14.2. Red Hat Identity Management の使用
本項では、Satellite Server と Red Hat Identity Management サーバーを統合する方法とホストベースアクセス制御を有効にする方法を示します。
Red Hat Identity Management は、外部認証ソースとして、シングルサインオンサポートなしで接続できます。詳細は、「LDAP の使用」 を参照してください。
ユーザーは、Red Hat Identity Management と LDAP の両方を認証方法として使用することはできません。ユーザーが 1 つの方法を使用して認証されると、他の方法を使用することはできません。
ユーザーの認証方法を変更するには、自動的に作成されたユーザーを Satellite から削除する必要があります。
前提条件
- Satellite Server のベースオペレーティングシステムが、組織の Red Hat Identity Management 管理者によって Red Hat Identity Management ドメインに登録されていること。
この章の例では、Red Hat Identity Management と Satellite の設定が分離されていることを前提としています。ただし、両方のサーバーの管理者権限がある場合は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide の説明に従って Red Hat Identity Management を設定できます。
14.2.1. Satellite Server での Red Hat Identity Management 認証の設定
Satellite CLI で、まず Red Hat Identity Management サーバーにホストエントリーを作成して、Red Hat Identity Management 認証を設定します。
手順
Red Hat Identity Management サーバーで、次のコマンドを入力し、プロンプトが表示されたら、パスワードを入力して、認証します。
# kinit admin認証されたことを確認するには、次のコマンドを入力します。
# klist
以下のように、Red Hat Identity Management サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。
# ipa host-add --random hostname注記Red Hat Identity Management 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。
ホスト設定プロパティーの詳細は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy の About Host Entry Configuration Properties を参照してください。
以下のように、Satellite Server 向けの HTTP サービスを作成します。
# ipa service-add HTTP/hostnameサービス管理の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy ガイドの Managing Services を参照してください。
Satellite Server で、IPA クライアントをインストールします。
警告このコマンドは、パッケージのインストール中に Satellite サービスを再起動する可能性があります。Satellite でのパッケージのインストールと更新に関する詳細は、「Satellite Server または CapsuleServer のベースオペレーティングシステムでのパッケージの管理」 を参照してください。
# satellite-maintain packages install ipa-client
Satellite Server で、以下のコマンドを root として入力し、Red Hat Identity Management 登録を設定します。
# ipa-client-install --password OTPOTP を、Red Hat Identity Management 管理者により提供されたワンタイムパスワードに置き換えます。
Satellite Server が Red Hat Enterprise Linux 7 で実行されている場合は、以下のコマンドを実行します。
# subscription-manager repos --enable rhel-7-server-optional-rpms
インストーラーは、オプションのリポジトリー
rhel-7-server-optional-rpms(Red Hat Enterprise Linux 7 の場合) に含まれるパッケージに依存します。以下のコマンドを使用して、
foreman-ipa-authenticationを true に設定します。# satellite-installer --foreman-ipa-authentication=true
Satellite サービスを再起動します。
# satellite-maintain service restart
この時点で、外部ユーザーは Red Hat Identity Management 認証情報を使用して Satellite にログインできます。ユーザー名とパスワードを使用して直接 Satellite Server にログインするか、設定済みの Kerberos シングルサインオンを活用してクライアントマシンでチケットを取得し、自動的にログインするかを選択できます。また、ワンタイムパスワードを使用した二要素認証 (2FA OTP) もサポートされます。Red Hat Identity Management 内のユーザーが 2FA 向けに設定され、Satellite Server が Red Hat Enterprise Linux 7 で実行されている場合には、このユーザーは OTP を使用して Satellite に対して認証することもできます。
14.2.2. ホストベースの認証制御の設定
HBAC ルールでは、Red Hat Identity Management ユーザーがドメイン内のどのマシンにアクセスできるかを定義します。一部のユーザーが Satellite Server にアクセスできないように、Red Hat Identity Management サーバーで HBAC を設定できます。この方法では、ログインが許可されていないユーザーのデータベースエントリーを、Satellite で作成できないようにします。HBAC の詳細は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy ガイドの Configuring Host-Based Access Control を参照してください。
Red Hat Identity Management サーバーで、ホストベースの認証制御 (HBAC) を設定します。
手順
Red Hat Identity Management サーバーで、次のコマンドを入力し、プロンプトが表示されたら、パスワードを入力して、認証します。
# kinit admin認証されたことを確認するには、次のコマンドを入力します。
# klist
HBAC サービスおよびルールを Red Hat Identity Management サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。Red Hat Identity Management サーバー上で以下のコマンドを実行してください。
# ipa hbacsvc-add satellite-prod # ipa hbacrule-add allow_satellite_prod # ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
satellite-prod サービスへのアクセス権があるユーザーと Satellite Server のホスト名を追加します。
# ipa hbacrule-add-user allow_satellite_prod --user=username # ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com
または、allow_satellite_prod ルールにホストグループとユーザーグループを追加できます。
ルールのステータスを確認するために、以下のコマンドを実行します。
# ipa hbacrule-find satellite-prod # ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
- Red Hat Identity Management サーバーで allow_all ルールが無効であることを確認します。他のサービスに影響を与えずにこのルールを無効にする方法については、Red Hat カスタマーポータルのアーティクル How to configure HBAC rules in IdM to allow specific users to login to clients via ssh を参照してください。
「Satellite Server での Red Hat Identity Management 認証の設定」 で説明されているように、Satellite Server で Red Hat Identity Management 統合を設定します。Satellite Server で、root として PAM サービスを定義します。
# satellite-installer --foreman-pam-service=satellite-prod
