13.7. Provisioned 主机的外部身份验证
使用这个部分为红帽身份管理域支持配置卫星服务器或胶囊服务器,然后将主机添加到红帽身份管理域组中。
先决条件
您需要以下设置来为置备的主机配置外部身份验证:
- 注册到 Content Delivery Network 或注册到卫星服务器的外部胶囊服务器。
- 已部署的域或域提供程序,如红帽身份管理。
要在 Red Hat Satellite Server 或 Red Hat Satellite Capsule Server 上安装和配置红帽身份管理软件包:
要使用 Red Hat Identity Management 进行置备的主机,请完成以下步骤,在 Red Hat Satellite Server 或 Red Hat Satellite Capsule Server 上安装和配置 Red Hat Identity Management 软件包:
在 Satellite 服务器或 Capsule Server 上安装
ipa-client软件包:# satellite-maintain packages install ipa-client
将服务器配置为 Red Hat Identity Management 客户端:
# ipa-client-install
在 Red Hat Identity Management 中创建 realm 代理用户、
realm-capsule以及相关的角色:# foreman-prepare-realm admin realm-capsule
请注意返回和您的 Red Hat Identity Management 服务器配置详情的主体名称,因为您需要以下过程。
为红帽身份管理域配置 Satellite 服务器或胶囊服务器:
在 Satellite 上完成以下步骤以及您要使用的每个胶囊:
将
/root/freeipa.keytab文件复制到您要在同一主体和域中包含的任何胶囊服务器:# scp /root/freeipa.keytab root@capsule.example.com:/etc/foreman-proxy/freeipa.keytab将
/root/freeipa.keytab文件移到/etc/foreman-proxy目录,并将所有权设置设置为foreman-proxy用户:# mv /root/freeipa.keytab /etc/foreman-proxy # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
在域中包含的所有胶囊上输入以下命令。如果您在 Satellite 上使用集成胶囊,请在卫星服务器上输入以下命令:
# satellite-installer --foreman-proxy-realm true \ --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \ --foreman-proxy-realm-provider freeipa在首次配置红帽卫星服务器时,也可以使用这些选项。
确保安装了 ca-certificates 软件包的最新版本,并信任 Red Hat Identity Management 证书颁发机构:
# cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt # update-ca-trust enable # update-ca-trust
可选:如果您在现有 Satellite 服务器或胶囊服务器上配置红帽身份管理,请完成以下步骤以确保配置更改生效:
重启 foreman-proxy 服务:
# systemctl restart foreman-proxy
- 在 Satellite Web UI 中,导航到 Infrastructure > Capsules。
- 找到您为红帽身份管理配置的胶囊,并从 Actions 列中的列表中选择 Refresh。
要为启用了红帽身份管理胶囊创建域
在使用红帽身份管理配置集成或外部胶囊后,您必须创建一个域,并将红帽身份管理配置胶囊添加到域中。
要创建域,请完成以下步骤:
- 在 Satellite Web UI 中,导航到 Infrastructure > Realms,再点击 Create Realm。
- 在 Name 字段中输入域的名称。
- 从 Realm Type 列表中,选择 realm 的类型。
- 在 Realm Capsule 列表中,选择您配置 Red Hat Identity Management 的 Capsule Server。
- 单击位置选项卡,从 位置 列表中选择要添加新域的位置。
- 单击 Organizations 选项卡,再从 Organizations 列表中选择要添加新域的组织。
- 点 Submit。
使用 Realm Information 更新主机组
您必须更新要与新域信息搭配使用的任何主机组。
- 进入 Configure > Host Groups,选择您要更新的主机组,然后点击 Network 选项卡。
- 在 Realm 列表中,选择您创建的域作为此流程的一部分,然后单击 Submit。
将主机添加到红帽身份管理主机组
Red Hat Identity Management 支持根据系统的属性设置自动成员资格规则。红帽卫星的域功能为管理员提供了将红帽卫星主机组映射到红帽身份管理参数 用户类 的功能,让管理员能够配置自动成员。
当使用嵌套式主机组时,它们将发送到红帽身份管理服务器,就像在 Red Hat Satellite 用户界面中显示一样。例如:"Parent/Child/Child"。
卫星服务器或胶囊服务器会向红帽身份管理服务器发送更新,但自动成员规则仅在初始注册时应用。
要将主机添加到红帽身份管理主机组中:
在 Red Hat Identity Management 服务器中创建一个主机组:
# ipa hostgroup-add hostgroup_name --desc=hostgroup_description
创建
自动成员规则:# ipa automember-add --type=hostgroup hostgroup_name automember_rule
您可以使用以下选项:
-
automember-add将组标记为 automember 组。 -
--type=hostgroup确定目标组是主机组,而不是用户组。 -
automember_rule会添加您要识别自动成员规则的名称。
-
根据
userclass属性定义自动成员条件:# ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name ---------------------------------- Added condition(s) to "hostgroup_name" ---------------------------------- Automember Rule: automember_rule Inclusive Regex: userclass=^webserver ---------------------------- Number of conditions added 1 ----------------------------
您可以使用以下选项:
-
automember-add-condition添加正则表达式条件来识别组成员。 -
--key=userclass将 key 属性指定为userclass。 -
--type=hostgroup确定目标组是主机组,而不是用户组。 -
--inclusive-regex=^webserver 使用正则表达式模式匹配值。 - hostgroup_name - 标识目标主机组的名称。
-
当系统添加到卫星服务器的 hostgroup_name 主机组中时,它会自动添加到红帽身份管理服务器的 "hostgroup_name " 主机组中。Red Hat Identity Management 主机组允许基于主机的访问控制(HBAC)、sudo 策略和其他红帽身份管理功能。
