Red Hat SummitChapitre 6. Organisations multiples
RHN Satellite prend en charge la création et la gestion d'organisations multiples dans une installation Satellite, permettant la division des systèmes, des contenus et des abonnements à travers différentes organisations ou groupes spécifiques. Ce chapitre guide l'utilisateur à travers les étapes d'installation de base et explique les concepts de création de multiples organisations et la gestion dans RHN Satellite.
6.1. Modeler votre Satellite pour une utilisation avec de multiples organisations
Copier lienLien copié sur presse-papiers!
Les exemples suivants décrivent deux scénarios possibles qui utilisent la fonctionnalité multi-org ou « Multiple Organizations ». Installer ou mettre RHN Satellite 5.1 à jour ne requiert pas que vous utilisiez la fonctionnalité multi-org. Vous pouvez créer des organisations supplémentaires sur votre Satellite et commencer à utiliser ces organisations au rythme qui vous convient. Il est conseillé de créer une organisation supplémentaire et de l'utiliser pour la tester auprès d'un petit nombre de systèmes/utilisateurs afin de bien comprendre l'impact d'un Satellite multi-org sur les processus et stratégies de votre organisation.
6.1.1. Satellite géré centralement pour une organisation à départements multiples
Copier lienLien copié sur presse-papiers!
Dans ce premier scénario, RHN Satellite est maintenu par un groupe central d'une entreprise commerciale ou autre organisation (reportez-vous à la Figure 6.1, « Gestion de satellites centralisée pour les organisations Multi-Départements »). L'administrateur du Satellite de l'Organisation 1 (l'organisation administrative créée pendant la configuration du Satellite) traite Organisation 1 (« l'organisation administrative ») en tant que zone de pré-production pour les logiciels, les abonnements système et les droits d'accès.
Les responsabilités de l'administrateur du Satellite incluent la configuration du Satellite (toute tâche disponible sous la section Admin de l'interface web), la création et la suppression des organisations Satellite supplémentaires, et l'alocation ou la suppression des abonnements ou droits d'accès aux systèmes et logiciels.
Les organisations supplémentaires dans cet exemple sont mappées vers des départements dans une compagnie. Une manière permettant de décider à quel niveau diviser les divers départements d'une organisation consiste à penser à la logique qui guide l'achat des abonnements et droits d'accès RHN Satellite par les divers départements. Pour maintenir un contrôle central sur les organisations du Satellite, créez un compte d'administrateur d'organisation pour chaque organisation créée par la suite, de façon à ce que vous puissiez accéder à cette organisation à tout moment.
Figure 6.1. Gestion de satellites centralisée pour les organisations Multi-Départements
6.1.2. Gestion décentralisée d'organisations tierces multiples
Copier lienLien copié sur presse-papiers!
Dans cet exemple, le Satellite est maintenu par un groupe central, mais chaque organisation est traitée séparément sans aucune relation ou lien vers d'autres organisations du Satellite. Chaque organisation peut correspondre à un client du groupe qui gère l'application Satellite lui-même.
Tandis qu'un Satellite consistant en un groupe de sous-organisations, qui font toutes partie de la même entreprise, pourrait être un environnement qui tolérerait mieux les systèmes partagés et les contenus entre les organisations; dans cet exemple décentralisé, le partage est moins tolérable. Les administrateurs peuvent allouer des droits d'accès, dans une certaine mesure, pour chaque organisation. Chaque organisation aura accès à tous les contenus Red Hat synchronisés au Satellite si l'organisation possède des droits d'accès au contenu du canal de logiciel.
Cependant, si une organisation pousse le contenu vers leur organisation, ce contenu ne sera pas disponible à d'autres organisations. Vous ne pouvez pas fournir de contenu personnalisé, qui serait disponible à toutes ou à certaines organisations, sans renvoyer le contenu vers chaque organisation.
Dans ce scénario, les administrateurs de Satellite souhaitent peut-être réserver un compte pour que chaque organisation pour avoir un accès à la connexion. Ainsi, si vous utilisez Satellite pour fournir des services d'hébergement gérés à des parties externes, vous pourriez réserver un compte pour vous-même, afin de pouvoir accéder aux systèmes de cette organisation et d'envoyer un contenu.
Figure 6.2. Gestion satellite décentralisée pour organisations à départements multiples
6.1.3. Conseils généraux pour l'utilisation de Multi-Org
Copier lienLien copié sur presse-papiers!
Quel que soit le modèle spécifique que vous avez pu choisir pour la gestion de votre Satellite multi-org, les conseils suivants peuvent vous être utiles.
Il n'est pas recommandé d'utiliser l'organisation administrative (organisation #1) pour enregistrer des systèmes et créer des utilisateurs dans tous les cas de figure, à moins que vous ayez l'intention d'utiliser Satellite en tant que Satellite à organisation unique ou que vous soyez en cours de processus de migration d'un Satellite à une seule organisation vers un Satellite à organisations multiples. Cela est dû aux raisons suivantes :
- L'organisation administrative est un cas spécial pour les droits d'accès. Vous pouvez ajouter ou supprimer des droits d'accès à cette organisation, tout simplement en les supprimant ou en les ajoutant à partir des autres organisations sur le Satellite.
- L'organisation administrative a pour but d'opérer en tant que zone d'accueil ou de pré-production pour les abonnements et les droits d'accès. Quand vous associez le Satellite à un nouveau certificat, tout nouveau droit d'accès sera concédé à l'organisation par défaut. Pour que ces droits d'accès soient disponibles à d'autres organisations sur le Satellite, vous aurez besoin d'allouer ces droits d'accès explicitement aux autres organisations à partir de l'organisation administrative.
6.1.3.1. Le certificat a moins de droits d'accès que ceux que j'utilise
Copier lienLien copié sur presse-papiers!
Si vous recevez un nouveau certificat de Satellite et qu'il contienne moins de droits d'accès que ceux que les systèmes de l'organisation de votre Satellite consomment, vous ne serez pas en mesure de pouvoir activer ce nouveau certificat quand vous le téléchargerez par l'interface web du Satellite sous Admin ⇒ Configuration Satellite ⇒ Certificat, par le profil http://rhn.redhat.com du système Satellite sous l'onglet Satellite, ou en exécutant la commande
rhn-satellite-activate. Vous trouverez une erreur indiquant qu'il n'y a pas suffisamment de droits d'accès dans le certificat.
Il y a plusieurs façons de réduire l'utilisation des droits d'accès Satellite pour pouvoir activer votre nouveau certificat. Red Hat recommande que vous évaluez chaque utilisation de droit d'accès au Satellite pour chaque organisation, et décidiez quelles organisations pourraient abandonner quelques droits d'accès tout en continuant de fonctionner correctement. Vous pourrez alors contacter chaque administrateur d'organisation directement et leur demander de supprimer ou de retirer le droit d'accès des profiles système de tout système superflus dans leurs organisations. Si vous possédez un accès à la connexion de ces organisations, vous pouvez faire ceci vous-même. Connecté en tant qu'administrateur Satellite, vous ne pourrez pas réduire le nombre de droits d'accès alloués à une organisation sous le nombre de droits d'accès que l'organisation a activement associé aux profils systèmes.
Il existe des situations pour lesquelles vous aurez besoin de libérer des droits d'accès, avec peu de temps à votre disposition, et vous n'aurez peut-être pas accès à chaque organisation pour le faire vous-même. Il y a une option dans Multi-Org Satellites qui permet à l'administrateur Satellite de diminuer le nombre de droits d'accès, en dessous de leur niveau d'utilisation. Cette méthode doit être effectuée à partir de l'organisation administrative.
Par exemple, une fois dans votre organisation administrative, si votre certificate est à court de 5 titres de gestion de système pour pouvoir couvrir tous les systèmes enregistrés sur votre Satellite, les 5 systèmes qui ont été enregistrés le plus récemment pour cette organisation, perdront leurs droits d'accès. Ce processus est décrit ci-dessous :
- Dans le fichier
/etc/rhn/rhn.conf, fixez web.force_unentitlement=1 - Redémarrez le Satellite
- Réduisez les droits d'accès alloués aux organisations souhaitées, soit par les onglets Subscriptions(abonnements) de chaque organisation, ou soit par les onglets Organizations de chaque droit d'accès individuel.
- Un certain nombre de systèmes de l'organisation devraient maintenant être dans l'état unentitled (perte des droits d'accès). Le nombre de systèmes sans droits d'accès, dans cette organisation, doit être égal à la différence entre le nombre total de droits d'accès que vous avez supprimé pour cette organisation, et le nombre de droits d'accès qui ne s'appliquaient pas aux systèmes pour cette organisation.Ainsi, si vous supprimez 10 droits d'accès de l'organisation au niveau de la 3ème étape, et que l'organisation possède 4 droits d'accès qui n'étaient pas utilisés par les systèmes, alors il y aura 6 systèmes dépourvus de droits d'accès dans cette organisation.
Une fois que vous aurez le nombre de droits d'accès requis, vous serez alors en mesure d'activer votre nouveau certificat de Satellite. Remarquez bien qu'en modifiant la variable
web.force_unentitlement, vous ne ferez que diminuer les droits d'accès alloués à une organisation donnée, en dessous du niveau d'utilisation. Si une organisation possède plus de droits d'accès qu'elle n'en utilise, vous n'aurez pas besoin de paramétrer cette variable pour les supprimer.
6.1.3.2. Le certificat possède plus de droits d'accès que je n'utilise
Copier lienLien copié sur presse-papiers!
Si on vous donne un nouveau certificat de Satellite et qu'il comprend plus de droits d'accès que le nombre de droits d'accès consommé par votre Satellite, tout droit d'accès supplémentaire sera assigné à l'organisation administrative. Si vous vous connectez à l'interface web en tant qu'administrateur de Satellite, vous serez alors en mesure d'allouer ces droits d'accès à d'autres organisations. Les droits d'accès précédemment alloués à d'autres organisations ne seront pas affectés.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}