Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.2. Identity Management の使用

以下の方法のいずれかを選択します。

8.2.1. Identity Management の直接的な使用
リンクのコピー

本項では、Red Hat Satellite Server と IdM サーバーを統合する方法とホストベースアクセス制御を有効にする方法を示します。

前提条件

Satellite Server で Red Hat Enterprise Linux 7.1 または Red Hat Enterprise Linux 6.6 以降が実行されていること。
この章の例では、IdM と Satellite の設定が分離されていることを前提としています。ただし、両方のサーバーの管理者権限がある場合は、Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド の説明に従って IdM を設定できます。[4].
Satellite Server のベースオペレーティングシステムが、組織の IdM 管理者によって IdM ドメインに登録されていること。

手順8.2 Satellite Server での IdM 認証の設定:

  1. 以下のように、IdM サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。 
    # ipa host-add --random hostname
    注記
    IdM 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。
    ホスト設定プロパティーの詳細は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guideを参照してください。[5].
  2. 以下のように、Satellite Server 向けの HTTP サービスを作成します。 
    # ipa service-add servicename/hostname
    サービスの管理に関する詳細は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guideを参照してください。[6].
  3. Satellite Server で、IdM 登録を設定するために、root で以下のコマンドを実行します。 
    # ipa-client-install --password OTP
    OTP を、IdM 管理者により提供されたワンタイムパスワードに置き換えます。
  4. Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合は、以下のコマンドを実行します。 
    # subscription-manager repos --enable rhel-7-server-optional-rpms
    インストーラーは、オプションのリポジトリー rhel-7-server-optional-rpms にあるパッケージに依存します。Red Hat Enterprise Linux 6 では、必要なすべてのパッケージは base リポジトリーに含まれます。
  5. 以下のコマンドを実行します。 
    # satellite-installer --foreman-ipa-authentication=true
    このコマンドは、Satellite のフレッシュインストールに限定されません。既存の Satellite インストールを変更するためにも使用できます。
  6. Katello サービスを再起動します。 
    # katello-service restart
この時点で、外部ユーザーは IdM 認証情報を使用して Satellite にログインできます。ユーザー名とパスワードを使用して直接 Satellite Server にログインするか、設定済みの Kerberos シングルサインオンを活用してクライアントマシンでチケットを取得し、自動的にログインするかを選択できます。また、ワンタイムパスワードを使用した二要素認証 (2FA OTP) もサポートされます。IdM のユーザーが 2FA 用に設定されており、Satellite Server が Red Hat Enterprise Linux 7 で実行されている場合、このユーザーは OTP を使用して Satellite に対して認証することもできます。必要に応じて、次の手順に進み、ホストベースのアクセス制御(HBAC)を許可します。
HBAC ルールでは、IdM ユーザーがドメイン内のどのマシンにアクセスできるかを定義します。選択したユーザーが Satellite Server にアクセスできないように、IdM サーバーで HBAC を設定できます。この方法では、ログインが許可されていないユーザーのデータベースエントリーを、Satellite で作成できないようにします。HBAC の詳細は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guideを参照してください。[7]

手順8.3 HBAC の設定:

  1. HBAC サービスおよびルールを IdM サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。IdM サーバー上で次のコマンドを実行します。 
    $ ipa hbacsvc-add satellite-prod
$ ipa hbacrule-add allow_satellite_prod
$ ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
  2. サービス satellite-prod へのアクセスを持つユーザーと Satellite Server のホスト名を追加します。 
    $ ipa hbacrule-add-user allow_satellite_prod --user=username
$ ipa hbacrule-add-host allow_satellite_prod --hosts=the-satellite-fqdn
    または、allow_satellite_prod ルールにホストグループとユーザーグループを追加できます。
  3. ルールのステータスを確認するために、以下のコマンドを実行します。 
    $ ipa hbacrule-find satellite-prod
$ ipa hbactest --user=username --host=the-satellite-fqdn --service=satellite-prod
  4. IdM サーバーで allow_all ルールが無効であることを確認します。他のサービスに影響を与えずにこのルールを無効にする方法については、Red Hat カスタマーポータルのアーティクル How to configure HBAC rules in IdM to allow specific users to login to clients via ssh を参照してください。[8].
  5. 手順8.2「Satellite Server での IdM 認証の設定:」 の説明に従って、Satellite Server で IdM 統合を設定します。Satellite Server で、root として PAM サービスを定義します。 
    # satellite-installer --foreman-pam-service=satellite-prod

8.2.2. LDAP 認証での Identity Management の使用
リンクのコピー

シングルサインオンサポートなしで外部認証ソースとして Identity Management をアタッチするには、「LDAP の使用」 を参照してください。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る