9.2. Oracle VDI 管理员

9.2.1. 关于 Oracle VDI 基于角色的管理
9.2.2. 如何创建管理员和分配角色

9.2.1. 关于 Oracle VDI 基于角色的管理

Oracle VDI 管理员可以是 Oracle VDI 主机上的任何有效用户。他们由各自的登录名称标识。要能从 Oracle VDI 中心中的任意主机管理 Oracle VDI,该用户帐户必须存在于所有主机上。否则,用户只能在用户帐户存在的主机上管理 Oracle VDI。

默认情况下,超级用户是 Oracle VDI 主机上的唯一管理员。可以授予其他用户管理特权。Oracle VDI 使用基于角色的访问控制限制对“公司“和“桌面提供者“这两个主要管理区域的系统访问。管理员可以分配预定义的角色来执行作业功能。

角色分为以下三种:

  • 管理员:此角色拥有对某个区域的完全读写访问权限。

  • 操作员:此角色拥有对某个区域的有限访问权限。

  • 监察员:此角色拥有对某个区域的只读访问权限。

Oracle VDI 中提供以下六种角色:

  • 主管理员

    此角色拥有对 Oracle VDI 的完全访问权限。它可以创建、编辑和删除公司。该角色继承了“公司管理员“和“桌面提供者管理员“角色。

  • 公司管理员

    此角色可以创建和删除池。它提供对模板管理的完全访问权限。该角色继承了“公司操作员“角色。

  • 公司操作员

    此角色可以编辑池设置以及将用户分配到池。它提供对桌面的完全访问权限。该角色继承了“公司监察员“角色。

  • 公司监察员

    此角色可以查看“用户和池“区域中的所有详细信息。

  • 桌面提供者管理员

    此角色可以创建、编辑和删除桌面提供者以及编辑所有设置。该角色继承了“桌面提供者监察员“角色。

  • 桌面提供者监察员

    此角色可以查看“桌面提供者“区域中的所有详细信息。

超级用户始终是“主管理员“。无法更改此用户的角色,也无法从管理员列表中将此用户删除。

可以为管理员分配多个角色,但对角色的组合有所限制。管理员只能担当以下角色之一:

  • “主管理员“角色

  • 一个“公司“角色

  • 一个“桌面提供者“角色

  • 一个“公司“角色一个“桌面提供者“角色

Oracle VDI Manager 中基于角色的管理

根据分配给管理员的角色,Oracle VDI Manager 的外观会受到限制。仅当管理员拥有该类别所需的查看权限时,才会显示顶级类别,如下所示:

  • “用户和池“区域向“公司“角色和“主管理员“角色显示。

  • “桌面提供者“区域向“桌面提供者“角色和“主管理员“角色显示。

  • “设置“区域向“主管理员“角色显示。

如果管理员没有跨区域链接的目标区域所需的查看权限,跨区域链接会被禁用。

在某个区域内,Oracle VDI Manager 的外观不会随分配给管理员的角色而变化。所有按钮或操作项目均显示为活动。管理员尝试执行不被允许的操作时,该操作会失败,并且系统会显示以下消息:

您没有足够的管理权限来执行该操作。

命令行上的基于角色的管理

超级用户和非超级用户均可运行 vda 命令。所有其他 Oracle VDI 命令必须由超级用户运行。

非超级用户每次运行 vda 命令,系统都会提示他们提供密码。

要以除当前用户之外的身份运行 vda 命令,请将 VDA_USERNAME 环境变量设置为所需的用户名。当您以这种方式运行命令时,您输入 VDA_USERNAME 用户的密码。

如果管理员没有运行 vda 子命令的权限,该命令会失败,并且系统会显示以下消息:

您没有足够的管理权限来执行该操作。

基于角色的管理和 Oracle VDI Web 服务

基于角色的管理适用于 Oracle VDI Web 服务。如果提供的凭据没有执行所请求操作的权限,系统则会抛出 com.sun.vda.service.api.ServiceException

9.2.2. 如何创建管理员和分配角色

要向管理员分配角色,管理员必须是 Oracle VDI 主机上的有效用户。

有关管理员和角色的更多信息,请参见第 9.2.1 节 “关于 Oracle VDI 基于角色的管理”

使用 Oracle VDI Manager,“主管理员“无法编辑自己的角色分配,也无法从管理员列表中删除自己的用户名。这些任务必须由其他“主管理员“执行。

Oracle VDI Manager 步骤

  1. 以“主管理员“身份登录 Oracle VDI Manager。

    仅“主管理员“可以分配管理特权。默认情况下,超级用户是“主管理员“。

  2. 转至“设置“→“VDI 中心“。

  3. 进入“管理员“选项卡。

    此时会显示配置的管理员及其角色的列表。

  4. 添加管理员。

    1. 单击“新建“按钮。

    2. 键入管理员的登录名称。

    3. 单击 "OK"(确定)。

    新管理员会添加到列表中,并默认被分配“公司监察员“角色。

  5. (可选)编辑管理员的角色分配。

    1. 在管理员列表中,单击管理员用户名。

      此时会显示“角色分配“列表。

    2. 选择要分配给管理员的角色对应的复选框,并单击“保存“按钮。

    3. 单击“保存“按钮。

      此时会显示一条消息,确认角色分配已更新。

CLI 步骤

  1. 在 Oracle VDI 主机上,以“主管理员“身份登录。

    仅“主管理员“可以分配管理特权。默认情况下,超级用户是“主管理员“。

  2. 检查用户是否为管理员。

    # /opt/SUNWvda/sbin/vda admin-list
  3. 列出可用的角色。

    # /opt/SUNWvda/sbin/vda role-list
  4. 向管理员分配角色。

    # /opt/SUNWvda/sbin/vda admin-assign -r <role>,<role>... <username>

    例如:

    # /opt/SUNWvda/sbin/vda admin-assign -r company.monitor,provider.operator jsmith