2.2 設定使用者授權和驗證

PlateSpin Migrate 的使用者授權和驗證機制以使用者角色為基礎，可控制應用程式存取權限及使用者可以執行的操作。此機制基於整合式 Windows 驗證 (IWA) 以及其與 Internet Information Services (IIS) 的互動。

附註：如果您安裝的 PlateSpin Migrate 伺服器和 PlateSpin Migrate 用戶端的當地化語言版本不同，請不要使用包含任何語言特定字元的授權登入資料。在登入身分證明中使用此類字元可能會導致用戶端與伺服器之間的通訊錯誤︰身分證明因被視為無效而遭到拒絕。

PlateSpin Migrate 的使用者稽核功能透過記錄使用者動作的功能提供 (請參閱設定使用者活動記錄)。

2.2.1 PlateSpin Migrate 角色

PlateSpin Migrate 角色是允許特定使用者執行特定動作的 PlateSpin Migrate 權限集合。在安裝期間，PlateSpin Migrate 安裝程式會在 PlateSpin 伺服器主機上建立三個本地 Windows 群組︰PlateSpin Migrate 管理員、PlateSpin Migrate 進階使用者和 PlateSpin Migrate 操作人員。這些群組直接與控制使用者授權和驗證的三個 PlateSpin Migrate 角色對應︰

PlateSpin Migrate 用戶端使用者群組	PlateSpin Migrate Web 介面使用者群組	描述
PlateSpin 管理員	工作負載轉換管理員	可以不受限制地存取應用程式的所有特性與功能。毫無疑問，本地管理員即屬於此群組。
PlateSpin 進階使用者	工作負載轉換進階使用者	可以存取應用程式的大部分特性與功能，僅在如修改與授權和安全性相關的系統設定等方面有限制。
PlateSpin 操作人員	工作負載轉換操作人員	可以存取限定的系統特性與功能，但足以進行日常的操作。

當使用者嘗試連接至 PlateSpin 伺服器時，IIS 會對透過 PlateSpin Migrate 用戶端提供的身分證明進行驗證。如果使用者不是任一 PlateSpin Migrate 角色的成員，便會拒絕連接。如果使用者是 PlateSpin 伺服器主機上的本地管理員，則該帳戶毫無疑問會被認為是 PlateSpin Migrate 管理員。

依據您是使用 PlateSpin Migrate 用戶端還是 PlateSpin Migrate Web 介面移轉工作負載，PlateSpin Migrate 角色的「許可權」詳細資料會有所不同︰

如需使用 PlateSpin Migrate 用戶端執行工作負載移轉時 PlateSpin Migrate 角色和許可權詳細資料的相關資訊，請參閱表 2-3。
如需使用 PlateSpin Migrate Web 介面執行工作負載移轉時 PlateSpin Migrate 角色和許可權詳細資料的相關資訊，請參閱表 2-4。

表 2-3 PlateSpin Migrate 用戶端使用者的 PlateSpin Migrate 角色和許可權詳細資料

角色詳細資料	管理員	進階使用者	操作人員
授權: 新增、刪除授權；轉移工作負載授權	是	否	否
機器︰探查、取消探查	是	是	否
機器︰刪除虛擬機器	是	是	否
機器︰檢視、重新整理、輸出	是	是	是
機器︰輸入	是	是	否
機器︰輸出	是	是	是
PlateSpin Migrate 網路︰新增、刪除	是	否	否
工作：建立新工作	是	是	否
工作：檢視、中止、變更開始時間	是	是	是
複製影像︰檢視、在現有合約中開始同步	是	是	是
複製影像︰整合增量、將增量套用至基礎、刪除增量、安裝/刪除影像伺服器	是	是	否
區塊式傳輸元件︰安裝、升級、移除	是	是	否
裝置驅動程式: 檢視	是	是	是
裝置驅動程式: 上傳、刪除	是	是	否
PlateSpin 伺服器存取︰檢視 Web 服務、下載用戶端軟體	是	是	是
PlateSpin 伺服器設定︰編輯用來控制使用者活動記錄及 SMTP 通知的設定	是	否	否
PlateSpin 伺服器設定︰編輯所有伺服器設定，用來控制使用者活動記錄及 SMTP 通知的設定除外	是	是	否
執行診斷︰產生關於工作的詳細診斷報告。	是	是	是
轉換後動作︰新增、更新、刪除	是	是	否

表 2-4 PlateSpin Migrate Web 介面使用者的 PlateSpin Migrate 角色和許可權詳細資料

角色詳細資料	管理員	進階使用者	操作人員
新增工作負載	是	是	否
移除工作負載	是	是	否
設定移轉	是	是	否
準備移轉	是	是	否
執行完整複製	是	是	是
執行增量複製	是	是	是
暫停/恢復排程	是	是	是
測試切換	是	是	是
轉換	是	是	是
中止	是	是	是
設定 (全部)	是	否	否
執行報告/診斷	是	是	是

2.2.2 將 PlateSpin Migrate 角色指定給 Windows 使用者

若要允許特定 Windows 網域或本地使用者根據指定的角色執行特定 PlateSpin Migrate 操作，請將必要的 Windows 網域或使用者帳戶新增至 PlateSpin 伺服器主機上適當的 Windows 本地群組 (PlateSpin 管理員、PlateSpin 進階使用者或 PlateSpin 操作人員)。如需詳細資料，請參閱 Windows 文件。

2.2.3 在 VMware 上設定 PlateSpin Migrate 多租戶功能

PlateSpin Migrate 中包含一些獨特的使用者角色 (以及一個用於在 VMware 資料中心內建立這些使用者角色的工具)，可讓非管理層級的 VMware 使用者 (亦稱為「授權使用者」) 在 VMware 環境中執行 Migrate 生命週期操作。這些角色使您這樣的服務提供商可以將您的 VMware 叢集分段，以實現多租戶功能。即，您的資料中心內可例項化多個 Migrate 容器，以容納不同的 Migrate 客戶或「租戶」，方便這些客戶或租戶將其資料和存在痕跡與其他也在使用您的資料中心的客戶分開存放，並確保其他客戶無法存取。

本節包含以下資訊：

使用工具定義 VMware 角色

PlateSpin Migrate 需要特定的權限以便在 VMware 基礎架構 (即 VMware 容器) 中存取和執行任務，從而使得 Migrate 工作流程和功能可在該環境中執行。由於所需的權限很多，NetIQ 建立了一個檔案來定義最少需要的權限，並將它們分別結集到 3 個 VMware 自定角色中︰

PlateSpin 虛擬機器管理員
PlateSpin 基礎架構管理員
PlateSpin 使用者

這個定義檔，即 PlateSpinRole.xml，包含在 PlateSpin Migrate 伺服器安裝中。隨附的可執行檔 PlateSpin.VMwareRoleTool.exe 會存取該檔案，以使系統能夠在目標 vCenter 環境中建立這些自定 PlateSpin 角色。

本節包含以下資訊：

基本指令行語法

在指令行中，使用以下基本語法從角色工具的安裝位置執行該工具︰

PlateSpin.VMwareRoleTool.exe /host=[host name/IP] /user=[user name] /role=[the role definition file name and location] /create

附註：預設情況下，角色定義檔與角色定義工具位於同一資料夾中。

其他指令行參數和旗標

使用 PlateSpin.VMwareRoleTool.exe 在 vCenter 中建立或更新角色時，可視需要套用以下參數︰

/create	(強制) 建立透過 /role 參數定義的角色
/get_all_prvileges	顯示所有伺服器定義的權限

可選旗標
/interactive	使用可讓您選擇建立單個角色、檢查角色相容性，或列出所有相容角色的 interactive 選項執行工具。
/password=[密碼]	提供 VMware 密碼 (略過密碼提示)
/verbose	顯示詳細資訊

工具用法範例

用法︰PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

產生的操作︰

角色定義工具在 houston_sales vCenter Server 上執行，其上有一個使用者名稱為 pedrom 的管理員。
由於未使用 /password 參數，工具會提示您輸入該使用者密碼。
工具存取角色定義檔 PlateSpinRole.xml，該檔案與工具可執行檔位於同一目錄 (因此前面的指令中無需進一步指定其路徑)。
工具找到該定義檔，並被指示 (/create) 在 vCenter 環境中建立該檔案內容中定義的角色。
工具存取定義檔，並在 vCenter 內建立新角色 (包含針對所定義的受限存取權的適當最少權限)。

這些新的自定角色將於稍後在 vCenter 中被指定給使用者。

(選擇性) 手動在 vCenter 中定義 PlateSpin 角色

您可以使用 vCenter 用戶端手動建立和指定 PlateSpin 自定角色。這就要求您建立具有 PlateSpinRole.xml 中定義的列舉權限的角色。手動建立角色時，角色的名稱沒有限制。唯一的限制就是，您建立的與定義檔中之角色名稱等同的角色名稱必須具有定義檔中的所有適當最少權限。

如需更多如何在 vCenter 中建立自定角色的資訊，請參閱 VMware 技術資源中心內的 Managing VMWare VirtualCenter Roles and Permissions (管理 VMware VirtualCenter 角色和許可權)。

在 vCenter 中指定角色

設定多租戶環境時，需要為每個客戶或「租戶」佈建一個 Migrate 伺服器。您需為此 Migrate 伺服器指定一個具有特殊 Migrate VMware 角色的授權使用者。此授權使用者將會建立 Migrate 容器。做為服務提供商，您需要維護此使用者的身分證明，並且不能將其洩露給您的租戶客戶。

下表列出了您需要為此授權使用者定義的角色。表中還包含有關此角色用途的詳細資訊︰

用於角色指定的 vCenter 容器	角色指定詳細說明	傳播指示	更多資訊
vCenter 庫存樹的根。	為授權使用者指定 PlateSpin 基礎架構管理員 (或同等) 角色。	出於安全考慮，請將許可權定義為不具傳播性。	若要監控 Migrate 軟體正在執行的任務以及結束任何過期的 VMware 工作階段，需要具有此角色。
授權使用者需要在其中進行存取的所有資料中心物件	為授權使用者指定 PlateSpin 基礎架構管理員 (或同等) 角色。	出於安全考慮，請將許可權定義為不具傳播性。	若要存取資料中心的資料儲存以上載或下載檔案，需要具有此角色。請將許可權定義為不具傳播性。
每個要做為容器新增至 Migrate 的叢集，以及叢集中包含的每部主機	為授權使用者指定 PlateSpin 基礎架構管理員 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	若要指定給一部主機，請傳播叢集物件的許可權或另外建立一個針對每部叢集主機的許可權。如果針對叢集物件指定角色並傳播該角色，則在向叢集新增主機時無需再進行變更。不過，傳播此許可權會帶來安全隱患。
授權使用者需要在其中進行存取的每個資源池。	為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	儘管您可以指定對樹中任何位置之任意數量資源池的存取權限，仍必須至少針對一個資源池為授權使用者指定此角色。
授權使用者需要在其中進行存取的每個虛擬機器資料夾	為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	儘管您可以指定對樹中任何位置之任意數量虛擬機器資料夾的存取權限，仍必須至少針對一個資料夾為授權使用者指定此角色。
授權使用者需要在其中進行存取的每個網路。具有 dvSwitch (分散式虛擬交換機) 和 dvPortgroup (分散式虛擬連接埠群組) 的分散式虛擬網路	為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	儘管您可以指定對樹中任何位置之任意數量網路的存取權限，仍必須至少針對一個網路為授權使用者指定此角色。若要為分散式虛擬交換機指定正確的角色，請在資料中心上傳播角色 (這會使得其他物件接收此角色)，或將分散式虛擬交換機置於資料夾內並對該資料夾指定角色。對於將在 Migrate 使用者介面中顯示為可用網路的標準連接埠群組，需在叢集中的每部主機上為其建立定義。
授權使用者需要在其中進行存取的每個資料儲存和資料儲存叢集	為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	必須已針對至少一個資料儲存或資料儲存叢集為授權使用者指定了此角色。對於資料儲存叢集，許可權必須傳播至包含的資料儲存。若不針對叢集的個別成員提供存取權限會導致準備操作和完整複製操作失敗

下表顯示了一些您可以指定給客戶或租戶使用者的角色。

用於角色指定的 vCenter 容器	角色指定詳細說明	傳播指示	更多資訊
將在其中建立客戶的虛擬機器的每個資源池和資料夾。	為租戶使用者指定 PlateSpin 使用者 (或同等) 角色。	是否具有傳播性由 VMware 管理員決定。	此租戶是 PlateSpin Migrate 伺服器上 (同時也是 vCenter Server 上) PlateSpin 管理員群組的成員。如果該租戶將會被授予變更虛擬機器所用資源 (即網路、ISO 影像等) 的能力，請為此使用者授予針對這些資源的必要許可權。例如，若要允許客戶變更其虛擬機器所連接的網路，應為此使用者指定針對所有該客戶可存取之網路的唯讀角色 (或更高角色)。

用於角色指定的 vCenter 容器

角色指定詳細說明

傳播指示

更多資訊

將在其中建立客戶的虛擬機器的每個資源池和資料夾。

為租戶使用者指定 PlateSpin 使用者 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

此租戶是 PlateSpin Migrate 伺服器上 (同時也是 vCenter Server 上) PlateSpin 管理員群組的成員。

如果該租戶將會被授予變更虛擬機器所用資源 (即網路、ISO 影像等) 的能力，請為此使用者授予針對這些資源的必要許可權。例如，若要允許客戶變更其虛擬機器所連接的網路，應為此使用者指定針對所有該客戶可存取之網路的唯讀角色 (或更高角色)。

下圖展示了 vCenter 主控台中的虛擬基礎架構。標為藍色的物件會被指定基礎架構管理員角色。標為綠色的物件會被指定虛擬機器管理員角色。樹中未顯示虛擬機器資料夾、網路和資料儲存。這些物件會被指定 PlateSpin 虛擬機器管理員角色。

圖 2-3 vCenter 中指定的角色

指定 VMware 角色的安全隱患

PlateSpin 軟體僅使用授權使用者來執行保護生命週期操作。從服務提供商的角度而言，終端使用者絕無可能存取授權使用者的身分證明，也不能存取同一組 VMware 資源。在多個 Migrate 伺服器設定為使用同一 vCenter 環境的環境中，Migrate 可防止出現跨用戶端存取的情況。主要的安全隱患如下︰

若將 PlateSpin 基礎架構管理員角色指定給 vCenter 物件，所有授權使用者將都能查看 (但不會影響) 其他每個使用者執行的任務。
這是因為無法設定針對資料儲存資料夾/子資料夾的許可權，因而具有針對某個資料儲存之許可權的所有授權使用者便都可以存取儲存在該資料儲存上的其他所有授權使用者的磁碟。
若將 PlateSpin 基礎架構管理員角色指定給叢集物件，所有授權使用者將都能啟用/關閉針對整個叢集的 HA 或 DRS
若在儲存叢集物件層級指定 PlateSpin 使用者角色，所有授權使用者將都能啟用/關閉針對整個叢集的 SDRS
若針對 DRS 叢集物件設定 PlateSpin 基礎架構管理員角色並傳播此角色，則授權使用者將可查看預設資源池及/或預設虛擬機器資料夾中存放的所有虛擬機器。此外，設定傳播時，還需要管理員針對授權使用者不得存取的所有資源池/虛擬機器資料夾，為授權使用者明確設定「無存取權限」角色。
若針對 vCenter 物件設定 PlateSpin 基礎架構管理員角色，則授權使用者可結束其他任何已連至 vCenter 之使用者的工作階段。

附註：請記住，在這些情境下，不同的授權使用者實際就是 PlateSpin 軟體的不同例項。

2.2.4 設定使用者活動記錄

依預設，PlateSpin Migrate 會將所有使用者活動記錄在 PlateSpin.UserActivityLogging.log 記錄檔案中，該檔案位於 PlateSpin 伺服器主機上的以下目錄中︰

..\PlateSpin Migrate Server\logs。

單個記錄項目的格式如下︰

date|Category|description|user|details1|details2

Category 元素說明適用於特定動作的功能區域，例如 Security、Inventory (探查操作)、LicenseManagement 或 Migration (工作負載可攜性操作)。

details1 和 details2 元素取決於 Category，並可提供其他資訊 (如果適用)。

下面的記錄項目範例記錄網域帳戶為 MyDomain\John.Smith 之使用者的登入動作。

2008-09-02 14:14:47|Security|User logged in|MyDomain\John.Smith

當記錄檔案大小達到指定的值時，它會變換到新檔案並在名稱後附加序號︰

PlateSpin.UserActivityLogging.log.1
PlateSpin.UserActivityLogging.log.2
PlateSpin.UserActivityLogging.log.3

當記錄檔案數目達到指定的值時，每次執行變換時，系統都會從最舊的檔案開始覆寫。

若要啟用或停用使用者活動記錄，以及指定記錄檔案大小和變換選項，請執行以下操作︰

在 PlateSpin Migrate 用戶端中，按一下工具 > 選項。
按一下記錄索引標籤。
指定必要的選項，然後按一下確定。