5.2. Red Hat Identity Management の使用
本項では、Satellite Server と Red Hat Identity Management サーバーを統合する方法とホストベースアクセス制御を有効にする方法を示します。
Red Hat Identity Management は、外部認証ソースとして、シングルサインオンサポートなしで接続できます。詳細は、「LDAP の使用」 を参照してください。
ユーザーは、Red Hat Identity Management と LDAP の両方を認証方法として使用することはできません。ユーザーが 1 つの方法を使用して認証されると、他の方法を使用することはできません。
ユーザーの認証方法を変更するには、自動的に作成されたユーザーを Satellite から削除する必要があります。
前提条件
- Satellite Server のベースオペレーティングシステムが、組織の Red Hat Identity Management 管理者によって Red Hat Identity Management ドメインに登録されていること。
この章の例では、Red Hat Identity Management と Satellite の設定が分離されていることを前提としています。ただし、両方のサーバーの管理者権限を持っている場合は、Red Hat Enterprise Linux 8 Installing Identity Management Guide の説明に従って Red Hat Identity Management を設定できます。
5.2.1. Satellite Server での Red Hat Identity Management 認証の設定
Satellite CLI で、まず Red Hat Identity Management サーバーにホストエントリーを作成して、Red Hat Identity Management 認証を設定します。
手順
Red Hat Identity Management サーバーで、次のコマンドを入力し、プロンプトが表示されたら、パスワードを入力して、認証します。
# kinit admin
認証されたことを確認するには、次のコマンドを入力します。
# klist
以下のように、Red Hat Identity Management サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。
# ipa host-add --random hostname
注記Red Hat Identity Management 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。
ホスト設定プロパティーの詳細は、Identity Management の設定と管理 の IdM LDAP のホストエントリー を参照してください。
以下のように、Satellite Server 向けの HTTP サービスを作成します。
# ipa service-add HTTP/hostname
サービスの管理に関する詳細は、Red Hat Enterprise Linux 8 Identity Management サービスへのアクセス を参照してください。
Satellite Server で、IPA クライアントをインストールします。
警告このコマンドは、パッケージのインストール中に Satellite サービスを再起動する可能性があります。Satellite でのパッケージのインストールと更新に関する詳細は、Red Hat Satellite の 管理 の Satellite Server または Capsule Server のベースオペレーティングシステム でのパッケージの管理 を参照 してください。
# satellite-maintain packages install ipa-client
Satellite Server で、以下のコマンドを root として入力し、Red Hat Identity Management 登録を設定します。
# ipa-client-install --password OTP
OTP を、Red Hat Identity Management 管理者により提供されたワンタイムパスワードに置き換えます。
次のコマンドのいずれかを使用して、Red Hat Identity Management を認証プロバイダーとして設定します。
Satellite API ではなく、Satellite Web UI へのアクセスのみを有効にする場合は、次のように入力します。
# satellite-installer \ --foreman-ipa-authentication=true
Satellite Web UI と Satellite API の両方へのアクセスを有効にする場合は、次のように入力します。
# satellite-installer \ --foreman-ipa-authentication-api=true \ --foreman-ipa-authentication=true
警告Satellite API と Satellite Web UI の両方へのアクセスを有効にすると、セキュリティー上の問題が発生する可能性があります。IdM ユーザーが
kinit user_name
を入力して Kerberos Ticket-Granting Ticket (TGT) を受け取った後、攻撃者は API セッションを取得できます。ユーザーが以前にブラウザーなど、どこにも Satellite ログイン認証情報を入力していなかった場合でも、攻撃は可能です。
Satellite サービスを再起動します。
# satellite-maintain service restart
この時点で、外部ユーザーは Red Hat Identity Management 認証情報を使用して Satellite にログインできます。ユーザー名とパスワードを使用して直接 Satellite Server にログインするか、設定済みの Kerberos シングルサインオンを活用してクライアントマシンでチケットを取得し、自動的にログインするかを選択できます。また、ワンタイムパスワードを使用した二要素認証 (2FA OTP) もサポートされます。
5.2.2. ホストベースの認証制御の設定
HBAC ルールでは、Red Hat Identity Management ユーザーがドメイン内のどのマシンにアクセスできるかを定義します。一部のユーザーが Satellite Server にアクセスできないように、Red Hat Identity Management サーバーで HBAC を設定できます。この方法では、ログインが許可されていないユーザーのデータベースエントリーを、Satellite で作成できないようにします。HBAC の詳細は、Managing IdM Users, Groups, Hosts, and Access Control Rules Guide を参照してください。
Red Hat Identity Management サーバーで、ホストベースの認証制御 (HBAC) を設定します。
手順
Red Hat Identity Management サーバーで、次のコマンドを入力し、プロンプトが表示されたら、パスワードを入力して、認証します。
# kinit admin
認証されたことを確認するには、次のコマンドを入力します。
# klist
HBAC サービスおよびルールを Red Hat Identity Management サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。Red Hat Identity Management サーバー上で以下のコマンドを実行してください。
# ipa hbacsvc-add satellite-prod # ipa hbacrule-add allow_satellite_prod # ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
satellite-prod サービスへのアクセス権があるユーザーと Satellite Server のホスト名を追加します。
# ipa hbacrule-add-user allow_satellite_prod --user=username # ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com
または、allow_satellite_prod ルールにホストグループとユーザーグループを追加できます。
ルールのステータスを確認するために、以下のコマンドを実行します。
# ipa hbacrule-find satellite-prod # ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
- Red Hat Identity Management サーバーで allow_all ルールが無効であることを確認します。他のサービスに影響を与えずにこのルールを無効にする方法については、Red Hat カスタマーポータルのアーティクル How to configure HBAC rules in IdM to allow specific users to login to clients via ssh を参照してください。
「Satellite Server での Red Hat Identity Management 認証の設定」 で説明されているように、Satellite Server で Red Hat Identity Management 統合を設定します。Satellite Server で、root として PAM サービスを定義します。
# satellite-installer --foreman-pam-service=satellite-prod