サポートコンソール開発者トライアルの開始お問い合わせ

4.5. Identity Management レルムに登録されたホストのライフサイクルを管理するように Satellite を設定する手順

Satellite でプロビジョニングしたホストは、Satellite Server にアクセスできるだけでなく、Identity Management レルムと統合することもできます。Red Hat Satellite には、レルムまたはドメインプロバイダーに登録されたシステムのライフサイクルを自動的に管理するレルム機能があります。

以下のセクションを使用して、Identity Management レルムサポート用の Satellite Server または Capsule Server を設定します。続いて、Red Hat Identity Management レルムグループにホストを追加します。

前提条件

  • Satellite Server をコンテンツ配信ネットワークに登録しておくか、外部の Capsule Server を Satellite Server に登録しておく。
  • Identity Management などのレルムまたはドメインプロバイダーがデプロイされている。

Satellite Server または Capsule Server に Identity Management パッケージをインストールして設定するには以下を実行します。

プロビジョニングされたホストに Identity Management を使用するには、以下の手順を実行して、Satellite Server または Capsule Server に Identity Management パッケージをインストールして設定します。

  1. Satellite Server または Capsule Server に ipa-client パッケージをインストールします。 

    # satellite-maintain packages install ipa-client

  2. サーバーを Identity Management クライアントとして設定します。 

    # ipa-client-install

  3. Identity Management でレルムプロキシーユーザー realm-capsule と、関連のロールを作成します。 

    # foreman-prepare-realm admin realm-capsule

    以下の手順で必要となるので、返されたプリンシパル名と、アイデンティティー管理サーバーの設定情報をメモします。

Identity Management レルムのサポートのために Satellite Server または Capsule Server を設定する方法:

Satellite および使用するすべての Capsule で次の手順を実行します。

  1. 同じプリンシパルおよびレルムに追加する Capsule Server に、/root/freeipa.keytab ファイルをコピーします。 

    # scp /root/freeipa.keytab root@capsule.example.com:/etc/foreman-proxy/freeipa.keytab

  2. /root/freeipa.keytab ファイルを /etc/foreman-proxy ディレクトリーに移動して、所有者を foreman-proxy ユーザーに設定します。 

    # mv /root/freeipa.keytab /etc/foreman-proxy
# chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab

  3. レルムに追加する全 Capsule で、以下のコマンドを入力します。Satelllite に 統合された Capsule を使用する場合には、Satellite Server でこのコマンドを入力します。 

    # satellite-installer --foreman-proxy-realm true \
--foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
--foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \
--foreman-proxy-realm-provider freeipa

    これらのオプションは、Satellite Server を初めて設定する場合にも使用できます。

  4. ca-certificates パッケージの最新バージョンがインストールされていることを確認し、Identity Management 認証局を信頼します。 

    # cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
# update-ca-trust enable
# update-ca-trust

  5. オプション: 既存の Satellite Server または Capsule Server で Identity Management を設定する場合には、以下の手順を実行して、設定の変更が適用されていることを確認します。

    1. foreman-proxy サービスを再起動します。 

      # systemctl restart foreman-proxy
    2. Satellite Web UI で、Infrastructure > Capsules に移動します。
    3. Identity Management 用に設定した Capsule の場所を特定して、アクション コラムのリストから リフレッシュ を選択します。

Identity Management 対応の Capsule のレルムの作成方法

統合型または外部の Capsule に Identity Management を設定した後に、レルムを作成して、Identity Management が設定された Capsule をレルムに追加する必要があります。

手順

  1. Satellite Web UI で、インフラストラクチャー > レルム に移動して、レルムの作成 をクリックします。
  2. 名前 フィールドには、レルムの名前を入力します。
  3. レルムのタイプ リストから、レルムのタイプを選択します。
  4. Realm Capsule リストから、Identity Management を設定した Capsule Server を選択します。
  5. ロケーション タブをクリックして、ロケーション リストから、新しいレレムを追加するロケーションを選択します。
  6. 組織 タブをクリックして、組織 リストから、新規レルムを追加する組織を選択します。
  7. Submit をクリックします。

レルム情報によるホストグループの更新

使用するホストグループを、新しいレルム情報で更新する必要があります。

  1. Satellite web UI で、Configure > Host Groups に移動し、更新するホストグループを選択して、Network タブをクリックします。
  2. レルム リストから、この手順の一部で作成するレルムを選択して 送信 をクリックします。

Identity Management ホストグループへのホストの追加

Identity Management では、システムの属性に基づいて自動メンバーシップルールをセットアップできます。Red Hat Satellite のレルム機能は、管理者に対し、Red Hat Satellite ホストグループを Identity Management パラメーター userclass にマップする機能を提供します。これにより、管理者は automembership を設定することができます。

ネスト化されたホストグループが使用される場合、それらは Red Hat Satellite ユーザーインターフェイスに表示され、Identity Management サーバーに送信されます。たとえば、"Parent/Child/Child" のように表示されます。

Satellite Server または Capsule Server は更新を Identity Management サーバーに送信しますが、automembership のルールは、初回登録時にのみ適用されます。

Identity Management ホストグループにホストを追加するには、次のコマンドを実行します。

  1. Identity Management サーバーで、ホストグループを作成します。 

    # ipa hostgroup-add hostgroup_name --desc=hostgroup_description

  2. automembership ルールを作成します。 

    # ipa automember-add --type=hostgroup hostgroup_name automember_rule

    以下のオプションを使用できる場所:

    • automember-add は automember グループとしてグループにフラグを立てます。
    • --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
    • automember_rule は、automember ルールの識別に使用する名前を追加します。

  3. userclass 属性に基づいて automembership の条件を定義します。 

    # ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name
----------------------------------
Added condition(s) to "hostgroup_name"
----------------------------------
Automember Rule: automember_rule
Inclusive Regex: userclass=^webserver
----------------------------
Number of conditions added 1
----------------------------

    以下のオプションを使用できる場所:

    • automember-add-condition では、グループメンバーを識別する正規表現の条件を追加します。
    • --key=userclass はキー属性を userclass に指定します。
    • --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
    • --inclusive-regex= ^webserver は、正規表現パターンで一致する値を識別します。
    • hostgroup_name: ターゲットホストグループの名前を識別します。

システムが Satellite Server の hostgroup_name ホストグループに追加されると、そのシステムは、Identity Management サーバーの "hostgroup_name" ホストグループに自動的に追加されます。Identity Management ホストグループは、HBAC (ホストベースアクセス制御)、sudo ポリシー、およびその他の Identity Management 機能を許可します。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.