2.2 设置用户授权和鉴定

PlateSpin Migrate 的用户授权和鉴定机制以用户角色为基础，可控制应用程序访问及用户可以执行的操作。该机制基于集成 Windows 身份验证 (IWA) 以及它与 Internet 信息服务 (IIS) 的交互。

注：如果您安装的 PlateSpin Migrate 服务器本地化为一种语言，而安装的 PlateSpin Migrate 客户端本地化为另一种语言，请不要使用包含任何语言特定字符的授权身份凭证。在登录凭证中使用此类字符可能导致客户端与服务器之间的通讯发生故障：身份凭证会被视为无效而遭到拒绝。

PlateSpin Migrate 的用户审计功能通过记录用户操作的功能提供（请参见设置用户活动日志记录）。

2.2.1 PlateSpin Migrate 角色

PlateSpin Migrate 角色是允许特定用户执行特定操作的 PlateSpin Migrate 特权集合。在安装期间，PlateSpin Migrate 安装程序会在 PlateSpin 服务器主机上创建三个本地 Windows 组：PlateSpin Migrate 管理员、PlateSpin Migrate 超级用户和 PlateSpin Migrate 操作员。这些组直接映射到控制用户授权和鉴定的三个 PlateSpin Migrate 角色：

PlateSpin 管理员： 具有对于应用程序所有功能的不受限访问权限。本地管理员暗含在该组中。
PlateSpin 超级用户： 可以访问应用程序的大部分特性与功能，但在某些方面有限制，如修改许可和安全性相关系统设置的限制。
PlateSpin 操作员： 具有系统功能的有限子集的访问权限，足够维持日常操作。

当用户尝试连接 PlateSpin 服务器时，IIS 会对通过 PlateSpin Migrate 客户端提供的身份凭证进行验证。如果用户不是任一 PlateSpin Migrate 角色的成员，连接将被拒绝。如果用户是 PlateSpin 服务器主机上的本地管理员，该帐户毫无疑问会被认为是 PlateSpin Migrate 管理员。

根据您是使用 PlateSpin Migrate 客户端还是 PlateSpin Migrate Web 界面迁移工作负载的，PlateSpin Migrate 角色的“许可权限”细节会有所不同：

有关使用 PlateSpin Migrate 客户端执行工作负载迁移时 PlateSpin Migrate 角色和许可权限细节的信息，请参见表 2-3。
有关使用 PlateSpin Migrate Web 界面执行工作负载迁移时 PlateSpin Migrate 角色和许可权限细节的信息，请参见表 2-4。

表 2-3 PlateSpin Migrate 客户端用户的 PlateSpin Migrate 角色和许可权限细节

角色细节	管理员	超级用户	操作员
许可：添加、删除许可证；转移工作负载许可证	是	否	否
计算机：发现、取消发现	是	是	否
计算机：删除虚拟机	是	是	否
计算机：查看、刷新、导出	是	是	是
计算机：导入	是	是	否
计算机：导出	是	是	是
PlateSpin Migrate 网络：添加、删除	是	否	否
作业：创建新作业	是	是	否
作业：查看、中止、更改开始时间	是	是	是
映像：在现有合同中查看、启动同步	是	是	是
映像：整合增量、将增量应用到基础、删除增量、安装/删除映像服务器	是	是	否
基于块的传输组件：安装、升级、去除	是	是	否
设备驱动程序：查看	是	是	是
设备驱动程序：上载、删除	是	是	否
PlateSpin 服务器访问：查看 Web 服务、下载客户端软件	是	是	是
PlateSpin 服务器设置：编辑用来控制用户活动日志记录及 SMTP 通知的设置	是	否	否
PlateSpin 服务器设置：编辑除用来控制用户活动日志记录及 SMTP 通知的设置以外的其他所有服务器设置	是	是	否
运行诊断：生成关于作业的详细诊断报告。	是	是	是
转换后的操作：添加、更新、删除	是	是	否

表 2-4 PlateSpin Migrate Web 界面用户的 PlateSpin Migrate 角色和许可权限细节

角色细节	管理员	超级用户	操作员
添加工作负载	是	是	否
去除工作负载	是	是	否
配置迁移	是	是	否
准备迁移	是	是	否
运行完全复制	是	是	是
运行增量复制	是	是	是
暂停/继续日程表	是	是	是
测试直接转换	是	是	是
切换	是	是	是
中止	是	是	是
设置（全部）	是	否	否
运行报告/诊断	是	是	是

2.2.2 将 PlateSpin Migrate 角色指派给 Windows 用户

要允许特定 Windows 域或本地用户根据指定的角色执行特定的 PlateSpin Migrate 操作，请将必要的 Windows 域或用户帐户添加到 PlateSpin 服务器主机上相应的 Windows 本地组（PlateSpin 管理员、PlateSpin 超级用户或 PlateSpin 操作员）。有关详细信息，请参见 Windows 文档。

2.2.3 在 VMware 上设置 PlateSpin Migrate 多租户

PlateSpin Migrate 中包含一些独有的用户角色（以及一个用于在 VMware 数据中心内创建这些角色的工具），可让非管理级别的 VMware 用户（也称为“支持用户”）在 VMware 环境中执行 Migrate 生命周期操作。这些角色让您这样的服务提供商可以将您的 VMware 群集分段，以实现多租户功能。如此，您的数据中心内可实例化多个 Migrate 容器，以容纳不同的 Migrate 客户或“租户”，方便他们将其数据和存在痕迹与其他也在使用您的数据中心的客户分离开，并确保其他客户无法访问。

本节包含下列信息：

使用工具定义 VMware 角色

PlateSpin Migrate 需要某些特权才能访问和执行 VMware 基础架构（即 VMware“容器”）中的任务，以使 Migrate 工作流程和功能可在该环境下正常工作。由于需要的特权有很多，NetIQ 创建了一个文件来定义最少需要的特权，并将这些特权分别归入三种 VMware 自定义角色：

PlateSpin 虚拟机管理员
PlateSpin 基础架构管理员
PlateSpin 用户

此定义文件 (PlateSpinRole.xml) 包含在 PlateSpin Migrate 服务器安装中。随附的可执行文件 (PlateSpin.VMwareRoleTool.exe) 会访问该文件，以便系统能在目标 vCenter 环境下创建这些自定义 PlateSpin 角色。

本节包含下列信息：

基本命令行语法

在命令行中，使用以下基本语法从角色工具的安装位置运行该工具：

PlateSpin.VMwareRoleTool.exe /host=[host name/IP] /user=[user name] /role=[the role definition file name and location] /create

注：默认情况下，角色定义文件与角色定义工具位于同一文件夹。

其他命令行参数和标志

使用 PlateSpin.VMwareRoleTool.exe 在 vCenter 中创建或更新角色时，可视需要应用以下参数：

/create	（强制）创建由 /role 参数定义的角色
/get_all_prvileges	显示所有服务器定义的特权

可选标志
/interactive	使用可让您选择创建单个角色、检查角色兼容性或列出所有兼容角色的 interactive 选项运行工具。
/password=[密码]	提供 VMware 密码（绕过密码提示）
/verbose	显示详细信息

工具用法示例

用法：PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

产生的操作：

角色定义工具在 houston_sales vCenter Server 上运行，其上有一个用户名为 pedrom 的管理员。
由于缺少 /password 参数，该工具会提示您输入用户密码。
该工具会访问角色定义文件 (PlateSpinRole.xml)，该文件与工具可执行文件位于同一目录下，因此上面的命令中无需进一步定义其路径。
该工具会查找该定义文件，并被指示 (/create) 在 vCenter 环境中创建该文件的内容中定义的角色。
该工具会访问定义文件，并在 vCenter 内创建新角色（包括针对所定义的受限访问的适当最少特权）。

这些新的自定义角色将于稍后在 vCenter 中被指派给用户。

（可选）在 vCenter 中手动定义 PlateSpin 角色

您可以使用 vCenter 客户端手动创建并指派 PlateSpin 自定义角色。这需要创建具有如 PlateSpinRole.xml 中所定义的枚举特权的角色。手动创建角色时，角色的名称没有限制。唯一的限制就是，您创建的与定义文件中的角色名称相同的角色名称必须拥有定义文件中的所有适当最少特权。

有关如何在 vCenter 中创建自定义角色的详细信息，请参见 VMware 技术资源中心内的Managing VMWare VirtualCenter Roles and Permissions（管理 VMWare VirtualCenter 角色和许可权限）。

在 vCenter 中指派角色

设置多租户环境时，您需要为每个客户或“租户”配置一个 Migrate 服务器。您需为此 Migrate 服务器指派一个具有特殊 Migrate VMware 角色的支持用户。此支持用户将创建 Migrate 容器。作为服务提供商，您需要维护此用户的身份凭证，并且不能将其透露给您的租户客户。

下表列出您需要为支持用户定义的角色。表中还包含有关角色用途的详细信息：

用于角色指派的 vCenter 容器	角色指派详细说明	传播指导	更多信息
vCenter 库存树的根。	为支持用户指派 PlateSpin 基础架构管理员（或同等）角色。	出于安全考虑，请将许可权限定义为不具传播性。	如果要监视 Migrate 软件正在执行的任务以及结束任何过时的 VMware 会话，都需要具有此角色。
支持用户需要进行访问的所有数据中心对象	为支持用户指派 PlateSpin 基础架构管理员（或同等）角色。	出于安全考虑，请将许可权限定义为不具传播性。	若要访问数据中心的数据储存以上载/下载文件，则需要此角色。将许可权限定义为不具传播性。
每个要作为容器添加到 Migrate 的群集，以及群集中包含的每个主机	为支持用户指派 PlateSpin 基础架构管理员（或同等）角色。	是否具有传播性由 VMware 管理员决定。	要指派给某个主机，请传播群集对象的许可权限或另外创建一个针对各个群集主机的许可权限。如果针对群集对象指派角色并进行传播，则向群集添加新主机时无需做进一步更改。不过，传播此许可权限存在安全隐患。
支持用户需要进行访问的各个资源池。	为支持用户指派 PlateSpin 虚拟机管理员（或同等）角色。	是否具有传播性由 VMware 管理员决定。	尽管您可以指派对树中任意位置上任意数量资源池的访问权限，但仍必须至少在一个资源池上为支持用户指派此角色。
支持用户需要进行访问的各个虚拟机文件夹	为支持用户指派 PlateSpin 虚拟机管理员（或同等）角色。	是否具有传播性由 VMware 管理员决定。	尽管您可以指派对树中任意位置上任意数量虚拟机文件夹的访问权限，但仍必须至少在一个文件夹上为支持用户指派此角色。
支持用户需要进行访问的各个网络。拥有 dvSwitch（分布式虚拟交换机）和 dvPortgroup（分布式虚拟端口组）的分布式虚拟网络	为支持用户指派 PlateSpin 虚拟机管理员（或同等）角色。	是否具有传播性由 VMware 管理员决定。	尽管您可以指派对树中任意位置上任意数量网络的访问权限，但仍必须至少在一个网络上为支持用户指派此角色。要为 dvSwitch 指派正确的角色，请在数据中心中传播角色（这会使得其他对象接收该角色），或将 dvSwitch 放置在文件夹中并对该文件夹指派角色。需要在群集中的每个主机上为将在 Migrate UI 中显示为可用网络的标准端口组创建定义。
支持用户需要进行访问的各个数据储存和数据储存群集	为支持用户指派 PlateSpin 虚拟机管理员（或同等）角色。	是否具有传播性由 VMware 管理员决定。	必须至少已在一个数据储存或数据储存群集中为支持用户指派此角色。对于数据储存群集，许可权限必须传播至包含的数据储存。若不为群集的单个成员提供访问权限会导致准备和完整复制失败

下表显示您可以指派给客户或租户用户的角色。

用于角色指派的 vCenter 容器	角色指派详细说明	传播指导	更多信息
将在其中创建客户虚拟机的各个资源池和文件夹。	为租户用户指派 PlateSpin 用户（或同等）角色。	是否具有传播性由 VMware 管理员决定。	此租户是 PlateSpin Migrate 服务器上（同时也是 vCenter Server 上）PlateSpin 管理员组的成员。如果该租户将被授予更改虚拟机所用资源（即网络、ISO 映像等）的能力，请为此用户授予针对这些资源的必要权限。例如，如果要允许客户更改其虚拟机所连接的网络，应为该用户指派针对客户可访问的所有网络的只读角色（或更高角色）。

用于角色指派的 vCenter 容器

角色指派详细说明

传播指导

更多信息

将在其中创建客户虚拟机的各个资源池和文件夹。

为租户用户指派 PlateSpin 用户（或同等）角色。

是否具有传播性由 VMware 管理员决定。

此租户是 PlateSpin Migrate 服务器上（同时也是 vCenter Server 上）PlateSpin 管理员组的成员。

如果该租户将被授予更改虚拟机所用资源（即网络、ISO 映像等）的能力，请为此用户授予针对这些资源的必要权限。例如，如果要允许客户更改其虚拟机所连接的网络，应为该用户指派针对客户可访问的所有网络的只读角色（或更高角色）。

下图显示了 vCenter 控制台中的虚拟基础架构。标为蓝色的对象会被指派基础架构管理员角色。标为绿色的对象会被指派虚拟机管理员角色。树中未显示虚拟机文件夹、网络和数据储存。这些对象会被指派 PlateSpin 虚拟机管理员角色。

图 2-3 vCenter 中指派的角色

指派 VMware 角色的安全隐患

PlateSpin 软件仅使用支持用户来执行保护生命周期操作。从服务提供商的角度来看，最终用户绝无可能访问支持用户的身份凭证，也不能访问同一组 VMware 资源。在多个 Migrate 服务器配置为使用相同 vCenter 环境的环境中，Migrate 可防止出现跨客户端访问的情况。主要的安全隐患包括：

如果将 PlateSpin 基础架构管理员角色指派给 vCenter 对象，每个支持用户都可以查看（但不会影响）其他各个用户执行的任务。
这是因为无法设置对数据储存文件夹/子文件夹的许可权限，因而拥有某个数据储存许可权限的所有支持用户就都可以访问储存在该数据储存上的其他所有支持用户的磁盘。
如果将 PlateSpin 基础架构管理员角色指派给群集对象，每一个支持用户都可以关闭/打开针对整个群集的 HA 或 DRS
如果在储存群集对象级别指派 PlateSpin 用户角色，每一个支持用户都可以为整个群集关闭/打开 SDRS
如果针对 DRS 群集对象设置 PlateSpin 基础架构管理员角色并传播此角色，支持用户将可查看放置在默认资源池和/或默认虚拟机文件夹中的所有虚拟机。此外，设置传播时，还需要管理员针对支持用户不应访问的每个资源池/虚拟机文件夹，为其明确设置“无访问权限”角色。
如果针对 vCenter 对象设置 PlateSpin 基础架构管理员角色，支持用户将可结束其他任何连接到 vCenter 的用户的会话。

注：请注意，在这些情况下，不同的支持用户实际上就是 PlateSpin 软件的不同实例。

2.2.4 设置用户活动日志记录

默认情况下，PlateSpin Migrate 会将所有用户活动记录在 PlateSpin.UserActivityLogging.log 日志文件中，该文件位于 PlateSpin 服务器主机上的以下目录中：

..\PlateSpin Migrate 服务器\日志.

单独的日志项的格式如下：

date|Category|description|user|details1|details2

Category 元素说明适用于特定操作的功能区域，例如 Security、Inventory（发现操作）、LicenseManagement 或 Migration（工作负载可移植性操作）。

details1 和 details2 元素取决于 Category，用于提供更多信息（如果适用）。

下面的日志项示例记录了域帐户为 MyDomain\John.Smith 的用户的登录操作。

2008-09-02 14:14:47|Security|User logged in|MyDomain\John.Smith

当日志文件大小达到指定的值时，它会滚动更新为一个新文件，并且其文件名会附加一个序号：

PlateSpin.UserActivityLogging.log.1
PlateSpin.UserActivityLogging.log.2
PlateSpin.UserActivityLogging.log.3

当日志文件数达到指定的值时，系统会在每次进行滚动更新时启动重写最旧文件的进程。

要启用或禁用用户活动日志记录，以及指定日志文件大小和滚动更新选项，请执行以下操作：

在 PlateSpin Migrate 客户端中，单击工具 > 选项。
单击日志记录选项卡。
指定必要的选项，然后单击确定。