Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

8.5. 置备主机的外部身份验证

本节演示了如何配置 IdM 集成以验证置备的主机。首先为 IdM 域支持配置 Satellite 或 Capsule 服务器,然后将主机添加到 IdM 域组中。
要将 IdM 用于置备的主机,首先配置 Red Hat Satellite 服务器或 Red Hat Satellite Capsule 服务器。

先决条件

  • Satellite 服务器注册到内容交付网络,独立的胶囊服务器已注册到 Satellite 服务器。
  • 配置了一个域或域供应商,如 Red Hat Identity Management。

过程 8.7. 为 IdM Realm 支持配置 Satellite 服务器或 Capsule 服务器:

  1. 在 Satellite 服务器或 Capsule 服务器中安装以下软件包: 
    # yum install ipa-client foreman-proxy ipa-admintools
    Copy to Clipboard Toggle word wrap
  2. 将 Satellite 服务器(或 Capsule 服务器)配置为 IdM 客户端: 
    # ipa-client-install
    Copy to Clipboard Toggle word wrap
  3. 在 Satellite 服务器或 Capsule 服务器上的 Red Hat Identity Management 中创建一个 realm-capsule 用户以及相关角色: 
    # foreman-prepare-realm admin realm-capsule
    Copy to Clipboard Toggle word wrap
    运行 foreman-prepare-realm 将准备一个 IdM 服务器,以用于胶囊服务器。它创建一个带有 Satellite 所需的权限的专用角色,创建具有该角色的用户并检索 keytab 文件。在这一步中,您将需要您的身份管理服务器配置详情。
    如果命令成功执行,您应该可以看到以下命令输出: 
    Keytab successfully retrieved and stored in: freeipa.keytab
Realm Proxy User:    realm-capsule
Realm Proxy Keytab:  /root/freeipa.keytab
    Copy to Clipboard Toggle word wrap
    注意
    要为具有相同主体和域的 IdM Realm 支持配置 Satellite 服务器和至少一个外部胶囊服务器,您必须在运行 foreman-prepare-realm 脚本后将 /root/freeipa.keytab 文件复制到所有之前加入的 Capsule 服务器。 
    # scp /root/freeipa.keytab your_username@capsule.example.com:/etc/foreman-proxy/freeipa.keytab
    Copy to Clipboard Toggle word wrap
  4. /root/freeipa.keytab 移到 /etc/foreman-proxy 目录,并将所有权设置设置为用户 foreman-proxy : 
    # mv /root/freeipa.keytab /etc/foreman-proxy
# chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
    Copy to Clipboard Toggle word wrap
  5. 根据您是否使用 Satellite 服务器或 Capsule 服务器来配置域:
    • 如果您在 Satellite 服务器中使用集成胶囊服务器,请使用 satellite-installer 配置域: 
      # satellite-installer --foreman-proxy-realm true \
--foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
--foreman-proxy-realm-principal 'realm-capsule@EXAMPLE.COM' \
--foreman-proxy-realm-provider freeipa
      Copy to Clipboard Toggle word wrap
      注意
      您也可以在首次配置 Red Hat Satellite Server 时运行这些选项。
    • 如果您使用独立的 Capsule 服务器,请使用 satellite-installer --scenario-capsule 来配置域: 
      # satellite-installer --scenario-capsule --realm true \
--realm-keytab /etc/foreman-proxy/freeipa.keytab \
--realm-principal 'realm-capsule@EXAMPLE.COM' \
--realm-provider freeipa
      Copy to Clipboard Toggle word wrap
  6. 确保安装了 ca-certificates 软件包的最更新版本,并信任 IdM 证书颁发机构: 
    # cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
# update-ca-trust enable
# update-ca-trust
    Copy to Clipboard Toggle word wrap
  7. (可选)如果您要在现有 Satellite 服务器或 Capsule 服务器中配置 IdM,应该执行以下步骤以确保配置更改生效:
    1. 重启 foreman-proxy 服务: 
      # service foreman-proxy restart
      Copy to Clipboard Toggle word wrap
    2. 登录卫星服务器,再单击 Infrastructure Capsules
    3. 单击您为 IdM 配置的胶囊服务器右侧的下拉菜单,然后选择 Refresh Features
  8. 最后,在 Satellite 服务器用户界面中创建一个新的域条目:
    1. 单击主页面右侧的 Infrastructure Realms 和,单击 New Realm
    2. 在以下子选项卡中填写字段:
      1. Realm 子选项卡上,提供 realm 名称、要使用的域的类型以及 realm 代理。
      2. Locations 子选项卡上,选择新域要使用的位置。
      3. 组织 子选项卡上,选择用于新域的组织。
    3. 单击 Submit
Satellite 服务器或 Capsule 服务器现在可以置备自动注册到 IdM 的主机。下一节将详细介绍如何自动将主机添加到 IdM 主机组中的步骤。

8.5.2. 将主机添加到 IdM 主机组中
复制链接

Red Hat Enterprise Linux 身份管理(IdM)支持根据系统的属性设置自动成员资格规则。Red Hat Satellite 的域功能可帮助管理员将 Red Hat Satellite 主机组映射到 IdM 参数"userclass",供管理员配置自动成员。
使用嵌套式主机组时,它们将发送到 IdM 服务器,因为 Red Hat Satellite 用户界面中会显示它们。例如:"Parent/Child/Child"。
注意
Satellite 服务器或 Capsule 服务器向 IdM 服务器发送更新,但自动成员规则仅在初始注册时应用。

过程 8.8. 要将主机添加到 IdM 主机组:

  1. 在 IdM 服务器上,创建一个主机组: 
    # ipa hostgroup-add hostgroup_name
Description: hostgroup_description
----------------------------
Added hostgroup "hostgroup_name"
----------------------------
Host-group: hostgroup_name
Description: hostgroup_description
    Copy to Clipboard Toggle word wrap
    其中:
    1. hostgroup_name 是主机组的名称。
    2. hostgroup_description 是主机组的描述。
  2. 创建自动成员规则: 
    # ipa automember-add --type=hostgroup automember_rule
----------------------------------
Added automember rule "automember_rule"
----------------------------------
Automember Rule: automember_rule
    Copy to Clipboard Toggle word wrap
    其中:
    1. automember-add 将组标记为自动成员组。
    2. --type=hostgroup 标识目标组是主机组,而不是用户组。
    3. automember_rule 是您要通过以下方法识别自动成员规则的名称。
  3. 根据 userclass 属性定义自动成员条件: 
    # ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name
----------------------------------
Added condition(s) to "hostgroup_name"
----------------------------------
Automember Rule: automember_rule
Inclusive Regex: userclass=^webserver
----------------------------
Number of conditions added 1
----------------------------
    Copy to Clipboard Toggle word wrap
    其中:
    1. automember-add-condition 允许您添加正则表达式条件来识别组成员。
    2. --key=userclass 将 key 属性指定为 userclass。
    3. --type=hostgroup 标识目标组是主机组,而不是用户组。
    4. --inclusive-regex=^webserver 是一个正则表达式模式,用于识别匹配值。
    5. hostgroup_name 是目标主机组的名称。
当系统添加到 Satellite 服务器的 hostgroup_name 主机组时,它现在会自动添加到身份管理服务器的"hostgroup_name"主机组中。IdM 主机组允许基于主机的访问控制(HBAC)、sudo 策略和其他 IdM 功能。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat