Administrator-Partition
Eine Citrix ADC-Appliance kann in logische entiys partitioniert werden, die als Admin-Partitionen bezeichnet werden Jede Partition kann konfiguriert and als分开Citrix ADC-Appliance verwendet werden。德国的自由之路,德国的自由之路,德国的自由之路
Eine partitionierte Citrix ADC-Appliance verfügt über Eine einzelne Standardpartition und Eine oder mehere Admin-Partitionen。Die folgende Tabelle enthält weitere细节zu den beiden分区风格:
Hinweis:
在einer partitionerten Appliance kanann der Modus bridgepdu nur der Standardpartition and nicht In den Administratorpartitionen aktiviert werden。
Verfugbarkeit:
模具思杰adc -电器用隔板,模具标准隔板。Die Standardpartition wid auch nach der Partitionierung der Citrix ADC-Appliance beibehalten。
Muss explizit erstellwerden, wie untererAdmin-Partitionen konfigurierenbeschrieben。
Anzahl der Partitionen:
静脉
Eine Citrix ADC-Appliance kann Eine oder mehere (maximum 512) Admin-Partitionen haben。
Benutzerzugriff和rolen:
Alle Citrix ADC-Benutzer,晚安partitionsspezifischenBefehlsrichtlinie verknüpft sind, können auf die标准分区zugreifen und diese konfigurieren。Wie immer schränkt die zugehörige Befehlsrichtlinie die Vorgänge ein, die ein Benutzer ausführen kann。
Der Benutzerzugriff und die Rollen werden von Citrix ADC Superusers erstellt, die auch die Benutzer für diese Partition angelben。Nur Superuser und zugehörige Benutzer der Partition können auf die Admin-Partition zugreifen und diese konfigurieren。
Hinweis:
Partitionsbenutzer haben keinen Shell-Zugriff。
Datei-Struktur:
Alle Dateien in einer Standardpartition werden in der standardmäßigen Citrix ADC-Dateistruktur gespeichert。
Das Verzeichnis/ nsconfigspeichert beispielsweise die Citrix ADC-Konfigurationsdatei und das Verzeichnis/var/log/speichert die Citrix ADC-Protokolle
在管理分区上的错误,在管理分区上的错误。
Beispielsweise wid die Citrix adc - konfigationsdatei (ns.conf) im/ nsconfig /分区/ < partitionName >Verzeichnis gespeichert。Andere partitionsspezifische Dateien werden在书房/var/partitions/ < partitionName >Verzeichnissen gespeichert。
einer Admin-Partition:
- Heruntergeladene Dateien:
/var/partitions/ < partitionName > /下载/ - Log-Dateien:
/var/partitions/ < partitionName > /日志/
Hinweis:
Derzeit bird die原kollierung auf Partitionsebene nht unterstützt。Daher ist dieses Verzeichnis leer and alle Protokolle werden im
/var/log/Verzeichnis gespeichert。
- Dateien im Zusammenhang mit SSL-CRL-Zertifikat:
/var/partitions/ < partitionName > / netscaler / ssl
Verfugbare Ressourcen:
Alle Citrix adc资源。
Citrix adc - resourcen, die explizit der Admin-Partition zugewiesen sind。
Benutzerzugriff和rolen
Citrix ADC-Appliance kann in Root-Administrator einer order meherren Partitionen einen Partitionsadministrator zuweisen。Der Partitionsadministrator kann Benutzer für diese Partition autorisieren, onhne andere Partitionen zu beeinträchtigen。Die Partitionsbenutzer sind berechtigt, nur über Die SNIP-Adresse auf diese Partition zuzugreifen。Sowohl der Root-Administrator als auch der Partitionsadministrator können den rollenbasierten Zugriff (RBA konfigurieren, indem Benutzer für den Zugriff auf verschiedene Anwendungen autorisiert werden。
管理员和benutzerrolen können wie folgt beschrieben werden:
root管理员。礼品über ihre nsip - address auf die partitionerte设备和设备Benutzer Zugriff auf eine oder mehere Partitionen gewähren。Der Administrator kann auch Partitionsadministratoren einer oder mehren Partitionen zuweisen。Der Administrator kann einen Partitionsadministrator von Der Standardpartition mithileiner nsip - address erstellenderzu einer Partition wechseln and dann einen Benutzer erstellenenpartitionsadministratorzugriff mit einer snip - address zuweisen。
Partitions-Administrator.Greift über eine vom Root-Administrator zugewiesene nsip - address auf die angegebene Partition zu。Der Administrator kann rollenbasierten Zugriff auf den Partitionsbenutzerzugriff auf diese Partition zuweisen und auch die externe Serverauthentifizierung mithilife einer partitionsspezifischen konfigurieren。
Systembenutzer。Greift über die NSIP-Adresse auf Partitionen zu。Hat Zugriff auf die vom根管理员angegebenen分区和资源。
Benutzer partitionieren.Greift über eine snip - address auf eine Partition zu。Das Benutzerkonto wid vom Partitionsadministrator erstellund under Benutzer hat Zugriff auf resource, nur inhalb der Partition。
Wichtige Punkte
我的天堂aufgeführt, die Sie beim Bereitstellen eines rollenbasierten Zugriffs在einer Partition beachten sollten。
- Citrix ADC-Benutzer, die über die nsip - address auf die GUI zugreifen, verwenden die standard - partitionsauthentifizierungskconfiguration, um siich bei der Appliance anzumelden。
- Benutzer von Partitionssystemen, die über eine partitions - snip - address auf die GUI zugreifen, verwenden eine partitionsspezifische authentifizierungskconfiguration, um sich bei der Appliance anzumelden。
- Der in einer Partition erstellte Partitionsbenutzer kann siich niht mit Der nsip - address anmelden。
- Der a eine Partition gebundene Citrix ADC-Benutzer kann siich niht Der snip - address Der Partition and melden。
- Systembenutzer, die sich über einen externen Authentifizierungsserver authentifizieren (z. B. LDAP, RADIUS, TACACS), müssen über eine snip - address auf eine Partition zugreifen。
Anwendungsfall für die Verwaltung des rollenbasierten Zugriffs in einem partitionierten Setup
Betrachten Sie in Szenario, in dem eine Unternehmensorganisation www.example.com mehere Geschäftseinheiten und einen zentralisierten Administrator hat, der alle Instanzen in ihrem Netzwerk verwaltet。Sie möchten jedoch独家Benutzerberechtigungen und -umgebungen für jede Geschäftseinheit bereitstellen。
Im Folgenden finden Sie die Administratoren und Benutzer, die von der standard配置für die Partitionsauthentifizierung und partitionenspezifische配置在einer partitionierten Appliance verwaltet
约翰:root管理员
乔治:Partitionsadministrator
亚当:Systembenutzer
简:Partitions-Benutzer
John, ist der Root-Administrator einer partitioniten Citrix ADC-Appliance。John verwaltet allle Benutzerkonten和Administratorbenutzerkonten über Partitionen (z. B. P1, P2, P3, P4和P5)内halb der Appliance。John bietet granularen rollenbasierten Zugriff auf Entitäten von der Standardpartition der Appliance。John erstellt Benutzerkonten和weist jedem Konto Partitionszugriff zu。乔治,在网上工作的人,在组织机构,在分区P2 ausgeführt werden。Basierend auf der Benutzerverwaltung erstellt John eine Partitionsadministratorrolle für George und verknüpft sein Benutzerkonto mit einer Partition-Admin-Befehlsrichtlinie in der P2-Partition。Adam ist in weiterer Netzwerkingenieur, zieht es vor, auf eine Anwendung zuzugreifen, die auf P2 ausgeführt奇怪。John erstellt ein Systembenutzerkonto für Adam und verknüpft sein Benutzerkonto einer P2-Partition。Sobald das kononto erstellwurde, konann sich Adam bei der Appliance anmelden,嗯über die nsip - address auf die Citrix dc - verwaltungsschnittstelle zuzugreifen, und konann basierend auf der Benutzer-/Gruppenbindung zur Partition P2 wechseln。
Angenommen, Jane, die eine andere Netzwerkingenieurin ist, möchte direkt auf eine Anwendung zugreifen, die nur auf der Partition P2 ausgeführt wid, George (Partitionsadministrator) kann ein Partitionsbenutzerkonto für sie erstellen und ihr Konto mit Befehlsrichtlinien für Autorisierungsberechtigungen verknüpfen。Janes Benutzerkonto, das in der Partition erstellwurde, ist jet直接mit P2 verknüpft。Jetzt kann Jane über die SNIP-Adresse auf die Citrix ADC-Verwaltungsschnittstelle zugreifen und kann nicht zu einer anderen分区我们。
Hinweis:
Wenn Janes Benutzerkonto von einem Partitionsadministrator in der Partition P2 erstellwd, kann der Administrator nur über die SNIP-Adresse (die inhalb der Partition erstellwurde) auf die Citrix ADC-Verwaltungsschnittstelle zugreifen。Dem Administrator ist es niht gestattet, über die NSIP-Adresse auf die Schnittstelle zuzugreifen。Ebenso, wenn Adams Benutzerkonto von einem Root-Administrator in der Standardpartition erstell and eine P2-Partition gebunden ist。Der Administrator kann auf die Citrix ADC-Verwaltungsschnittstelle nur über die NSIP-Adresse oder SNIP-Adresse zugreifen, die in Der Standardpartition erstellt wurde (mit aktiviertem Verwaltungszugriff)。Und es ist nicht gestattet, über die in der Administratorpartition erstellte SNIP-Adresse auf die Partitionsoberfläche zuzugreifen。
Konfigurieren von rolen und Zuständigkeiten für Partitionsadministratoren
Im Folgenden finden Sie die konfigationen, die von einem Root-Administrator in einer Standardpartition durchgeführt werden。
Erstellen von Administratorpartitionen und Systembenutzern -在标准分区设备下的根管理员erstelladministratorpartitionen und Systembenutzer。Der Administrator verknüpft die Benutzer dann verschiedenpartitionen。这是我们的分区,können我们的分区,这是我们的分区。Außerdem野生Ihr Zugriff auf eine oder mehere gebundene Partitionen nur vom根管理员autorisiert。
Autorisieren des Systembenutzers als Partitionsadministrator für eine bestimmte Partition - Sobald in Benutzerkonto erstellt wurde, wechselt der Root-Administrator zu einer bestimmten Partition und autorisiert den Benutzer als Partitionsadministrator。die geschieht durch Zuweisen der Partition-Admin-Befehlsrichtlinie dem Benutzerkonto。Jetzt kann der Benutzer als Partitionsadministrator auf die Partition zugreifen und Entitäten innerhalb der Partition verwalten。
Im Folgenden finden Sie die konfigationen, die von einem Partitionsadministrator in einer administrven Partition durchgeführt werden。
Konfigurieren der snip - address in einer Administratorpartition- der Partitionsadministrator meldet siich in Partition and erstelline snip - address and bietet Verwaltungszugriff auf die address。
Erstellen und Binden eines Partitionssystembenutzers mit Partitionsbefehlsrichtlinie - Der Partitionsadministrator erstellt Partitionsbenutzer und definiert den Umfang des Benutzerzugriffs。Benutzerkontos和partitionsbefehlsrichtlinen。
Erstellen und Binden einer Partitionssystem-Benutzergruppen mit Partitionsbefehlsrichtlinie -Der Partitionsadministrator erstellt Partitionsbenutzergruppen und definiert den Umfang des Zugriffs auf Benutzergruppen。Benutzergruppenkontos和Partitionsbefehlsrichtlinien。
Konfigurieren der externen Serverauthentifizierung für externe Benutzer(可选)-Diese Konfiguration dient zur Authentifizierung externer TACACS-Benutzer, die mit der snip - address auf die Partition zugreifen。
Im Folgenden werden die Aufgaben aufgeführt, die beim Konfigurieren des rollenbasierten Zugriffs für Partitionsbenutzer in einer Administratorpartition ausgeführt werden
- Erstellen einer administrative Partition - Bevor Sie Partitionsbenutzer in einer Administratorpartition Erstellen, müssen Sie zuerst die Partition Erstellen。Als Root-Administrator können Sie mit dem配置程序命令Befehlszeilenschnittstelle eine分区标准分区。
- Benutzerzugriff von der Standardpartition auf Partition P2 wechseln - Wenn Sie Partitionsadministrator von der Standardpartition aus auf die Appliance zugreifen, können Sie von der Standardpartition zu einer bestimmten Partition wechseln。Partitionieren Sie beispielsweise P2 basierend auf Benutzerbindung。
- Hinzufügen einer SNIP-Adresse zum分区- benutzerkonto mit aktiviertem Verwaltungszugriff - nachdem Sie Ihren Zugriff auf eine行政分区umgestellt haben。Sie erstellen eine snip - address und gewähren Verwaltungszugriff auf die address。
- Erstellen und Binden eines Partitionssystembenutzers mit Partitionsbefehlsrichtlinie - Wenn Sie ein Partitionsadministrator sind, können Sie Partitionsbenutzer Erstellen und den Umfang des Benutzerzugriffs definieren。Benutzerkontos和partitionsbefehlsrichtlinen。
- Erstellen und Binden von Partitionsbenutzergruppen mit Partitionsbefehlsrichtlinie - Wenn Sie ein Partitionsadministrator sind, können Sie Partitionsbenutzergruppen Erstellen und den Umfang der Benutzerzugriffssteuerung definieren。Benutzergruppenkontos和Partitionsbefehlsrichtlinien。
Konfigurieren der externen Serverauthentifizierung für externe Benutzer(可选)-Diese Konfiguration dient zur Authentifizierung externer TACACS-Benutzer, die mit einer snip - address auf die Partition zugreifen。
Vorteile der Verwendung von Admin-Partitionen
Sie können die folgenden Vorteile nutzen, indem Sie Admin-Partitionen für Ihre Bereitstellung verwenden:
- Ermöglicht关于世界各地的问题。
- 对数据特征的修正,对数据特征的修正和对数据特征的修正。
- Schützt vor ungerechtfertigten Konfigurationsänderungen。在einer nicht partitionierten Citrix ADC-Appliance können autorisierte Benutzer der anderen Anwendung absichtlich oder unbeabsichtigt Konfigurationen ändern, die für Ihre Anwendung erforderlich sind。Es kann zu unerwünschtem Verhalten führen。Diese Möglichkeit ist in einer partitionierten Citrix ADC-Appliance reduziert。
- Isoliert den Datenverkehr zwischen verschiedenen Anwendungen durch Verwendung dedizierter vlan für jede分区。
- Beschleunigt und ermöglicht die Skalierung von Anwendungsbereitstellungen。
- Ermöglicht在安文登斯贝尼特的火山上。
Lassen Sie uneiinige Fälle analysieren,嗯die Szenarien zu versteen, in denen Sie Admin-Partitionen verwenden können。
Anwendungsfall 1: Wie Admin-Partition in einem Unternehmensnetzwerk verwendet wid
背信于人的地方,就是他们的世界Foo.comgegenubersteht。
- Foo.com帽子einen einzigen Citrix ADC。
- Es gibt fünf Abteilungen und jede Abteilung hat eine Anwendung, die mit dem Citrix ADC bereitgestellt werden muss。
- 德国,德国,德国,德国,德国,德国,德国,德国,德国,德国,德国,德国。
- 安德雷·贝努策müssen vom Zugriff auf die Konfigurationen ausgeschlossen werden。
- Die Anwendung oder das后端muss资源wie ip - address teilen können。
- Die global IT-Abteilung muss in der Lage sein, Einstellungen auf Citrix ADC-Ebene zu steuern, Die allen Partitionen gemeinsam sein müssen。
- Die Anwendungen müssen unabhängig voneinander sein。我在费勒和我的外形上,我在安文东,晚上,我在那里,我在那里。
Ein nicht partitionierter Citrix ADC könnte diese Anforderungen nicht erfüllen。Sie können jedoch all diese Anforderungen erfüllen, indem Sie einen Citrix ADC partitionieren。
Erstellen Sie einfach eine Partition für jede der Anwendungen, weisen Sie den Partitionen die erforderlichen Benutzer zu, geben Sie für jede Partition ein VLAN an und definieren Sie global Einstellungen auf der Standardpartition。
Anwendungsfall 2: Wie eine Admin-Partition von einem Dienstanbieter verwendet wid
背信于人的地方,就是他们的地方BigProvidergegenubersteht:
- BigProvider帽5 Kunden: 3 kleine Unternehmen和2 große Unternehmen。
- SmallBiz,SmallerBiz和StartupBizbenötigen nur die grundlegendste Citrix ADC-Funktionalität。
- BigBiz和LargeBiz信德größere未被发现和被发现的人,死去的人。Sie möchten einige der komplexen Citrix ADC-Funktionalität nutzen。
In einem nicht partitionierten Ansatz würde der Citrix ADC- administrator normalerweise eine Citrix ADC SDX-Appliance verwenden und für jeden Kunden eine Citrix ADC- instanz bereitstellen。
死Lösung过去祖BigBiz和LargeBiz, da ihre Anwendungen die unverminderte Leistungsfähigkeit der gesamten nicht partitionierten Citrix ADC-Appliance benötigen。Diese Lösung ist jedoch möglicherweise nicht so kostengünstig für die Wartung vonSmallBiz,SmallerBiz和StartupBiz.
大刀entscheidetBigProviderfür folgende Lösung:
- Verwenden einer Citrix ADC SDX-Appliance zum Aufrufen dedizierter Citrix ADC- instanzen fürBigBiz和LargeBz.
- Verwenden eines einzelnen Citrix ADC, der in drei Partitionen partitioniert ist,珠宝eine fürSmallBiz,SmallerBiz和StartupBiz.
Der Citrix ADC管理员(超级用户)erstelleine Admin-Partition für jeden dieser Kunden und gibt die Benutzer für die Partitionen an。Gibt auch die Citrix adc - resource für die Partitionen an and Gibt das VLAN an, das von dem Datenverkehr verwendet werden soll, der für jede der Partitionen bestimmt ist。
在diesem Artikel
- Benutzerzugriff和rolen
- Wichtige Punkte
- Anwendungsfall für die Verwaltung des rollenbasierten Zugriffs in einem partitionierten Setup
- Konfigurieren von rolen und Zuständigkeiten für Partitionsadministratoren
- Vorteile der Verwendung von Admin-Partitionen
- Anwendungsfall 1: Wie Admin-Partition in einem Unternehmensnetzwerk verwendet wid
- Anwendungsfall 2: Wie eine Admin-Partition von einem Dienstanbieter verwendet wid