Kapitel 16. Konfigurieren der Identitätsverwaltung in Red Hat Satellite

Die Identitätsverwaltung (Identity Management, IDM) handhabt die Verwaltung einzelner Identitäten, deren Berechtigungsnachweise und Berechtigungen innerhalb einer Netzwerkumgebung. IDM kann die Sicherheit Ihres Systems erhöhen und gewährleisten, dass die richtigen Personen bei Bedarf Zugriff auf die richtigen Daten erhalten.
Red Hat Satellite hat ein Realm-Feature, das automatisch den Lebenszyklus aller Systeme verwaltet, die bei einem Realm oder Domain-Provider registriert sind. Dieser Abschnitt erläutert, wie Sie Ihren Satellite Server oder Capsule Server für IDM konfigurieren und wie Client-Systeme automatisch zur Satellite 6 Identity Management Hostgruppe hinzugefügt werden.
Red+Hat+Satellite+6Docs+User+GuideFehler melden

16.1. Konfigurieren eines Red Hat Satellite Servers oder Capsule Servers zur Unterstützung von IDM-Realms

Der erste Schritt zur Verwendung der Identitätsverwaltung (Identity Management, IDM) in Red Hat Satellite besteht in der Konfiguration des Red Hat Satellite Servers oder Red Hat Satellite Capsule Servers.
Voraussetzungen

Vergewissern Sie sich, dass folgende Voraussetzungen erfüllt sind, bevor Sie mit der Konfiguration von IDM beginnen:

  1. Der Satellite Server wurde registriert beim Content Delivery Network oder einem unabhängigen Capsule Server, der beim Satellite Server registriert ist.
  2. Ein Realm- oder Domain-Provider wie z. B. Red Hat Identity Management wurde konfiguriert und eingerichtet.
So konfigurieren Sie einen Satellite Server oder Capsule Server zur Unterstützung von IDM-Realms:
  1. Installieren Sie die folgenden Pakete auf dem Satellite Server oder Capsule Server:
    # yum install ipa-client foreman-proxy ipa-admintools
    
  2. Konfigurieren Sie den Satellite Server (oder Capsule Server) als IPA-Client:
    # ipa-client-install
    
  3. Erstellen Sie einen „realm-capsule”-Benutzer und die relevanten Rollen im Red Hat Identity Management auf dem Satellite Server oder Capsule Server:
    # foreman-prepare-realm admin realm-capsule
    
    Der Befehl „foreman-prepare-realm” bereitet einen FreeIPA-Server oder Red Hat Identity Management Server zur Verwendung mit dem Foreman Smart Proxy vor. Er erstellt eine spezielle Rolle mit den nötigen Berechtigungen für Foreman, erstellt einen Benutzer mit dieser Rolle und lädt die Keytab-Datei. Für diesen Schritt benötigen Sie die Konfigurationsdetails Ihres Identity Management Servers.
    Wenn der Befehl erfolgreich ausgeführt wird, sehen Sie die folgende Ausgabe:
    Keytab successfully retrieved and stored in: freeipa.keytab
    Realm Proxy User:    realm-capsule
    Realm Proxy Keytab:  /root/freeipa.keytab
    
  4. Verlegen Sie die Datei /root/freeipa.keytab in das Verzeichnis /etc/foreman-proxy und legen Sie als Besitzer den Benutzer „foreman-proxy” fest:
    # mv /root/freeipa.keytab /etc/foreman-proxy
    # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
    
  5. Konfigurieren Sie den Realm abhängig davon, ob Sie Satellite Server oder Capsule Server verwenden:
    • Falls Sie die integrierte Capsule im Satellite Server verwenden, führen Sie katello-installer aus, um den Realm zu konfigurieren:
      # katello-installer --capsule-realm true \
        --capsule-realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --capsule-realm-principal 'realm-proxy@EXAMPLE.COM' \
        --capsule-realm-provider freeipa
      

      Anmerkung

      Diese Optionen können auch bei der erstmaligen Konfiguration des Red Hat Satellite Servers ausgeführt werden.
    • Falls Sie einen unabhängigen Capsule Server verwenden, führen Sie capsule-installer aus, um den Realm zu konfigurieren:
      # capsule-installer --realm true \
        --realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --realm-principal 'realm-capsule@EXAMPLE.COM' \
        --realm-provider freeipa
      
  6. (Optional) Falls Sie IDM auf einem bestehenden Satellite Server oder Capsule Server konfigurieren, müssen die folgenden Schritte zusätzlich ausgeführt werden, um sicherzustellen, dass die Konfigurationsänderungen wirksam werden:
    1. Starten Sie den „foreman-proxy”-Dienst neu:
      # service foreman-proxy restart
      
    2. Melden Sie sich beim Satellite Server an und klicken Sie auf InfrastrukturCapsules.
    3. Klicken Sie auf die Auswahlliste rechts neben dem Capsule Server, den Sie für IDM konfiguriert haben, und wählen Sie Funktionen aktualisieren.
  7. Erstellen Sie abschließend einen neuen Realm-Eintrag auf der Benutzeroberfläche des Satellite Servers:
    1. Klicken Sie auf InfrastrukturRealms und anschließend rechts oben auf Neuer Realm.
    2. Füllen Sie die Felder der folgenden Unterreiter aus:
      1. Realm – Geben Sie den Realm-Namen, den Realm-Typ und den Realm-Proxy an.
      2. Standorte – Wählen Sie die Standorte, an denen der neue Realm verwendet werden soll.
      3. Organisationen – Wählen Sie die Organisationen, in denen der neue Realm verwendet werden soll.
    3. Klicken Sie auf Absenden.
Der Satellite Server oder Capsule Server ist nun einsatzbereit und kann Hosts bereitstellen, die sich automatisch beim IDM registrieren. Der folgende Abschnitt beschreibt die notwendigen Schritte, um Hosts automatisch einer IDM-Hostgruppe zuzuweisen.
Red+Hat+Satellite+6Docs+User+GuideFehler melden