe.

Pour exécuter une commande vda avec une autre identité que celle de l'utilisateur en cours, définissez la variable d'environnement VDA_USERNAME sur le nom d'utilisateur requis. Lorsque vous exécutez une commande de cette manière, vous devez saisir le mot de passe de l'utilisateur VDA_USERNAME.

Si l'administrateur n'est pas autorisé à exécuter une sous-commande vda, la commande échoue et le message suivant s'affiche :

Vous ne disposez pas de droits d'administration suffisants pour effectuer cette opération.

Sur la ligne de commande, un Administrateur principal peut modifier ses propres attributions de rôle et supprimer son propre nom d'utilisateur de la liste des administrateurs.

Administration par rôle et services Web Oracle VDI

L'administration à base de rôles s'applique aux services Web Oracle VDI. Une exception com.sun.vda.service.api.ServiceException est renvoyée lorsque les informations d'identification fournies ne disposent pas des autorisations nécessaires pour exécuter l'opération demandée.

Administration à base de rôles et d'Plug-in Enterprise Manager d'Oracle VDI

L'administration à base de rôles s'applique à la collecte de données de surveillance par Plug-in Enterprise Manager d'Oracle VDI. Pour activer la surveillance des cibles Oracle VDI, l'agent de gestion, qui est un composant d'Oracle Enterprise Manager, établit une connexion sécurisée avec l'agent de centre Oracle VDI. Dans ce processus, l'agent de gestion doit s'authentifier en tant qu'administrateur Oracle VDI.

A des fins de sécurité et d'audit, il est recommandé de configurer un compte administrateur dédié pour le module d'extension. Ce compte administrateur exige les rôles de Moniteur de société et de Moniteur de fournisseurs de bureau.

8.3.2. Création d'administrateurs et assignation de rôles

Pour qu'un rôle puisse être assigné à un administrateur, ce dernier doit être un utilisateur valide de l'hôte Oracle VDI.

Pour plus d'informations sur les administrateurs et les rôles, reportez-vous à la Section 8.3.1, « A propos de l'administration d'Oracle VDI à base de rôles ».

Un Administrateur principal ne peut pas modifier sa propre assignation à un rôle ni retirer son nom d'utilisateur de la liste des administrateurs. Ces tâches doivent être effectuées par un autre Administrateur principal.

Etapes d'Oracle VDI Manager

  1. Connectez-vous à Oracle VDI Manager en tant qu'Administrateur principal.

    Seul un Administrateur principal peut accorder des privilèges d'administration.

  2. Accédez à Paramètres → Centre VDI.

  3. Ouvrez l'onglet Administrateur.

    La liste des administrateurs configurés et leurs rôles s'affichent.

  4. Ajoutez un administrateur.

    1. Cliquez sur le bouton Créer.

    2. Saisissez le nom de connexion de l'administrateur.

    3. Cliquez sur OK.

    Le nouvel administrateur est ajouté à la liste et est assigné par défaut au rôle Moniteur de société.

  5. (Facultatif) Modifiez les rôles assignés à un administrateur.

    1. Dans la liste des administrateurs, cliquez sur le nom d'utilisateur de l'administrateur concerné.

      La liste Assignation des rôles s'affiche.

    2. Cochez les cases du ou des rôles que vous souhaitez assigner à l'administrateur, puis cliquez sur le bouton Enregistrer.

    3. Cliquez sur le bouton Enregistrer.

      Le message qui s'affiche confirme que les assignations des rôles ont été mises à jour.

Etapes de la ligne de commande

  1. Connectez-vous en tant qu'Administrateur principal sur un hôte Oracle VDI.

    Seul un Administrateur principal, l'utilisateur root, ou un utilisateur qui a pris le rôle d'utilisateur root (plates-formes Oracle Solaris ) peut assigner des privilèges d'administration.

  2. Vérifiez que l'utilisateur est administrateur.

    # /opt/SUNWvda/sbin/vda admin-list
  3. Répertoriez les rôles disponibles.

    # /opt/SUNWvda/sbin/vda role-list
  4. Assignez des rôles à un administrateur.

    # /opt/SUNWvda/sbin/vda admin-assign -r role,role... username
    

    Exemple :

    # /opt/SUNWvda/sbin/vda admin-assign -r company.monitor,provider.operator jsmith