Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

使用 RHEL 8 web 控制台管理系统

Red Hat Enterprise Linux 8

具有基于 Web 的图形界面的服务器管理

Red Hat Customer Content Services

摘要

RHEL web 控制台是一个基于 Web 的图形界面,它基于上游 Cockpit 项目。通过使用它,您可以执行系统管理任务,如检查和控制 systemd 服务、管理存储、配置网络、分析网络问题以及检查日志。

对红帽文档提供反馈

我们感谢您对我们文档的反馈。让我们了解如何改进它。

通过 Jira 提交反馈(需要帐户)

  1. 登录到 Jira 网站。
  2. 单击顶部导航栏中的 Create
  3. Summary 字段中输入描述性标题。
  4. Description 字段中输入您对改进的建议。包括文档相关部分的链接。
  5. 点对话框底部的 Create

第 1 章 使用 RHEL web 控制台入门

了解如何安装 Red Hat Enterprise Linux 8 web 控制台、如何通过其方便的图形界面 添加和管理远程主机,以及如何监控 Web 控制台管理的系统。

1.1. 什么是 RHEL web 控制台

RHEL web 控制台是一个基于 web 的界面,用于管理和监控您的本地系统,以及网络环境中的 Linux 服务器。

Firefox 浏览器中的 RHEL web 控制台(Overview 页面)

RHEL web 控制台允许您执行广泛的管理任务,包括:

  • 管理服务
  • 管理用户帐户
  • 管理及监控系统服务
  • 配置网络接口和防火墙
  • 检查系统日志
  • 管理虚拟机
  • 创建诊断报告
  • 设置内核转储配置
  • 配置 SELinux
  • 更新软件
  • 管理系统订阅

RHEL web 控制台使用与在终端中使用的相同的系统 API,终端中执行的操作会立即反映在 RHEL web 控制台中。

您可以监控网络环境中的系统日志及其性能,以图形的形式显示。另外,您可以在 web 控制台中直接或通过终端更改设置。

1.2. 安装并启用 Web 控制台

要访问 RHEL web 控制台,首先启用 cockpit.socket 服务。

在 Red Hat Enterprise Linux 8 的多个变体安装中都会默认包括 web 控制台。如果您的系统每以包括,请在启用 cockpit.socket 服务前安装 cockpit 软件包。

流程

  1. 如果在安装变体中没有默认安装 Web 控制台,请手动安装 cockpit 软件包:

    Copy to Clipboard Toggle word wrap 
    # yum install cockpit

  2. 启用并启动 cockpit.socket 服务,该服务运行一个 Web 服务器:

    Copy to Clipboard Toggle word wrap 
    # systemctl enable --now cockpit.socket

  3. 如果在安装变体中没有默认安装 Web 控制台,且您使用自定义防火墙配置集,请将 cockpit 服务添加到 firewalld 中,以在防火墙中打开端口 9090:

    Copy to Clipboard Toggle word wrap 
    # firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --reload

验证

1.3. 登录到 Web 控制台

cockpit.socket 服务正在运行并且相应的防火墙端口打开时,您可以在浏览器中第一次登录到 Web 控制台。

先决条件

  • 使用以下一个浏览器打开 Web 控制台:

    • Mozilla Firefox 52 及更新的版本
    • Google Chrome 57 及更新的版本
    • Microsoft Edge 16 及更新的版本

  • 系统用户帐户凭证

    RHEL web 控制台使用位于 /etc/pam.d/cockpit 的特定可插拔验证模块(PAM)堆栈。默认配置允许使用系统上任何本地帐户的用户名和密码登录。

  • 防火墙中的端口 9090 打开。

流程

  1. 在网页浏览器中输入以下地址来访问 Web 控制台:

    Copy to Clipboard Toggle word wrap 
    https://localhost:9090
    注意

    这在本地计算机上提供了 web 控制台登录。如果要登录到远程系统的 Web 控制台,请参阅 第 1.5 节 “从远程机器连接至 web 控制台”

    如果您使用自签名证书,浏览器会显示一个警告。检查证书,并接受安全例外以进行登录。

    控制台从 /etc/cockpit/ws-certs.d 目录中加载证书,并使用带有 .cert 扩展名的最后一个文件(按字母排序)。要避免接受安全例外的操作,安装由证书颁发机构(CA)签名的证书。

  2. 在登录屏幕中输入您的系统用户名和密码。
  3. Log In

成功验证后,会打开 RHEL web 控制台界面。

重要

要在有限和管理访问权限间进行切换,请在 web 控制台页面的顶部面板中点 Administrative accessLimited access。您必须提供用户密码以获取管理访问权限。

1.4. 在 web 控制台中禁用基本身份验证

您可以通过修改 cockpit.conf 文件来修改身份验证方案的行为。使用 none 操作来禁用身份验证方案,只允许通过 GSSAPI 和表单进行身份验证。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中,在 /etc/cockpit/ 目录中打开或创建 cockpit.conf 文件,例如:

    Copy to Clipboard Toggle word wrap 
    # vi cockpit.conf

  2. 添加以下文本:

    Copy to Clipboard Toggle word wrap 
    [basic]
action = none
  3. 保存该文件。

  4. 重启 Web 控制台以使更改生效。

    Copy to Clipboard Toggle word wrap 
    # systemctl try-restart cockpit

1.5. 从远程机器连接至 web 控制台

您可以从任何客户端操作系统以及手机或平板电脑连接到 Web 控制台界面。

先决条件

  • 带有支持的互联网浏览器的设备,例如:

    • Mozilla Firefox 52 及更新的版本
    • Google Chrome 57 及更新的版本
    • Microsoft Edge 16 及更新的版本

  • 您要使用已安装的并可以访问的 web 控制台访问的 RHEL 8。

    具体步骤请参阅安装并启用 Web 控制台

流程

  1. 打开浏览器。

  2. 使用以下格式输入远程服务器地址:

    1. 使用服务器主机名:

      Copy to Clipboard Toggle word wrap 
      https://<server.hostname.example.com>:<port-number>

      例如:

      Copy to Clipboard Toggle word wrap 
      https://example.com:9090

    2. 使用服务器的 IP 地址:

      Copy to Clipboard Toggle word wrap 
      https://<server.IP_address>:<port-number>

      例如:

      Copy to Clipboard Toggle word wrap 
      https://192.0.2.2:9090
  3. 登录界面打开后,使用 RHEL 系统凭证登录。

1.6. 使用一次性密码登录到 web 控制台

如果您的系统是启用了一次性密码(OTP)配置的 Identity Management(IdM)域的一部分,您可以使用 OTP 登录到 RHEL web 控制台。

重要

只有在系统是启用了 OTP 配置的 Identity Management(IdM)域的一部分时,才可以使用一次性密码登录。有关 IdM 中 OTP 的更多信息,请参阅身份管理中的一次性密码

先决条件

流程

  1. 在浏览器中打开 RHEL web 控制台:

    • 本地:https://localhost:PORT_NUMBER
    • 远程使用服务器主机名: https://example.com:PORT_NUMBER

    • 远程使用服务器 IP 地址: https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER

      如果您使用自签名证书,浏览器会发出警告。检查证书并接受安全例外以进行登录。

      控制台从 /etc/cockpit/ws-certs.d 目录中加载证书,并使用带有 .cert 扩展名的最后一个文件(按字母排序)。要避免接受安全例外的操作,安装由证书颁发机构(CA)签名的证书。

  2. 登录窗口将打开。在登录窗口中输入您的系统用户名和密码。
  3. 在您的设备中生成一次性密码。
  4. 在确认您的密码后,在 web 控制台界面中出现的新字段输入一次性密码。
  5. 登录
  6. 成功登录会进入 web 控制台界面的 Overview 页面。

1.7. 使用 Web 控制台将 RHEL 8 系统添加到 IdM 域中

您可以使用 Web 控制台将 Red Hat Enterprise Linux 8 系统添加到 Identity Management (IdM)域中。

先决条件

  • IdM 域正在运行,并可访问您想要加入的客户端。
  • 您有 IdM 域管理员凭证。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 选项卡的 Configuration 字段中点 Join Domain
  3. Join a Domain 对话框的 Domain Address 字段中输入 IdM 服务器的主机名。
  4. Domain administrator name 字段中输入 IdM 管理帐户的用户名。
  5. 在域 管理员密码 中,添加密码。
  6. Join

验证

  1. 如果 RHEL 8 web 控制台没有显示错误,该系统就被加入到 IdM 域,您可以在 系统 屏幕中看到域名。

  2. 要验证该用户是否为域的成员,点 Terminal 页面并输入 id 命令:

    Copy to Clipboard Toggle word wrap 
    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

其它资源

1.8. 在登录页面中添加标题

您可以将 Web 控制台设置为在登录屏幕上显示横幅文件的内容。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中打开 /etc/issue.cockpit 文件:

    Copy to Clipboard Toggle word wrap 
    # vi /etc/issue.cockpit

  2. 将您要显示的内容作为横幅添加到文件中,例如:

    Copy to Clipboard Toggle word wrap 
    This is an example banner for the RHEL web console login page.

    您不能在文件中包含任何宏,但您可以使用换行符和 ASCII 工件。

  3. 保存该文件。

  4. 在您首选的文本编辑器中打开 /etc/cockpit/ 目录中的 cockpit.conf 文件,例如:

    Copy to Clipboard Toggle word wrap 
    # vi /etc/cockpit/cockpit.conf

  5. 在文件中添加以下文本:

    Copy to Clipboard Toggle word wrap 
    [Session]
Banner=/etc/issue.cockpit
  6. 保存该文件。

  7. 重启 Web 控制台以使更改生效。

    Copy to Clipboard Toggle word wrap 
    # systemctl try-restart cockpit

验证

  • 再次打开 Web 控制台登录屏幕,来验证横幅现在是否可见:

    Example banner

1.9. 在 web 控制台中配置自动闲置锁定

您可以通过 web 控制台界面启用自动空闲锁定并为您的系统设置空闲超时。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中打开 /etc/cockpit/ 目录中的 cockpit.conf 文件,例如:

    Copy to Clipboard Toggle word wrap 
    # vi /etc/cockpit/cockpit.conf

  2. 在文件中添加以下文本:

    Copy to Clipboard Toggle word wrap 
    [Session]
IdleTimeout=<X>

    <X> 替换为您选择的时间段(以分钟为单位)。

  3. 保存该文件。

  4. 重启 Web 控制台以使更改生效。

    Copy to Clipboard Toggle word wrap 
    # systemctl try-restart cockpit

验证

  • 检查在设定的时间后,用户是否会退出系统。

1.10. 更改 Web 控制台侦听端口

默认情况下,RHEL web 控制台通过 TCP 端口 9090 进行通信。您可以通过覆盖默认套接字设置来更改端口号。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。
  • firewalld 服务在运行。

流程

  1. 选择一个未占用的端口,例如 < 4488/tcp& gt;,并指示 SELinux 允许 cockpit 服务绑定到该端口:

    Copy to Clipboard Toggle word wrap 
    # semanage port -a -t websm_port_t -p tcp <4488>

    请注意,一个端口一次只能由一个服务使用,因此尝试使用已占用的端口会出现 ValueError: Port already defined 错误消息。

  2. 打开新端口并关闭防火墙中的前一个端口:

    Copy to Clipboard Toggle word wrap 
    # firewall-cmd --service cockpit --permanent --add-port=<4488>/tcp
# firewall-cmd --service cockpit --permanent --remove-port=9090/tcp

  3. cockpit.socket 服务创建一个覆盖文件:

    Copy to Clipboard Toggle word wrap 
    # systemctl edit cockpit.socket

  4. 在以下编辑器屏幕中,其打开了位于 /etc/systemd/system/cockpit.socket.d/ 目录中的一个空 override.conf 文件,通过添加以下行将 web 控制台的默认端口从 9090 改为之前选择的号码:

    Copy to Clipboard Toggle word wrap 
    [Socket]
ListenStream=
ListenStream=<4488>

    请注意,第一个带有空值的 ListenStream= 指令是有意进行的。您可以在单个套接字单元中声明多个 ListenStream 指令,并且 drop-in 文件中的空值会重置列表,并从原始单元禁用默认端口 9090。

    重要

    在以 # anything 开头的行之间插入前面的代码片段,在此和 以下的 # Lines 之间插入。否则,系统会丢弃您的更改。

  5. Ctrl+OEnter 保存更改。按 Ctrl+X 退出编辑器。

  6. 重新载入更改的配置:

    Copy to Clipboard Toggle word wrap 
    # systemctl daemon-reload

  7. 检查您的配置是否正常工作:

    Copy to Clipboard Toggle word wrap 
    # systemctl show cockpit.socket -p Listen
Listen=[::]:4488 (Stream)

  8. 重启 cockpit.socket

    Copy to Clipboard Toggle word wrap 
    # systemctl restart cockpit.socket

验证

  • 打开 Web 浏览器,并在更新的端口上访问 Web 控制台,例如:

    Copy to Clipboard Toggle word wrap 
    https://machine1.example.com:4488

其它资源

  • firewall-cmd (1), semanage (8), systemd.unit (5), 和 systemd.socket (5) 手册页

第 2 章 使用 RHEL 系统角色安装和配置 web 控制台

使用 cockpit RHEL 系统角色,您可以在多个 RHEL 系统上自动部署和启用 Web 控制台。

2.1. 使用 cockpit RHEL 系统角色安装 Web 控制台

您可以使用 cockpit 系统角色在多个系统上自动安装和启用 RHEL web 控制台。

在本例中,您可以使用 cockpit 系统角色来:

  • 安装 RHEL web 控制台。
  • 允许 firewalldselinux 系统角色配置系统来打开新端口。
  • 将 web 控制台设置为使用 ipa trusted 证书颁发机构的证书,而不使用自签名证书。
注意

您不必在 playbook 中调用 firewallcertificate 系统角色来管理防火墙或创建证书。cockpit 系统角色根据需要自动调用它们。

先决条件

流程

  1. 创建包含以下内容的 playbook 文件,如 ~/playbook.yml

    Copy to Clipboard Toggle word wrap 
    ---
- name: Manage the RHEL web console
  hosts: managed-node-01.example.com
  tasks:
    - name: Install RHEL web console
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.cockpit
      vars:
        cockpit_packages: default
        cockpit_manage_selinux: true
        cockpit_manage_firewall: true
        cockpit_certificates:
          - name: /etc/cockpit/ws-certs.d/01-certificate
            dns: ['localhost', 'www.example.com']
            ca: ipa

    示例 playbook 中指定的设置包括以下内容:

    cockpit_manage_selinux: true
    允许使用 selinux 系统角色配置 SELinux,以在 websm_port_t SELinux 类型上设置正确的端口权限。
    cockpit_manage_firewall: true
    允许 cockpit 系统角色使用 firewalld 系统角色来添加端口。
    cockpit_certificates: <YAML_dictionary>

    默认情况下,RHEL web 控制台使用自签名证书。或者,您可以将 cockpit_certificates 变量添加到 playbook 中,并将角色配置为从 IdM 证书颁发机构(CA)请求证书,或使用受管节点上的现有证书和私钥。

    有关 playbook 中使用的所有变量的详情,请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.cockpit/README.md 文件。

  2. 验证 playbook 语法:

    Copy to Clipboard Toggle word wrap 
    $ ansible-playbook --syntax-check ~/playbook.yml

    请注意,这个命令只验证语法,不会防止错误但有效的配置。

  3. 运行 playbook:

    Copy to Clipboard Toggle word wrap 
    $ ansible-playbook ~/playbook.yml

其它资源

第 3 章 安装 Web 控制台附加组件,并创建自定义页面

根据您要如何使用 Red Hat Enterprise Linux 系统,您可以在 web 控制台中添加额外的 可用 应用程序,或根据您的用例创建自定义页面。

3.1. RHEL web 控制台的附加组件

虽然 cockpit 软件包是 Red Hat Enterprise Linux 的一部分,但您可以使用以下命令根据需要安装附加应用程序:

Copy to Clipboard Toggle word wrap 
# yum install <add-on>

在上一命令中,将 <add-on> 替换为 RHEL web 控制台的可用附加组件应用程序列表中的一个软件包名称。

功能名称软件包名称使用

Composer

cockpit-composer

构建自定义操作系统镜像

Machines

cockpit-machines

管理 libvirt 虚拟机

PackageKit

cockpit-packagekit

软件更新和应用程序安装(通常会被默认安装)

PCP

cockpit-pcp

具有持久性和更精细的性能数据(根据 UI 的要求安装)

Podman

cockpit-podman

管理容器 并管理容器镜像 (可从 RHEL 8.1 中获得)

Session Recording

cockpit-session-recording

记录和管理用户会话

存储

cockpit-storaged

通过 udisks 管理存储

3.2. 在 web 控制台中创建新页面

如果要在 Red Hat Enterprise Linux web 控制台中添加自定义功能,您必须添加包含用于运行所需功能页面的 HTML 和 JavaScript 文件的软件包目录。

有关添加自定义页面的详细信息,请参阅 Cockpit 项目 网站上的 为 Cockpit 用户界面创建插件

其他资源

3.3. 覆盖 web 控制台中的清单设置

您可以为特定用户以及系统的所有用户修改 Web 控制台的菜单。在 cockpit 项目中,软件包名称是一个目录名称。软件包包含 manifest.json 文件以及其他文件。默认设置存在于 manifest.json 文件中。您可以通过在指定位置为指定的用户创建一个 <package-name>.override.json 文件来覆盖默认的 cockpit 菜单设置。

先决条件

流程

  1. 在您选择的文本编辑器中覆盖 <systemd>.override.json 文件中的清单设置,例如:

    1. 要为所有用户进行编辑,请输入:

      Copy to Clipboard Toggle word wrap 
      # vi /etc/cockpit/<systemd>.override.json

    2. 要为单个用户进行编辑,请输入:

      Copy to Clipboard Toggle word wrap 
      # vi ~/.config/cockpit/<systemd>.override.json

  2. 使用以下详情编辑所需的文件:

    Copy to Clipboard Toggle word wrap 
    {
  "menu": {
  "services": null,
  "logs": {
      "order": -1
  }
 }
}
    • null 值隐藏了 services 选项卡
    • -1 值将 logs 选项卡移到第一个位置。

  3. 重启 cockpit 服务:

    Copy to Clipboard Toggle word wrap 
    # systemctl restart cockpit.service

其他资源

第 4 章 在 web 控制台中管理软件更新

了解如何在 RHEL 8 web 控制台中管理软件更新,以及如何自动进行软件更新。

web 控制台中的软件更新模块基于 yum 工具。有关使用 yum 更新软件的更多信息,请参阅更新 RHEL 8 内容 部分。

4.1. 在 web 控制台中管理手动软件更新

您可以使用 Web 控制台手动更新软件。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 软件更新

    可用更新列表会在 24 小时后自动刷新。要触发刷新,请点 Check for Updates 按钮。

  3. 应用更新。您可以在更新运行时监控更新日志。

    1. 要安装所有可用更新,请点安装所有更新按钮。
    2. 如果您有可用的安全更新,请点击安装安全更新按钮单独安装它们。
    3. 如果您有 kpatch 更新可用,请点 Install kpatch updates 按钮单独安装它们。

  4. 可选:您可以选择 Reboot after completion 来自动重启您的系统。

    如果执行此步骤,您可以跳过这个过程的剩余步骤。

  5. 在系统应用更新后,您会看到重启系统的建议。如果更新包括了一个您不想单独重启的新内核或系统服务,请重启系统。

  6. Ignore 以取消重启,或选择 Restart Now 重启系统。

    系统重启后,登录到 web 控制台并进入 Software Updates 页面,以验证更新是否成功。

4.2. 在 web 控制台中管理自动更新

在 web 控制台中,您可以选择应用所有更新,或者安全更新,以及管理自动更新的定期和时间。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 软件更新
  3. Settings 表中,点 Edit 按钮。
  4. 挑选一种自动更新类型。您可以选择 Security updates onlyAll updates
  5. 要修改自动更新的日期,在下拉菜单中点 every day 并选择特定日期。
  6. 要修改自动更新的时间,请点击 6:00 字段并选择或输入特定时间。
  7. 如果要禁用自动软件更新,请选择 No update 类型。

4.3. 在 web 控制台中应用软件更新后管理按需重启

智能重启功能会通知用户是否在应用软件更新后重新引导整个系统,或者是否足以重新启动某些服务。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 软件更新
  3. 对您的系统应用更新。
  4. 成功更新后,点 Reboot system…​, Restart services…​, 或 Ignore

  5. 如果您决定忽略,您可以通过执行以下操作之一来返回到重启或重启菜单:

    1. 重新引导:

      1. Software Updates 页面的 Status 字段中的 Reboot system 按钮。
      2. 可选:将消息写入登录的用户。
      3. Delay 下拉菜单中选择一个延迟。
      4. 重启

    2. 重启服务:

      1. Software Updates 页面的 Status 字段中的 Restart services 按钮。

        您将看到需要重启的所有服务的列表。

      2. 重启服务

        根据您的选择,系统将重新启动,或者您的服务将重启。

4.4. 在 web 控制台中使用内核实时补丁应用补丁

您可以在 RHEL web 控制台中配置 kpatch 框架,该框架在不强制重启的情况下应用内核安全补丁。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 软件更新

  3. 检查内核补丁设置的状态。

    1. 如果没有安装补丁,点 Install

      Basic kernel patch settings

    2. 要启用内核补丁,请点击 启用

      Basic kernel patch settings after the installation

    3. 选中应用内核补丁的复选框。

    4. 选择您要为当前和将来的内核或当前内核应用补丁。如果您决定为将来的内核应用补丁,系统还会为即将推出的内核版本应用补丁。

      Automatic kernel patch settings

    5. 应用

验证

  • 检查内核补丁在 Software updates 项的 Settings 表中为 Enabled

    Basic kernel patch settings enabled

其他资源

第 5 章 在 web 控制台中管理订阅

您可以在 Red Hat Enterprise Linux 8 web 控制台中管理您的红帽产品订阅。

先决条件

5.1. Web 控制台中的订阅管理

RHEL 8 web 控制台为使用在本地系统中安装的红帽订阅管理器提供了一个界面。

Subscription Manager 连接到红帽客户门户网站并验证可用:

  • 活跃订阅
  • 过期的订阅
  • 续订的订阅

如果要续订订阅或在红帽客户门户网站中获得不同的订阅,您不必手动更新订阅管理器数据。

Subscription Manager 会自动将数据与红帽客户门户网站同步。

5.2. 使用 Web 控制台注册系统

订阅覆盖了在 Red Hat Enterprise Linux 中安装的产品,包括操作系统本身。如果您还没有注册系统,则无法访问 RHEL 软件仓库。您无法安装软件更新,如安全、错误修复。即使您有自助支持订阅,它也授予对知识库的访问权限,而更多资源在缺少订阅时仍不可用。您可以使用 Red Hat web 控制台中的帐户凭证注册新安装的 Red Hat Enterprise Linux。

先决条件

  • 您有一个有效的 RHEL 系统订阅。

流程

  1. 在浏览器中打开 https://<ip_address_or_hostname>:9090,并登录到 web 控制台。
  2. Overview 页面的 Health 字段中,点击 Not registered 警告,或者点击主菜单中的 Subscriptions 来进入页面。
  3. Overview 字段中,点 Register

  4. 注册系统 对话框中,选择注册方法。

    可选:输入您的机构名称或 ID。如果您的帐户属于红帽客户门户网站中的多个机构,您必须添加机构名称或 ID。要获得机构 ID,请在红帽与您的大客户经理联系。

  5. 如果您不想将您的系统连接到 Red Hat Insights,请清除 Insights 复选框。
  6. Register

验证

5.3. 在 web 控制台中使用激活码注册订阅

您可以在 RHEL web 控制台中使用激活码注册新安装的 Red Hat Enterprise Linux。

先决条件

  • 红帽产品订阅的激活码。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 页面的 Health 字段中,点击 Not registered 警告,或者点击主菜单中的 Subscriptions 来进入带有您的订阅信息的页面。

    Health status - Not registered .

  3. Overview 文件中,点 Register

  4. Register system 对话框中,选择 Activation key 以使用激活码进行注册。

    Register system dialog window

  5. 输入您的密钥或密钥。

  6. 输入您的机构名称或 ID。

    要获得机构 ID,请联系您的红帽联系点。

    • 如果您不想将您的系统连接到 Red Hat Insights,请取消选中 Insights 复选框。
  7. Register

第 6 章 在 web 控制台中管理远程系统

您可以连接到远程系统,并在 RHEL 8 web 控制台中管理它们。

了解:

  • 连接系统的最佳拓扑。
  • 如何添加和删除远程系统。
  • 何时,以及如何使用 SSH 密钥进行远程系统身份验证。
  • 如何配置 Web 控制台客户端,以允许使用智能卡通过 SSH 访问远程主机并访问服务的用户。

先决条件

  • SSH 服务在远程系统上运行。

6.1. Web 控制台中的远程系统管理器

为了安全起见,请使用以下由 RHEL 8 web 控制台管理的远程系统的网络设置:

  • 使用 Web 控制台配置一个系统作为堡垒主机。堡垒主机是带有打开 HTTPS 端口的系统。
  • 所有其他系统通过 SSH 进行通信。

通过在堡垒主机上运行的 Web 接口,您可以使用默认配置中的端口 22 通过 SSH 协议访问所有其他系统。

Topology of systems managed by the web console

6.2. 在 web 控制台中添加远程主机

在 RHEL web 控制台中,您可以使用对应的凭证添加远程系统后管理远程系统。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 在 RHEL 8 web 控制台中,点 Overview 页面左上角的 & lt;username&gt; @ <hostname >。

    username@hostname drop-down menu

  3. 从下拉菜单中选择 Add new host
  4. Add new host 对话框中,指定要添加的主机。

  5. 可选:为您要连接的帐户添加用户名。

    您可以使用远程系统的任意用户帐户。但是,如果您使用没有管理特权的用户凭证,则无法执行管理任务。

    如果您使用与本地系统相同的凭证,Web 控制台会在您登录时都自动验证远程系统。请注意,在更多系统中使用相同的凭证会降低安全性。

  6. 可选:点击 Color 字段更改系统颜色。
  7. Add
重要

Web 控制台不会保存用于登录到远程系统的密码,这意味着您必须在每次系统重启后再次登录。下次登录时,点 登录 位于断开连接的远程系统的主屏幕中,以打开登录对话框。

验证

  • 新主机列在 < username&gt; @ &lt;hostname > 下拉菜单中。

6.3. 为新主机启用 SSH 登录

将新主机添加到 web 控制台时,您也可以使用 SSH 密钥登录到主机。如果您的系统中已有 SSH 密钥,Web 控制台将使用现有的密钥;否则,Web 控制台可以创建密钥。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 在 RHEL 8 web 控制台中,点 Overview 页面左上角的 & lt;username&gt; @ <hostname >。

    username@hostname drop-down menu

  3. 从下拉菜单中选择 Add new host
  4. Add new host 对话框中,指定要添加的主机。

  5. 为要连接的帐户添加用户名。

    您可以使用远程系统的任意用户帐户。但是,如果您使用没有管理特权的用户帐户,则无法执行管理任务。

  6. 可选:点击 Color 字段更改系统颜色。

  7. Add

    此时会出现一个新对话框窗口,要求输入密码。

  8. 输入用户帐户密码。

  9. 如果您已有一个 SSH 密钥,请选择 Authorize SSH key

    Log in to a host dialog windows

  10. 如果您没有 SSH 密钥,选择 Create a new SSH key and authorize it。Web 控制台创建密钥。

    SSH key created for the host

    1. 为 SSH 密钥添加密码。
    2. 确认密码。
  11. 登录

验证

  1. 注销。
  2. 重新登录。
  3. Not connected to host 屏幕中点 Log in

  4. 选择 SSH 密钥 作为您的身份验证选项。

    使用所选的 SSH 密钥选项登录对话框窗口
  5. 输入您的密钥密码。
  6. 登录

其他资源

6.4. 配置 Web 控制台以允许使用智能卡通过 SSH 向远程主机进行身份验证的用户,而无需再次进行身份验证

在 RHEL web 控制台中登录到用户帐户后,您可以使用 SSH 协议连接到远程机器。您可以使用受限委托功能来使用 SSH,而无需再次进行身份验证。

在示例流程中,web 控制台会话在 myhost.idm.example.com 主机上运行,并将控制台配置为代表经过身份验证的用户使用 SSH 访问 remote.idm.example.com 主机。

先决条件

  • 您已获得 IdM admin 票据授予票(TGT)。
  • 您有访问 remote.idm.example.comroot 权限。
  • cockpit 服务在 IdM 中运行。

  • Web 控制台在用户会话中创建了一个 S4U2Proxy Kerberos ticket。要验证它,以 IdM 用户身份登录 Web 控制台,打开 Terminal 页面,并输入:

    Copy to Clipboard Toggle word wrap 
    $ klist
Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache
Default principal: user@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
07/30/21 09:19:06  07/31/21 09:19:06  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
        for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

流程

  1. 创建委派规则可访问的目标主机列表:

    1. 创建服务委托目标:

      Copy to Clipboard Toggle word wrap 
      $ ipa servicedelegationtarget-add cockpit-target

    2. 将目标主机添加到委派目标:

      Copy to Clipboard Toggle word wrap 
      $ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM

  2. 通过创建服务委派规则并将 HTTP 服务 Kerberos 主体添加到其中,允许 cockpit 会话访问目标主机列表:

    1. 创建服务委派规则:

      Copy to Clipboard Toggle word wrap 
      $ ipa servicedelegationrule-add cockpit-delegation

    2. 将 Web 控制台客户端添加到委派规则中:

      Copy to Clipboard Toggle word wrap 
      $ ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

    3. 将委派目标添加到委派规则中:

      Copy to Clipboard Toggle word wrap 
      $ ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

  3. remote.idm.example.com 主机上启用 Kerberos 身份验证:

    1. root 身份通过 SSH 连接到 remote.idm.example.com
    2. 打开 /etc/ssh/sshd_config 文件进行编辑。
    3. 通过取消注释 GSSAPIAuthentication no 行,并将它替换为 GSSAPIAuthentication yes 来启用 GSSAPIAuthentication

  4. remote.idm.example.com 上重启 sshd 服务,以便更改生效:

    Copy to Clipboard Toggle word wrap 
    $ systemctl try-restart sshd.service

其他资源

6.5. 使用 Ansible 配置 Web 控制台,允许用户使用智能卡通过 SSH 向远程主机进行身份验证,而无需再次进行身份验证

在 RHEL web 控制台中登录到用户帐户后,您可以使用 SSH 协议连接到远程机器。您可以使用 servicedelegationruleservicedelegationtarget 模块为受限委托功能配置 Web 控制台,这将启用 SSH 连接,而无需再次进行身份验证。

在示例流程中,web 控制台会话在 myhost.idm.example.com 主机上运行,并将它配置为代表经过身份验证的用户使用 SSH 访问 remote.idm.example.com 主机。

先决条件

  • IdM admin 密码。
  • remote.idm.example.comroot 访问权限。
  • Web 控制台服务在 IdM 中运行。

  • Web 控制台在用户会话中创建了一个 S4U2Proxy Kerberos ticket。要验证它,以 IdM 用户身份登录 Web 控制台,打开 Terminal 页面,并输入:

    Copy to Clipboard Toggle word wrap 
    $ klist
Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache
Default principal: user@IDM.EXAMPLE.COM

Valid starting     Expires            Service principal
07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
07/30/21 09:19:06  07/31/21 09:19:06  krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM
        for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

  • 您已配置了 Ansible 控制节点以满足以下要求:

    • 您使用 Ansible 版本 2.13 或更高版本。
    • 您已安装了 ansible-freeipa 软件包。
    • 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件
    • 示例假定 secret.yml Ansible vault 存储了 ipaadmin_password
  • 目标节点(这是执行 ansible-freeipa 模块的节点)是 IdM 域的一部分,来作为 IdM 客户端、服务器或副本。

流程

  1. 进入您的 ~/MyPlaybooks/ 目录:

    Copy to Clipboard Toggle word wrap 
    $ cd ~/MyPlaybooks/

  2. 创建包含以下内容的 web-console-smart-card-ssh.yml playbook:

    1. 创建确保存在委派目标的任务:

      Copy to Clipboard Toggle word wrap 
      ---
- name: Playbook to create a constrained delegation target
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure servicedelegationtarget web-console-delegation-target is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target

    2. 添加将目标主机添加到委派目标的任务:

      Copy to Clipboard Toggle word wrap 
        - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
      action: member

    3. 添加一个任务来确保存在委派规则:

      Copy to Clipboard Toggle word wrap 
        - name: Ensure servicedelegationrule delegation-rule is present
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule

    4. 添加一项任务,该任务确保 Web 控制台客户端服务的 Kerberos 主体是受限委派规则的成员:

      Copy to Clipboard Toggle word wrap 
        - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      principal: HTTP/myhost.idm.example.com
      action: member

    5. 添加一个任务,以确保 delegation 规则与 web-console-delegation-target 委派目标关联:

      Copy to Clipboard Toggle word wrap 
        - name: Ensure a constrained delegation rule is associated with a specific delegation target
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      target: web-console-delegation-target
      action: member
  3. 保存该文件。

  4. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件和清单文件的密码的文件:

    Copy to Clipboard Toggle word wrap 
    $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml

  5. remote.idm.example.com 上启用 Kerberos 身份验证:

    1. root 身份通过 SSH 连接到 remote.idm.example.com
    2. 打开 /etc/ssh/sshd_config 文件进行编辑。
    3. 通过取消注释 GSSAPIAuthentication no 行,并将它替换为 GSSAPIAuthentication yes 来启用 GSSAPIAuthentication

  6. remote.idm.example.com 上重启 sshd 服务,以便更改生效:

    Copy to Clipboard Toggle word wrap 
    $ systemctl try-restart sshd.service

其他资源

  • 使用智能卡登录到 web 控制台
  • 身份管理中的受限委托
  • /usr/share/doc/ansible-freeipa/ 目录中的 README-servicedelegationrule.mdREADME-servicedelegationtarget.md
  • /usr/share/doc/ansible-freeipa/playbooks/servicedelegationtarget/usr/share/doc/ansible-freeipa/playbooks/servicedelegationrule 目录中的 playbook 示例

第 7 章 为 IdM 域中的 RHEL 8 web 控制台配置单点登录

使用 RHEL 8 web 控制台中的 Identity Management (IdM)提供的单点登录(SSO)身份验证有以下优点:

  • IdM 域中具有 Kerberos 票据的用户不需要提供登录凭据来访问 Web 控制台。
  • IdM 证书颁发机构(CA)发布的证书的用户不需要提供登录凭证来访问 Web 控制台。Web 控制台服务器自动切换到 IdM 证书颁发机构发布的证书,并被浏览器接受。不需要证书配置。

配置用于登录到 RHEL web 控制台的 SSO 需要:

  1. 使用 RHEL 8 web 控制台将机器添加到 IdM 域中。
  2. 如果要使用 Kerberos 进行身份验证,您必须在机器上获得 Kerberos 票据。
  3. 允许 IdM 服务器上的管理员在任何主机上运行任何命令。

先决条件

  • RHEL web 控制台服务安装在 RHEL 8 系统中。

    详情请参阅安装 Web 控制台

  • IdM 客户端安装在运行 RHEL web 控制台服务的系统中。

    详情请查看 IdM 客户端安装

7.1. 使用 Kerberos 身份验证登录到 web 控制台

作为身份管理(IdM)用户,您可以使用单点登录(SSO)身份验证来在浏览器中自动访问 RHEL web 控制台。

重要

使用 SSO 时,通常在 Web 控制台中拥有任何管理特权。这只有在您配置免密码 sudo 时有效。Web 控制台不以交互方式询问 sudo 密码。

先决条件

  • IdM 域可由 DNS 解析。例如,Kerberos 服务器的 SRV 记录可以被解析:

    Copy to Clipboard Toggle word wrap 
    $ host -t SRV  _kerberos._udp.idm.example.com
_kerberos._udp.idm.example.com has SRV record 0 100 88 dc.idm.example.com

    如果您运行浏览器的系统是一个 RHEL 8 系统,并 加入到 IdM 域,则您使用与 web 控制台服务器相同的 DNS,且不需要 DNS 配置。

  • 您已为 SSO 身份验证配置了 Web 控制台服务器。
  • 运行 Web 控制台服务的主机是一个 IdM 客户端。
  • 您已为 SSO 身份验证配置了 Web 控制台客户端。

流程

  1. 获取您的 Kerberos 票据授予票据:

    Copy to Clipboard Toggle word wrap 
    $ kinit idmuser@IDM.EXAMPLE.COM
Password for idmuser@IDM.EXAMPLE.COM:

  2. 输入运行 Web 控制台服务的主机的完全限定名称:

    Copy to Clipboard Toggle word wrap 
     https://<dns_name>:9090
    Web 控制台的屏幕截图,其中包含列中的菜单,以及以下按钮:System - Logs - Storage - Networking - Accounts - Services - Applications - diagnostics Reports - Kernel Dump - SELinux.已选择"系统"选项并显示系统详情,如 Hardware - Machine ID - Operating system - Secure Shell Keys - Hostname - 等。3 个图形显示 CPU 随着时间的推移的使用情况 - 随时间使用内存和交换空间 - 和磁盘 I/O 随时间推移。

    此时,您已成功连接到 RHEL web 控制台,您可以使用配置启动。例如,您可以在 web 控制台中将 RHEL 8 系统加入到 IdM 域中

7.2. 使用 Web 控制台将 RHEL 8 系统添加到 IdM 域中

您可以使用 Web 控制台将 Red Hat Enterprise Linux 8 系统添加到 Identity Management (IdM)域中。

先决条件

  • IdM 域正在运行,并可访问您想要加入的客户端。
  • 您有 IdM 域管理员凭证。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 选项卡的 Configuration 字段中点 Join Domain
  3. Join a Domain 对话框的 Domain Address 字段中输入 IdM 服务器的主机名。
  4. Domain administrator name 字段中输入 IdM 管理帐户的用户名。
  5. 在域 管理员密码 中,添加密码。
  6. Join

验证

  1. 如果 RHEL 8 web 控制台没有显示错误,该系统就被加入到 IdM 域,您可以在 系统 屏幕中看到域名。

  2. 要验证该用户是否为域的成员,点 Terminal 页面并输入 id 命令:

    Copy to Clipboard Toggle word wrap 
    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

其它资源

第 8 章 使用 Web 控制台为集中管理的用户配置智能卡验证

您可以在 RHEL web 控制台中为集中管理的用户配置智能卡验证:

  • 身份管理
  • Active Directory,它在 Identity Management 的跨林信任中连接
重要

智能卡验证还没有提高管理权限,Web 控制台会在 web 浏览器中以只读模式打开。

您可以使用 sudo 在内置终端中运行管理命令。

先决条件

8.1. 实现中央管理用户的智能卡验证

智能卡是一个物理设备,可以使用保存在卡中的证书提供个人验证。个人验证意味着,您可以象使用用户密码一样使用智能卡。

您可以使用私钥和证书的形式在智能卡中保存用户凭证。特殊的软件和硬件可用于访问它们。您可以将智能卡插入到读取器或者 USB 套接字中,并为智能卡提供 PIN 代码,而不是提供密码。

身份管理(IdM)支持使用如下方式的智能卡身份验证:

注意

如果要开始使用智能卡验证,请参阅RHEL8+ 中的硬件要求:智能卡支持

8.2. 安装用来管理和使用智能卡的工具

在配置智能卡前,您必须安装可以生成证书并启动 pscd 服务的对应工具。

先决条件

  • 您有 root 权限。

流程

  1. 安装 openscgnutls-utils 软件包:

    Copy to Clipboard Toggle word wrap 
    # yum -y install opensc gnutls-utils

  2. 启动 pcscd 服务。

    Copy to Clipboard Toggle word wrap 
    # systemctl start pcscd

验证

  • 验证 pcscd 服务是否正在运行:

    Copy to Clipboard Toggle word wrap 
    # systemctl status pcscd

8.3. 准备智能卡并将证书和密钥上传到智能卡

按照以下流程,使用 pkcs15-init 工具配置智能卡,该工具帮助您配置:

  • 擦除智能卡
  • 设置新的 PIN 和可选的 PIN Unblocking Keys(PUKs)
  • 在智能卡上创建新插槽
  • 在插槽存储证书、私钥和公钥
  • 如果需要,请锁定智能卡设置,因为某些智能卡需要这个类型的最终化

pkcs15-init 工具可能无法使用所有智能卡。您必须使用您使用智能卡的工具。

先决条件

  • 已安装 opensc 软件包,其中包括 pkcs15-init 工具。

    如需了解更多详细信息,请参阅安装用于管理和使用智能卡的工具

  • 该卡插入读卡器并连接到计算机。
  • 您有一个私钥、公钥和证书,用于存储在智能卡中。在此流程中,testuser.keytestuserpublic.keytestuser.crt 是用于私钥、公钥和证书的名称。
  • 您有当前的智能卡用户 PIN 和 Security Officer PIN (SO-PIN)。

流程

  1. 擦除智能卡并使用您的 PIN 验证自己:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --erase-card --use-default-transport-keys
Using reader with a card: Reader name
PIN [Security Officer PIN] required.
Please enter PIN [Security Officer PIN]:

    这个卡已经被清除。

  2. 初始化智能卡,设置您的用户 PIN 和 PUK,以及您的安全响应 PIN 和 PUK:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
    --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
Using reader with a card: Reader name

    pcks15-init 工具在智能卡上创建一个新插槽。

  3. 为插槽设置标签和验证 ID:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --store-pin --label testuser \
    --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
Using reader with a card: Reader name

    标签设置为人类可读的值,在本例中为 testuserauth-id 必须是两个十六进制值,在本例中设为 01

  4. 在智能卡的新插槽中存储并标记私钥:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --store-private-key testuser.key --label testuser_key \
    --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    注意

    在存储您的私钥并将证书存储在下一步中时,您为 --id 指定的值必须相同。建议为 --id 指定自己的值,否则它们将更复杂的值由工具计算。

  5. 在智能卡上的新插槽中存储并标记该证书:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
    --auth-id 01 --id 01 --format pem --pin 963214
Using reader with a card: Reader name

  6. 可选:在智能卡的新插槽中保存并标记公钥:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init --store-public-key testuserpublic.key \
    --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    注意

    如果公钥与私钥或证书对应,请指定与私钥或证书的 ID 相同的 ID。

  7. 可选:包含智能卡要求您通过锁定设置来完成卡:

    Copy to Clipboard Toggle word wrap 
    $ pkcs15-init -F

    在这个阶段,您的智能卡在新创建的插槽中包含证书、私钥和公钥。您还创建了您的用户 PIN 和 PUK,以及安全响应 PIN 和 PUK。

8.4. 为 web 控制台启用智能卡验证

要在 web 控制台中使用智能卡验证,请在 cockpit.conf 文件中启用这个验证方法。

另外,您还可以在同一文件中禁用密码验证。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Terminal

  3. /etc/cockpit/cockpit.conf 中,将 ClientCertAuthentication 设置为 yes

    Copy to Clipboard Toggle word wrap 
    [WebService]
ClientCertAuthentication = yes

  4. 可选:使用以下命令禁用 cockpit.conf 中基于密码的身份验证:

    Copy to Clipboard Toggle word wrap 
    [Basic]
action = none

    这个配置禁用了密码验证,且必须总是使用智能卡。

  5. 重启 Web 控制台,以确保 cockpit.service 接受更改:

    Copy to Clipboard Toggle word wrap 
    # systemctl restart cockpit

8.5. 使用智能卡登录到 web 控制台

您可以使用智能卡登录到 web 控制台。

先决条件

  • 保存在智能卡中的有效证书,该证书与 Active Directory 或 Identity Management 域中的用户帐户关联。
  • PIN 用于解锁智能卡。
  • 已经将智能卡放入读卡器。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

    浏览器要求您添加 PIN 保护保存在智能卡中的证书。

  2. Password Required 对话框中,输入 PIN 并点 OK
  3. User Identification Request 对话框中,选择保存在智能卡中的证书。

  4. 选择 Remember this decision

    系统下次打开这个窗口。

    注意

    此步骤不适用于 Google Chrome 用户。

  5. 点击 OK

您现在已连接,Web 控制台会显示其内容。

8.6. 限制用户会话和内存以防止 DoS 攻击

证书验证通过分离和隔离 cockpit-ws Web 服务器的实例来保护,使其免受希望模拟其他用户的攻击者。但是,这可能会引入潜在的拒绝服务(DoS)攻击:远程攻击者可以创建大量证书,并将大量 HTTPS 请求发送到 cockpit-ws 各自使用不同的证书。

为防止此类 DoS 攻击,这些 Web 服务器实例的收集资源有限。默认情况下,连接和内存用量的限制设置为 200 个线程,75 % (软)或 90 %(硬)内存限值。

示例流程通过限制连接和内存数量来演示资源保护。

流程

  1. 在终端中,打开 system-cockpithttps.slice 配置文件:

    Copy to Clipboard Toggle word wrap 
    # systemctl edit system-cockpithttps.slice

  2. TasksMax 限制为 100,将 CPUQuota 限制为 30%

    Copy to Clipboard Toggle word wrap 
    [Slice]
# change existing value
TasksMax=100
# add new restriction
CPUQuota=30%

  3. 要应用这些更改,请重启系统:

    Copy to Clipboard Toggle word wrap 
    # systemctl daemon-reload
# systemctl stop cockpit

现在,新内存和用户会话降低了在 cockpit-ws Web 服务器上 DoS 攻击的风险。

8.7. 其他资源

第 9 章 Web 控制台中的 Satellite 主机管理和监控

在 Red Hat Satellite 服务器上启用 RHEL web 控制台集成后,您可以在 web 控制台中大规模管理多个主机。

Red Hat Satellite 是一个系统管理解决方案,可在物理、虚拟和云环境中部署、配置和维护您的系统。Satellite 使用集中工具提供对多个 Red Hat Enterprise Linux 部署的配置、远程管理和监控。

默认情况下,RHEL web 控制台集成在 Red Hat Satellite 中被禁用。要从 Red Hat Satellite 中访问主机的 RHEL web 控制台功能,您必须首先在 Red Hat Satellite 服务器上启用 RHEL web 控制台集成。

要在 Satellite 服务器上启用 RHEL web 控制台,请以 root 用户身份输入以下命令:

Copy to Clipboard Toggle word wrap 
# satellite-installer --enable-foreman-plugin-remote-execution-cockpit --reset-foreman-plugin-remote-execution-cockpit-ensure

其他资源

法律通告

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat, Inc.