红帽全球峰会第 16 章 在 Red Hat Satellite 中配置身份识别管理
我们使用身份管理(IDM)处理有关个体身份及其在联网环境中的证书和特权管理的问题。IDM 可以帮助提高系统安全性,同时可保证有授权的用户可以在需要时访问正确的信息。
Red Hat Satellite 的区域(realm)功能可自动管理中区域或者域供应商中所注册系统的生命周期。本小节论述了您应如何为 IDM 配置 Satellite Server 或者 Capsule Server,以及如何在 Satellite 6 身份管理主机组中自动添加客户端系统。
Red+Hat+Satellite+6Docs+User+Guide报告 bug
在 Red Hat Satellite 中使用身份管理(IDM)的最初步骤是要配置 Red Hat Satellite Server 或者 Red Hat Satellite Capsule Server。
前提条件
配置 IDM 前请确定满足以下条件:
- 在内容发布网络(CDN)中注册的 Satellite Server 或者在 Satellite Server 中注册的独立 Capsule Server
- 配置并设置区域或者域供应商,比如 Red Hat Identity Management
为 IDM 区域支持配置 Satellite Server 或者 Capsule Server:
- 在 Satellite Server 或者 Capsule Server 中安装以下软件包:
# yum install ipa-client foreman-proxy ipa-admintools - 将 Satellite Server(或者 Capsule Server)配置为 IPA 客户端:
# ipa-client-install - 创建 realm-capsule 用户,并在 Satellite Server 或者 Capsule Server 的 Red Hat Identity Management 中创建相关角色:
# foreman-prepare-realm admin realm-capsule运行 foreman-prepare-realm 可准备一个 FreeIPA 或者 Red Hat Identity Management 服务器以供 Foreman 智能代理服务器使用。它会创建一个有 Foreman 所需权限的专用角色、一个使用该角色的用户、并检索 keytab 文件。在这个步骤中您需要身份管理服务器配置详情。如果成功执行该命令,您就可以看到以下命令输出结果:Keytab successfully retrieved and stored in: freeipa.keytab Realm Proxy User: realm-capsule Realm Proxy Keytab: /root/freeipa.keytab - 将
/root/freeipa.keytab移动到/etc/foreman-proxy目录,并将拥有者设定为用户 foreman-proxy:# mv /root/freeipa.keytab /etc/foreman-proxy # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab - 根据您要使用 Satellite Server 还是 Capsule Server 配置该区域:
- 如果要在 Satellite Server 中使用整合的 capsule,请使用
katello-installer配置该区域:# katello-installer --capsule-realm true \ --capsule-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --capsule-realm-principal 'realm-proxy@EXAMPLE.COM' \ --capsule-realm-provider freeipa注意
开始配置 Red Hat Satellite Server 时还应运行这些选项。 - 如果要使用独立 Capsule Server,请使用
capsule-installer配置该区域:# capsule-installer --realm true \ --realm-keytab /etc/foreman-proxy/freeipa.keytab \ --realm-principal 'realm-capsule@EXAMPLE.COM' \ --realm-provider freeipa
- (自选)如果要在现有 Satellite Server 或者 Capsule Server 中配置 IDM,则还应执行以下步骤以确定配置更改生效:
- 重启 foreman-proxy 服务:
# service foreman-proxy restart - Log in to the Satellite Server and click
. - 点击为 IDM 配置的 Capsule Server 右侧的下拉菜单,并选择 。
- 最后,在 Satellite Server 用户界面中创建新 realm 条目:
- 点击
,并在该主页右上角点击 。 - 在以下子标签中的字段:
- 区域 - 提供区域名称,要使用的区域类型以及区域代理服务器。
- 位置 - 选择要使用新区域的位置。
- 机构 - 选择要使用新区域的机构。
- 点击 。
Satellite Server 或者 Capsule Server 已准备好配置自动在 IDM 注册的主机。下一部分将详细论述如何自动在 IDM 主机组中添加主机。
Red+Hat+Satellite+6Docs+User+Guide报告 bug
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}