Red Hat Training
A Red Hat training course is available for Red Hat Satellite
5.3. Konfigurieren eines Red Hat Satellite Capsule Servers
Voraussetzungen
Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit dieser Aufgabe fortfahren können:
- Installieren Sie den Red Hat Satellite Server.
- Setzen Sie die SELinux-Richtlinie auf dem Satellite Capsule Server-System auf Enforcing.
Das folgende Verfahren konfiguriert einen Satellite Capsule Server zur Verwendung mit Ihrem Red Hat Satellite Server. Dies schließt die folgenden Arten von Satellite Capsule Servern ein:
- Satellite Capsule Server mit Smart Proxy
- Satellite Capsule Server als Inhaltsknoten
- Satellite Capsule Server als Inhaltsknoten mit Smart Proxy
Konfigurieren Sie einen Satellite Capsule Server wie folgt:
- Auf dem Satellite Server:
- Generieren Sie ein Zertifikat für den Satellite Capsule Server:
capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
Dabei gilt:capsule_FQDN
ist der vollqualifizierte Domainname des Satellite Capsule Servers (erforderlich).certs-tar
ist der Name der zu erstellenden tar-Datei, die das Zertifikat enthält, das vom Satellite Capsule-Installationsprogramm verwendet werden soll.
Wenn Sie den Befehlcapsule-certs-generate
ausführen, wird die folgende Meldung ausgegeben:To finish the installation, follow these steps: 1. Ensure that the capsule-installer is available on the system. The capsule-installer comes from the katello-installer package and should be acquired through the means that are appropriate to your deployment. 2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com 3. Run the following commands on the capsule (possibly with the customized parameters, see capsule-installer --help and documentation for more info on setting up additional services): rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm subscription-manager register --org "ACME_Corporation" capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true"
- Kopieren Sie den generierten Tarball, capsule.example.com-certs.tar, vom Satellite Server zum Satellite Capsule-Hostsystem.
- Führen Sie folgende Schritte auf dem Satellite Capsule Server aus:
- Registrieren Sie Ihren Satellite Capsule Server beim Satellite Server:
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
Anmerkung
Der Satellite Capsule Server muss einer Organisation zugewiesen sein, da der Satellite Capsule Server eine Umgebung erfordert, um Inhalte vom Satellite Server zu synchronisieren. Nur Organisationen haben Umgebungen.Das Zuweisen eines Standorts ist optional, wird jedoch empfohlen, um die räumliche Nähe zu den Hosts anzugeben, die der Satellite Capsule Server verwaltet. - Wählen Sie eine der folgenden Optionen abhängig vom gewünschten Satellite Capsule Server-Typ:
- Option 1: Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit Smart Proxy-Features (DHCP, DNS, Puppet). Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- Option 2 - Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit allen Features. Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
Anmerkung
Falls die Konfiguration erfolgreich ist, führen Sie den folgenden Befehl als Root-Benutzer auf dem Satellite Capsule Server aus:
# echo $?
Falls das Verfahren erfolgreich war, sollte dieser Befehl "0" ausgeben. Ist dies nicht der Fall, prüfen Sie
/var/log/kafo
, um die Problemursache zu suchen und zu bereinigen. /var/log/kafo
ist die Protokolldatei für die Ausgabe, die von den Befehlen capsule-certs-generate
und capsule-installer
generiert wird.
Der Satellite Capsule Server sollte zudem in der Benutzeroberfläche des Satellite Servers unter Infrastruktur → Capsules erscheinen.
Ergebnis:
Der Satellite Capsule Server wurde konfiguriert und beim Satellite Server registriert.
14370%2C+Installation+Guide-6.0-109-10-2014+13%3A35%3A23Red+Hat+Satellite+6Docs+Install+GuideFehler melden
5.3.1. Konfigurieren von Red Hat Satellite Capsule Server mit einem benutzerdefinierten Serverzertifikat
katello-installer
enthält ein standardmäßiges CA-Zertifikat, das sowohl für die Server-SSL-Zertifikate als auch für die Client-Zertifikate zur Authentifizierung von Unterdiensten verwendet wird. Diese Zertifikate können durch benutzerdefinierte Zertifikate ersetzt werden.
Sie können den Satellite Capsule Server zu verschiedenen Zeitpunkten zur Verwendung eines benutzerdefinierten CA-Zertifikats konfigurieren:
- Wenn
capsule-certs-generate
zum ersten Mal ausgeführt wird - Nachdem
capsule-certs-generate
bereits ausgeführt wurde
Prozedur 5.2. Einrichten eines benutzerdefinierten Serverzertifikats bei der ersten Ausführung von capsule-certs-generate
- Führen Sie diesen Befehl auf dem Red Hat Satellite Server aus:
capsule-certs-generate --capsule-fqdn "$CAPSULE"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt
Dabei gilt:capsule_FQDN
ist der vollqualifizierte Domainname des Satellite Capsule Servers (erforderlich).certs-tar
ist der Name der zu erstellenden tar-Datei, die das Zertifikat enthält, das vom Satellite Capsule-Installationsprogramm verwendet werden soll.server-cert
ist der Pfad zu Ihrem Zertifikat, signiert von Ihrer Zertifizierungsstelle (oder selbst signiert).server-cert-req
ist der Pfad zur Datei Ihrer Zertifikatssignierungsanfrage, mit der Ihr Zertifikat erstellt wurde.server-key
ist der private Schlüssel, mit dem das Zertifkat signiert wurde.server-ca-cert
ist der Pfad zum CA-Zertifikat auf diesem System.
- Kopieren Sie den generierten Tarball, capsule.example.com-certs.tar, vom Satellite Server zum Satellite Capsule-Hostsystem.
- Führen Sie folgende Schritte auf dem Satellite Capsule Server aus:
- Registrieren Sie Ihren Satellite Capsule Server beim Satellite Server:
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
Anmerkung
Der Satellite Capsule Server muss einer Organisation zugewiesen sein, da der Satellite Capsule Server eine Umgebung erfordert, um Inhalte vom Satellite Server zu synchronisieren. Nur Organisationen haben Umgebungen.Das Zuweisen eines Standorts ist optional, wird jedoch empfohlen, um die räumliche Nähe zu den Hosts anzugeben, die der Satellite Capsule Server verwaltet. - Wählen Sie eine der folgenden Optionen abhängig vom gewünschten Satellite Capsule Server-Typ:
- Option 1: Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit Smart Proxy-Features (DHCP, DNS, Puppet). Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- Option 2 - Satellite Capsule Server als Inhaltsknoten: Dies installiert einen Satellite Capsule Server mit Features zur Inhaltsverwaltung und einen Puppet Master. Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- Option 3 - Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit allen Features. Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
Prozedur 5.3. Einrichten eines benutzerdefinierten Serverzertifikats nach der Ausführung von capsule-certs-generate
Wenn benutzerdefinierte Serverzertifikate für den Satellite Server verwendet werden, bedeutet dies, dass dieselben benutzerdefinierten Serverzertifikate auf den Satellite Capsule Servern implementiert werden müssen. Auf jedem Satellite Capsule Server müssen die folgenden Schritte durchgeführt werden:
- Generieren Sie ein neues Zertifikat basierend auf Ihrem benutzerdefinierten Serverzertifikat:
capsule-certs-generate --capsule-fqdn "satcapsule.example.com"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt\ --certs-update-server --certs-update-server-ca
- Kopieren Sie den generierten Tarball, capsule.example.com-certs.tar, vom Satellite Server zum Satellite Capsule-Hostsystem.
- Führen Sie auf dem Satellite Capsule Server den Befehl
capsule-installer
erneut aus, um die Zertifikate zu aktualisieren. Wählen Sie eine der folgenden Optionen abhängig vom gewünschten Satellite Capsule Server-Typ:- Option 1: Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit Smart Proxy-Features (DHCP, DNS, Puppet). Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- Option 2 - Satellite Capsule Server als Inhaltsknoten: Dies installiert einen Satellite Capsule Server mit Features zur Inhaltsverwaltung und einen Puppet Master. Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- Option 3 - Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit allen Features. Führen Sie die folgenden Befehle als Root-Benutzer auf dem Satellite Capsule Server aus:
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
Wichtig
Verwenden Sie dasselbe benutzerdefinierte Serverzertifikat auf dem Red Hat Satellite Server und dem Red Hat Satellite Capsule Server, um sicherzustellen, dass die Vertrauensbeziehung zwischen diesen beiden Hosts bestehen bleibt.
14370%2C+Installation+Guide-6.0-109-10-2014+13%3A35%3A23Red+Hat+Satellite+6Docs+Install+GuideFehler melden