Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

RHEL Web コンソールでシステムを管理する

Red Hat Enterprise Linux 10

グラフィカルな Web ベースのインターフェイスによるサーバー管理

Red Hat Customer Content Services

概要

RHEL Web コンソールは、アップストリームの Cockpit プロジェクトに基づいた Web ベースのグラフィカルインターフェイスです。これを使用すると、systemd サービスの検査と制御、ストレージの管理、ネットワークの設定、ネットワークの問題の分析、ログの検査などのシステム管理タスクを実行できます。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 RHEL Web コンソールを使用する
リンクのコピー

RHEL Web コンソールを使用してシステムをインストール、設定、監視する方法を学習します。このグラフィカルインターフェイスにより、ログ、ストレージ、リモートホストの管理などの一般的な管理タスクが簡素化されます。

1.1. RHEL Web コンソールの概要
リンクのコピー

RHEL Web コンソールは、ネットワーク環境内のローカルシステムと Linux サーバーを管理および監視するための Web ベースのグラフィカルインターフェイスです。

Mozilla Firefox ブラウザーの RHEL Web コンソール (概要ページ)

RHEL Web コンソールでは、次のような幅広い管理タスクを実行できます。

  • サービスの管理
  • ユーザーアカウントの管理
  • システムサービスの管理および監視
  • ネットワークインターフェイスおよびファイアウォールの設定
  • システムログの確認
  • 仮想マシンの管理
  • 診断レポートの作成
  • カーネルダンプ設定の設定
  • SELinux の設定
  • ソフトウェアの更新
  • システムサブスクリプションの管理

Web コンソールは、コマンドラインと同じシステムツールを使用します。ターミナルで設定を変更すると、Web コンソールが即座に更新されます。いつでも Web インターフェイスとターミナルを切り替えることができます。

ネットワーク環境内のシステムのログとパフォーマンスをグラフィカル形式で監視することもできます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。

1.2. Web コンソールのインストールおよび有効化
リンクのコピー

RHEL Web コンソールにアクセスするには、最初に cockpit.socket サービスを有効にします。RHEL 10 では、多くのインストール方法で、Web コンソールがデフォルトでインストールされます。ご使用のシステムがこれに該当しない場合は、cockpit パッケージをインストールしてから .socket サービスを有効にしてください。

手順

  1. Web コンソールがインストールバリアントにデフォルトでインストールされていない場合は、cockpit パッケージを手動でインストールします。 

    # dnf install cockpit

  2. 必要に応じて、Web サーバーを実行する cockpit.socket サービスを有効にして起動します。 

    # systemctl enable --now cockpit.socket

  3. Web コンソールがインストールバリアントにデフォルトでインストールされておらず、カスタムのファイアウォールプロファイルを使用している場合は、cockpit サービスを firewalld に追加して、ファイアウォールの 9090 番ポートを開きます。 

    # firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --reload

検証

1.3. Web コンソールへのログイン
リンクのコピー

cockpit.socket サービスが実行中で、対応するファイアウォールポートが開いている場合、ブラウザーで Web コンソールに初めてログインできます。

前提条件

  • 次のブラウザーのいずれかを使用して Web コンソールを開いている。

    • Mozilla Firefox 52 以降
    • Google Chrome 57 以降
    • Microsoft Edge 16 以降

  • システムユーザーアカウントの認証情報

    RHEL Web コンソールは、/etc/pam.d/cockpit にある特定のプラグ可能な認証モジュール (PAM) スタックを使用します。デフォルト設定では、システム上の任意のローカルアカウントのユーザー名とパスワードを使用してログインできます。

  • ファイアウォールでポート 9090 が開いている。

手順

  1. Web ブラウザーに次のアドレスを入力して Web コンソールにアクセスします。 

    https://localhost:9090
    注記

    これにより、ローカルマシン上で Web コンソールログインが可能になります。リモートシステムの Web コンソールにログインする場合は、リモートマシンから Web コンソールに接続する セクションを参照してください。

    自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可して、ログインを続行します。

    コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面で、システムユーザー名とパスワードを入力します。

  3. Log In をクリックします。

    認証に成功すると、RHEL Web コンソールインターフェイスが開きます。

1.4. Web コンソールでの管理者アクセス
リンクのコピー

RHEL Web コンソールで管理者アクセス権を取得して、サービス、ユーザー、ネットワークの管理など、昇格された権限を必要とする特権タスクを実行できます。

通常のユーザーアカウントで初めてログインすると、Web コンソールはアクセスが制限された状態で起動します。アクセスが制限されている場合、設定を表示することはできますが、パッケージのインストールなど、管理者特権を必要とするアクションを実行することはできません。

管理タスクを実行するには、Web コンソールページの上部パネルで Limited access をクリックします。管理者アクセスを取得するには、システムへの sudo アクセス権が必要で、ユーザーパスワードを入力する必要があります。その時点から、Web コンソールで管理者アクセス権を使用でき、ユーザーセッション全体でこの設定が保持されます。

制限付きアクセスに戻すには、Web コンソールページの上部パネルで Administrative access をクリックします。

重要

RHEL Web コンソールは、セキュリティー上の理由から、デフォルトで root アカウントのログインを許可しません。root としてログインする代わりに、管理者アクセスを使用します。root としてログインする必要がある場合は、root ユーザーとしてリモートマシンから Web コンソールに接続する を参照してください。

1.5. Web コンソールでの基本認証の無効化
リンクのコピー

Kerberos などのより強力な認証方法を適用するには、RHEL Web コンソールの基本認証を無効にします。cockpit.conf ファイルでこの設定を設定して、デフォルトのセキュリティー動作を上書きできます。

none アクションを使用して認証方式を無効にし、GSSAPI とフォームによる認証のみを許可します。

前提条件

手順

  1. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開くか、作成します。次に例を示します。 

    # vi cockpit.conf

  2. 次のテキストを追加します。 

    [basic]
action = none
  3. ファイルを保存します。

  4. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit

1.6. リモートマシンから Web コンソールへの接続
リンクのコピー

Web コンソールインターフェイスには、クライアントオペレーティングシステムだけでなく、携帯電話やタブレットからも接続できます。

前提条件

  • 対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。

    • Mozilla Firefox 52 以降
    • Google Chrome 57 以降
    • Microsoft Edge 16 以降

  • インストール済みのアクセス可能な Web コンソールを使用してアクセスする RHEL 10 システム。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

手順

  1. Web ブラウザーを開きます。

  2. リモートサーバーのアドレスを次のいずれかの形式で入力します。

    1. サーバーのホスト名: 

      https://<server.hostname.example.com>:<port-number>

      以下に例を示します。 

      https://example.com:9090

    2. サーバーの IP アドレスを使用する場合: 

      https://<server.IP_address>:<port-number>

      以下に例を示します。 

      https://192.0.2.2:9090
  3. ログインインターフェイスが開いたら、RHEL システムの認証情報を使用してログインします。

1.7. root ユーザーとしてリモートマシンからの Web コンソールへの接続
リンクのコピー

RHEL Web コンソールに root ユーザーとして接続して、リモートホストの完全な管理権限を取得できます。この特権接続には、パスワードではなく SSH キーを必ず使用してください。

RHEL 9.2 以降の新規インストールでは、セキュリティー上の理由から、RHEL Web コンソールはデフォルトで root アカウントのログインを許可しません。/etc/cockpit/disallowed-users ファイルで root ログインを許可できます。

前提条件

手順

  1. /etc/cockpit/ ディレクトリーにある disallowed-users ファイルを任意のテキストエディターで開きます。次に例を示します。 

    # vi /etc/cockpit/disallowed-users

  2. このファイルを編集して、root ユーザーの行を削除します。 

    # List of users which are not allowed to login to Cockpit root
  3. 変更を保存し、エディターを終了します。

検証

1.8. ワンタイムパスワードを使用した Web コンソールへのログイン
リンクのコピー

セキュリティーを強化するために、ワンタイムパスワード (OTP) を使用して RHEL Web コンソールにログインします。OTP が有効になっている IdM ドメインでこの 2 要素認証方法を使用できます。

重要

ワンタイムパスワードを使用してログインできるのは、OTP 設定が有効な Identity Management (IdM) ドメインに、お使いのシステムが含まれる場合のみです。

前提条件

  • RHEL 10 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • Identity Management サーバーで OTP 設定を有効しておく。
  • OTP トークンを生成する設定済みのハードウェアまたはソフトウェアのデバイス

手順

  1. ブラウザーで RHEL Web コンソールを開きます。

    • ローカルの場合 - https://localhost:9090
    • リモートでサーバーホスト名を使用する場合 - https://example.com:9090

    • リモートでサーバー IP アドレスを使用する場合: https://EXAMPLE.SERVER.IP.ADDR:9090

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
  3. デバイスでワンタイムパスワードを生成します。
  4. パスワードを確認した後、Web コンソールインターフェイスに表示される新しいフィールドにワンタイムパスワードを入力します。
  5. Log in をクリックします。
  6. ログインに成功すると、Web コンソールインターフェイスの Overview ページに移動します。

1.9. ログインページへのバナーの追加
リンクのコピー

RHEL Web コンソールのログインページにカスタムバナーを追加できます。これにより、ユーザーがシステムにログインする前に、重要なセキュリティー警告や法的通知を表示できるようになります。

前提条件

手順

  1. 任意のテキストエディターで /etc/issue.cockpit ファイルを開きます。 

    # vi /etc/issue.cockpit

  2. バナーとして表示するコンテンツをファイルに追加します。次に例を示します。 

    This is an example banner for the RHEL web console login page.

    ファイルにマクロを含めることはできませんが、改行と ASCII アートは使用できます。

  3. ファイルを保存します。

  4. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開きます。次に例を示します。 

    # vi /etc/cockpit/cockpit.conf

  5. 以下のテキストをファイルに追加します。 

    [Session]
Banner=/etc/issue.cockpit
  6. ファイルを保存します。

  7. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit

検証

  • Web コンソールのログイン画面を再度開き、バナーが表示されていることを確認します。

    Example banner

1.10. Web コンソールでの自動アイドルロックの設定
リンクのコピー

Web コンソールインターフェイスを使用して、自動アイドルロックを有効にし、システムのアイドルタイムアウトを設定できます。これにより、一定時間操作が行われないと画面が自動的にロックされ、システムが不正アクセスから保護されます。

前提条件

手順

  1. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開きます。次に例を示します。 

    # vi /etc/cockpit/cockpit.conf

  2. 以下のテキストをファイルに追加します。 

    [Session]
IdleTimeout=<X>

    <X> は、任意の期間の数値 (分単位) に置き換えます。

  3. ファイルを保存します。

  4. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit

検証

  • 設定の期間後にセッションがログアウトされているかどうかを確認します。

1.11. Web コンソールのリッスンポートの変更
リンクのコピー

デフォルトでは、RHEL Web コンソールは TCP ポート 9090 を介して通信します。このポート番号は、デフォルトのソケット設定をオーバーライドすることで変更できます。この調整は、特定のセキュリティーまたはネットワークポリシーを満たすために必要になることがよくあります。

前提条件

  • RHEL 10 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • root 特権、または sudo を使用して管理コマンドを入力する権限がある。
  • firewalld サービスが実行中である。

手順

  1. 使用されていないポート (例: <4488/tcp>) を選択し、cockpit サービスがそのポートにバインドできるように SELinux に指示します。 

    # semanage port -a -t websm_port_t -p tcp <4488>

    ポートは 1 つのサービスのみで一度に使用できるため、すでに使用しているポートを使用しようとすると、ValueError: Port already defined エラーが発生します。

  2. ファイアウォールで新しいポートを開き、以前のポートを閉じます。 

    # firewall-cmd --service cockpit --permanent --add-port=<4488>/tcp
# firewall-cmd --service cockpit --permanent --remove-port=9090/tcp

  3. cockpit.socket サービスのオーバーライドファイルを作成します。 

    # systemctl edit cockpit.socket

  4. 次に表示されるエディター画面で、/etc/systemd/system/cockpit.socket.d/ ディレクトリーにある空の override.conf ファイルが開きます。次の行を追加して、Web コンソールのデフォルトポートを、9090 から、先ほど選択した番号に変更します。 

    [Socket]
ListenStream=
ListenStream=<4488>

    最初の ListenStream= ディレクティブの値が空になっているのは意図的であることに注意してください。単一のソケットユニットで複数の ListenStream ディレクティブを宣言きます。このドロップインファイルに空の値を指定すると、リストがリセットされ、元のユニットのデフォルトポート 9090 が無効になります。

    重要

    上記のコードスニペットは、# Anything between here# Lines below this で始まる行の間に挿入してください。それ以外の場合、システムによって変更が破棄されます。

  5. 変更を保存し、エディターを終了します。

  6. 変更した設定を再読み込みします。 

    # systemctl daemon-reload

  7. 設定が機能していることを確認します。 

    # systemctl show cockpit.socket -p Listen
Listen=[::]:4488 (Stream)

  8. cockpit.socket を再起動します。 

    # systemctl restart cockpit.socket

検証

  • Web ブラウザーを開き、更新したポートで Web コンソールにアクセスします。次に例を示します。 

    https://machine1.example.com:4488

第2章 RHEL システムロールを使用した Web コンソールのインストールおよび設定
リンクのコピー

cockpit RHEL システムロールを使用すると、複数の RHEL システムに Web コンソールを自動的にデプロイして有効にできます。

2.1. cockpit RHEL システムロールを使用した Web コンソールのインストール
リンクのコピー

cockpit システムロールを使用すると、複数のシステムで RHEL Web コンソールのインストールと有効化を自動化できます。

cockpit システムロールは次の目的で使用します。

  • RHEL Web コンソールをインストールする
  • 新しいポートを開くためにシステムを設定できるように、firewalld および selinux システムロールを許可します。
  • 自己署名証明書を使用する代わりに、ipa の信頼された認証局からの証明書を使用するように Web コンソールを設定する
注記

ファイアウォールを管理したり証明書を作成したりするために、Playbook で firewall または certificate システムロールを呼び出す必要はありません。cockpit システムロールが、必要に応じてそれらを自動的に呼び出します。

前提条件

手順

  1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。 

    ---
- name: Manage the RHEL web console
  hosts: managed-node-01.example.com
  tasks:
    - name: Install RHEL web console
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.cockpit
      vars:
        cockpit_packages: default
        cockpit_port: 9090
        cockpit_manage_selinux: true
        cockpit_manage_firewall: true
        cockpit_certificates:
          - name: /etc/cockpit/ws-certs.d/01-certificate
            dns: ['localhost', 'www.example.com']
            ca: ipa

    サンプル Playbook で指定されている設定は次のとおりです。

    cockpit_manage_selinux: true
    selinux システムロールを使用して、websm_port_t SELinux タイプで正しいポート権限を設定するように SELinux を設定できるようにします。
    cockpit_manage_firewall: true
    cockpit システムロールが firewalld システムロールを使用してポートを追加できるようにします。
    cockpit_certificates: <YAML_dictionary>

    デフォルトでは、RHEL Web コンソールは自己署名証明書を使用します。または、cockpit_certificates 変数を Playbook に追加し、IdM 認証局 (CA) から証明書を要求するか、管理対象ノードで使用可能な既存の証明書と秘密鍵を使用するようにロールを設定することもできます。

    Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.cockpit/README.md ファイルを参照してください。

  2. Playbook の構文を検証します。 

    $ ansible-playbook --syntax-check ~/playbook.yml

    このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

  3. Playbook を実行します。 

    $ ansible-playbook ~/playbook.yml

第3章 Web コンソールアドオンのインストールとカスタムページの作成
リンクのコピー

Red Hat Enterprise Linux システムの使用方法に応じて、使用可能 なアプリケーションを Web コンソールに追加したり、ユースケースに基づいてカスタムページを作成したりできます。

3.1. RHEL Web コンソールのアドオンアプリケーション
リンクのコピー

コンソールの アプリケーションページ またはコマンドラインを使用して、RHEL Web コンソールのオプションのアドオンアプリケーションをインストールします。これらのアドオンは、特定の管理タスク用のツールを提供します。

アドオンアプリケーションは、次のいずれかの方法でインストールできます。

  1. Web コンソールで、Applications をクリックし、使用可能なインストール済みアプリケーションのリストにある Install ボタンを使用します。

    RHEL Web コンソールのアドオンアプリケーション

  2. ターミナルで、dnf install コマンドを使用します。 

    # dnf install <add-on>

    上記コマンドの <add-on> は、RHEL Web コンソールで使用可能なアドオンアプリケーションのリストのパッケージ名に置き換えます。

Expand
機能名パッケージ名使用方法

ファイルマネージャー

cockpit-files

標準の Web コンソールインターフェイスでファイルとディレクトリーを管理する

HA クラスター管理

cockpit-ha-cluster [a]

Red Hat High Availability クラスターを設定するための pcsd Web UI

Image Builder

cockpit-image-builder

カスタマイズされたオペレーティングシステムイメージをビルドする

マシン

cockpit-machines

libvirt 仮想マシンの管理

PackageKit

cockpit-packagekit

ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている)

PCP

cockpit-pcp

永続的でよりきめ細かなパフォーマンスデータ (UI からオンデマンドでインストール)

Podman

cockpit-podman

コンテナーの管理コンテナーイメージの管理

セッションの録画

cockpit-session-recording

ユーザーセッションの記録および管理

ストレージ

cockpit-storaged

udisk によるストレージの管理

[a] pcsd サービスの有効化など、追加の手順が必要になる場合があります。詳細は、「高可用性クラスターの設定と管理」ドキュメントの クラスターソフトウェアのインストール セクションを参照してください。

3.2. Web コンソールでの新しいページの作成
リンクのコピー

HTML および JavaScript ファイルを含むパッケージディレクトリーを追加することで、RHEL Web コンソールでカスタムページを作成できます。これにより、カスタマイズされた機能とインターフェイスをコンソールに統合できるようになります。

カスタムページの追加の詳細は、Cockpit プロジェクト Web サイトの Cockpit ユーザーインターフェイスのプラグインの作成 および Cockpit プロジェクト開発者ガイドCockpit パッケージ セクションを参照してください。

3.3. Web コンソールでのマニフェスト設定のオーバーライド
リンクのコピー

デフォルトのマニフェスト設定を上書きすることで、すべてのユーザーまたは特定のユーザーの RHEL Web コンソールのメニュー構造を変更できます。メニュー項目の表示または順序を調整するには、オーバーライドを作成します。

cockpit プロジェクトでは、パッケージ名はディレクトリー名です。パッケージには、manifest.json ファイルと他のファイルが含まれています。デフォルト設定は、manifest.json ファイルに存在します。指定されたユーザーの特定の場所に <package_name> .override.json ファイルを作成することにより、デフォルトの cockpit メニュー設定を上書きできます。

前提条件

手順

  1. 任意のテキストエディターで <systemd>.override.json ファイルのマニフェスト設定をオーバーライドします。次に例を示します。

    1. すべてのユーザーの設定を編集するには、次のように入力します。 

      # vi /etc/cockpit/<systemd>.override.json

    2. 単一ユーザーの設定を編集するには、次のように入力します。 

      # vi ~/.config/cockpit/<systemd>.override.json

  2. 次の詳細を含む必要なファイルを編集します。 

    {
  "menu": {
  "services": null,
  "logs": {
      "order": -1
  }
 }
}
    • null 値を指定すると、services タブが非表示になります。
    • -1 値を指定すると、logs タブが一番目に移動します。

  3. cockpit サービスを再起動します。 

    # systemctl restart cockpit.service

第4章 Web コンソールでサブスクリプションの管理
リンクのコピー

Red Hat Enterprise Linux 10 Web コンソールで Red Hat 製品のサブスクリプションを管理できます。この機能は、システムサブスクリプションを表示、登録、管理するためのグラフィカルインターフェイスを提供します。

4.1. 前提条件
リンクのコピー

4.2. Web コンソールでサブスクリプションの管理
リンクのコピー

RHEL Web コンソールを、ローカルシステム上の Red Hat Subscription Manager のグラフィカルインターフェイスとして使用できます。これにより、添付されたサブスクリプションの登録、管理、表示のプロセスが簡素化されます。

サブスクリプションマネージャーは Red Hat カスタマーポータル に接続し、利用可能かどうかを確認します。

  • アクティブなサブスクリプション
  • 期限が切れたサブスクリプション
  • 更新されたサブスクリプション

Red Hat カスタマーポータルでサブスクリプションを更新したり、別のサブスクリプションを取得したりする場合、Subscription Manager のデータを手動で更新する必要はありません。

Subscription Manager は、データを Red Hat カスタマーポータルと自動的に同期します。

4.3. Web コンソールで認証情報を使用してサブスクリプションを登録
リンクのコピー

Web コンソールで直接 Red Hat お客様ポータルの認証情報を使用して、RHEL システムを登録し、サブスクリプションをアタッチできます。

前提条件

手順

  1. RHEL 10 Web コンソールにログインします。

  2. 概要 ページの ヘルス ファイル内の 未登録 の警告をクリックするか、メインメニューの サブスクリプション をクリックして、サブスクリプション情報のあるページに移動します。

    Health status - Not registered

  3. Overview フィールドで、Register をクリックします。
  4. Register system ダイアログボックスで、アカウント認証情報を使用して登録する Account を選択します。
  5. ユーザー名を入力します。
  6. パスワードを入力します。

  7. オプション: 組織の名前または ID を入力します。

    アカウントが Red Hat カスタマーポータルで複数の組織に所属している場合には、組織名または組織 ID を追加する必要があります。組織 ID を取得するには、Red Hat の連絡先にお問い合わせください。

    • システムを Red Hat Lightspeed に接続しない場合は、Insights チェックボックスをオフにします。
  8. Register をクリックします。

4.4. Web コンソールでアクティベーションキーを使用してサブスクリプションを登録
リンクのコピー

RHEL Web コンソールでアクティベーションキーを使用して、新しくインストールした Red Hat Enterprise Linux を登録できます。

前提条件

  • Red Hat 製品サブスクリプションのアクティベーションキー。

手順

  1. RHEL 10 Web コンソールにログインします。

  2. Overview ページの Health フィールドで、Not registered の警告をクリックするか、メインメニューの Subscriptions をクリックして、サブスクリプション情報を含むページに移動します。

    Health status - Not registered

  3. Overview フィールドの Register をクリックします。
  4. Register system ダイアログボックスで、Activation key を選択して、アクティベーションキーを使用して登録します。
  5. キーを入力します。

  6. 組織名または ID を入力します。

    組織 ID の取得は、Red Hat にお問い合わせください。

    • システムを Red Hat Lightspeed に接続しない場合は、Insights チェックボックスをオフにします。
  7. Register をクリックします。

第5章 Web コンソールでリモートシステムの管理
リンクのコピー

リモートシステムに接続して Red Hat Enterprise Linux Web コンソールで管理できるため、単一の中央インターフェイスからネットワーク全体のシステムを監視および管理できます。

セキュリティー上の理由から、Web コンソールによって管理されるリモートシステムの次のネットワーク設定を使用します。

  • 1 つのシステムを踏み台ホストとして設定します。踏み台ホストは、開いている HTTPS ポートを使用するシステムです。
  • その他のすべてのシステムは SSH を介して通信します。

踏み台ホスト上で Web インターフェイスを実行すると、SSH プロトコルを介して他のすべてのシステムにアクセスできます。

5.1. Web コンソールログインページから SSH を使用してリモートホストに接続する
リンクのコピー

RHEL Web コンソールのログインページから直接 SSH プロトコルを使用してリモートシステムに接続できます。リモートでログインすると、接続トラフィックが暗号化され、Web コンソールのグラフィカルインターフェイスでリモートシステムを管理できます。

前提条件

  • RHEL 10 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • cockpit-system パッケージがリモートシステムにインストールされている。
  • sshd サービスはリモートシステムで実行され、ファイアウォールは対応するポートを許可する。

手順

  1. Web コンソールのログインページを開きます。
  2. User name フィールドにリモートホスト上のユーザー名を指定します。
  3. Other options をクリックして、Connect to テキストフィールドを表示します。

  4. Connect to テキストフィールドに、SSH を使用して接続するリモートホストを指定します。ポートを指定しない場合、Web コンソールは指定されたリモートホストのポート 22 への接続を試みます。

    Web コンソールのログインページからリモート SSH への直接ログイン
  5. Log in をクリックします。

5.2. Web コンソールへのリモートシステムの追加
リンクのコピー

RHEL Web コンソールにログインすると、Overview ページの左上隅にあるホストスイッチャーを使用して、ローカルシステムと複数のリモートホストを切り替えることができます。ホストスイッチャーに認証情報を追加すると、リモートシステムに接続して管理できるようになります。

前提条件

手順

  1. ターミナルで、任意のテキストエディターを使用して、/etc/cockpit/ ディレクトリー内の cockpit.conf ファイルを開くか作成します。

  2. 次のテキストを追加します。 

    [WebService]
AllowMultiHost=yes
    警告

    ホストスイッチャーは非推奨であり、デフォルトでは無効になっています。Web テクノロジーの制限により、この機能は安全ではありません。信頼されていないホストに接続する場合は、ホストスイッチャーを有効にしないでください。接続されているすべてのシステムが、接続されている残りのシステムに任意の変更を加えることができるためです。より安全な代替手段として、Web ブラウザーセッションで 1 つのホストの安全な制限を持つ Web コンソールログインページを使用するか、Cockpit Client Flatpak を使用することもできます。

  3. ファイルを保存します。

  4. 変更を有効にするには、Web コンソールを再起動します。 

    # systemctl try-restart cockpit

  5. RHEL Web コンソールで、Overview ページの左上隅にある <username>@<hostname> をクリックします。

    username@hostname drop-down menu

  6. ドロップダウンメニューで、Add new host をクリックします。
  7. 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。

  8. オプション: 接続するアカウントのユーザー名を追加します。

    リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限のないユーザーアカウントの認証情報を使用すると、管理タスクを実行できません。

    ローカルシステムと同じ認証情報を使用すると、ログインするたびに Web コンソールによってリモートシステムが自動的に認証されます。

    重要

    Web コンソールは、リモートシステムへのログインに使用されるパスワードを保存しません。

  9. オプション: Color フィールドをクリックして、システムの色を変更します。
  10. Add をクリックします。

検証

  • 新しいホストが、<username>@<hostname> ドロップダウンメニューに表示されます。

5.3. 新しいホストの SSH ログインの有効化
リンクのコピー

RHEL Web コンソールでキーベースの認証を使用して、新しいリモートホストの安全な SSH ログインを有効にすることができます。

システムにすでに SSH キーがある場合、Web コンソールは既存のキーを使用します。そうでない場合は、キーを作成できます。

前提条件

手順

  1. RHEL 10 Web コンソールにログインします。

  2. RHEL Web コンソールで、Overview ページの左上隅にある <username>@<hostname> をクリックします。

    username@hostname ドロップダウンメニュー
  3. ドロップダウンメニューで、Add new host をクリックします。
  4. 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。初めてホストに接続する場合は、次のダイアログボックスで Trust and add new host をクリックする必要があります。

  5. パスワードダイアログボックスは、ホスト上に SSH キーファイルが存在するかどうかによって異なります。

    1. ホストの SSH キーがすでにある場合は、Authorize SSH key オプションを選択します。
    2. SSH キーがない場合は、Create a new SSH key and authorize it オプションを選択します。Web コンソールが鍵を作成します。
  6. SSH キーのパスワードを追加して確認します。
  7. Log in をクリックします。

検証

  1. ログアウトします。
  2. ログインし直してください。
  3. Not connected to host 画面の Log in をクリックします。
  4. 認証オプションとして、SSH 鍵を選択します。
  5. 鍵のパスワードを入力します。
  6. Log in をクリックします。

5.4. Web コンソールで SSH ログイン用のスマートカード認証を設定する
リンクのコピー

RHEL Web コンソールでユーザーアカウントにログインすると、SSH プロトコルを使用してリモートマシンに接続できます。制約付き委譲機能を使用すると、再度認証を求められることなく SSH を使用できます。

この手順例では、Web コンソールセッションは myhost.idm.example.com ホスト上で実行され、認証されたユーザーに代わって SSH を使用して remote.idm.example.com ホストにアクセスするようにコンソールを設定します。

前提条件

  • myhost.idm.example.com で IdM admin Ticket-Granting Ticket (TGT) を取得した。
  • remote.idm.example.com への root アクセス権がある。
  • Web コンソールを実行するホストは、IdM ドメインのメンバーである。

手順

  1. Terminal ページで、Web コンソールがユーザーセッション内に Service for User to Proxy (S4U2proxy) Kerberos チケットを作成したことを確認します。 

    $ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

  2. 委任ルールがアクセスできるターゲットホストのリストを作成します。

    1. サービス委任ターゲットを作成します。 

      $ ipa servicedelegationtarget-add cockpit-target

    2. 委任ターゲットに対象ホストを追加します。 

      $ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM

  3. サービス委任ルールを作成し、HTTP サービスの Kerberos プリンシパルを追加することで、cockpit セッションが対象ホストのリストにアクセスできるようにします。

    1. サービス委任ルールを作成します。 

      $ ipa servicedelegationrule-add cockpit-delegation

    2. Web コンソールクライアントを委任ルールに追加します。 

      $ ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

    3. 委任ターゲットを委任ルールに追加します。 

      $ ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

  4. remote.idm.example.com ホストで Kerberos 認証を有効にします。

    1. root として SSH 経由で remote.idm.example.com に接続します。
    2. /etc/ssh/sshd_config ファイルに GSSAPIAuthentication yes 行を追加します。

  5. 変更がすぐに有効になるように、remote.idm.example.comsshd サービスを再起動します。 

    $ systemctl try-restart sshd.service

5.5. Ansible を使用して、Web コンソールで SSH ログイン用のスマートカード認証を設定する
リンクのコピー

RHEL Web コンソールでユーザーアカウントにログインすると、SSH プロトコルを使用してリモートマシンに接続できます。servicedelegationrule および servicedelegationtarget Ansible モジュールを使用して、制約付き委任機能用に Web コンソールを設定できます。これにより、再度認証を求められることなく SSH 接続が可能になります。

この手順例では、Web コンソールセッションは myhost.idm.example.com ホスト上で実行され、認証されたユーザーに代わって SSH を使用して remote.idm.example.com ホストにアクセスするように設定します。

前提条件

  • myhost.idm.example.com で IdM admin Ticket-Granting Ticket (TGT) を取得した。
  • remote.idm.example.com への root アクセス権がある。
  • Web コンソールを実行するホストは、IdM ドメインのメンバーである。

  • 次の要件を満たすように Ansible コントロールノードを設定している。

    • ansible-freeipa パッケージがインストールされている。
    • この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されていると想定しています。

    • この例では、secret.yml Ansible Vault で管理者パスワードが ipaadmin_password 変数に格納されていことを前提としています。

      サンプル Playbook については 、/usr/share/doc/ansible-freeipa/playbooks/servicedelegationtarget および /usr/share/doc/ansible-freeipa/playbooks/servicedelegationrule ディレクトリーを参照してください。詳細は 、/usr/share/doc/ansible-freeipa/ ディレクトリーの README-servicedelegationrule.md および README-servicedelegationtarget.md ファイルを参照してください。

  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

  1. ~/MyPlaybooks/ ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/

  2. 機密性の高い変数を暗号化されたファイルに保存します。

    1. vault を作成します。 

      $ ansible-vault create secret.yml
New Vault password: <vault_password>
Confirm New Vault password: <vault_password>

    2. ansible-vault create コマンドでエディターが開いたら、機密データを <key>: <value> 形式で入力します。 

      ipaadmin_password: <admin_password>
    3. 変更を保存して、エディターを閉じます。Ansible は vault 内のデータを暗号化します。

  3. Terminal ページで、Web コンソールがユーザーセッション内に Service for User to Proxy (S4U2proxy) Kerberos チケットを作成したことを確認します。 

    $ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

  4. 以下の内容で web-console-smart-card-ssh.yml Playbook を作成します。

    1. 委任対象の存在を確認するタスクを作成します。 

      ---
- name: Playbook to create a constrained delegation target
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure servicedelegationtarget web-console-delegation-target is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target

    2. 対象ホストを委任ターゲットに追加するタスクを追加します。 

        - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
      action: member

    3. 委任ルールの存在を確認するタスクを追加します。 

        - name: Ensure servicedelegationrule delegation-rule is present
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule

    4. Web コンソールクライアントサービスの Kerberos プリンシパルが制約付き委任ルールのメンバーであることを確認するタスクを追加します。 

        - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      principal: HTTP/myhost.idm.example.com
      action: member

    5. 制約付き委任ルールが web-console-delegation-target 委任対象と関連付けられることを確認するタスクを追加します。 

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      target: web-console-delegation-target
      action: member

    6. remote.idm.example.com で Kerberos 認証を有効にするタスクを追加します。 

        - name: Enable Kerberos authentication
    hosts: remote.idm.example.com
    vars:
      sshd_config:
        GSSAPIAuthentication: true
    roles:
      - role: rhel-system-roles.sshd
  5. ファイルを保存します。

  6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml

第6章 IdM ドメインで RHEL Web コンソールの SSO 認証を設定する
リンクのコピー

Identity Management (IdM) を使用して、RHEL Web コンソールのシングルサインオン (SSO) 認証を設定します。SSO を有効にすると、Kerberos チケットを持つ IdM ユーザーは認証情報を再入力せずに Web コンソールにアクセスできます。

RHEL Web コンソールで Identity Management (IdM) によって提供されるシングルサインオン (SSO) 認証を使用すると、次の利点を活用できます。

  • IdM ドメイン管理者は、Web コンソールを使用してローカルシステムを管理できます。
  • IdM ドメインに Kerberos チケットがあると、Web コンソールにアクセスする際にログイン認証情報を指定する必要がなくなりました。
  • IdM ドメインに認識されているすべてのホストは、Web コンソールのローカルインスタンスから SSH 経由でアクセスできます。
  • 証明書設定は必須ではありません。コンソールの Web サーバーでは、IdM 認証局が発行した証明書に自動的に切り替わり、ブラウザーに許可されます。

Web コンソールにログインするための SSO を設定するには、次のものが必要です。

  1. Web コンソールを使用して、システムを IdM ドメインに追加する必要があります。
  2. 認証に Kerberos を使用する場合は、システムで Kerberos チケットを取得する必要があります。
  3. IdM サーバーの管理者が任意のホストで任意のコマンドを使用できるようにします。

6.1. Web コンソールを使用した RHEL システムの IdM ドメインへの参加
リンクのコピー

RHEL Web コンソールで RHEL システムを IdM ドメインに直接参加させることができます。これにより、システムが集中型アイデンティティー管理環境に統合され、IdM ユーザーがログインできるようになります。

前提条件

  • IdM ドメインが実行中で参加するクライアントから到達可能
  • IdM ドメインの管理者認証情報がある。

手順

  1. RHEL 10 Web コンソールにログインします。
  2. Overview タブの Configuration フィールドで、Join Domain をクリックします。
  3. ドメインに参加 ダイアログボックスで、ドメインアドレス フィールドに IdM サーバーのホスト名を入力します。
  4. ドメイン管理者名 フィールドに、IdM 管理アカウントのユーザー名を入力します。
  5. Domain administrator password にパスワードを追加します。
  6. Join をクリックします。

検証

  1. RHEL 10 Web コンソールにエラーが表示されなければ、システムは IdM ドメインに参加しています。また、System 画面にドメイン名が表示されます。

  2. ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、id コマンドを入力します。 

    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

6.2. Kerberos 認証を使用した Web コンソールへのログイン
リンクのコピー

Kerberos 認証を使用して RHEL Web コンソールにログインできます。IdM ドメインからの有効な Kerberos チケットをすでにお持ちの場合は、パスワードを再入力せずにコンソールにアクセスできます。

重要

SSO を使用した場合は、通常、Web コンソールに管理者権限がありません。これは、パスワードなしの sudo を設定した場合にのみ機能します。Web コンソールは対話的に sudo パスワードの入力を要求しません。

前提条件

  • RHEL 10 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • SSSD クライアントによって管理される Kerberos チケットをシステムが使用していない場合は、kinit ユーティリティーを使用して手動でチケットを要求する。

手順

  • Web ブラウザーに次の URL を入力して、RHEL Web コンソールにログインします。 

    https://<dns_name>:9090

第7章 集中管理ユーザー向けに Web コンソールを使用したスマートカード認証の設定
リンクのコピー

RHEL Web コンソールで集中管理されたユーザーのスマートカード認証を設定します。このセキュリティー対策は、管理者および一般ユーザーに対して物理的なアクセス制御を提供するのに役立ちます。

RHEL Web コンソールで、以下の方法で集中管理されているユーザーに対してスマートカード認証を設定できます。

  • Identity Management
  • Identity Management を使用してフォレスト間の信頼に接続する Active Directory

7.1. 前提条件
リンクのコピー

7.2. 集中管理ユーザーのスマートカード認証
リンクのコピー

スマートカード認証を使用して、集中管理されたユーザーに強力な認証を提供します。この方法は、ユーザーのアカウントを物理的な認証情報にリンクし、Identity Management ドメイン内のシステムのセキュリティーを強化します。

スマートカードは、カードに保存されている証明書を使用して個人認証を提供できる物理デバイスです。個人認証とは、ユーザーパスワードと同じ方法でスマートカードを使用できることを意味します。

秘密鍵と証明書の形式で、スマートカードにユーザーの認証情報を保存できます。特別なソフトウェアおよびハードウェアを使用して、そのソフトウェアにアクセスします。スマートカードをリーダーまたは USB ソケットに挿入して、パスワードを入力する代わりに、スマートカードの PIN コードを入力します。

Identity Management (IdM) では、以下によるスマートカード認証に対応しています。

注記

スマートカード認証の使用を開始する場合は、ハードウェア要件 Smart Card support in RHEL8+ を参照してください。

7.3. Web コンソールのスマートカード認証の有効化
リンクのコピー

RHEL Web コンソール専用のスマートカード認証を有効にします。これにより、集中管理されたユーザーは、スマートカードの認証情報と IdM ドメインポリシーを使用して安全にログインできるようになります。

Web コンソールでスマートカード認証を使用するには、cockpit.conf ファイルでスマートカード認証方式を有効にします。また、同じファイルでパスワード認証を無効にすることもできます。

前提条件

手順

  1. RHEL 10 Web コンソールにログインします。
  2. Terminal をクリックします。

  3. /etc/cockpit/cockpit.confClientCertAuthenticationyes に設定します。 

    [WebService]
ClientCertAuthentication = yes

  4. オプション: 以下のようにして cockpit.conf でパスワードベースの認証を無効にします。 

    [Basic]
action = none

    この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。

  5. Web コンソールを再起動して、cockpit.service が変更を受け入れることを確認します。 

    # systemctl restart cockpit

7.4. スマートカードを使用して Web コンソールへのログイン
リンクのコピー

スマートカードの認証情報を使用して RHEL Web コンソールにログインできます。これにより、集中管理されたユーザーによる安全なアクセスのために設定されたスマートカードポリシーが使用されます。

前提条件

  • Active Directory または Identity Management ドメインで作成されたユーザーアカウントに関連付けられている、スマートカードに保存されている有効な証明書。
  • スマートカードのロックを解除するピン。
  • スマートカードがリーダーに追加されている。

手順

  1. RHEL 10 Web コンソールにログインします。

    ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。

  2. Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
  3. User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。

  4. Remember this decision を選択します。

    次回、このウィンドウが開きません。

    注記

    この手順は、Google Chrome ユーザーには適用されません。

  5. OK をクリックします。

    これで接続され、Web コンソールがそのコンテンツを表示します。

7.5. スマートカードユーザー向けにパスワードなしの sudo 認証を有効にする
リンクのコピー

スマートカードユーザーに対してパスワードなしの sudo 認証を有効にすることができます。これにより、ユーザーはパスワードを入力せずに管理タスクを実行できるようになり、運用効率とセキュリティーがさらに向上します。

代わりに、RHEL Identity Management を使用する場合は、初期の Web コンソール証明書を sudo、SSH、またはその他のサービスによる認証に対して信頼できるものとして宣言できます。そのために、Web コンソールはユーザーセッションに S4U2Proxy Kerberos チケットを自動的に作成します。

次の例では、Web コンソールセッションは host.example.com で実行され、sudo を使用して独自のホストにアクセスできることが信頼されています。さらに、例の手順では、2 番目の信頼できるホスト remote.example.com を追加します。

前提条件

手順

  1. チケットがアクセスできるホストをリストアップする制約委譲ルールを設定します。

    • 次の委譲を作成します。

      • 特定のルールがアクセスできるターゲットマシンのリストを追加するには、次のコマンドを入力します。 

        # ipa servicedelegationtarget-add cockpit-target
# ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/host.example.com@EXAMPLE.COM \ --principals=host/remote.example.com@EXAMPLE.COM

      • Web コンソールセッション (HTTP/プリンシパル) がホストリストにアクセスできるようにするには、次のコマンドを使用します。 

        # ipa servicedelegationrule-add cockpit-delegation
# ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/host.example.com@EXAMPLE.COM
# ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target

  2. 対応するサービスで GSS 認証を有効にします。

    1. sudo の場合、/etc/sssd/ sssd.conf ファイルで pam_sss_gss モジュールを有効にします。

      1. root として、/etc/sssd/sssd.conf 設定ファイルにドメインのエントリーを追加します。 

        [domain/example.com]
pam_gssapi_services = sudo, sudo-i

      2. /etc/pam.d/sudo ファイルの 1 行目でモジュールを有効にします。 

        auth sufficient pam_sss_gss.so

    2. SSH の場合、/etc/ssh/sshd_config ファイルの GSSAPIAuthentication オプションを yes に更新します。

      警告

      委譲された S4U チケットが、Web コンソールからリモートの SSH ホストに接続するときに転送されません。チケットを使用してリモートホスト上で sudo を認証することはできません。

検証

  1. スマートカードを使用して Web コンソールにログインします。
  2. [制限付きアクセス ] ボタンをクリックします。
  3. スマートカードを使用して認証を行います。
  4. または、SSH を使用して別のホストに接続してみます。

7.6. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限
リンクのコピー

対応する systemd 設定を変更して、Web コンソールサービスのユーザーセッションとメモリー消費を制限します。この対策は 、cockpit-ws Web サーバーに対するサービス拒否 (DoS) 攻撃のリスクを軽減するのに役立ちます。

証明書認証は、別のユーザーの権限を借用しようとする攻撃者に対して Web サーバー cockpit-ws のインスタンスを分離して孤立させることで保護されます。ただし、これにより潜在的な DoS 攻撃が発生する可能性があります。リモートの攻撃者が大量の証明書を作成し、それぞれ異なる証明書を使用して cockpit-ws に大量の HTTPS 要求を送信する可能性があります。

このような DoS 攻撃を防ぐには、これらの Web サーバーインスタンスの共有リソースを制限します。デフォルトでは、接続数とメモリー使用量の制限は、ソフト制限として 200 スレッドと 75 %、ハード制限として 90 % に設定されています。

この例の手順では、接続数と割り当てられたメモリーの量を制限してリソースを保護する方法を示します。

手順

  1. 端末で system-cockpithttps.slice 設定ファイルを開きます。 

    # systemctl edit system-cockpithttps.slice

  2. TasksMax100 に、CPUQuota30% に制限します。 

    [Slice]
# change existing value
TasksMax=100
# add new restriction
CPUQuota=30%

  3. 変更を適用するには、システムを再起動します。 

    # systemctl daemon-reload
# systemctl stop cockpit

第8章 Web コンソールでの Satellite ホストの管理と監視
リンクのコピー

Red Hat Satellite Server で RHEL Web コンソール統合を有効にすると、Web コンソールで多数のホストを大規模に管理できます。

Red Hat Satellite は、物理環境、仮想環境、およびクラウド環境全体のシステムをデプロイ、設定、保守するためのシステム管理ソリューションです。Satellite では、一元化されたツールを使用して複数の Red Hat Enterprise Linux デプロイメントのプロビジョニング、リモート管理、監視が可能です。

デフォルトでは、Red Hat Satellite では RHEL Web コンソールの統合が無効になっています。Red Hat Satellite 内からホストの RHEL Web コンソール機能にアクセスするには、まず Red Hat Satellite Server で RHEL Web コンソールの統合を有効にする必要があります。

Satellite Server で RHEL Web コンソールを有効にするには、root として次のコマンドを入力します。 

# satellite-installer --enable-foreman-plugin-remote-execution-cockpit --reset-foreman-plugin-remote-execution-cockpit-ensure

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る