8.5. プロビジョンされたホストの外部認証
本項では、プロビジョニングされたホストを認証するために IdM 統合を設定する方法について説明します。最初に Satellite または Capsule Server で IdM レルムサポートを設定し、次にホストを IdM レルムグループに追加します。
8.5.1. Red Hat Satellite Server または Capsule Server での IdM レルムサポートの設定
プロビジョニングされたホストに対して IdM を使用するには、最初に Red Hat Satellite Server または Red Hat Satellite Capsule Server を設定します。
前提条件
- Satellite Server がコンテンツ配信ネットワークに登録されているか、または独立した Capsule Server が Satellite Server に登録されています。
- Red Hat Identity Management などのレルムまたはドメインプロバイダーが設定されています。
手順8.7 Red Hat Satellite Server または Capsule Server での IdM レルムサポートの設定:
- Satellite Server または Capsule Server に以下のパッケージをインストールします。
# yum install ipa-client foreman-proxy ipa-admintools
- IdM クライアントとして Satellite Server (または Capsule Server) を設定します。
# ipa-client-install
- Satellite Server または Capsule Server の Red Hat Identity Management で realm-capsule ユーザーと関連ロールを作成します。
# foreman-prepare-realm admin realm-capsule
foreman-prepare-realm を実行して、Capsule Server と使用するよう IdM サーバーを準備します。これにより、Satellite に必要なパーミッションを持つ専用ロールと、そのロールを持つユーザーが作成され、keytab ファイルが取得されます。この手順では Identity Management サーバー設定の詳細が必要になります。コマンドが正常に実行されると、以下のコマンド出力が表示されるはずです。Keytab successfully retrieved and stored in: freeipa.keytab Realm Proxy User: realm-capsule Realm Proxy Keytab: /root/freeipa.keytab
/root/freeipa.keytab
を/etc/foreman-proxy
ディレクトリーに移し、ユーザーの foreman-proxy に所有者設定を行います。# mv /root/freeipa.keytab /etc/foreman-proxy # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
- Satellite Server または Capsule Server のどちらを使用しているかに応じてレルムを設定します。
- Satellite Server で統合された Capsule Server を使用している場合は、レルムを設定するために
satellite-installer
を使用します。# satellite-installer --foreman-proxy-realm true \ --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --foreman-proxy-realm-principal 'realm-capsule@EXAMPLE.COM' \ --foreman-proxy-realm-provider freeipa
注記
これらのオプションは、Red Hat Satellite Server を初めて設定する場合にも実行できます。 - 独立した Capsule Server を使用している場合は、レルムを設定するために
satellite-installer --scenario-capsule
を使用します。# satellite-installer --scenario-capsule --realm true \ --realm-keytab /etc/foreman-proxy/freeipa.keytab \ --realm-principal 'realm-capsule@EXAMPLE.COM' \ --realm-provider freeipa
- ca-certificates パッケージの最新バージョンがインストールされ、IdM 認証局が信頼されていることを確認します。
# cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt # update-ca-trust enable # update-ca-trust
- (オプション) すでに存在する Satellite Server または Capsule Server で IdM を設定している場合は、設定の変更を反映するために以下の手順も実行する必要があります。
- foreman-proxy サービスを再起動します。
# service foreman-proxy restart
- Satellite Server にログインし、
をクリックします。 - IdM 用に設定した Capsule Server の右側にあるドロップダウンメニューをクリックし、を選択します。
- 最後に、Satellite Server ユーザーインターフェースで新規のレルムエントリーを作成します。
をクリックしてから、メインページの右側にある をクリックします。 - 以下のサブタブにフィールドに入力します。
- Realm (レルム) サブタブで、レルム名、使用するレルムの種類、およびレルムプロキシーを指定します。
- Locations (ロケーション) サブタブで、新規レルムを使用する予定のロケーションを選択します。
- Organizations (組織) サブタブで、新規レルムを使用する予定の組織を選択します。
Satellite Server または Capsule Server は、IdM に自動的に登録されるホストをプロビジョニングできるようになりました。次の項では、ホストを IdM ホストグループに自動的に追加する手順について詳しく説明します。
8.5.2. IdM ホストグループへのホストの追加
Red Hat Enterprise Linux Identity Management (IdM) では、システムの属性に基づいて自動メンバーシップルールをセットアップできます。Red Hat Satellite のレルム機能は、管理者に対し、Red Hat Satellite ホストグループを IdM パラメーター「userclass」にマップする機能を提供します。これにより、管理者は automembership を設定することができます。
ネスト化されたホストグループが使用される場合、それらは Red Hat Satellite ユーザーインターフェースに表示され、IdM サーバーに送信されます。たとえば、"Parent/Child/Child" のように表示されます。
注記
Satellite Server または Capsule Server はアップデートを IdM サーバーに送信しますが、automembership のルールは、初期登録時にのみ適用されます。
手順8.8 IdM ホストグループへのホストの追加:
- IdM サーバー上で、ホストグループを作成します。
# ipa hostgroup-add hostgroup_name Description: hostgroup_description ---------------------------- Added hostgroup "hostgroup_name" ---------------------------- Host-group: hostgroup_name Description: hostgroup_description
ここで、- hostgroup_name はホストグループの名前です。
- hostgroup_description はホストグループの説明です。
- automembership のルールを作成します。
# ipa automember-add --type=hostgroup automember_rule ---------------------------------- Added automember rule "automember_rule" ---------------------------------- Automember Rule: automember_rule
ここで、automember-add
は automember グループとしてグループにフラグを立てます。--type=hostgroup
は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。- automember_rule は、automember ルールの特定に使用する名前です。
- userclass 属性に基づいて automembership の条件を定義します。
# ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name ---------------------------------- Added condition(s) to "hostgroup_name" ---------------------------------- Automember Rule: automember_rule Inclusive Regex: userclass=^webserver ---------------------------- Number of conditions added 1 ----------------------------
ここで、automember-add-condition
により、グループメンバーを特定するための正規表現の条件を追加することができます。--key=userclass
はキー属性を userclass に指定します。--type=hostgroup
は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。--inclusive-regex=
^webserver は、一致する値を特定するための正規表現パターンです。- hostgroup_name はターゲットホストグループの名前です。
システムが Satellite Server の hostgroup_name ホストグループに追加されると、そのシステムは、Identity Management サーバーの "hostgroup_name" ホストグループにも自動的に追加されます。IdM ホストグループは、HBAC (ホストベースアクセス制御)、sudo ポリシー、およびその他の IdM 機能を許可します。