virt-manager是用于管理KVM虚拟环境的主要工具，默认设置下需要使用root用户才能够使用该工具。当你想在KVM hypervisor服务器上托管虚拟机，由最终用户而非root用户访问这些虚拟机时并不总是很便利。

在某些情况下，通过一些设置就能够很容易避免该问题。如果最终用户需要远程访问某个虚拟机，可能需要为其提供访问虚拟机的安全Shell。这一设置并不复杂，因为不需要给主机授予额外的权限，而且用户只需要以root用户访问自己的虚拟机。然而如果用户需要全面控制虚拟机，包括在virt-manager工具中显示的硬件设置，那么情况就变得有些复杂了。

如果想以非root用户启动virt-manager，可能会返回错误信息，显示由于Policy Kit策略不存在无法访问libvirtd。为使最终用户能够通过libvirtd访问虚拟机，首先需要让用户能够访问libvirtd，需要在libvirtd的配置文件/etc/libvirt/libvirtd.conf中增加如下配置：

unix_sock_group = "libvirt"
unix_sock_rw_perms = "0770"
auth_unix_rw = "none"

virt-manager使用Unix socket访问libvirtd，默认情况下需要有root权限才能够访问socket。在libvirtd.conf文件中增加的第一行改变了默认设置，让libvirtd使用libvirt用户组而非root。接下来需要增加unix_sock_rw_perms参数以确保用户以及用户组对socket具有写权限。增加的第三行表明不再需要进一步认证。

由于配置了libvirt组访问libvirtd正在监听的socket，你还需要创建libvirt用户组，并将用户添加到libvirt组中，操作很简单。

首先，依次输入"groupadd libvirt"和"usermod -aG libvirt user1 user2"命令。这会在libvirt用户组中增加两个用户user1、user2。执行完上面两条命令后，就可以使用user1或user2调用virt-manager了。

最后需要考虑的就是如何访问磁盘镜像文件。默认情况下，磁盘镜像文件存储在/var/lib目录下。你必须变更并告知用户在其根目录下存储虚拟机镜像文件，因为正常情况下用户不具有写权限。

如果不想告诉用户他们需要将磁盘镜像文件所在目录修改为家目录，那么可能要考虑针对/var/lib/images目录增加文件系统访问控制列表。

为配置访问控制列表，首先要检查并查看其是否支持已挂载的文件系统。如果支持，你可以使用下面两个命令增加对/var/lib/libvirtd/images目录的写权限：

setfacl -R -m g:libvirt:rw /usr/lib/libvirt/qemu
setfacl -R -m d:g:libvirt:rw /usr/lib/libvirt/qemu

到目前为止，所有设置已经完成了，最终用户应该能够通过virt-manager管理虚拟机了，然而使用该方法并不能够将KVM环境作为私有云使用。通过virt-manager，用户不止能够看到他们自己的虚拟机，还能够看到其他虚拟机。而且因为libvirtd使用root权限访问虚拟机镜像，对此你毫无办法。但至少你创建了一个配置，用户不需要具备root权限就能够访问虚拟机了。