Red Hat Summit第8章 外部認証の設定
外部認証を使用して、外部 ID プロバイダーのユーザーグループメンバーシップからユーザーとユーザーグループのパーミッションを派生させることができます。そのため、これらのユーザーを作成したり、グループメンバーシップを Satellite Server で手動で保守したりする必要はありません。Red Hat Satellite では、外部認証を設定する 4 つの一般的なシナリオがサポートされます。
- Lightweight Directory Access Protocol (LDAP) サーバーを外部 ID プロバイダーとして使用するシナリオ。LDAP は、一元的に保存された情報にネットワークを介してアクセスするために使用されるオープンプロトコルセットです。詳細は、「LDAP の使用」 を参照してください。LDAP を使用して IdM または AD サーバーに接続できますが、セットアップでは、Satellite の Web UI でサーバー検出、フォレスト間信頼、または Kerberos を使用したシングルサインオンはサポートされません。
- Red Hat Enterprise Linux Identity Management (IdM)サーバーを外部 ID プロバイダーとして使用するシナリオ。IdM は、ネットワーク環境で使用される個別 ID、認証情報、および権限を管理します。詳細は、「Identity Management の使用」 を参照してください。
- フォレスト間 Kerberos 信頼を介して IdM に統合された Active Directory (AD)を外部 ID プロバイダーとして使用するシナリオ。詳細は、「フォレスト間信頼での Active Directory の使用」 を参照してください。
- 外部 ID プロバイダーとして直接 AD を使用する。詳細は、「Active Directory の直接的な使用」 を参照してください。
上記のシナリオでは、Satellite Server へのアクセスを提供します。さらに、Satellite でプロビジョニングしたホストを、IdM レルムと統合することもできます。Red Hat Satellite には、レルムまたはドメインプロバイダーに登録されたシステムのライフサイクルを自動的に管理するレルム機能があります。詳細は、「プロビジョンされたホストの外部認証」 を参照してください。
8.1. LDAP の使用
8.1.1. TLS での セキュア LDAP (LDAPS) の設定
注記
このセクションでは、LDAP の直接統合について説明しますが、Red Hat では、SSSD を使用して IdM、AD、または LDAP サーバーに対して設定することを推奨します。これらの優先される設定は、このガイドの他の場所で説明します。
Red Hat Satellite で
TLS を使用してセキュアな LDAP 接続(LDAPS)を確立する必要がある場合は、まず、接続先の LDAP サーバーで使用する証明書を取得して、以下の説明のように Satellite Server のベースオペレーティングシステムでこの証明書を信頼済みとしてマークします。LDAP サーバーで中間認証局との証明書チェーンを使用する場合は、すべての証明書が取得されるように、チェーン内のすべてのルートおよび中間証明書が信頼済みである必要があります。この時点でセキュアな LDAP を必要としない場合は、手順8.1「LDAP 認証の設定:」 に進みます。
LDAP サーバーから証明書を取得する
Active Directory 証明書サービスを使用する場合は、ベース 64 エンコード X.509 形式を使用してエンタープライズ PKI CA 証明書をエクスポートします。Active Directory サーバーでの CA 証明書の作成およびエクスポートについては、How to configure Active Directory authentication with
TLS on Satellite 6.2 を参照してください。
LDAP サーバー証明書は、Satellite Server がインストールされている Red Hat Enterprise Linux システムの一時的な場所にダウンロードし、終了時に削除します。たとえば、
/tmp/example.crt です。ファイル名の拡張子を .cer と .crt にすることが唯一の規則であり、DER バイナリーまたは PEM ASCII 形式の証明書を参照できます。
LDAP サーバーからの証明書を信頼する
Red Hat Satellite Server では、LDAP 認証用の CA 証明書は
/etc/pki/tls/certs/ ディレクトリー内の個別ファイルである必要があります。
install コマンドを使用して適切なパーミッションでインポートされた証明書を
/etc/pki/tls/certs/ ディレクトリーにインストールします。
install /tmp/example.crt /etc/pki/tls/certs/
# install /tmp/example.crt /etc/pki/tls/certs/root で以下のコマンドを入力して、LDAP サーバーから取得した example.crt 証明書を信頼します。
ln -s example.crt /etc/pki/tls/certs/$(openssl x509 -noout -hash -in /etc/pki/tls/certs/example.crt).0
# ln -s example.crt /etc/pki/tls/certs/$(openssl x509 -noout -hash -in /etc/pki/tls/certs/example.crt).0httpd サービスを再起動します。
- Red Hat Enterprise Linux 6 の場合:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow service httpd restart
# service httpd restart - Red Hat Enterprise Linux 7 の場合
Copy to Clipboard Copied! Toggle word wrap Toggle overflow systemctl restart httpd
# systemctl restart httpd
8.1.2. LDAP を使用するよう Red Hat Satellite を設定
Web UI を使用して LDAP 認証を設定するには、次の手順に従います。Satellite の Web UI で Kerberos を使用したシングルサインオン機能が必要な場合は、代わりに IdM および AD 外部認証を使用する必要があることに注意してください。これらのオプションの詳細は、「Identity Management の使用」 または 「Active Directory の使用」 を参照してください。
手順8.1 LDAP 認証の設定:
- allow Network Information System (NIS) サービスブール値を true に設定して SELinux により送信 LDAP 接続が中止されるのを防ぎます。
- Red Hat Enterprise Linux 6 の場合:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow setsebool -P allow_ypbind on
# setsebool -P allow_ypbind on - Red Hat Enterprise Linux 7 の場合:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow setsebool -P nis_enabled on
# setsebool -P nis_enabled on
に移動します。 - をクリックします。
- の名前、ホスト名、ポート、およびサーバータイプを入力します。デフォルトポートは 389、デフォルトサーバータイプは POSIX です (認証サーバーのタイプに応じて FreeIPA または Active Directory を選択することもできます)。
TLS暗号化接続に対しては、LDAPS チェックボックスを選択して暗号化を有効にします。ポートは LDAPS のデフォルト値である 636 に変更されるはずです。 - アカウント タブ 、アカウント情報とドメイン名の詳細を入力します。説明と例については、「LDAP 設定の説明と例」 を参照してください。
- 属性 で、LDAP 属性を Satellite 属性にマッピングします。Login name、First name、Surname、Email address、および Photo 属性をマップできます。サンプルについては、「LDAP 設定の説明と例」 を参照してください。
- タブで、左側の表からロケーションを選択します。選択したロケーションは、LDAP 認証ソースから作成されたユーザーに割り当てられ、初回ログイン以降、利用可能となります。
- タブで、左側の表から組織を選択します。選択した組織は、LDAP 認証ソースから作成されたユーザーに割り当てられ、初回ログイン以降、利用可能となります。
- をクリックします。
これで Satellite Server は LDAP サーバーを使用するように設定されました。Satellite でアカウントを自動作成する を 選択しなかった場合は、「ユーザーの作成」 を参照してユーザーアカウントを手動で作成してください。このオプションを選択した場合、LDAP ユーザーは LDAP アカウントおよびパスワードを使用して Satellite にログインできます。初回ログイン後に、Satellite 管理者はロールを手動で割り当てる必要があります。Satellite でユーザーアカウントに適切なロールを割り当てるには、「ユーザーへのロールの割り当て」 を参照してください。
8.1.3. LDAP 設定の説明と例
以下の表は、 タブの各設定の説明を示しています。
| 設定 | 説明 |
|---|---|
| アカウントユーザー名 | LDAP サーバーへの読み取りアクセスを持つ LDAP ユーザー。ユーザー名は、サーバーで匿名の読み取りが許可されている場合は必要ありません。以下に例を示します。
uid=$login,cn=users,cn=accounts,dc=example,dc=com $login 変数には、ログインページで入力されたユーザー名がリテラル文字列として格納されます。この値は、変数がデプロイメントされたときにアクセスされます。
この変数は、LDAP ソースからの外部ユーザーグループとは使用できません。ユーザーがログインしていない場合、Satellite はグループリストを取得する必要があります。匿名または専用サービスユーザーを使用してください。
|
| アカウントパスワード |
アカウント フィールドで定義されたユーザーの LDAP パスワード。アカウント が
$login 変数を使用している場合 は、 このフィールドを空白にすることができます。
|
| ベース DN |
LDAP ディレクトリーの最上位のドメイン名。
|
| グローバルベース DN |
グループが含まれる LDAP ディレクトリーツリーの最上位のドメイン名。
|
| LDAP フィルター |
LDAP クエリーを制限するフィルター。
|
| Satellite でアカウントを自動作成する |
このオプションを選択した場合には、LDAP ユーザーが Satellite に初めてログインすると、それらのユーザーに対して Satellite ユーザーアカウントが自動的に作成されます。
権限が拒否された(Permission Denied )警告が表示されます。また、ユーザーには、Satellite 管理者に連絡して、ユーザーアカウントをロールに関連付ける必要があります。
|
| ユーザーグループの同期 |
このオプションが選択された場合は、ユーザーのログイン時にユーザーのユーザーグループメンバーシップが自動的に同期され、メンバーシップは常に最新の状態になります。このオプションが選択されていない場合は、Satellite で Cron ジョブを使用してグループメンバーシップを定期的に同期します(デフォルトでは 30 分ごと)。詳細については、手順8.6「外部ユーザーグループの設定:」 を参照してください。
|
以下の表は、異なる種類の LDAP 接続の設定例を示しています。以下のすべての例では、ユーザーおよびグループのエントリーに対してバインド、読み取り、および検索権限を持つ redhat と呼ばれる専用のサービスアカウントを使用します。LDAP 属性名は、大文字と小文字が区別されることに注意してください。
| 設定 | 値の例 |
|---|---|
| アカウントユーザー名 | DOMAIN\redhat |
| アカウントパスワード | P@ssword |
| ベース DN | DC=example,DC=COM |
| グループベース DN | CN=Users,DC=example,DC=com |
| ログイン名属性 | userPrincipalName |
| 名属性 | givenName |
| ラストネーム属性 | sn |
| メールアドレス属性 |
注記
userPrincipalName ユーザー名に空白文字を使用できます。ログイン名属性 sAMAccountName(上記の表にはリストされていない)は、レガシーの Microsoft システムとの後方互換性を提供します。sAMAccountName ユーザー名に空白文字を使用することはできません。
| 設定 | 値の例 |
|---|---|
| アカウントユーザー名 | uid=redhat,cn=users,cn=accounts,dc=example,dc=com |
| ベース DN | dc=example,dc=com |
| グループベース DN | cn=groups,cn=accounts,dc=example,dc=com˙ |
| ログイン名属性 | uid |
| 名属性 | givenName |
| ラストネーム属性 | sn |
| メールアドレス属性 |
| 設定 | 値の例 |
|---|---|
| アカウントユーザー名 | uid=redhat,ou=users,dc=example,dc=com |
| ベース DN | dc=example,dc=com |
| グループベース DN | cn=employee,ou=userclass,dc=example,dc=com˙ |
| ログイン名属性 | uid |
| 名属性 | givenName |
| ラストネーム属性 | sn |
| メールアドレス属性 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}