13.2.2. ホストベースの認証制御の設定
HBAC ルールでは、Red Hat Identity Management ユーザーがドメイン内のどのマシンにアクセスできるかを定義します。一部のユーザーが Satellite Server にアクセスできないように、Red Hat Identity Management サーバーで HBAC を設定できます。この方法では、ログインが許可されていないユーザーのデータベースエントリーを、Satellite で作成できないようにします。HBAC の詳細については、『Red Hat Enterprise Linux 7 Linux ドメイン ID、認証、およびポリシーガイド』の「ホストベースのアクセス制御の設定」を参照してください。
Red Hat Identity Management サーバーで、ホストベースの認証制御 (HBAC) を設定します。
手順
Red Hat Identity Management サーバーで、次のコマンドを入力し、プロンプトが表示されたら、パスワードを入力して、認証します。
kinit admin
# kinit admin
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 認証されたことを確認するには、次のコマンドを入力します。
klist
# klist
Copy to Clipboard Copied! Toggle word wrap Toggle overflow HBAC サービスおよびルールを Red Hat Identity Management サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。Red Hat Identity Management サーバー上で以下のコマンドを実行してください。
ipa hbacsvc-add satellite-prod ipa hbacrule-add allow_satellite_prod ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
# ipa hbacsvc-add satellite-prod # ipa hbacrule-add allow_satellite_prod # ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
Copy to Clipboard Copied! Toggle word wrap Toggle overflow satellite-prod サービスへのアクセス権があるユーザーと Satellite Server のホスト名を追加します。
ipa hbacrule-add-user allow_satellite_prod --user=username ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com
# ipa hbacrule-add-user allow_satellite_prod --user=username # ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow または、allow_satellite_prod ルールにホストグループとユーザーグループを追加できます。
ルールのステータスを確認するために、以下のコマンドを実行します。
ipa hbacrule-find satellite-prod ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
# ipa hbacrule-find satellite-prod # ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Red Hat Identity Management サーバーで allow_all ルールが無効であることを確認します。他のサービスに影響を与えずにこのルールを無効にする方法については、Red Hat カスタマーポータルのアーティクル「How to configure HBAC rules in IdM to allow specific users to login to clients via ssh」を参照してください。
「Satellite Server でのRed Hat Identity Management 認証の設定」 の説明に従って、Satellite Server で Red Hat Identity Management 統合を設定します。Satellite Server で、root として PAM サービスを定義します。
satellite-installer --foreman-pam-service=satellite-prod
# satellite-installer --foreman-pam-service=satellite-prod
Copy to Clipboard Copied! Toggle word wrap Toggle overflow