Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

使用 RHEL 8 web 控制台管理系统

Red Hat Enterprise Linux 8

具有基于 Web 的图形界面的服务器管理

摘要

RHEL web 控制台是一个基于 Web 的图形界面,它基于上游 Cockpit 项目。通过使用它,您可以执行系统管理任务,如检查和控制 systemd 服务、管理存储、配置网络、分析网络问题以及检查日志。

对红帽文档提供反馈
复制链接

我们致力于为您提供高质量的文档,您的反馈将对我们有很大帮助。为帮助我们改进,您可以通过 Red Hat Jira 跟踪系统提交建议或报告错误。

流程

  1. 登录到 Jira 网站。

    如果您还没有帐户,请创建一个。

  2. 单击顶部导航栏中的 Create
  3. Summary 字段中输入描述性标题。
  4. Description 字段中输入您对改进的建议。包括文档相关部分的链接。
  5. 点对话框底部的 Create

第 1 章 使用 RHEL web 控制台入门
复制链接

了解如何安装 Red Hat Enterprise Linux 8 web 控制台、如何通过其方便的图形界面 添加和管理远程主机,以及如何监控 Web 控制台管理的系统。

1.1. 什么是 RHEL web 控制台
复制链接

RHEL web 控制台是一个基于 web 的界面,用于管理和监控您的本地系统,以及网络环境中的 Linux 服务器。

Firefox 浏览器中的 RHEL web 控制台(Overview 页面)

RHEL web 控制台允许您执行广泛的管理任务,包括:

  • 管理服务
  • 管理用户帐户
  • 管理及监控系统服务
  • 配置网络接口和防火墙
  • 检查系统日志
  • 管理虚拟机
  • 创建诊断报告
  • 设置内核转储配置
  • 配置 SELinux
  • 更新软件
  • 管理系统订阅

RHEL web 控制台使用与在终端中使用的相同的系统 API,终端中执行的操作会立即反映在 RHEL web 控制台中。

您可以监控网络环境中的系统日志及其性能,以图形的形式显示。另外,您可以在 web 控制台中直接或通过终端更改设置。

1.2. 安装并启用 Web 控制台
复制链接

要访问 RHEL web 控制台,首先启用 cockpit.socket 服务。

在 Red Hat Enterprise Linux 8 的多个变体安装中都会默认包括 web 控制台。如果您的系统每以包括,请在启用 cockpit.socket 服务前安装 cockpit 软件包。

流程

  1. 如果在安装变体中没有默认安装 Web 控制台,请手动安装 cockpit 软件包: 

    # yum install cockpit

  2. 启用并启动 cockpit.socket 服务,该服务运行一个 Web 服务器: 

    # systemctl enable --now cockpit.socket

  3. 如果在安装变体中没有默认安装 Web 控制台,且您使用自定义防火墙配置集,请将 cockpit 服务添加到 firewalld 中,以在防火墙中打开端口 9090: 

    # firewall-cmd --add-service=cockpit --permanent
# firewall-cmd --reload

验证

1.3. 登录到 Web 控制台
复制链接

cockpit.socket 服务正在运行并且相应的防火墙端口打开时,您可以在浏览器中第一次登录到 Web 控制台。

先决条件

  • 使用以下一个浏览器打开 Web 控制台:

    • Mozilla Firefox 52 及更新的版本
    • Google Chrome 57 及更新的版本
    • Microsoft Edge 16 及更新的版本

  • 系统用户帐户凭证

    RHEL web 控制台使用位于 /etc/pam.d/cockpit 的特定可插拔验证模块(PAM)堆栈。默认配置允许使用系统上任何本地帐户的用户名和密码登录。

  • 防火墙中的端口 9090 打开。

流程

  1. 在网页浏览器中输入以下地址来访问 Web 控制台: 

    https://localhost:9090
    注意

    这在本地计算机上提供了 web 控制台登录。如果要登录到远程系统的 Web 控制台,请参阅 第 1.5 节 “从远程机器连接至 web 控制台”

    如果您使用自签名证书,浏览器会显示一个警告。检查证书,并接受安全例外以进行登录。

    控制台从 /etc/cockpit/ws-certs.d 目录中加载证书,并使用带有 .cert 扩展名的最后一个文件(按字母排序)。要避免接受安全例外的操作,安装由证书颁发机构(CA)签名的证书。

  2. 在登录屏幕中输入您的系统用户名和密码。
  3. Log In

成功验证后,会打开 RHEL web 控制台界面。

重要

要在有限和管理访问权限间进行切换,请在 web 控制台页面的顶部面板中点 Administrative accessLimited access。您必须提供用户密码以获取管理访问权限。

1.4. 在 web 控制台中禁用基本身份验证
复制链接

您可以通过修改 cockpit.conf 文件来修改身份验证方案的行为。使用 none 操作来禁用身份验证方案,只允许通过 GSSAPI 和表单进行身份验证。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中,在 /etc/cockpit/ 目录中打开或创建 cockpit.conf 文件,例如: 

    # vi cockpit.conf

  2. 添加以下文本: 

    [basic]
action = none
  3. 保存该文件。

  4. 重启 Web 控制台以使更改生效。 

    # systemctl try-restart cockpit

1.5. 从远程机器连接至 web 控制台
复制链接

您可以从任何客户端操作系统以及手机或平板电脑连接到 Web 控制台界面。

先决条件

  • 带有支持的互联网浏览器的设备,例如:

    • Mozilla Firefox 52 及更新的版本
    • Google Chrome 57 及更新的版本
    • Microsoft Edge 16 及更新的版本

  • 您要使用已安装的并可以访问的 web 控制台访问的 RHEL 8。

    具体步骤请参阅安装并启用 Web 控制台

流程

  1. 打开浏览器。

  2. 使用以下格式输入远程服务器地址:

    1. 使用服务器主机名: 

      https://<server.hostname.example.com>:<port-number>

      例如: 

      https://example.com:9090

    2. 使用服务器的 IP 地址: 

      https://<server.IP_address>:<port-number>

      例如: 

      https://192.0.2.2:9090
  3. 登录界面打开后,使用 RHEL 系统凭证登录。

1.6. 使用一次性密码登录到 web 控制台
复制链接

如果您的系统是启用了一次性密码(OTP)配置的 Identity Management(IdM)域的一部分,您可以使用 OTP 登录到 RHEL web 控制台。

重要

只有在系统是启用了 OTP 配置的 Identity Management(IdM)域的一部分时,才可以使用一次性密码登录。有关 IdM 中 OTP 的更多信息,请参阅 身份管理中的一次性密码

先决条件

流程

  1. 在浏览器中打开 RHEL web 控制台:

    • 本地:https://localhost:PORT_NUMBER
    • 远程使用服务器主机名: https://example.com:PORT_NUMBER

    • 远程使用服务器 IP 地址: https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER

      如果您使用自签名证书,浏览器会发出警告。检查证书并接受安全例外以进行登录。

      控制台从 /etc/cockpit/ws-certs.d 目录中加载证书,并使用带有 .cert 扩展名的最后一个文件(按字母排序)。要避免接受安全例外的操作,安装由证书颁发机构(CA)签名的证书。

  2. 登录窗口将打开。在登录窗口中输入您的系统用户名和密码。
  3. 在您的设备中生成一次性密码。
  4. 在确认您的密码后,在 web 控制台界面中出现的新字段输入一次性密码。
  5. 登录
  6. 成功登录会进入 web 控制台界面的 Overview 页面。

您可以使用 Web 控制台将 Red Hat Enterprise Linux 8 系统添加到 Identity Management (IdM)域中。

先决条件

  • IdM 域正在运行,并可访问您想要加入的客户端。
  • 您有 IdM 域管理员凭证。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 选项卡的 Configuration 字段中点 Join Domain
  3. Join a Domain 对话框的 Domain Address 字段中输入 IdM 服务器的主机名。
  4. Domain administrator name 字段中输入 IdM 管理帐户的用户名。
  5. 在域 管理员密码 中,添加密码。
  6. Join

验证

  1. 如果 RHEL 8 web 控制台没有显示错误,该系统就被加入到 IdM 域,您可以在 系统 屏幕中看到域名。

  2. 要验证该用户是否为域的成员,点 Terminal 页面并输入 id 命令: 

    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

1.8. 在登录页面中添加标题
复制链接

您可以将 Web 控制台设置为在登录屏幕上显示横幅文件的内容。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中打开 /etc/issue.cockpit 文件: 

    # vi /etc/issue.cockpit

  2. 将您要显示的内容作为横幅添加到文件中,例如: 

    This is an example banner for the RHEL web console login page.

    您不能在文件中包含任何宏,但您可以使用换行符和 ASCII 工件。

  3. 保存该文件。

  4. 在您首选的文本编辑器中打开 /etc/cockpit/ 目录中的 cockpit.conf 文件,例如: 

    # vi /etc/cockpit/cockpit.conf

  5. 在文件中添加以下文本: 

    [Session]
Banner=/etc/issue.cockpit
  6. 保存该文件。

  7. 重启 Web 控制台以使更改生效。 

    # systemctl try-restart cockpit

验证

  • 再次打开 Web 控制台登录屏幕,来验证横幅现在是否可见:

    横幅示例

1.9. 在 web 控制台中配置自动闲置锁定
复制链接

您可以通过 web 控制台界面启用自动空闲锁定并为您的系统设置空闲超时。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。

流程

  1. 在您首选的文本编辑器中打开 /etc/cockpit/ 目录中的 cockpit.conf 文件,例如: 

    # vi /etc/cockpit/cockpit.conf

  2. 在文件中添加以下文本: 

    [Session]
IdleTimeout=<X>

    <X> 替换为您选择的时间段(以分钟为单位)。

  3. 保存该文件。

  4. 重启 Web 控制台以使更改生效。 

    # systemctl try-restart cockpit

验证

  • 检查在设定的时间后,用户是否会退出系统。

1.10. 更改 Web 控制台侦听端口
复制链接

默认情况下,RHEL web 控制台通过 TCP 端口 9090 进行通信。您可以通过覆盖默认套接字设置来更改端口号。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • 您有 root 特权或权限来使用 sudo 输入管理命令的命令。
  • firewalld 服务在运行。

流程

  1. 选择一个未占用的端口,例如 < 4488/tcp& gt;,并指示 SELinux 允许 cockpit 服务绑定到该端口: 

    # semanage port -a -t websm_port_t -p tcp <4488>

    请注意,一个端口一次只能由一个服务使用,因此尝试使用已占用的端口会出现 ValueError: Port already defined 错误消息。

  2. 打开新端口并关闭防火墙中的前一个端口: 

    # firewall-cmd --service cockpit --permanent --add-port=<4488>/tcp
# firewall-cmd --service cockpit --permanent --remove-port=9090/tcp

  3. cockpit.socket 服务创建一个覆盖文件: 

    # systemctl edit cockpit.socket

  4. 在以下编辑器屏幕中,其打开了位于 /etc/systemd/system/cockpit.socket.d/ 目录中的一个空 override.conf 文件,通过添加以下行将 web 控制台的默认端口从 9090 改为之前选择的号码: 

    [Socket]
ListenStream=
ListenStream=<4488>

    请注意,第一个带有空值的 ListenStream= 指令是有意进行的。您可以在单个套接字单元中声明多个 ListenStream 指令,并且 drop-in 文件中的空值会重置列表,并从原始单元禁用默认端口 9090。

    重要

    在以 # anything 开头的行之间插入前面的代码片段,在此和 以下的 # Lines 之间插入。否则,系统会丢弃您的更改。

  5. Ctrl+OEnter 保存更改。按 Ctrl+X 退出编辑器。

  6. 重新载入更改的配置: 

    # systemctl daemon-reload

  7. 检查您的配置是否正常工作: 

    # systemctl show cockpit.socket -p Listen
Listen=[::]:4488 (Stream)

  8. 重启 cockpit.socket

    # systemctl restart cockpit.socket

验证

  • 打开 Web 浏览器,并在更新的端口上访问 Web 控制台,例如: 

    https://machine1.example.com:4488

使用 cockpit RHEL 系统角色,您可以在多个 RHEL 系统上自动部署和启用 Web 控制台。

2.1. 使用 cockpit RHEL 系统角色安装 Web 控制台
复制链接

您可以使用 cockpit 系统角色在多个系统上自动安装和启用 RHEL web 控制台。

您可以使用 cockpit 系统角色来:

  • 安装 RHEL web 控制台。
  • 允许 firewalldselinux 系统角色配置系统来打开新端口。
  • 将 web 控制台设置为使用 ipa trusted 证书颁发机构的证书,而不使用自签名证书。
注意

您不必在 playbook 中调用 firewallcertificate 系统角色来管理防火墙或创建证书。cockpit 系统角色根据需要自动调用它们。

先决条件

流程

  1. 创建包含以下内容的 playbook 文件,如 ~/playbook.yml

    ---
- name: Manage the RHEL web console
  hosts: managed-node-01.example.com
  tasks:
    - name: Install RHEL web console
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.cockpit
      vars:
        cockpit_packages: default
        cockpit_manage_selinux: true
        cockpit_manage_firewall: true
        cockpit_certificates:
          - name: /etc/cockpit/ws-certs.d/01-certificate
            dns: ['localhost', 'www.example.com']
            ca: ipa

    示例 playbook 中指定的设置包括以下内容:

    cockpit_manage_selinux: true
    允许使用 selinux 系统角色配置 SELinux,以在 websm_port_t SELinux 类型上设置正确的端口权限。
    cockpit_manage_firewall: true
    允许 cockpit 系统角色使用 firewalld 系统角色来添加端口。
    cockpit_certificates: <YAML_dictionary>

    默认情况下,RHEL web 控制台使用自签名证书。或者,您可以将 cockpit_certificates 变量添加到 playbook 中,并将角色配置为从 IdM 证书颁发机构(CA)请求证书,或使用受管节点上的现有证书和私钥。

    有关 playbook 中使用的所有变量的详情,请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.cockpit/README.md 文件。

  2. 验证 playbook 语法: 

    $ ansible-playbook --syntax-check ~/playbook.yml

    请注意,这个命令只验证语法,不会防止错误但有效的配置。

  3. 运行 playbook: 

    $ ansible-playbook ~/playbook.yml

根据您要如何使用 Red Hat Enterprise Linux 系统,您可以在 web 控制台中添加额外的 可用 应用程序,或根据您的用例创建自定义页面。

3.1. RHEL web 控制台的附加组件
复制链接

虽然 cockpit 软件包是 Red Hat Enterprise Linux 的一部分,但您可以使用以下命令按需安装附加应用程序: 

# yum install <add-on>

在上一命令中,将 <add-on> 替换为 RHEL web 控制台的可用附加组件应用程序列表中的一个软件包名称。

Expand
功能名称软件包名称使用

Composer

cockpit-composer

构建自定义操作系统镜像

Machines

cockpit-machines

管理 libvirt 虚拟机

PackageKit

cockpit-packagekit

软件更新和应用程序安装(通常会被默认安装)

PCP

cockpit-pcp

具有持久性和更精细的性能数据(根据 UI 的要求安装)

Podman

cockpit-podman

管理容器 并管理容器镜像 (可从 RHEL 8.1 中获得)

Session Recording

cockpit-session-recording

记录和管理用户会话

存储

cockpit-storaged

通过 udisks 管理存储

3.2. 在 web 控制台中创建新页面
复制链接

如果要在 Red Hat Enterprise Linux web 控制台中添加自定义功能,您必须添加包含用于运行所需功能页面的 HTML 和 JavaScript 文件的软件包目录。

有关添加自定义页面的详细信息,请参阅 Cockpit 项目 网站上的 为 Cockpit 用户界面创建插件

3.3. 覆盖 web 控制台中的清单设置
复制链接

您可以为特定用户以及系统的所有用户修改 Web 控制台的菜单。在 cockpit 项目中,软件包名称是一个目录名称。软件包包含 manifest.json 文件以及其他文件。默认设置存在于 manifest.json 文件中。您可以通过在指定位置为指定的用户创建一个 <package-name>.override.json 文件来覆盖默认的 cockpit 菜单设置。

先决条件

流程

  1. 在您选择的文本编辑器中覆盖 <systemd>.override.json 文件中的清单设置,例如:

    1. 要为所有用户进行编辑,请输入: 

      # vi /etc/cockpit/<systemd>.override.json

    2. 要为单个用户进行编辑,请输入: 

      # vi ~/.config/cockpit/<systemd>.override.json

  2. 使用以下详情编辑所需的文件: 

    {
  "menu": {
  "services": null,
  "logs": {
      "order": -1
  }
 }
}
    • null 值隐藏了 services 选项卡
    • -1 值将 logs 选项卡移到第一个位置。

  3. 重启 cockpit 服务: 

    # systemctl restart cockpit.service

第 4 章 在 web 控制台中管理订阅
复制链接

您可以在 Red Hat Enterprise Linux 8 web 控制台中管理您的红帽产品订阅。

先决条件

4.1. Web 控制台中的订阅管理
复制链接

RHEL 8 web 控制台为使用在本地系统中安装的红帽订阅管理器提供了一个界面。

Subscription Manager 连接到 红帽客户门户网站 并验证可用:

  • 活跃订阅
  • 过期的订阅
  • 续订的订阅

如果要续订订阅或在红帽客户门户网站中获得不同的订阅,您不必手动更新订阅管理器数据。

Subscription Manager 会自动将数据与红帽客户门户网站同步。

4.2. 使用 Web 控制台注册系统
复制链接

订阅覆盖了在 Red Hat Enterprise Linux 中安装的产品,包括操作系统本身。如果您还没有注册系统,则无法访问 RHEL 软件仓库。您无法安装软件更新,如安全、错误修复。即使您有自助支持订阅,它也授予对红帽知识库门户的访问权限,而更多资源在缺少订阅时仍不可用。您可以在 Red Hat Enterprise Linux web 控制台中使用您的帐户凭证注册新安装的 Red Hat Enterprise Linux。

先决条件

  • 您有一个有效的 RHEL 系统订阅。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 页面的 Health 字段中,点击 Not registered 警告,或者点击主菜单中的 Subscriptions 来进入页面。
  3. Overview 字段中,点 Register

  4. 注册系统 对话框中,选择注册方法。

    可选:输入您的机构名称或 ID。如果您的帐户属于红帽客户门户网站中的多个机构,您必须添加机构名称或 ID。要获得机构 ID,请在红帽与您的大客户经理联系。

  5. 如果您不想将您的系统连接到 Red Hat Lightspeed,请清除 Insights 复选框。
  6. Register

验证

4.3. 在 web 控制台中使用激活码注册订阅
复制链接

您可以在 RHEL web 控制台中使用激活码注册新安装的 Red Hat Enterprise Linux。

先决条件

  • 红帽产品订阅的激活码。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 页面的 Health 字段中,点击 Not registered 警告,或者点击主菜单中的 Subscriptions 来进入带有您的订阅信息的页面。

    健康状态 - 未注册

    .

  3. Overview 字段中,点 Register
  4. Register system 对话框中,选择 Activation key 以使用激活码进行注册。
  5. 输入您的密钥或密钥。

  6. 输入您的机构名称或 ID。

    要获得机构 ID,请联系您的红帽联系点。

    • 如果您不想将您的系统连接到 Red Hat Lightspeed,请清除 Insights 复选框。
  7. Register

第 5 章 在 web 控制台中管理远程系统
复制链接

您可以连接到远程系统,并在 RHEL 8 web 控制台中管理它们。

5.1. Web 控制台中的远程系统管理器
复制链接

为了安全起见,请使用以下由 Web 控制台管理的远程系统的网络设置:

  • 将一个系统配置为堡垒主机。堡垒主机是带有打开 HTTPS 端口的系统。
  • 所有其他系统通过 SSH 进行通信。

使用在堡垒主机上运行的 Web 界面,您可以通过 SSH 协议访问所有其他系统。

Topology of systems managed by the web console

您可以直接从 RHEL web 控制台的登录页面通过 SSH 协议连接到远程系统。远程登录后,您可以在 web 控制台的图形界面中使用加密连接流量管理远程系统。

先决条件

  • 已安装 RHEL 8 web 控制台。

    具体步骤请参阅安装并启用 Web 控制台

  • cockpit-system 软件包已安装在远程系统上。
  • sshd 服务在远程系统上运行,且防火墙中允许相应的端口。

流程

  1. 打开 Web 控制台登录页面。
  2. User name 字段中输入远程主机上的用户名。
  3. 单击 Other options 以显示 Connect to 文本字段。
  4. Connect to 文本字段中,指定要使用 SSH 连接到的远程主机。如果没有指定任何端口,Web 控制台会尝试连接到指定远程主机上的端口 22。
  5. 登录

5.3. 在 web 控制台中添加远程主机
复制链接

登录到 RHEL web 控制台时,您可以通过 Overview 页面左上角的主机切换器在本地系统和多个远程主机间切换。在将凭证添加到主机切换器后,您可以连接并管理远程系统。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 在 RHEL web 控制台中,点 Overview 页面左上角的 &lt;username> @ <hostname >。

    username@hostname 下拉菜单
  3. 在下拉菜单中,单击 Add new host
  4. Add new host 对话框中,指定要添加的主机。

  5. 可选:为您要连接的帐户添加用户名。

    您可以使用远程系统的任意用户帐户。但是,如果您使用没有管理特权的用户凭证,则无法执行管理任务。

    如果您使用与本地系统相同的凭证,Web 控制台会在您登录时都自动验证远程系统。

    重要

    Web 控制台不保存用来登录到远程系统的密码。

  6. 可选:点击 Color 字段更改系统颜色。
  7. Add

验证

  • 新主机列在 < username&gt; @ &lt;hostname > 下拉菜单中

5.4. 为新主机启用 SSH 登录
复制链接

将新主机添加到 web 控制台时,您也可以使用 SSH 密钥登录到主机。如果您的系统中已有 SSH 密钥,Web 控制台将使用现有的密钥;否则,Web 控制台可以创建密钥。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. 在 RHEL web 控制台中,点 Overview 页面左上角的 <username>@<hostname>

    username@hostname 下拉菜单
  3. 在下拉菜单中,单击 Add new host
  4. Add new host 对话框中,指定要添加的主机。如果您第一次连接到主机,您必须单击以下对话框中的 Trust and add new host

  5. 密码对话框因主机上 SSH 密钥文件的存在而有所不同:

    1. 如果您已有主机的 SSH 密钥,请选择 Authorize SSH key 选项。
    2. 如果您没有 SSH 密钥,请选择 Create a new SSH key and authorize it 选项。Web 控制台创建密钥。
  6. 添加并确认 SSH 密钥的密码。
  7. 登录

验证

  1. 注销。
  2. 重新登录。
  3. Not connected to host 屏幕中点 Log in
  4. 选择 SSH 密钥 作为您的身份验证选项。
  5. 输入您的密钥密码。
  6. 登录

在 RHEL web 控制台中登录到用户帐户后,您可以使用 SSH 协议连接到远程机器。您可以使用受限委托功能来使用 SSH,而无需再次进行身份验证。

在示例流程中,web 控制台会话在 myhost.idm.example.com 主机上运行,并将控制台配置为代表经过身份验证的用户使用 SSH 访问 remote.idm.example.com 主机。

先决条件

  • 您已在 myhost.idm.example.com 上获得了一个 IdM admin 票据授予票据(TGT)。
  • 您有访问 remote.idm.example.comroot 权限。
  • 运行 Web 控制台的主机是 IdM 域的成员

流程

  1. Terminal 页面中,验证 web 控制台是否已在用户会话中为 User to Proxy (S4U2proxy) Kerberos 票据创建了一个服务: 

    $ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

  2. 创建委派规则可访问的目标主机列表:

    1. 创建服务委托目标: 

      $ ipa servicedelegationtarget-add cockpit-target

    2. 将目标主机添加到委派目标: 

      $ ipa servicedelegationtarget-add-member cockpit-target \
  --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM

  3. 通过创建服务委派规则并将 HTTP 服务 Kerberos 主体添加到其中,允许 cockpit 会话访问目标主机列表:

    1. 创建服务委派规则: 

      $ ipa servicedelegationrule-add cockpit-delegation

    2. 将 Web 控制台客户端添加到委派规则中: 

      $ ipa servicedelegationrule-add-member cockpit-delegation \
  --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

    3. 将委派目标添加到委派规则中: 

      $ ipa servicedelegationrule-add-target cockpit-delegation \
  --servicedelegationtargets=cockpit-target

  4. remote.idm.example.com 主机上启用 Kerberos 身份验证:

    1. root 身份通过 SSH 连接到 remote.idm.example.com
    2. GSSAPIAuthentication yes 设置添加到 /etc/ssh/sshd_config 文件中。

  5. remote.idm.example.com 上重启 sshd 服务,以便更改生效: 

    $ systemctl try-restart sshd.service

在 RHEL web 控制台中登录到用户帐户后,您可以使用 SSH 协议连接到远程机器。您可以使用 servicedelegationruleservicedelegationtarget Ansible 模块为受限委托功能配置 Web 控制台,这将启用 SSH 连接,而无需再次进行身份验证。

在示例流程中,web 控制台会话在 myhost.idm.example.com 主机上运行,并将它配置为代表经过身份验证的用户使用 SSH 访问 remote.idm.example.com 主机。

先决条件

  • 您已在 myhost.idm.example.com 上获得了一个 IdM admin 票据授予票据(TGT)。
  • 您有访问 remote.idm.example.comroot 权限。
  • 运行 Web 控制台的主机是 IdM 域的成员

  • 您已配置了 Ansible 控制节点以满足以下要求:

    • 您已安装 ansible-freeipa 软件包。
    • 您使用 Ansible 版本 2.13 或更高版本。
    • 示例假设您在 ~/MyPlaybooks/ 目录中创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
    • 示例假定 secret.yml Ansible vault 将 admin 密码存储在 ipaadmin_password 变量中。
  • 目标节点(即运行 ansible-freeipa 模块的节点)作为 IdM 客户端、服务器或副本,是 IdM 域的一部分。

流程

  1. Terminal 页面中,验证 web 控制台是否已在用户会话中创建了一个 Service for User to Proxy (S4U2proxy) Kerberos 票据: 

    $ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM

  2. 进入您的 ~/MyPlaybooks/ 目录: 

    $ cd ~/MyPlaybooks/

  3. 创建包含以下内容的 web-console-smart-card-ssh.yml playbook:

    1. 创建确保存在委派目标的任务: 

      ---
- name: Playbook to create a constrained delegation target
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure servicedelegationtarget web-console-delegation-target is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target

    2. 添加将目标主机添加到委派目标的任务: 

        - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
      action: member

    3. 添加一个任务来确保存在委派规则: 

        - name: Ensure servicedelegationrule delegation-rule is present
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule

    4. 添加一项任务,该任务确保 Web 控制台客户端服务的 Kerberos 主体是受限委派规则的成员: 

        - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      principal: HTTP/myhost.idm.example.com
      action: member

    5. 添加一个任务,以确保 delegation 规则与 web-console-delegation-target 委派目标关联: 

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      target: web-console-delegation-target
      action: member
  4. 保存该文件。

  5. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件和清单文件的密码的文件: 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml

  6. remote.idm.example.com 上启用 Kerberos 身份验证:

    1. root 身份通过 SSH 连接到 remote.idm.example.com
    2. GSSAPIAuthentication yes 设置添加到 /etc/ssh/sshd_config 文件中。

  7. remote.idm.example.com 上重启 sshd 服务,以便更改生效: 

    $ systemctl try-restart sshd.service

使用 RHEL 8 web 控制台中的 Identity Management (IdM)提供的单点登录(SSO)身份验证有以下优点:

  • IdM 域中具有 Kerberos 票据的用户不需要提供登录凭据来访问 Web 控制台。
  • IdM 证书颁发机构(CA)发布的证书的用户不需要提供登录凭证来访问 Web 控制台。Web 控制台服务器自动切换到 IdM 证书颁发机构发布的证书,并被浏览器接受。不需要证书配置。

配置用于登录到 RHEL web 控制台的 SSO 需要:

  1. 使用 RHEL 8 web 控制台将机器添加到 IdM 域中。
  2. 如果要使用 Kerberos 进行身份验证,您必须在机器上获得 Kerberos 票据。
  3. 允许 IdM 服务器上的管理员在任何主机上运行任何命令。

先决条件

  • RHEL web 控制台服务安装在 RHEL 8 系统中。

    详情请参阅安装 Web 控制台

  • IdM 客户端安装在运行 RHEL web 控制台服务的系统中。

    详情请查看 IdM 客户端安装

6.1. 使用 Kerberos 身份验证登录到 web 控制台
复制链接

作为身份管理(IdM)用户,您可以使用单点登录(SSO)身份验证来在浏览器中自动访问 RHEL web 控制台。

重要

使用 SSO 时,通常在 Web 控制台中拥有任何管理特权。这只有在您配置免密码 sudo 时有效。Web 控制台不以交互方式询问 sudo 密码。

先决条件

  • IdM 域可由 DNS 解析。例如,Kerberos 服务器的 SRV 记录可以被解析: 

    $ host -t SRV _kerberos._udp.idm.example.com
_kerberos._udp.idm.example.com has SRV record 0 100 88 dc.idm.example.com

    如果您运行浏览器的系统是一个 RHEL 8 系统,并 加入到 IdM 域,则您使用与 web 控制台服务器相同的 DNS,且不需要 DNS 配置。

  • 您已为 SSO 身份验证配置了 Web 控制台服务器。
  • 运行 Web 控制台服务的主机是一个 IdM 客户端。
  • 您已为 SSO 身份验证配置了 Web 控制台客户端。

流程

  1. 获取您的 Kerberos 票据授予票据: 

    $ kinit idmuser@IDM.EXAMPLE.COM
Password for idmuser@IDM.EXAMPLE.COM:

  2. 输入运行 Web 控制台服务的主机的完全限定名称: 

    https://<dns_name>:9090

后续步骤

您可以使用 Web 控制台将 Red Hat Enterprise Linux 8 系统添加到 Identity Management (IdM)域中。

先决条件

  • IdM 域正在运行,并可访问您想要加入的客户端。
  • 您有 IdM 域管理员凭证。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Overview 选项卡的 Configuration 字段中点 Join Domain
  3. Join a Domain 对话框的 Domain Address 字段中输入 IdM 服务器的主机名。
  4. Domain administrator name 字段中输入 IdM 管理帐户的用户名。
  5. 在域 管理员密码 中,添加密码。
  6. Join

验证

  1. 如果 RHEL 8 web 控制台没有显示错误,该系统就被加入到 IdM 域,您可以在 系统 屏幕中看到域名。

  2. 要验证该用户是否为域的成员,点 Terminal 页面并输入 id 命令: 

    $ id
euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

您可以在 RHEL web 控制台中为集中管理的用户配置智能卡验证:

  • 身份管理
  • Active Directory,它在 Identity Management 的跨林信任中连接
重要

智能卡验证还没有提高管理权限,Web 控制台会在 web 浏览器中以只读模式打开。

您可以使用 sudo 在内置终端中运行管理命令。

先决条件

7.1. 实现中央管理用户的智能卡验证
复制链接

智能卡是一个物理设备,可以使用保存在卡中的证书提供个人验证。个人验证意味着,您可以象使用用户密码一样使用智能卡。

您可以使用私钥和证书的形式在智能卡中保存用户凭证。特殊的软件和硬件可用于访问它们。您可以将智能卡插入到读取器或者 USB 套接字中,并为智能卡提供 PIN 代码,而不是提供密码。

身份管理(IdM)支持使用如下方式的智能卡身份验证:

注意

如果要开始使用智能卡验证,请参阅RHEL8+ 中的硬件要求:智能卡支持

7.2. 安装用来管理和使用智能卡的工具
复制链接

在配置智能卡前,您必须安装可以生成证书并启动 pscd 服务的对应工具。

先决条件

  • 您有 root 权限。

流程

  1. 安装 openscgnutls-utils 软件包: 

    # yum -y install opensc gnutls-utils

  2. 启动 pcscd 服务。 

    # systemctl start pcscd

验证

  • 验证 pcscd 服务是否正在运行: 

    # systemctl status pcscd

7.3. 准备智能卡并将证书和密钥上传到智能卡
复制链接

按照以下流程,使用 pkcs15-init 工具配置智能卡,该工具帮助您配置:

  • 擦除智能卡
  • 设置新的 PIN 和可选的 PIN Unblocking Keys(PUKs)
  • 在智能卡上创建新插槽
  • 在插槽存储证书、私钥和公钥
  • 如果需要,请锁定智能卡设置,因为某些智能卡需要这个类型的最终化

pkcs15-init 工具可能无法使用所有智能卡。您必须使用您使用智能卡的工具。

先决条件

  • 已安装 opensc 软件包,其中包括 pkcs15-init 工具。

    如需了解更多详细信息,请参阅 安装用于管理和使用智能卡的工具

  • 该卡插入读卡器并连接到计算机。
  • 您有一个私钥、公钥和证书,用于存储在智能卡中。在此流程中,testuser.keytestuserpublic.keytestuser.crt 是用于私钥、公钥和证书的名称。
  • 您有当前的智能卡用户 PIN 和 Security Officer PIN (SO-PIN)。

流程

  1. 擦除智能卡并使用您的 PIN 验证自己: 

    $ pkcs15-init --erase-card --use-default-transport-keys
Using reader with a card: Reader name
PIN [Security Officer PIN] required.
Please enter PIN [Security Officer PIN]:

    这个卡已经被清除。

  2. 初始化智能卡,设置您的用户 PIN 和 PUK,以及您的安全响应 PIN 和 PUK: 

    $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
    --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
Using reader with a card: Reader name

    pcks15-init 工具在智能卡上创建一个新插槽。

  3. 为插槽设置标签和验证 ID: 

    $ pkcs15-init --store-pin --label testuser \
    --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
Using reader with a card: Reader name

    标签设置为人类可读的值,在本例中为 testuserauth-id 必须是两个十六进制值,在本例中设为 01

  4. 在智能卡的新插槽中存储并标记私钥: 

    $ pkcs15-init --store-private-key testuser.key --label testuser_key \
    --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    注意

    在存储您的私钥并将证书存储在下一步中时,您为 --id 指定的值必须相同。建议为 --id 指定自己的值,否则它们将更复杂的值由工具计算。

  5. 在智能卡上的新插槽中存储并标记该证书: 

    $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
    --auth-id 01 --id 01 --format pem --pin 963214
Using reader with a card: Reader name

  6. 可选:在智能卡的新插槽中保存并标记公钥: 

    $ pkcs15-init --store-public-key testuserpublic.key \
    --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
Using reader with a card: Reader name
    注意

    如果公钥与私钥或证书对应,请指定与私钥或证书的 ID 相同的 ID。

  7. 可选:包含智能卡要求您通过锁定设置来完成卡: 

    $ pkcs15-init -F

    在这个阶段,您的智能卡在新创建的插槽中包含证书、私钥和公钥。您还创建了您的用户 PIN 和 PUK,以及安全响应 PIN 和 PUK。

7.4. 为 web 控制台启用智能卡验证
复制链接

要在 web 控制台中使用智能卡验证,请在 cockpit.conf 文件中启用这个验证方法。

另外,您还可以在同一文件中禁用密码验证。

先决条件

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

  2. Terminal

  3. /etc/cockpit/cockpit.conf 中,将 ClientCertAuthentication 设置为 yes

    [WebService]
ClientCertAuthentication = yes

  4. 可选:使用以下命令禁用 cockpit.conf 中基于密码的身份验证: 

    [Basic]
action = none

    这个配置禁用了密码验证,且必须总是使用智能卡。

  5. 重启 Web 控制台,以确保 cockpit.service 接受更改: 

    # systemctl restart cockpit

7.5. 使用智能卡登录到 web 控制台
复制链接

您可以使用智能卡登录到 web 控制台。

先决条件

  • 保存在智能卡中的有效证书,该证书与 Active Directory 或 Identity Management 域中的用户帐户关联。
  • PIN 用于解锁智能卡。
  • 已经将智能卡放入读卡器。

流程

  1. 登录到 RHEL 8 web 控制台。

    详情请参阅 登录到 web 控制台

    浏览器要求您添加 PIN 保护保存在智能卡中的证书。

  2. Password Required 对话框中,输入 PIN 并点 OK
  3. User Identification Request 对话框中,选择保存在智能卡中的证书。

  4. 选择 Remember this decision

    系统下次打开这个窗口。

    注意

    此步骤不适用于 Google Chrome 用户。

  5. 点击 OK

您现在已连接,Web 控制台会显示其内容。

7.6. 限制用户会话和内存以防止 DoS 攻击
复制链接

证书验证通过分离和隔离 cockpit-ws Web 服务器的实例来保护,使其免受希望模拟其他用户的攻击者。但是,这可能会引入潜在的拒绝服务(DoS)攻击:远程攻击者可以创建大量证书,并将大量 HTTPS 请求发送到 cockpit-ws 各自使用不同的证书。

为防止此类 DoS 攻击,这些 Web 服务器实例的收集资源有限。默认情况下,连接和内存用量的限制设置为 200 个线程,75 % (软)或 90 %(硬)内存限值。

示例流程通过限制连接和内存数量来演示资源保护。

流程

  1. 在终端中,打开 system-cockpithttps.slice 配置文件: 

    # systemctl edit system-cockpithttps.slice

  2. TasksMax 限制为 100,将 CPUQuota 限制为 30%

    [Slice]
# change existing value
TasksMax=100
# add new restriction
CPUQuota=30%

  3. 要应用这些更改,请重启系统: 

    # systemctl daemon-reload
# systemctl stop cockpit

现在,新内存和用户会话降低了在 cockpit-ws Web 服务器上 DoS 攻击的风险。

在 Red Hat Satellite 服务器上启用 RHEL web 控制台集成后,您可以在 web 控制台中大规模管理多个主机。

Red Hat Satellite 是一个系统管理解决方案,可在物理、虚拟和云环境中部署、配置和维护您的系统。Satellite 使用集中工具提供对多个 Red Hat Enterprise Linux 部署的配置、远程管理和监控。

默认情况下,RHEL web 控制台集成在 Red Hat Satellite 中被禁用。要从 Red Hat Satellite 中访问主机的 RHEL web 控制台功能,您必须首先在 Red Hat Satellite 服务器上启用 RHEL web 控制台集成。

要在 Satellite 服务器上启用 RHEL web 控制台,请以 root 用户身份输入以下命令: 

# satellite-installer --enable-foreman-plugin-remote-execution-cockpit --reset-foreman-plugin-remote-execution-cockpit-ensure
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

Legal Notice

Theme

© 2026 Red Hat返回顶部