4.5. 配置 Satellite 以管理注册到身份管理域的主机的生命周期
除了提供对 Satellite 服务器的访问外,通过 Satellite 置备的主机也可以与身份管理域集成。Red Hat Satellite 有一个域功能,可自动管理注册到域或域提供程序的任何系统的生命周期。
使用本节为身份管理域支持配置 Satellite 服务器或 Capsule 服务器,然后将主机添加到 Identity Management realm 组中。
先决条件
- 注册到 Content Delivery Network 或注册到 Satellite Server 的外部胶囊服务器的 Satellite 服务器。
- 部署的域或域提供程序,如身份管理。
在 Satellite 服务器或 Capsule 服务器上安装和配置身份管理软件包:
要将身份管理用于置备的主机,请完成以下步骤,在 Satellite 服务器或 Capsule 服务器上安装和配置身份管理软件包:
在 Satellite 服务器或 Capsule 服务器中安装
ipa-client软件包:# satellite-maintain packages install ipa-client
将服务器配置为身份管理客户端:
# ipa-client-install
在身份管理中创建 realm 代理用户
realm-capsule以及相关角色:# foreman-prepare-realm admin realm-capsule
请注意,返回主体名称和身份管理服务器配置详情,因为您需要它们用于以下流程。
要为身份管理域支持配置 Satellite 服务器或 Capsule 服务器:
在 Satellite 和您要使用的每个 Capsule 上完成以下步骤:
将
/root/freeipa.keytab文件复制到您要在同一主体和域中包含的任何 Capsule 服务器:# scp /root/freeipa.keytab root@capsule.example.com:/etc/foreman-proxy/freeipa.keytab将
/root/freeipa.keytab文件移到/etc/foreman-proxy目录中,并将所有权设置设置为foreman-proxy用户:# mv /root/freeipa.keytab /etc/foreman-proxy # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
在您要包含在域中的所有 Capsule 上输入以下命令。如果您在 Satellite 上使用集成胶囊,请在 Satellite 服务器上输入以下命令:
# satellite-installer --foreman-proxy-realm true \ --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \ --foreman-proxy-realm-provider freeipa您也可以在首次配置 Satellite 服务器时使用这些选项。
确保安装了 ca-certificates 软件包的最更新版本,并信任身份管理证书颁发机构:
# cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt # update-ca-trust enable # update-ca-trust
可选:如果您在现有 Satellite 服务器或 Capsule 服务器上配置身份管理,请完成以下步骤以确保配置更改生效:
重启 foreman-proxy 服务:
# systemctl restart foreman-proxy
- 在 Satellite Web UI 中,进入到 Infrastructure > Capsules。
- 找到您为身份管理配置的胶囊,并从 Actions 列中的列表中,选择 Refresh。
为启用了 Identity Management 的 Capsule 创建域
使用身份管理配置集成或外部胶囊后,您必须创建一个域,并将 Identity Management-configured Capsule 添加到域中。
流程
- 在 Satellite Web UI 中,进入到 Infrastructure > Realms,再点 Create Realm。
- 在 Name 字段中输入域的名称。
- 从 Realm Type 列表中,选择 realm 的类型。
- 从 Realm Capsule 列表中,选择您配置的身份管理的 Capsule 服务器。
- 单击 Locations 选项卡,然后从 Locations 列表中选择您要添加新域的位置。
- 单击 Organizations 选项卡,再从 Organizations 列表中选择您要添加新域的组织。
- 点 Submit。
使用域信息更新主机组
您必须更新您要与新域信息搭配使用的任何主机组。
- 在 Satellite Web UI 中,进入 Configure > Host Groups,选择您要更新的主机组,然后点击 Network 选项卡。
- 从 Realm 列表中,选择您创建的域作为此流程的一部分,然后单击 Submit。
将主机添加到身份管理主机组
身份管理支持根据系统的属性设置自动成员资格规则。Red Hat Satellite 的域功能可帮助管理员将 Red Hat Satellite 主机组映射到身份管理参数 用户类,供管理员配置自动成员。
使用嵌套式主机组时,它们将发送到身份管理服务器,因为它们显示在 Red Hat Satellite 用户界面中。例如:"Parent/Child/Child"。
Satellite 服务器或胶囊服务器将更新发送到身份管理服务器,但自动成员规则仅在初始注册时应用。
将主机添加到身份管理主机组中:
在身份管理服务器上,创建一个主机组:
# ipa hostgroup-add hostgroup_name --desc=hostgroup_description
创建自动成员规则:# ipa automember-add --type=hostgroup hostgroup_name automember_rule
其中您可以使用以下选项:
-
automember-add将组标记为自动成员组。 -
--type=hostgroup标识目标组是主机组,而不是用户组。 -
automember_rule添加您要用来识别自动成员规则的名称。
-
根据
userclass属性定义自动成员条件:# ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name ---------------------------------- Added condition(s) to "hostgroup_name" ---------------------------------- Automember Rule: automember_rule Inclusive Regex: userclass=^webserver ---------------------------- Number of conditions added 1 ----------------------------
其中您可以使用以下选项:
-
automember-add-condition添加正则表达式条件来识别组成员。 -
--key=userclass指定 key 属性作为userclass。 -
--type=hostgroup标识目标组是主机组,而不是用户组。 -
--inclusive-regex=^webserver 使用正则表达式模式标识匹配值。 - hostgroup_name - 标识目标主机组的名称。
-
当系统添加到 Satellite 服务器的 hostgroup_name 主机组时,它会自动添加到身份管理服务器的"hostgroup_name"主机组中。身份管理主机组允许基于主机的访问控制(HBAC)、sudo 策略和其他身份管理功能。
