Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

RHEL 9 Web コンソールを使用したシステムの管理

Red Hat Enterprise Linux 9

グラフィカルな Web ベースのインターフェイスによるサーバー管理

Red Hat Customer Content Services

概要

RHEL Web コンソールは、アップストリームの Cockpit プロジェクトに基づいた Web ベースのグラフィカルインターフェイスです。これを使用すると、systemd サービスの検査と制御、ストレージの管理、ネットワークの設定、ネットワークの問題の分析、ログの検査などのシステム管理タスクを実行できます。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 RHEL Web コンソールの使用
リンクのコピー

Red Hat Enterprise Linux 9 Web コンソールのインストール方法、便利なグラフィカルインターフェイスから リモートホストを追加および管理 する方法、Web コンソールによって管理されるシステムを監視する方法を説明します。

1.1. RHEL Web コンソールの概要
リンクのコピー

RHEL Web コンソールは、ローカルシステム、およびネットワーク環境にある Linux サーバーを管理および監視するために設計された Web ベースのインターフェイスです。

Firefox ブラウザーの RHEL Web コンソール (概要ページ)
View larger image
Firefox ブラウザーの RHEL Web コンソール (概要ページ)

RHEL Web コンソールでは、以下を含むさまざまな管理タスクの実行が可能です。

  • サービスの管理
  • ユーザーアカウントの管理
  • システムサービスの管理および監視
  • ネットワークインターフェイスおよびファイアウォールの設定
  • システムログの確認
  • 仮想マシンの管理
  • 診断レポートの作成
  • カーネルダンプ設定の設定
  • SELinux の設定
  • ソフトウェアの更新
  • システムサブスクリプションの管理

RHEL Web コンソールは、ターミナルで使用するのと同じシステム API を使用します。ターミナルで実行した操作は、即座に RHEL Web コンソールに反映されます。

ネットワーク環境のシステムのログや、パフォーマンスをグラフで監視できます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。

1.2. Web コンソールのインストールおよび有効化
リンクのコピー

RHEL Web コンソールにアクセスするには、最初に cockpit.socket サービスを有効にします。

Red Hat Enterprise Linux 9 では、多くのインストール方法で、Web コンソールがデフォルトでインストールされます。ご使用のシステムがこれに該当しない場合は、cockpit パッケージをインストールしてから .socket サービスを有効にしてください。

手順

  1. Web コンソールがインストールバリアントにデフォルトでインストールされていない場合は、cockpit パッケージを手動でインストールします。 

    # dnf install cockpit
    Copy to Clipboard Toggle word wrap

  2. 必要に応じて、Web サーバーを実行する cockpit.socket サービスを有効にして起動します。 

    # systemctl enable --now cockpit.socket
    Copy to Clipboard Toggle word wrap

  3. Web コンソールがインストールバリアントにデフォルトでインストールされておらず、カスタムのファイアウォールプロファイルを使用している場合は、cockpit サービスを firewalld に追加して、ファイアウォールの 9090 番ポートを開きます。 

    # firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

検証

1.3. Web コンソールへのログイン
リンクのコピー

cockpit.socket サービスが実行中で、対応するファイアウォールポートが開いている場合、ブラウザーで Web コンソールに初めてログインできます。

前提条件

  • 次のブラウザーのいずれかを使用して Web コンソールを開いている。

    • Mozilla Firefox 52 以降
    • Google Chrome 57 以降
    • Microsoft Edge 16 以降

  • システムユーザーアカウントの認証情報

    RHEL Web コンソールは、/etc/pam.d/cockpit にある特定のプラグ可能な認証モジュール (PAM) スタックを使用します。デフォルト設定では、システム上の任意のローカルアカウントのユーザー名とパスワードを使用してログインできます。

  • ファイアウォールでポート 9090 が開いている。

手順

  1. Web ブラウザーに次のアドレスを入力して Web コンソールにアクセスします。 

    https://localhost:9090
    Copy to Clipboard Toggle word wrap
    注記

    これにより、ローカルマシン上で Web コンソールログインが可能になります。リモートシステムの Web コンソールにログインする場合、「リモートマシンから Web コンソールへの接続」 を参照してください。

    自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可して、ログインを続行します。

    コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面で、システムユーザー名とパスワードを入力します。
  3. Log In をクリックします。

認証に成功すると、RHEL Web コンソールインターフェイスが開きます。

重要

制限付きアクセスと管理アクセスを切り替えるには、Web コンソールページのトップパネルで Administrative access または Limited access をクリックします。管理者アクセスを取得するには、ユーザーパスワードを入力する必要があります。

1.4. Web コンソールでの基本認証の無効化
リンクのコピー

cockpit.conf ファイルを変更することで、認証方式の動作を変更できます。none アクションを使用して認証方式を無効にし、GSSAPI とフォームによる認証のみを許可します。

前提条件

手順

  1. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開くか、作成します。次に例を示します。 

    # vi cockpit.conf
    Copy to Clipboard Toggle word wrap

  2. 次のテキストを追加します。 

    [basic]
action = none
    Copy to Clipboard Toggle word wrap
  3. ファイルを保存します。

  4. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit
    Copy to Clipboard Toggle word wrap

1.5. リモートマシンから Web コンソールへの接続
リンクのコピー

Web コンソールインターフェイスには、クライアントオペレーティングシステムだけでなく、携帯電話やタブレットからも接続できます。

前提条件

  • 対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。

    • Mozilla Firefox 52 以降
    • Google Chrome 57 以降
    • Microsoft Edge 16 以降

  • インストール済みのアクセス可能な Web コンソールを使用してアクセスする RHEL 9。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

手順

  1. Web ブラウザーを開きます。

  2. リモートサーバーのアドレスを次のいずれかの形式で入力します。

    1. サーバーのホスト名を使用する場合: 

      https://<server.hostname.example.com>:<port-number>
      Copy to Clipboard Toggle word wrap

      以下に例を示します。 

      https://example.com:9090
      Copy to Clipboard Toggle word wrap

    2. サーバーの IP アドレスを使用する場合: 

      https://<server.IP_address>:<port-number>
      Copy to Clipboard Toggle word wrap

      以下に例を示します。 

      https://192.0.2.2:9090
      Copy to Clipboard Toggle word wrap
  3. ログインインターフェイスが開いたら、RHEL システムの認証情報を使用してログインします。

1.6. root ユーザーとしてリモートマシンからの Web コンソールへの接続
リンクのコピー

RHEL 9.2 以降の新規インストールでは、セキュリティー上の理由から、RHEL Web コンソールはデフォルトで root アカウントのログインを許可しません。/etc/cockpit/disallowed-users ファイルで root ログインを許可できます。

前提条件

手順

  1. /etc/cockpit/ ディレクトリーにある disallowed-users ファイルを任意のテキストエディターで開きます。次に例を示します。 

    # vi /etc/cockpit/disallowed-users
    Copy to Clipboard Toggle word wrap

  2. このファイルを編集して、root ユーザーの行を削除します。 

    # List of users which are not allowed to login to Cockpit root
    Copy to Clipboard Toggle word wrap
  3. 変更を保存し、エディターを終了します。

検証

1.7. ワンタイムパスワードを使用した Web コンソールへのログイン
リンクのコピー

ワンタイムパスワード (OTP) 設定が有効になっている Identity Management (IdM) ドメインにシステムが含まれている場合には、OTP を使用して RHEL Web コンソールにログインできます。

重要

ワンタイムパスワードを使用してログインできるのは、OTP 設定が有効な Identity Management (IdM) ドメインに、お使いのシステムが含まれる場合のみです。

前提条件

  • RHEL 9 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • Identity Management サーバーで OTP 設定を有効しておく。
  • OTP トークンを生成する設定済みのハードウェアまたはソフトウェアのデバイス

手順

  1. ブラウザーで RHEL Web コンソールを開きます。

    • ローカルの場合 - https://localhost:PORT_NUMBER
    • リモートでサーバーのホスト名を使用する場合 - https://example.com:PORT_NUMBER

    • リモートでサーバーの IP アドレスを使用する場合 - https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
  3. デバイスでワンタイムパスワードを生成します。
  4. パスワードを確認してから、Web コンソールインターフェイスに表示される新規フィールドにワンタイムパスワードを入力します。
  5. Log in をクリックします。
  6. ログインに成功すると、Web コンソールインターフェイスの Overview ページに移動します。

1.8. ログインページへのバナーの追加
リンクのコピー

ログイン画面にバナーファイルの内容を表示するように Web コンソールを設定できます。

前提条件

手順

  1. 任意のテキストエディターで /etc/issue.cockpit ファイルを開きます。 

    # vi /etc/issue.cockpit
    Copy to Clipboard Toggle word wrap

  2. バナーとして表示するコンテンツをファイルに追加します。次に例を示します。 

    This is an example banner for the RHEL web console login page.
    Copy to Clipboard Toggle word wrap

    ファイルにマクロを含めることはできませんが、改行と ASCII アートは使用できます。

  3. ファイルを保存します。

  4. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開きます。次に例を示します。 

    # vi /etc/cockpit/cockpit.conf
    Copy to Clipboard Toggle word wrap

  5. 以下のテキストをファイルに追加します。 

    [Session]
Banner=/etc/issue.cockpit
    Copy to Clipboard Toggle word wrap
  6. ファイルを保存します。

  7. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit
    Copy to Clipboard Toggle word wrap

検証

  • Web コンソールのログイン画面を再度開き、バナーが表示されていることを確認します。

    Example banner

1.9. Web コンソールでの自動アイドルロックの設定
リンクのコピー

Web コンソールインターフェイスを使用して、自動アイドルロックを有効にし、システムのアイドルタイムアウトを設定できます。

前提条件

手順

  1. 任意のテキストエディターで、/etc/cockpit/ ディレクトリーの cockpit.conf ファイルを開きます。次に例を示します。 

    # vi /etc/cockpit/cockpit.conf
    Copy to Clipboard Toggle word wrap

  2. 以下のテキストをファイルに追加します。 

    [Session]
IdleTimeout=<X>
    Copy to Clipboard Toggle word wrap

    <X> は、任意の期間の数値 (分単位) に置き換えます。

  3. ファイルを保存します。

  4. Web コンソールを再起動して、変更を有効にします。 

    # systemctl try-restart cockpit
    Copy to Clipboard Toggle word wrap

検証

  • 設定の期間後にセッションがログアウトされているかどうかを確認します。

1.10. Web コンソールのリッスンポートの変更
リンクのコピー

デフォルトでは、RHEL Web コンソールは TCP ポート 9090 を介して通信します。このポート番号は、デフォルトのソケット設定をオーバーライドすることで変更できます。

前提条件

  • RHEL 9 Web コンソールがインストールされている。

    手順は、Web コンソールのインストールおよび有効化 を参照してください。

  • sudo を使用して管理コマンドを入力するため の root 権限または権限がある。
  • firewalld サービスが実行している。

手順

  1. 使用されていないポート (例: <4488/tcp>) を選択し、cockpit サービスがそのポートにバインドできるように SELinux に指示します。 

    # semanage port -a -t websm_port_t -p tcp <4488>
    Copy to Clipboard Toggle word wrap

    ポートは 1 つのサービスのみで一度に使用できるため、すでに使用しているポートを使用しようとすると、ValueError: Port already defined エラーが発生します。

  2. ファイアウォールで新しいポートを開き、以前のポートを閉じます。 

    # firewall-cmd --service cockpit --permanent --add-port=<4488>/tcp
# firewall-cmd --service cockpit --permanent --remove-port=9090/tcp
    Copy to Clipboard Toggle word wrap

  3. cockpit.socket サービスのオーバーライドファイルを作成します。 

    # systemctl edit cockpit.socket
    Copy to Clipboard Toggle word wrap

  4. 次に表示されるエディター画面で、/etc/systemd/system/cockpit.socket.d/ ディレクトリーにある空の override.conf ファイルが開きます。次の行を追加して、Web コンソールのデフォルトポートを、9090 から、先ほど選択した番号に変更します。 

    [Socket]
ListenStream=
ListenStream=<4488>
    Copy to Clipboard Toggle word wrap

    最初の ListenStream= ディレクティブの値が空になっているのは意図的であることに注意してください。単一のソケットユニットで複数の ListenStream ディレクティブを宣言きます。このドロップインファイルに空の値を指定すると、リストがリセットされ、元のユニットのデフォルトポート 9090 が無効になります。

    重要

    上記のコードスニペットは、# Anything between here# Lines below this で始まる行の間に挿入してください。それ以外の場合、システムによって変更が破棄されます。

  5. Ctrl + OEnter を押して変更を保存します。Ctrl + X を押してエディターを終了します。

  6. 変更した設定を再読み込みします。 

    # systemctl daemon-reload
    Copy to Clipboard Toggle word wrap

  7. 設定が機能していることを確認します。 

    # systemctl show cockpit.socket -p Listen
Listen=[::]:4488 (Stream)
    Copy to Clipboard Toggle word wrap

  8. cockpit.socket を再起動します。 

    # systemctl restart cockpit.socket
    Copy to Clipboard Toggle word wrap

検証

  • Web ブラウザーを開き、更新したポートで Web コンソールにアクセスします。次に例を示します。 

    https://machine1.example.com:4488
    Copy to Clipboard Toggle word wrap

第2章 RHEL システムロールを使用した Web コンソールのインストールおよび設定
リンクのコピー

cockpit RHEL システムロールを使用すると、複数の RHEL システムに Web コンソールを自動的にデプロイして有効にできます。

2.1. cockpit RHEL システムロールを使用した Web コンソールのインストール
リンクのコピー

cockpit システムロールを使用すると、複数のシステムで RHEL Web コンソールのインストールと有効化を自動化できます。

この例では、cockpit システムロールを使用して次のことを行います。

  • RHEL Web コンソールをインストールする
  • 新しいポートを開くためにシステムを設定できるように、firewalld および selinux システムロールを許可します。
  • 自己署名証明書を使用する代わりに、ipa の信頼された認証局からの証明書を使用するように Web コンソールを設定する
注記

ファイアウォールを管理したり証明書を作成したりするために、Playbook で firewall または certificate システムロールを呼び出す必要はありません。cockpit システムロールが、必要に応じてそれらを自動的に呼び出します。

前提条件

手順

  1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。 

    ---
- name: Manage the RHEL web console
  hosts: managed-node-01.example.com
  tasks:
    - name: Install RHEL web console
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.cockpit
      vars:
        cockpit_packages: default
        cockpit_manage_selinux: true
        cockpit_manage_firewall: true
        cockpit_certificates:
          - name: /etc/cockpit/ws-certs.d/01-certificate
            dns: ['localhost', 'www.example.com']
            ca: ipa
    Copy to Clipboard Toggle word wrap

    サンプル Playbook で指定されている設定は次のとおりです。

    cockpit_manage_selinux: true
    selinux システムロールを使用して、websm_port_t SELinux タイプで正しいポート権限を設定するように SELinux を設定できるようにします。
    cockpit_manage_firewall: true
    cockpit システムロールが firewalld システムロールを使用してポートを追加できるようにします。
    cockpit_certificates: <YAML_dictionary>

    デフォルトでは、RHEL Web コンソールは自己署名証明書を使用します。または、cockpit_certificates 変数を Playbook に追加し、IdM 認証局 (CA) から証明書を要求するか、管理対象ノードで使用可能な既存の証明書と秘密鍵を使用するようにロールを設定することもできます。

    Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.cockpit/README.md ファイルを参照してください。

  2. Playbook の構文を検証します。 

    $ ansible-playbook --syntax-check ~/playbook.yml
    Copy to Clipboard Toggle word wrap

    このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

  3. Playbook を実行します。 

    $ ansible-playbook ~/playbook.yml
    Copy to Clipboard Toggle word wrap

第3章 Web コンソールアドオンのインストールとカスタムページの作成
リンクのコピー

Red Hat Enterprise Linux システムの使用方法に応じて、使用可能 なアプリケーションを Web コンソールに追加したり、ユースケースに基づいてカスタムページを作成したりできます。

3.1. RHEL Web コンソールのアドオン
リンクのコピー

cockpit パッケージはデフォルトで Red Hat Enterprise Linux の一部ですが、次のコマンドを使用してオンデマンドでアドオンアプリケーションをインストールできます。 

# dnf install <add-on>
Copy to Clipboard Toggle word wrap

上記コマンドの <add-on> は、RHEL Web コンソールで使用可能なアドオンアプリケーションのリストのパッケージ名に置き換えます。

Expand
機能名パッケージ名用途

Composer

cockpit-composer

カスタム OS イメージの構築

ファイルマネージャー

cockpit-files

標準の Web コンソールインターフェイスでのファイルとディレクトリーの管理

マシン

cockpit-machines

libvirt 仮想マシンの管理

PackageKit

cockpit-packagekit

ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている)

PCP

cockpit-pcp

永続的かつ、より詳細なパフォーマンスデータ (UI からオンデマンドでインストール)

Podman

cockpit-podman

コンテナーの管理コンテナーイメージの管理

セッションの録画

cockpit-session-recording

ユーザーセッションの記録および管理

ストレージ

cockpit-storaged

udisk によるストレージの管理

3.2. Web コンソールでの新しいページの作成
リンクのコピー

カスタマイズした関数を Red Hat Enterprise Linux Web コンソールに追加する場合は、必要な関数を実行するページの HTML および JavaScript ファイルを含むパッケージディレクトリーを追加する必要があります。

カスタムページの追加の詳細は、Cockpit Project Web サイトの Creating Plugins for the Cockpit User Interface を参照してください。

3.3. Web コンソールでのマニフェスト設定のオーバーライド
リンクのコピー

システムの特定のユーザーおよび全ユーザーの Web コンソールのメニューを変更できます。cockpit プロジェクトでは、パッケージ名はディレクトリー名です。パッケージには、manifest.json ファイルと他のファイルが含まれています。デフォルト設定は、manifest.json ファイルに存在します。指定したユーザーの特定の場所に <package-name>.override.json ファイルを作成することで、デフォルトの cockpit メニュー設定をオーバーライドできます。

前提条件

手順

  1. 任意のテキストエディターで <systemd>.override.json ファイルのマニフェスト設定をオーバーライドします。次に例を示します。

    1. すべてのユーザーの設定を編集するには、次のように入力します。 

      # vi /etc/cockpit/<systemd>.override.json
      Copy to Clipboard Toggle word wrap

    2. 単一ユーザーの設定を編集するには、次のように入力します。 

      # vi ~/.config/cockpit/<systemd>.override.json
      Copy to Clipboard Toggle word wrap

  2. 次の詳細を含む必要なファイルを編集します。 

    {
  "menu": {
  "services": null,
  "logs": {
      "order": -1
  }
 }
}
    Copy to Clipboard Toggle word wrap
    • null 値を指定すると、services タブが非表示になります。
    • -1 値を指定すると、logs タブが一番目に移動します。

  3. cockpit サービスを再起動します。 

    # systemctl restart cockpit.service
    Copy to Clipboard Toggle word wrap

第4章 Web コンソールでソフトウェア更新の管理
リンクのコピー

RHEL 9 Web コンソールでソフトウェア更新を管理する方法と、それらを自動化する方法を説明します。

Web コンソールのソフトウェア更新モジュールは、dnf ユーティリティーに基づいています。dnf を使用したソフトウェアの更新の詳細は、パッケージの更新 セクションを参照してください。

4.1. Web コンソールでの手動ソフトウェア更新の管理
リンクのコピー

Web コンソールを使用してソフトウェアを手動で更新できます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Software Updates をクリックします。

    利用可能な更新のリストは、24 時間が経過すると自動的に更新されます。再読み込みさせるには、Check for Updates ボタンをクリックします。

  3. 更新を適用します。更新の実行中に更新ログを見ることができます。

    1. 利用可能な更新をすべてインストールするには、Install all updates ボタンをクリックします。
    2. 利用可能なセキュリティー更新がある場合は、Install Security Updates ボタンをクリックして個別にインストールできます。
    3. kpatch 更新が利用可能な場合は、Install kpatch updates ボタンをクリックして個別にインストールできます。

  4. オプション: システムを自動的に再起動するために、Reboot after completion スイッチをオンにすることができます。

    この手順を実行する場合は、この手順の残りの手順をスキップできます。

  5. システムが更新を適用すると、システムを再起動するように勧められます。新しいカーネルまたはシステムサービスが更新に含まれていて、それらを個別に再起動する必要がない場合は、システムを再起動します。

  6. 無視 をクリックして再起動をキャンセルするか、今すぐ再起動 をクリックしてシステムの再起動を続行します。

    システムの再起動後、Web コンソールにログインし、Software Updates ページに移動して更新が成功したことを確認します。

4.2. Web コンソールで自動ソフトウェア更新の管理
リンクのコピー

Web コンソールでは、すべての更新またはセキュリティー更新の適用を選択し、自動更新の周期とタイミングを管理することもできます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Software Updates をクリックします。
  3. Settings テーブルで、Edit ボタンをクリックします。
  4. 自動更新の種類を一つ選びます。Security updates only、または All updates を選択できます。
  5. 自動更新の日付を変更するには、ドロップダウンメニューの 毎日 をクリックして、特定の日付を選択します。
  6. 自動更新の時刻を変更するには、6:00 のフィールドをクリックして、特定の時刻を選択するか、入力します。
  7. ソフトウェアの自動更新を無効にする場合は、更新なし を選択してください。

4.3. Web コンソールでソフトウェア更新適用後のオンデマンド再起動の管理
リンクのコピー

インテリジェント再起動機能は、ソフトウェア更新後にシステム全体を再起動する必要があるのか、それとも特定のサービスだけを再起動すればよいのかをユーザーに通知する機能です。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Software Updates をクリックします。
  3. システムの更新を適用します。
  4. 更新が成功したら、Reboot system…​Restart services…​、または Ignore をクリックします。

  5. 無視することにした場合には、次のいずれかの方法で再起動またはリブートメニューに戻ることができます。

    1. リブート:

      1. Software Updates ページの Status フィールドにある Reboot system ボタンをクリックします。
      2. オプション: ログインしているユーザーへのメッセージを書きます。
      3. Delay ドロップダウンメニューから、delay を選択します。
      4. Reboot をクリックします。

    2. サービスの再起動:

      1. Software Updates ページの Status フィールドにある Restart services ボタンをクリックします。

        再起動が必要なすべてのサービスのリストが表示されます。

      2. サービスの再起動 をクリックします。

        選択した内容に応じて、システムを再起動するか、サービスを再起動します。

4.4. Web コンソールでのカーネルライブパッチを使用したパッチ適用
リンクのコピー

RHEL Web コンソールで、強制的に再起動せずにカーネルセキュリティーパッチを適用する kpatch フレームワークを設定できます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Software Updates をクリックします。

  3. カーネルパッチの設定状況を確認します。

    1. パッチがインストールされていない場合は、インストール をクリックします。

      Basic kernel patch settings

    2. カーネルパッチを有効にするには、Enable をクリックします。

      Basic kernel patch settings after the installation

    3. カーネルパッチを適用する場合はチェックを入れます。

    4. 現在および今後のカーネルにパッチを適用するか、現在のカーネルにのみ適用するかを選択します。今後のカーネルにパッチを適用することを選択した場合、システムは今後リリースされるカーネルのパッチも適用します。

      Automatic kernel patch settings

    5. Apply をクリックします。

検証

  • ソフトウェア更新設定 の表で、カーネルパッチが 有効 になっていることを確認します。

    Basic kernel patch settings enabled

第5章 Web コンソールでサブスクリプションの管理
リンクのコピー

Red Hat Enterprise Linux 9 Web コンソールで Red Hat 製品のサブスクリプションを管理できます。

前提条件

5.1. Web コンソールでサブスクリプションの管理
リンクのコピー

RHEL 9 Web コンソールは、ローカルシステムにインストールされている Red Hat Subscription Manager を使用するインターフェイスを提供します。

Subscription Manager は、Red Hat カスタマーポータルに接続し、次のサブスクリプションを確認します。

  • アクティブなサブスクリプション
  • 期限が切れたサブスクリプション
  • 更新されたサブスクリプション

Red Hat カスタマーポータルでサブスクリプションを更新したり、別のサブスクリプションを取得したりする場合、Subscription Manager のデータを手動で更新する必要はありません。

Subscription Manager は、データを Red Hat カスタマーポータルと自動的に同期します。

5.2. Web コンソールを使用したシステムの登録
リンクのコピー

Red Hat Enterprise Linux オペレーティングシステムと、そこにインストールされている製品は、サブスクリプションの対象となります。システムを登録していない場合、RHEL リポジトリーにアクセスすることはできません。セキュリティー、バグ修正などのソフトウェア更新をインストールすることはできません。Self-Support サブスクリプションをお持ちの場合でも、ナレッジベースにアクセスできます。一方、サブスクリプションがない場合は、多くのリソースを利用できません。Red Hat Web コンソールでアカウント認証情報を使用して、新しくインストールした Red Hat Enterprise Linux を登録できます。

前提条件

  • RHEL システムの有効なサブスクリプションを持っている。

手順

  1. ブラウザーで https://<ip_address_or_hostname>:9090 を開き、Web コンソールにログインします。
  2. Overview ページの Health フィールドで、Not registered の警告をクリックするか、メインメニューの Subscriptions をクリックして、サブスクリプション情報を含むページに移動します。
  3. Overview フィールドで、Register をクリックします。

  4. Register system ダイアログで、登録方法を選択します。

    オプション: 組織の名前または ID を入力します。アカウントが Red Hat カスタマーポータルで複数の組織に所属している場合には、組織名または ID を追加する必要があります。組織 ID を取得する場合は、Red Hat のテクニカルアカウントマネージャーに確認してください。

  5. システムを Red Hat Insights に接続しない場合は、Insights チェックボックスをオフにします。
  6. Register をクリックします。

検証

5.3. Web コンソールでアクティベーションキーを使用してサブスクリプションを登録
リンクのコピー

RHEL Web コンソールでアクティベーションキーを使用して、新しくインストールした Red Hat Enterprise Linux を登録できます。

前提条件

  • Red Hat 製品サブスクリプションのアクティベーションキー。

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Overview ページの Health フィールドで、Not registered の警告をクリックするか、メインメニューの Subscriptions をクリックして、サブスクリプション情報を含むページに移動します。

    Health status - Not registered .

  3. Overview フィールドの Register をクリックします。

  4. Register system ダイアログボックスで、Activation key を選択して、アクティベーションキーを使用して登録します。

    Register system dialog window

  5. キーを入力します。

  6. 組織名または ID を入力します。

    組織 ID の取得は、Red Hat にお問い合わせください。

    • Red Hat Insights にシステムを接続しない場合は、Insights チェックボックスのチェックを外してください。
  7. Register をクリックします。

第6章 Web コンソールでリモートシステムの管理
リンクのコピー

リモートシステムに接続し、RHEL 9 Web コンソールで管理できます。

以下を説明します。

  • 接続したシステムで最適なトポロジー
  • リモートシステムを追加および削除する方法
  • リモートシステム認証に SSH 鍵を使用する時、理由、および方法
  • スマートカードで認証されたユーザーがリモートホストに SSH 接続してサービスにアクセスできるように Web コンソールクライアントを設定する方法。

前提条件

  • SSH サービスがリモートシステムで実行されている。

6.1. Web コンソールのリモートシステムマネージャー
リンクのコピー

セキュリティー上の理由から、RHEL 9 Web コンソールによって管理されるリモートシステムの次のネットワーク設定を使用します。

  • Web コンソールを使用して、システム 1 台を要塞ホストとして設定します。要塞ホストは、開いている HTTPS ポートを使用するシステムです。
  • その他のすべてのシステムは SSH を介して通信します。

要塞ホストで Web インターフェイスを使用して、デフォルト設定でポート 22 を使用して、SSH プロトコルを介して他のすべてのシステムに到達できます。

Topology of systems managed by the web console

6.2. Web コンソールへのリモートシステムの追加
リンクのコピー

RHEL Web コンソールで、対応する認証情報を使用してリモートシステムを追加した後、そのリモートシステムを管理できます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. RHEL 9 Web コンソールで、Overview ページの左上隅にある <username>@<hostname> をクリックします。

    username@hostname drop-down menu

  3. ドロップダウンメニューから、Add new host をクリックします。
  4. 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。

  5. オプション: 接続するアカウントのユーザー名を追加します。

    リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限のないユーザーアカウントの認証情報を使用すると、管理タスクを実行できません。

    ローカルシステムと同じ認証情報を使用すると、ログインするたびに Web コンソールによってリモートシステムが自動的に認証されます。複数のシステムで同じ認証情報を使用すると、セキュリティーが弱まることに注意してください。

  6. オプション: Color フィールドをクリックして、システムの色を変更します。
  7. Add をクリックします。
重要

Web コンソールはリモートシステムへのログインに使用されるパスワードを保存しません。そのため、システムを再起動するたびに再度ログインする必要があります。次回ログインするときは、切断されたリモートシステムのメイン画面にある Log in をクリックして、ログインダイアログを開いてください。

検証

  • 新しいホストが、<username>@<hostname> ドロップダウンメニューに表示されます。

6.3. 新しいホストの SSH ログインの有効化
リンクのコピー

Web コンソールに新しいホストを追加すると、SSH 鍵を使用してホストにログインできるようになります。システム上にすでに SSH 鍵がある場合、Web コンソールは既存の鍵を使用します。そうでない場合、Web コンソールは鍵を作成できます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. RHEL 9 Web コンソールで、Overview ページの左上隅にある <username>@<hostname> をクリックします。

    username@hostname drop-down menu

  3. ドロップダウンメニューから、Add new host をクリックします。
  4. 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。

  5. 接続するアカウントのユーザー名を追加します。

    リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限のないユーザーアカウントを使用すると、管理タスクを実行できません。

  6. オプション: Color フィールドをクリックして、システムの色を変更します。

  7. Add をクリックします。

    新しいダイアログウィンドウが表示され、パスワードの入力が求められます。

  8. ユーザーアカウントのパスワードを入力します。

  9. すでに SSH 鍵がある場合は、Authorize SSH key チェックボックスをオンにします。

    Log in to a host dialog windows

  10. SSH 鍵がない場合は、Create new SSH key and authorize it にチェックを入れてください。Web コンソールが鍵を作成します。

    SSH key created for the host

    1. SSH 鍵のパスワードを追加します。
    2. パスワードを確認すします。
  11. Log in をクリックします。

検証

  1. ログアウトします。
  2. ログインし直してください。
  3. Not connected to host 画面の Log in をクリックします。

  4. 認証オプションとして、SSH 鍵を選択します。

    SSH 鍵のオプションが選択されたログインダイアログウィンドウ
    View larger image
    SSH 鍵のオプションが選択されたログインダイアログウィンドウ
  5. 鍵のパスワードを入力します。
  6. Log in をクリックします。

RHEL Web コンソールでユーザーアカウントにログインした後、SSH プロトコルを使用してリモートマシンに接続できます。制約付き委任 機能を使用すると、再度認証を求められることなく SSH を使用することができます。

この手順例では、Web コンソールセッションが myhost.idm.example.com ホストで実行され、認証されたユーザーの代わりに SSH を使用して、remote.idm.example.com ホストにアクセスするようにコンソールを設定します。

前提条件

  • IdM admin Ticket-Granting Ticket (TGT) を取得している
  • remote.idm.example.com への root アクセス権がある
  • cockpit サービスが IdM で実行している。

  • Web コンソールは、ユーザーセッションに S4U2Proxy Kerberos チケットを作成している。確認するには、IdM ユーザーとして Web コンソールにログインし、Terminal ページを開き、次のように入力します。 

    $ klist
Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache
Default principal: user@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
07/30/21 09:19:06  07/31/21 09:19:06  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
        for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

手順

  1. 委任ルールがアクセスできるターゲットホストのリストを作成します。

    1. サービス委任ターゲットを作成します。 

      $ ipa servicedelegationtarget-add cockpit-target
      Copy to Clipboard Toggle word wrap

    2. 委任対象に対象ホストを追加します。 

      $ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM
      Copy to Clipboard Toggle word wrap

  2. サービス委任ルールを作成し、HTTP サービスの Kerberos プリンシパルを追加することで、cockpit セッションがターゲットホストリストにアクセスできるようにします。

    1. サービス委任ルールを作成します。 

      $ ipa servicedelegationrule-add cockpit-delegation
      Copy to Clipboard Toggle word wrap

    2. Web コンソールクライアントを委任ルールに追加します。 

      $ ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
      Copy to Clipboard Toggle word wrap

    3. 委任対象を委任ルールに追加します。 

      $ ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target
      Copy to Clipboard Toggle word wrap

  3. remote.idm.example.com ホストで Kerberos 認証を有効にします。

    1. root として、SSH 経由で remote.idm.example.com に接続します。
    2. /etc/ssh/sshd_config ファイルを開いて編集します。
    3. GSSAPIAuthentication no 行のコメントを外し、GSSAPIAuthentication yes に置き換えて、GSSAPIAuthentication を有効にします。

  4. 変更をすぐに有効にするには、remote.idm.example.comsshd サービスを再起動します。 

    $ systemctl try-restart sshd.service
    Copy to Clipboard Toggle word wrap

RHEL Web コンソールでユーザーアカウントにログインした後、SSH プロトコルを使用してリモートマシンに接続できます。servicedelegationrule および servicedelegationtarget モジュールを使用して、制約付き委任機能用に Web コンソールを設定できます。これにより、再度認証を求められることなく SSH 接続が可能になります。

この手順例では、Web コンソールセッションが myhost.idm.example.com ホストで実行され、認証されたユーザーの代わりに SSH を使用して remote.idm.example.com ホストにアクセスするように設定します。

前提条件

  • IdM admin パスワードがある
  • remote.idm.example.com への root アクセスがある
  • Web コンソールサービスは IdM で実行されます。

  • Web コンソールは、ユーザーセッションに S4U2Proxy Kerberos チケットを作成している。確認するには、IdM ユーザーとして Web コンソールにログインし、Terminal ページを開き、次のように入力します。 

    $ klist
Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache
Default principal: user@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
07/30/21 09:19:06  07/31/21 09:19:06  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
        for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
    Copy to Clipboard Toggle word wrap

  • 次の要件を満たすように Ansible コントロールノードを設定した。

    • Ansible バージョン 2.14 以降を使用している。
    • ansible-freeipa パッケージがインストールされている。
    • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成している (この例の場合)。
    • この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
  • ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

  1. ~/MyPlaybooks/ ディレクトリーに移動します。 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. 以下の内容で web-console-smart-card-ssh.yml Playbook を作成します。

    1. 委任対象の存在を確認するタスクを作成します。 

      ---
- name: Playbook to create a constrained delegation target
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure servicedelegationtarget web-console-delegation-target is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      Copy to Clipboard Toggle word wrap

    2. 対象ホストを委任ターゲットに追加するタスクを追加します。 

        - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
      action: member
      Copy to Clipboard Toggle word wrap

    3. 委任ルールの存在を確認するタスクを追加します。 

        - name: Ensure servicedelegationrule delegation-rule is present
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      Copy to Clipboard Toggle word wrap

    4. Web コンソールクライアントサービスの Kerberos プリンシパルが制約付き委任ルールのメンバーであることを確認するタスクを追加します。 

        - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      principal: HTTP/myhost.idm.example.com
      action: member
      Copy to Clipboard Toggle word wrap

    5. 制約付き委任ルールが web-console-delegation-target 委任対象と関連付けられることを確認するタスクを追加します。 

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      target: web-console-delegation-target
      action: member
      Copy to Clipboard Toggle word wrap
  3. ファイルを保存します。

  4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml
    Copy to Clipboard Toggle word wrap

  5. remote.idm.example.com で Kerberos 認証を有効にします。

    1. root として、SSH 経由で remote.idm.example.com に接続します。
    2. /etc/ssh/sshd_config ファイルを開いて編集します。
    3. GSSAPIAuthentication no 行のコメントを外し、GSSAPIAuthentication yes に置き換えて、GSSAPIAuthentication を有効にします。

  6. 変更をすぐに有効にするには、remote.idm.example.comsshd サービスを再起動します。 

    $ systemctl try-restart sshd.service
    Copy to Clipboard Toggle word wrap

RHEL 9 Web コンソールで Identity Management (IdM)が提供するシングルサインオン(SSO)認証を使用すると、次の利点があります。

  • IdM ドメインに Kerberos チケットがあると、Web コンソールにアクセスする際にログイン認証情報を指定する必要がなくなりました。
  • IdM 認証局(CA)が発行した証明書を持つユーザーは、Web コンソールにアクセスするためにログイン認証情報を提供する必要はありません。Web コンソールサーバーでは、IdM 認証局が発行した証明書に自動的に切り替わり、ブラウザーに許可されます。証明書設定は必須ではありません。
  • IdM ドメインの管理者は、RHEL 9 Web コンソールを使用して、ドメイン内のシステムを管理できます。適切なパーミッションを設定すると、IdM 管理者は、Web コンソールクライアント(ブラウザー)を使用して、任意の IdM ホストでコマンドを実行できます。

この章では、以下について説明します。

  • IdM クライアントで実行している RHEL Web コンソールサービスにログインするように SSO を設定する方法。
  • IdM サーバーで実行している RHEL Web コンソールサービスにログインするように SSO を設定する方法。
  • Web コンソールクライアントにログインしている IdM システム管理者が IdM ホストに sudo アクセスを設定する方法

前提条件

7.1. Web コンソールを使用した RHEL 9 システムの IdM ドメインへの参加
リンクのコピー

Web コンソールを使用して、Red Hat Enterprise Linux 9 システムを Identity Management (IdM)ドメインに参加させることができます。

前提条件

  • IdM ドメインが実行中で参加するクライアントから到達可能
  • IdM ドメインの管理者認証情報がある。

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Overview タブの Configuration フィールドで、Join Domain をクリックします。
  3. ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
  4. ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
  5. Domain administrator password にパスワードを追加します。
  6. 参加 をクリックします。

検証

  1. システムが IdM ドメインに参加していると、RHEL 9 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。

  2. ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、id コマンドを実行します。 

    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
    Copy to Clipboard Toggle word wrap

7.2. Kerberos 認証を使用した Web コンソールへのログイン
リンクのコピー

Identity Management (IdM)ユーザーは、シングルサインオン(SSO)認証を使用して、ブラウザーで RHEL Web コンソールに自動的にアクセスできます。

重要

SSO を使用した場合は、通常、Web コンソールに管理者権限がありません。これは、パスワードがない sudo を設定した場合に限り機能します。Web コンソールは、対話的に sudo パスワードを要求しません。

前提条件

  • IdM ドメインは DNS で解決可能です。たとえば、Kerberos サーバーの SRV レコードは解決可能です。 

    $ host -t SRV  _kerberos._udp.idm.example.com
_kerberos._udp.idm.example.com has SRV record 0 100 88 dc.idm.example.com
    Copy to Clipboard Toggle word wrap

    ブラウザーを実行しているシステムが RHEL 9 システムであり、IdM ドメインに参加 している場合は、Web コンソールサーバーと同じ DNS を使用しているため、DNS 設定は必要ありません。

  • SSO 認証用に Web コンソールサーバーを設定している。
  • Web コンソールサービスが実行されているホストが IdM クライアントである。
  • SSO 認証用に Web コンソールクライアントを設定しました。

手順

  1. Kerberos Ticket-Granting Ticket を取得します。 

    $ kinit idmuser@IDM.EXAMPLE.COM
Password for idmuser@IDM.EXAMPLE.COM:
    Copy to Clipboard Toggle word wrap

  2. Web コンソールサービスを実行しているホストの完全修飾名をブラウザーに入力します。 

     https://<dns_name>:9090
    Copy to Clipboard Toggle word wrap
    Web コンソールのスクリーンショット。左側の列に System - Logs - Storage - Networking - Accounts - Services - Applications - Diagnostic Reports - Kernel Dump - SELinux のボタンがあります。システムオプションが選択され、ハードウェア - Machine ID - Operating system - Secure Shell Keys - Hostname などのシステムの詳細を表示します。3 つのグラフは、時間の経過と共に CPU の使用状況(メモリーと Swap の使用)と、経時的なディスク I/O を表示します。
    View larger image
    Web コンソールのスクリーンショット。左側の列に System - Logs - Storage - Networking - Accounts - Services - Applications - Diagnostic Reports - Kernel Dump - SELinux のボタンがあります。システムオプションが選択され、ハードウェア - Machine ID - Operating system - Secure Shell Keys - Hostname などのシステムの詳細を表示します。3 つのグラフは、時間の経過と共に CPU の使用状況(メモリーと Swap の使用)と、経時的なディスク I/O を表示します。

    この時点で、RHEL Web コンソールへの接続に成功しており、設定を開始できます。たとえば、Web コンソールで RHEL 9 システムを IdM ドメインに参加させることが できます。

7.3. IdM サーバーで GSSAPI を使用した RHEL Web コンソールのシングルサインオンの有効化
リンクのコピー

RHEL Web コンソールは、Generic Security Services Application Program Interface (GSSAPI)認証を使用できます。ただし、IdM フレームワークは、HTTP/server.idm.example.com@IDM.EXAMPLE.COM Kerberos サービスとそのキータブをすでに所有している。したがって、Identity Management (IdM)サーバーに GSSAPI 認証を実装するには、/etc/cockpit/krb5.keytab から /var/lib/ipa/gssproxy/http.keytab へのシンボリックリンクを作成し、証明書キーのペアを生成します。

前提条件

  • root 権限がある。
  • RHEL 9.6 以降を使用している。

手順

  1. symlink を作成します。 

    # ln -s /var/lib/ipa/gssproxy/http.keytab /etc/cockpit/krb5.keytab
    Copy to Clipboard Toggle word wrap

  2. 証明書ファイルの Bash 変数を設定します。 

    # CERT_FILE=/etc/cockpit/ws-certs.d/50-certmonger.crt
    Copy to Clipboard Toggle word wrap

  3. 証明書キーの Bash 変数を設定します。 

    # KEY_FILE=/etc/cockpit/ws-certs.d/50-certmonger.key
    Copy to Clipboard Toggle word wrap

  4. 証明書キーペアを生成します。 

    # ipa-getcert request -f ${CERT_FILE} -k ${KEY_FILE} -D $(hostname --fqdn)
    Copy to Clipboard Toggle word wrap

7.4. IdM ホストの IdM 管理者の sudo アクセスの有効化
リンクのコピー

Identity Management (IdM)のシステム管理者が、IdM ホストで sudo 権限を付与するように設定できます。

前提条件

  • IdM ホストに IdM 管理者としてログインしている。
  • ホストの root 権限がある。

手順

  • ホストで sudo アクセスを有効にします。 

    # ipa-advise enable-admins-sudo | sh -ex
    Copy to Clipboard Toggle word wrap

第8章 集中管理ユーザー向けに Web コンソールを使用したスマートカード認証の設定
リンクのコピー

RHEL Web コンソールで、以下の方法で集中管理されているユーザーに対してスマートカード認証を設定できます。

  • Identity Management
  • Identity Management を使用してフォレスト間の信頼に接続する Active Directory

前提条件

8.1. 集中管理ユーザーのスマートカード認証
リンクのコピー

スマートカードは、カードに保存されている証明書を使用して個人認証を提供できる物理デバイスです。個人認証とは、ユーザーパスワードと同じ方法でスマートカードを使用できることを意味します。

秘密鍵と証明書の形式で、スマートカードにユーザーの認証情報を保存できます。特別なソフトウェアおよびハードウェアを使用して、そのソフトウェアにアクセスします。スマートカードをリーダーまたは USB ソケットに挿入して、パスワードを入力する代わりに、スマートカードの PIN コードを入力します。

Identity Management (IdM) では、以下によるスマートカード認証に対応しています。

  • IdM 認証局が発行するユーザー証明書。
  • Active Directory Certificate Service (ADCS) 認証局が発行するユーザー証明書。
注記

スマートカード認証の使用を開始する場合は、ハードウェア要件 Smart Card support in RHEL8+ を参照してください。

8.2. スマートカードを管理および使用するツールのインストール
リンクのコピー

スマートカードを設定する前に、証明書を生成できる対応するツールをインストールし、pscd サービスを開始する必要があります。

前提条件

  • root 権限がある。

手順

  1. opensc パッケージおよび gnutls-utils パッケージをインストールします。 

    # dnf -y install opensc gnutls-utils
    Copy to Clipboard Toggle word wrap

  2. pcscd サービスを開始します。 

    # systemctl start pcscd
    Copy to Clipboard Toggle word wrap

検証

  • pcscd サービスが稼働していることを確認します。 

    # systemctl status pcscd
    Copy to Clipboard Toggle word wrap

8.3. スマートカードを準備し、証明書と鍵をスマートカードにアップロードする
リンクのコピー

pkcs15-init ツールを使用してスマートカードを設定するには、この手順に従います。このツールは、以下を設定するのに役立ちます。

  • スマートカードの消去
  • 新しい PIN および任意の PIN ブロック解除キー (PUK) の設定
  • スマートカードでの新規スロットの作成
  • スロットへの証明書、秘密鍵、および公開鍵の保存
  • 必要に応じて、特定のスマートカードではこのタイプのファイナライズが必要なため、スマートカードの設定をロックします。

pkcs15-init ツールは、すべてのスマートカードで機能するとは限りません。使用しているスマートカードで動作するツールを使用する必要があります。

前提条件

  • pkcs15-init ツールを含む opensc パッケージがインストールされている。

    詳細は スマートカードを管理および使用するツールのインストール を参照してください。

  • カードがリーダーに挿入され、コンピューターに接続されている。
  • スマートカードに保存する秘密鍵、公開鍵、および証明書がある。この手順の testuser.keytestuserpublic.key、および testuser.crt は、秘密鍵、公開鍵、および証明書に使用される名前です。
  • 現在のスマートカードユーザー PIN およびセキュリティーオフィス PIN (SO-PIN)

手順

  1. スマートカードを消去して PIN で自身を認証します。 

    $ pkcs15-init --erase-card --use-default-transport-keys
Using reader with a card: Reader name
PIN [Security Officer PIN] required.
Please enter PIN [Security Officer PIN]:
    Copy to Clipboard Toggle word wrap

    カードが削除されました。

  2. スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。 

    $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
    --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
Using reader with a card: Reader name
    Copy to Clipboard Toggle word wrap

    pcks15-init ツールは、スマートカードに新しいスロットを作成します。

  3. スロットのラベルと認証 ID を設定します。 

    $ pkcs15-init --store-pin --label testuser \
    --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
Using reader with a card: Reader name
    Copy to Clipboard Toggle word wrap

    ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

  4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。 

    $ pkcs15-init --store-private-key testuser.key --label testuser_key \
    --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    Copy to Clipboard Toggle word wrap
    注記

    --id に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id に独自の値を指定することを推奨します。そうしないと、より複雑な値がツールによって計算されます。

  5. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。 

    $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
    --auth-id 01 --id 01 --format pem --pin 963214
Using reader with a card: Reader name
    Copy to Clipboard Toggle word wrap

  6. オプション: スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。 

    $ pkcs15-init --store-public-key testuserpublic.key \
    --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    Copy to Clipboard Toggle word wrap
    注記

    公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。

  7. オプション: スマートカードの中には、設定をロックしてカードをファイナライズする必要があるものもあります。 

    $ pkcs15-init -F
    Copy to Clipboard Toggle word wrap

    この段階で、スマートカードの新しく作成されたスロットに、証明書、秘密鍵、公開鍵が含まれています。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

8.4. Web コンソールのスマートカード認証の有効化
リンクのコピー

Web コンソールでスマートカード認証を使用するには、cockpit.conf ファイルでスマートカード認証方式を有効にします。

また、同じファイルでパスワード認証を無効にすることもできます。

前提条件

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

  2. Terminal をクリックします。

  3. /etc/cockpit/cockpit.confClientCertAuthenticationyes に設定します。 

    [WebService]
ClientCertAuthentication = yes
    Copy to Clipboard Toggle word wrap

  4. オプション: 以下のようにして cockpit.conf でパスワードベースの認証を無効にします。 

    [Basic]
action = none
    Copy to Clipboard Toggle word wrap

    この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。

  5. Web コンソールを再起動して、cockpit.service が変更を受け入れることを確認します。 

    # systemctl restart cockpit
    Copy to Clipboard Toggle word wrap

8.5. スマートカードを使用して Web コンソールへのログイン
リンクのコピー

スマートカードを使用して、Web コンソールにログインできます。

前提条件

  • 有効な証明書が、Active Directory または Identity Management ドメインで作成されたユーザーアカウントに関連付けられているスマートカードに保存されている。
  • スマートカードのロックを解除するピン。
  • スマートカードがリーダーに追加されている。

手順

  1. RHEL 9 Web コンソールにログインします。

    詳細は、Web コンソールへのログイン を参照してください。

    ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。

  2. Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
  3. User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。

  4. Remember this decision を選択します。

    次回、このウィンドウが開きません。

    注記

    この手順は、Google Chrome ユーザーには適用されません。

  5. OK をクリックします。

これで接続され、Web コンソールがそのコンテンツを表示します。

8.6. スマートカードユーザーに対するパスワードなしの sudo 認証の有効化
リンクのコピー

Web コンソールで、スマートカードユーザー向けに sudo およびその他のサービスへのパスワードなし認証を設定できます。

また、Red Hat Enterprise Linux Identity Management を使用している場合は、sudo、SSH、またはその他のサービスに対して認証するために、最初の Web コンソール証明書認証を信頼できるものとして宣言できます。そのために、Web コンソールはユーザーセッションに S4U2Proxy Kerberos チケットを自動的に作成します。

前提条件

手順

  1. チケットがアクセスできるホストをリストアップする制約委譲ルールを設定します。

    例8.1 制約委譲ルールの設定

    Web コンソールセッションはホスト host.example.com で実行されており、sudo を使用して自分のホストにアクセスできるように信頼されている必要があります。さらに、2 つ目の信頼できるホストとして remote.example.com を追加します。

    • 以下の委譲を作成します。

      • 以下のコマンドを実行して、特定のルールがアクセスできるターゲットマシンのリストを追加します。 

        # ipa servicedelegationtarget-add cockpit-target
# ipa servicedelegationtarget-add-member cockpit-target \
   --principals=host/host.example.com@EXAMPLE.COM \
   --principals=host/remote.example.com@EXAMPLE.COM
        Copy to Clipboard Toggle word wrap

      • Web コンソールセッション (HTTP/プリンシパル) がそのホストリストにアクセスできるようにするには、次のコマンドを使用します。 

        # ipa servicedelegationrule-add cockpit-delegation
# ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/host.example.com@EXAMPLE.COM
# ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target
        Copy to Clipboard Toggle word wrap

  2. 対応するサービスで GSS 認証を有効にします。

    1. sudo の場合は、/etc/sssd/sssd.conf ファイルで pam_sss_gss モジュールを有効にします。

      1. root で、/etc/sssd/sssd.conf 設定ファイルにドメイン用のエントリーを追加します。 

        [domain/example.com]
pam_gssapi_services = sudo, sudo-i
        Copy to Clipboard Toggle word wrap

      2. /etc/pam.d/sudo ファイルの 1 行目でモジュールを有効にします。 

        auth sufficient pam_sss_gss.so
        Copy to Clipboard Toggle word wrap
    2. SSH の場合、/etc/ssh/sshd_config ファイルの GSSAPIAuthentication オプションを yes に更新します。
警告

委譲された S4U チケットが、Web コンソールからリモートの SSH ホストに接続するときに転送されません。チケットを使用してリモートホストの sudo を認証してもうまくいきません。

検証

  1. スマートカードを使用して Web コンソールにログインします。
  2. Limited access ボタンをクリックします。
  3. スマートカードを使用して認証を行います。

または、次のようになります。

  • 別のホストに SSH で接続を試みます。

8.7. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限
リンクのコピー

証明書認証は、別のユーザーの権限を借用しようとする攻撃者に対して Web サーバー cockpit-ws のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否 (DoS) 攻撃が発生する可能性があります。リモート攻撃者は大量の証明書を作成し、それぞれ異なる証明書を使用して大量の HTTPS リクエストを cockpit-ws に送信する可能性があります。

このような DoS 攻撃を防ぐには、これらの Web サーバーインスタンスの共有リソースを制限します。デフォルトでは、接続数とメモリー使用量の制限として、200 スレッドと 75 % (ソフト) または 90 % (ハード) のメモリー制限が設定されています。

この例の手順では、接続数とメモリーを制限することでリソースを保護する方法を示します。

手順

  1. 端末で system-cockpithttps.slice 設定ファイルを開きます。 

    # systemctl edit system-cockpithttps.slice
    Copy to Clipboard Toggle word wrap

  2. TasksMax100 に、CPUQuota30% に制限します。 

    [Slice]
# change existing value
TasksMax=100
# add new restriction
CPUQuota=30%
    Copy to Clipboard Toggle word wrap

  3. 変更を適用するには、システムを再起動します。 

    # systemctl daemon-reload
# systemctl stop cockpit
    Copy to Clipboard Toggle word wrap

新しいメモリーとユーザーセッションにより、cockpit-ws Web サーバーに対する DoS 攻撃のリスクが低減されます。

第9章 Web コンソールでの Satellite ホストの管理と監視
リンクのコピー

Red Hat Satellite Server で RHEL Web コンソール統合を有効にすると、Web コンソールで多数のホストを大規模に管理できます。

Red Hat Satellite は、物理環境、仮想環境、およびクラウド環境全体のシステムをデプロイ、設定、保守するためのシステム管理ソリューションです。Satellite では、一元化されたツールを使用して複数の Red Hat Enterprise Linux デプロイメントのプロビジョニング、リモート管理、監視が可能です。

デフォルトでは、Red Hat Satellite では RHEL Web コンソールの統合が無効になっています。Red Hat Satellite 内からホストの RHEL Web コンソール機能にアクセスするには、まず Red Hat Satellite Server で RHEL Web コンソールの統合を有効にする必要があります。

Satellite Server で RHEL Web コンソールを有効にするには、root として次のコマンドを入力します。 

# satellite-installer --enable-foreman-plugin-remote-execution-cockpit --reset-foreman-plugin-remote-execution-cockpit-ensure
Copy to Clipboard Toggle word wrap

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る