Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

5.2. 使用红帽身份管理

本节介绍如何将卫星服务器与红帽身份管理服务器集成,以及如何启用基于主机的访问控制。

注意

您可以将红帽身份管理作为外部身份验证源附加,且无单点登录支持。更多信息请参阅 第 5.1 节 “使用 LDAP”

重要

用户不能同时使用 Red Hat Identity Management 和 LDAP 作为身份验证方法。用户使用某种方法进行身份验证后,他们无法使用其他方法。

要更改用户的身份验证方法,您必须从 Satellite 中删除自动创建的用户。

前提条件

  • Satellite 服务器的基本操作系统必须由机构的 Red Hat Identity Management 管理员注册到 Red Hat Identity Management 域中。

本章中的示例假定红帽身份管理和 Satellite 配置之间的区别。但是,如果您有两个服务器的管理员特权,您可以配置红帽身份管理,如 Red Hat Enterprise Linux 8 安装身份管理指南 中所述。

在 Satellite CLI 中,首先在 Red Hat Identity Management 服务器上创建主机条目来配置红帽身份管理身份验证。

流程

  1. 在 Red Hat Identity Management 服务器中,要进行身份验证,请输入以下命令并在系统提示时输入密码: 

    # kinit admin

  2. 要验证您是否已通过身份验证,请输入以下命令: 

    # klist

  3. 在 Red Hat Identity Management 服务器上,为 Satellite 服务器创建一个主机条目并生成一次性密码,例如: 

    # ipa host-add --random hostname
    注意

    生成的一次性密码必须在客户端上用于完成 Red Hat Identity Management-enrollment。

    有关主机配置属性的更多信息,请参阅 配置和管理身份管理 中的 IdM LDAP 中的主机条目

  4. 为 Satellite 服务器创建 HTTP 服务,例如: 

    # ipa service-add HTTP/hostname

    有关管理服务的更多信息,请参阅 Red Hat Enterprise Linux 8 访问身份管理服务指南

  5. 在 Satellite 服务器中,安装 IPA 客户端:

    警告

    此命令可能会在安装软件包期间重启 Satellite 服务。有关在 Satellite 上 安装和更新软件包的更多信息,请参阅管理 Red Hat Satellite 中的 Base Operating System 或 Capsule Server 中的软件包

    # satellite-maintain packages install ipa-client

  6. 在 Satellite 服务器中,以 root 用户身份输入以下命令来配置 Red Hat Identity Management-enrollment: 

    # ipa-client-install --password OTP

    OTP 替换为红帽身份管理管理员提供的一次性密码。

  7. 如果 Satellite 服务器在 Red Hat Enterprise Linux 7 上运行,请执行以下命令: 

    # subscription-manager repos --enable rhel-7-server-optional-rpms

    安装程序依赖于 Red Hat Enterprise Linux 7 上的软件包,它们位于可选的存储库 rhel-7-server-optional-rpms 中。

  8. 使用以下命令,将 foreman-ipa-authentication 设置为 true : 

    # satellite-installer --foreman-ipa-authentication=true

  9. 重启 Satellite 服务: 

    # satellite-maintain service restart

外部用户现在可以使用其 Red Hat Identity Management 凭据登录 Satellite。现在,他们可以选择直接使用其用户名和密码登录卫星服务器,或者利用配置的 Kerberos 单点登录并在客户端计算机上获取票据并自动登录。也支持使用一次性密码(2FA OTP)进行双因素身份验证。如果红帽身份管理中的用户配置了 2FA,并且卫星服务器在 Red Hat Enterprise Linux 7 上运行,则此用户也可以使用 OTP 向 Satellite 进行身份验证。

5.2.2. 配置基于主机的身份验证控制
复制链接

HBAC 规则定义允许 Red Hat Identity Management 用户访问哪些机器。您可以在 Red Hat Identity Management 服务器上配置 HBAC,以防止所选用户访问卫星服务器。使用此方法时,您可以防止 Satellite 为不允许登录的用户创建数据库条目。有关 HBAC 的更多信息,请参阅管理 IdM 用户、组、主机和访问控制规则指南

在 Red Hat Identity Management 服务器上,配置基于主机的身份验证控制(HBAC)。

流程

  1. 在 Red Hat Identity Management 服务器中,要进行身份验证,请输入以下命令并在系统提示时输入密码: 

    # kinit admin

  2. 要验证您是否已通过身份验证,请输入以下命令: 

    # klist

  3. 在红帽身份管理服务器上创建 HBAC 服务及规则,并将它们链接在一起。以下示例使用 PAM 服务名称 satellite-prod。在 Red Hat Identity Management 服务器中执行以下命令: 

    # ipa hbacsvc-add satellite-prod
# ipa hbacrule-add allow_satellite_prod
# ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod

  4. 添加有权访问 satellite-prod 服务的用户,以及 Satellite 服务器的主机名: 

    # ipa hbacrule-add-user allow_satellite_prod --user=username
# ipa hbacrule-add-host allow_satellite_prod --hosts=satellite.example.com

    此外,也可将主机组和用户组添加到 allow_satellite_prod 规则中。

  5. 要检查规则的状态,请执行: 

    # ipa hbacrule-find satellite-prod
# ipa hbactest --user=username --host=satellite.example.com --service=satellite-prod
  6. 确保 Red Hat Identity Management 服务器上禁用了 allow_all 规则。有关如何在不中断其他服务的情况下进行此操作的说明,请参阅红帽客户门户网站中的 如何在 IdM 中配置 HBAC 规则

  7. 配置红帽身份管理与 Satellite 服务器集成,如 第 5.2.1 节 “在管理门户中配置红帽身份管理身份验证” 所述。在 Satellite 服务器中,将 PAM 服务定义为 root 用户: 

    # satellite-installer --foreman-pam-service=satellite-prod
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部