14.7. 置备主机的外部身份验证

1. 在 Satellite 服务器或 Capsule 服务器上安装 ipa-client 软件包：

   # satellite-maintain packages install ipa-client

   Copy to Clipboard Toggle word wrap

2. 将服务器配置为 Red Hat Identity Management 客户端：

   # ipa-client-install

   Copy to Clipboard Toggle word wrap

3. 在 Red Hat Identity Management 中创建域代理用户、realm-capsule 以及相关角色：

   # foreman-prepare-realm admin realm-capsule

   Copy to Clipboard Toggle word wrap

   请注意，返回的主体名称和 Red Hat Identity Management 服务器配置详情，因为您需要它们。

1. 将 /root/freeipa.keytab 文件复制到您要包含在同一主体和域中的任何 Capsule 服务器：

   # scp /root/freeipa.keytab root@capsule.example.com:/etc/foreman-proxy/freeipa.keytab

   Copy to Clipboard Toggle word wrap

2. 将 /root/freeipa.keytab 文件移到 /etc/foreman-proxy 目录中，并将所有权设置设置为 foreman-proxy 用户：

   # mv /root/freeipa.keytab /etc/foreman-proxy
   # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab

   Copy to Clipboard Toggle word wrap

3. 在您要包含在域中的所有 Capsule 上输入以下命令。如果您在 Satellite 上使用集成的 Capsule，请在 Satellite 服务器上输入以下命令：

   # satellite-installer --foreman-proxy-realm true \
   --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
   --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \
   --foreman-proxy-realm-provider freeipa

   Copy to Clipboard Toggle word wrap

   您也可以在首次配置 Satellite 服务器时使用这些选项。

4. 确保安装了 ca-certificates 软件包的最更新版本，并信任 Red Hat Identity Management 证书颁发机构：

   # cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   # update-ca-trust enable
   # update-ca-trust

   Copy to Clipboard Toggle word wrap

5. 可选：如果您在现有 Satellite 服务器或 Capsule 服务器上配置 Red Hat Identity Management，请完成以下步骤以确保配置更改：

   1. 重启 foreman-proxy 服务：

      # systemctl restart foreman-proxy

      Copy to Clipboard Toggle word wrap
   2. 在 Satellite Web UI 中，导航到 Infrastructure > Capsules。
   3. 找到您为红帽身份管理配置的 Capsule，并从 Actions 列中的列表，选择 Refresh。

流程

1. 在 Satellite Web UI 中，导航到 Infrastructure > Realms，再点 Create Realm。
2. 在 Name 字段中输入域的名称。
3. 从 Realm Type 列表中，选择 realm 的类型。
4. 从 Realm Capsule 列表中，选择您配置了 Red Hat Identity Management 的 Capsule 服务器。
5. 单击位置选项卡，然后从 位置 列表中选择您要添加新域的位置。
6. 点 Organizations 选项卡，从 Organizations 列表中选择您要添加新域的组织。
7. 点 Submit。

1. 在 Satellite Web UI 中，导航到 Configure > Host Groups，选择您要更新的主机组，然后点击 Network 选项卡。
2. 从 Realm 列表中，选择您创建的域，作为此流程的一部分，然后单击 Submit。

将主机添加到 Red Hat Identity Management 主机组：

1. 在 Red Hat Identity Management 服务器上，创建一个主机组：

   # ipa hostgroup-add hostgroup_name --desc=hostgroup_description

   Copy to Clipboard Toggle word wrap

2. 创建自动成员规则 ：

   # ipa automember-add --type=hostgroup hostgroup_name automember_rule

   Copy to Clipboard Toggle word wrap

   您可以使用以下选项：

   • automember-add 将组标记为自动成员组。
   • --type=hostgroup 标识目标组是主机组，而不是用户组。
   • automember_rule 添加您要用来识别自动成员规则的名称。

3. 根据 userclass 属性定义自动成员条件：

   # ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name
   ----------------------------------
   Added condition(s) to "hostgroup_name"
   ----------------------------------
   Automember Rule: automember_rule
   Inclusive Regex: userclass=^webserver
   ----------------------------
   Number of conditions added 1
   ----------------------------

   Copy to Clipboard Toggle word wrap

   您可以使用以下选项：

   • automember-add-condition 添加正则表达式条件来标识组成员。
   • --key=userclass 将 key 属性指定为 userclass。
   • --type=hostgroup 标识目标组是主机组，而不是用户组。
   • --inclusive-regex= ^webserver 使用正则表达式模式识别匹配值。
   • hostgroup_name - 标识目标主机组的名称。