Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Kapitel 9. Multiple Organisationen

RHN Satellite unterstützt die Einrichtung und Verwaltung von Multiplen Organisationen innerhalb einer Satellite-Installation und ermöglicht damit die gemeinsame Verwendung von Systemen, Inhalten und Abonnements über verschiedene Organisationen oder bestimmte Gruppen hinweg. Dieses Kapitel führt den Benutzer durch die grundlegenden Schritte des Setups, und erläutert das Konzept der Einrichtung und Verwaltung von multiplen Organisationen innerhalb des RHN Satellites.

9.1. Empfohlene Modelle für die Verwendung von Multiplen Organisationen

Die folgenden Beispiele veranschaulichen detailliert zwei mögliche Szenarien für die Verwendung des Multiple-Organisationen-Features (auch: Multi-Org-Feature). Wenn Sie RHN Satellite 5.1 oder höher installieren bzw. darauf aktualisieren, müssen Sie nicht notwendigerweise das Multi-Org-Feature verwenden. Sie können zusätzliche Organisationen auf Ihrem Satellite erstellen und mit der Verwendung dieser Organisationen beginnen in einem Tempo, das für Sie geeignet erscheint. Es ist möglicherweise eine gute Idee, eine zusätzliche Organisation zu erstellen und diese zu Testzwecken für eine begrenzte Anzahl von Systemen/Benutzern zu verwenden, damit Sie die Auswirkungen eines Multi-Org-Satellites auf die Abläufe und Richtlinien Ihrer Organisation vollständig verstehen.

9.1.1. Zentral verwalteter Satellite für eine Organisation mit multiplen Abteilungen

In diesem ersten Szenario wird der RHN Satellite durch eine zentrale Gruppe innerhalb eines Unternehmens oder einer anderen Organisation gewartet (siehe Abbildung 9.1, »Zentrales Satellite-Management für Organisationen mit multiplen Abteilungen«). Der Satellite-Administrator von Organisation 1 (die administrative Organisation, die während der Satellite-Konfiguration erstellt wurde) behandelt Organisation 1 als Staging-Area für Software und Systemanmeldungen und Berechtigungen.
Der Satellite Administrator ist u. a. dafür verantwortlich, den Satellite zu konfigurieren (alle Aufgaben unter dem Admin-Bereich der Web-Oberfläche), zusätzliche Satellite-Organisationen zu erstellen oder zu löschen, sowie Software, Systemanmeldungen und Berechtigungen zuzuweisen und zu entfernen.
Zusätzliche Organisationen in diesem Beispiel sind Abteilungen innerhalb eines Unternehmens zugewiesen. Ein Weg um zu entscheiden, wie die verschiedenen Abteilungen einer Organisation aufgeteilt werden sollen, besteht darin, an die Logik zu denken, nach der Abteilungen Abonnements und Berechtigungen zur Verwendung mit RHN Satellite erwerben. Um die zentrale Kontrolle über Organisationen im Satellite zu bewahren, richten Sie einen Organization Administrator-Account in jeder nachfolgend erstellten Organisation ein, so dass Sie jederzeit Zugang zu dieser Organisation haben.
Zentrales Satellite-Management für Organisationen mit multiplen Abteilungen

Abbildung 9.1. Zentrales Satellite-Management für Organisationen mit multiplen Abteilungen

9.1.2. Dezentrales Management von mehreren Dritt-Organisationen

In diesem Beispiel wird der Satellite durch eine zentrale Gruppe gewartet, aber jede Organisation wird getrennt behandelt ohne jegliche Verbindung zu anderen Organisationen auf dem Satellite. Jede Organisation kann ein Kunde der Gruppe sein, die die Satellite-Applikation selbst verwaltet.
Wenn ein Satellite aus Unterorganisationen besteht, die alle Teil desselben Unternehmens sind, so kann dies eine Umgebung sein, die relativ tolerant ist gegenüber der gemeinsamen Nutzung von Systemen und Inhalten durch Organisationen. In diesem dezentralen Beispiel hingegen ist die gemeinsame Nutzung weniger tolerierbar. Administratoren können Berechtigungen in bestimmter Anzahl an jede Organisation vergeben. Jede Organisation wird Zugang haben zu allen Red Hat Inhalten, die mit dem Satellite synchronisiert wurden, falls die Organisation Software-Channel-Berechtigungen besitzt für den Inhalt.
Wenn allerdings eine Organisation angepasste Inhalte an ihre Organisation pusht, werden diese für andere Organisationen nicht verfügbar sein. Sie können keinen angepassten Inhalt für alle oder ausgewählte Organisationen bereitstellen, ohne diesen Inhalt erneut in jede Organisation zu pushen.
In diesem Szenario wird der Satellite Administrator sich ggf. einen Account in jeder Organisation reservieren wollen, um Login-Zugang zu haben. Wenn Sie beispielsweise Satellite dazu verwenden, gemanagte Hosting-Dienste für Dritte bereitzustellen, können Sie einen Account für sich selbst reservieren, um auf Systeme dieser Organisationen zuzugreifen und Inhalte zu pushen.
Dezentrales Satellite-Management für Organisationen mit multiplen Abteilungen

Abbildung 9.2. Dezentrales Satellite-Management für Organisationen mit multiplen Abteilungen

9.1.3. Allgemeine Tipps zum Gebrauch von Multi-Org

Ungeachtet des jeweiligen Modells oben, für das Sie sich für die Verwaltung Ihres Multi-Org-Satellites entscheiden, können die folgenden Tipps für eine optimale Vorgehensweise hilfreich sein.
Es wird empfohlen, die administrative Organisation (Organisation #1) in keinem Fall zum Anmelden von Systemen und Erstellen von Benutzern zu verwenden, es sei denn Sie beabsichtigen, den Satellite als einen Satellite mit nur einer Organisation zu nutzen oder aber Sie sind im Begriff, vom Satellite mit nur einer Organisation zu einem Satellite mit multiplen Organisationen zu migrieren. Dies hat folgende Gründe:
  1. Die administrative Organisation wird im Hinblick auf Berechtigungen als Sonderfall gehandhabt. Sie können dieser Organisation Berechtigungen indirekt hinzufügen oder entziehen, indem Sie diese Berechtigungen anderen Organisationen auf dem Satellite hinzufügen oder entziehen.
  2. Die administrative Organisation ist als Staging-Area für Anmeldungen und Berechtigungen vorgesehen. Wenn Sie den Satellite mit einem neuen Zertifikat assoziieren, werden dieser Organisation standardmäßig jegliche neue Berechtigungen gewährt. Um diese neuen Berechtigungen anderen Organisationen auf dem Satellite zur Verfügung zu stellen, müssen Sie diese Berechtigungen ausdrücklich von der administrativen Organisation aus den anderen Organisationen zuweisen.

9.1.3.1. Zertifikat hat weniger Berechtigungen als ich verwende

Falls Ihnen ein neues Satellite-Zertifikat ausgestellt wird, welches weniger Berechtigungen enthält, als die Systeme in den Organisationen auf Ihrem Satellite konsumieren, werden Sie dieses neue Zertifikat nicht aktivieren können – weder durch Hochladen über die Web-Oberfläche des Satellites unter AdminSatellite-KonfigurationZertifikat, noch durch Hochladen über das http://rhn.redhat.com-Profil des Satellite-Systems unter dem Satellite-Reiter, noch durch Ausführen des rhn-satellite-activate-Befehls. Sie werden eine Fehlermeldung erhalten, die besagt, dass das Zertifikat ungenügende Berechtigungen enthält.
Es gibt einige Wege, wie Sie den Verbrauch von Satellite-Berechtigungen verringern können, um Ihr neues Zertifikat aktivieren zu können. Red Hat empfiehlt Ihnen, den Gebrauch von Berechtigungen von jeder Organisation auszuwerten und aufgrunddessen zu entscheiden, welche Organisationen auf einige Berechtigungen verzichten können und dennoch weiterhin korrekt funktionieren. Sie können sich anschließend mit allen Organisationsadministratoren direkt in Verbindung setzen und sie dazu auffordern, Systemprofile aller überflüssiger Systeme ihrer Organisation zu löschen oder deren Berechtigungen zu entziehen. Falls Sie Login-Zugang zu diesen Organisationen besitzen, können Sie dies auch selbst tun. Eingeloggt als Satellite-Administrator können Sie die zugewiesenen Berechtigungen einer Organisation nicht weiter verringern als die Anzahl der Berechtigungen, die diese Organisation aktiv mit Systemprofilen assoziiert hat.
Es können Situationen auftreten, in denen Sie Berechtigungen frei machen müssen, aber wenig Zeit zur Verfügung haben sowie evtl. keinen Zugang zu jeder Organisation besitzen, um dies selbst zu erledigen. Es gibt eine Option in Multi-Org-Satellites, die es dem Systemadministrator erlaubt, die Anzahl von Berechtigungen einer Organisation unter den tatsächlichen Gebrauch zu senken. Dieses Verfahren muss eingeloggt in die administrative Organisation durchgeführt werden.
Wenn Sie eingeloggt sind in der administrativen Organisation, und Ihr Zertifikat beispielsweise 5 System-Management-Berechtigungen zu wenig besitzt, um alle auf Ihrem Satellite angemeldeten Systeme abzudecken, dann werden den 5 zuletzt für diese Organisation angemeldeten Systeme die Berechtigungen entzogen. Dieser Prozess wird nachfolgend erläutert:
  1. In der /etc/rhn/rhn.conf-Datei, setzen Sie web.force_unentitlement=1
  2. Starten Sie den Satellite neu
  3. Verringern Sie die zugewiesenen Berechtigungen der gewünschten Organisationen entweder über den Abonnements-Reiter einer jeden Organisation, oder über die Organisationen-Reiter der einzelnen Berechtigungen.
  4. Eine Anzahl von Systemen in der Organisation sollte sich nun in einem unberechtigt-Zustand befinden. Die Anzahl der unberechtigten Systeme in der Organisation entspricht der Differenz zwischen der Gesamtanzahl der von Ihnen der Organisation entzogenen Berechtigungen und der Anzahl von Berechtigungen, die die Organisation nicht auf die Systeme angewendet hatte.
    Wenn Sie z. B. in Schritt 3 der Organisation 10 Berechtigungen entzogen haben, und die Organisation 4 Berechtigungen besitzt, die nicht von Systemen verwendet wurden, dann werden letztendlich 6 Systeme in dieser Organisation unberechtigt sein.
Nachdem Sie die erforderliche Anzahl von Berechtigungen haben, sollte es Ihnen nun möglich sein, Ihr neues Satellite-Zertifikat zu aktivieren. Beachten Sie, dass ein Modifizieren der web.force_unentitlement-Variablen nur nötig ist, um die einer Organisation zugewiesenen Berechtigungen unter die Anzahl der verwendeten zu verringern. Wenn eine Organisation mehr Berechtigungen besitzt, als aktiv verwendet werden, brauchen Sie diese Variable nicht zu setzen, um sie zu entziehen.

9.1.3.2. Zertifikat hat mehr Berechtigungen als ich verwende

Falls Ihnen ein neues Satellite-Zertifikat ausgestellt wird, welches mehr Berechtigungen enthält, als auf Ihrem Satellite konsumiert werden, werden jegliche überzähligen Berechtigungen der administrativen Organisation zugewiesen. Wenn Sie sich auf der Web-Oberfläche als Satellite-Administrator anmelden, können Sie diese Berechtigungen anderen Organisationen zuweisen. Die zuvor zu einer Organisation zugewiesenen Berechtigungen werden hiervon nicht berührt.