Red Hat Training

A Red Hat training course is available for Red Hat Satellite

5.3. Configurer un serveur Red Hat Satellite Capsule

Conditions préalables

Vous devrez remplir les conditions suivantes avant de pouvoir continuer avec cette tâche :

  • Installez le serveur Red Hat Satellite.
  • Paramétrez sur enforcing les permissions SELinux du système désigné comme étant le serveur Satellite Capsule.
Les procédures suivantes permettent de configurer un serveur Satellite Capsule pour une utilisation en conjonction avec votre serveur Red Hat Satellite. Ceci inclut les types de serveurs Satellite Capsule suivants :
  • Serveurs Satellite Capsule avec Smart Proxy
  • Serveurs Satellite Capsule en tant que nœud de contenu (« Content Node »)
  • Serveurs Satellite Capsule en tant que nœud de contenu (« Content Node ») avec Smart Proxy
Pour configurer un serveur Satellite Capsule :
  1. Sur le serveur Satellite :
    1. Générer un certificat serveur Satellite Capsule :
      capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
      
      Où :
      • capsule_FQDN est le nom de domaine qualifié du serveur Satellite Capsule. (REQUIS)
      • certs-tar est le nom du fichier tar à générer qui contient le certificat devant être utilisé par l'installateur Satellite Capsule.
      L'exécution de capsule-certs-generate générera le message de sortie suivant :
          To finish the installation, follow these steps:
        1. Ensure that the capsule-installer is available on the system.
           The capsule-installer comes from the katello-installer package and
           should be acquired through the means that are appropriate to your deployment.
        2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com
        3. Run the following commands on the capsule (possibly with the customized
           parameters, see capsule-installer --help and
           documentation for more info on setting up additional services):
        rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm
        subscription-manager register --org "ACME_Corporation"
        capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "~/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
      
    2. Veuillez copier le tarball généré, capsule.example.com-certs.tar, du serveur Satellite au système Satellite Capsule hôte.
  2. Sur le serveur Satellite Capsule Server :
    1. Enregistrez votre serveur Satellite Capsule sur le serveur Satellite :
      # rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm
      # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
      

      Note

      Le serveur Satellite Capsule doit être assigné à une organisation car il requiert un environnement pour synchroniser le contenu du serveur Satellite. Seules les organisations possèdent des environnements.
      Assigner un emplacement est optionnel, même si cela est recommandé afin d'indiquer la proximité aux hôtes que le serveur Satellite Capsule gère.
    2. En fonction du type de serveur Satellite Capsule souhaité, veuillez choisir l'une des options suivantes :
      1. Option 1 - Serveur Satellite Capsule avec Smart Proxy : Installe un serveur Satellite Capsule Server avec des fonctionnalités Smart Proxy (DHCP, DNS, Puppet). Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
          
        # capsule-installer --parent-fqdn          "satellite.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
      2. Option 2 - Serveur Satellite Capsule en tant que nœud de contenu avec Smart Proxy : Installe un serveur Satellite Capsule avec toutes les fonctionnalités. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        

Note

Si la configuration est réussie, veuillez exécuter cette commande en tant qu'utilisateur root sur le serveur Satellite Capsule :
# echo $?
Cette commande devrait retourner un « 0 » pour indiquer sa réussite. Si ce n'est pas la cas, veuillez vérifier /var/log/kafo pour déboguer la cause de l'échec. /var/log/kafo est le fichier de journalisation des sorties générées par les commandes capsule-certs-generate et capsule-installer.
Le serveur Satellite Capsule devrait aussi apparaître dans l'interface utilisateur du serveur Satellite, sous InfrastructureCapsules.
Résultat  :

Le serveur Satellite Capsule est désormais configuré et enregistré avec le serveur Satellite.

14370%2C+Installation+Guide-6.0-116-09-2014+09%3A44%3A32Red+Hat+Satellite+6Docs+Install+GuideRapporter un bogue

5.3.1. Configurer Red Hat Satellite Capsule Server avec un certificat serveur personnalisé

katello-installer est fourni avec une AC par défaut utilisée pour les certificats SSL serveur ainsi que pour les certificats client des sous-services d'authentification. Ces certificats peuvent être remnplacés par des certificats personnalisés.
Il y a deux instances dans lesquelles vous pouvez configurer le serveur Satellite Capsule pour qu'il utilise un certificat personnalisé de l'AC :
  1. Lorsque capsule-certs-generate est exécuté pour la première fois
  2. Une fois que capsule-certs-generate a été exécuté

Procédure 5.2. Paramétrer un certificat serveur personnalisé tout en exécutant capsule-certs-generate pour la première fois

  1. Exécutez cette commande sur le serveur Red Hat Satellite :
    capsule-certs-generate --capsule-fqdn "$CAPSULE"\
                           --certs-tar "~/$CAPSULE-certs.tar"\
                           --server-cert ~/path/to/server.crt\
                           --server-cert-req ~/path/to/server.crt.req\
                           --server-key ~/path/to/server.key\
                           --server-ca-cert ~/cacert.crt
    
    Où :
    • capsule_FQDN est le nom de domaine qualifié du serveur Satellite Capsule. (REQUIS)
    • certs-tar est le nom du fichier tar à générer qui contient le certificat devant être utilisé par l'installateur Satellite Capsule.
    • server-cert est le chemin vers votre certificat, signé par l'autorité de certification (ou auto-signé)
    • server-cert-req est le chemin vers le fichier de requête de signature de certificat utilisé pour créer le certificat.
    • server-key est la clé privée utilisée pour signer le certificat
    • server-ca-cert ~/path/to/cacert.crt chemin vers le certificat de l'AC sur ce système.
  2. Veuillez copier le tarball généré, capsule.example.com-certs.tar, du serveur Satellite au système Satellite Capsule hôte.
  3. Sur le serveur Satellite Capsule Server :
    1. Enregistrez votre serveur Satellite Capsule sur le serveur Satellite :
      # rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm
      # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
      

      Note

      Le serveur Satellite Capsule doit être assigné à une organisation car il requiert un environnement pour synchroniser le contenu du serveur Satellite. Seules les organisations possèdent des environnements.
      Assigner un emplacement est optionnel, même si cela est recommandé afin d'indiquer la proximité aux hôtes que le serveur Satellite Capsule gère.
    2. En fonction du type de serveur Satellite Capsule souhaité, veuillez choisir l'une des options suivantes :
      1. Option 1 - Serveur Satellite Capsule avec Smart Proxy : Installe un serveur Satellite Capsule Server avec des fonctionnalités Smart Proxy (DHCP, DNS, Puppet). Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
          
        # capsule-installer --parent-fqdn          "satellite.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
      2. Option 2 - Serveur Satellite Capsule en tant que nœud de contenu : Installe un serveur Satellite Capsule avec des fonctionnalités de gestion de contenu et un Puppet Master. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar           "~/capsule.example.com-certs.tar"\
                            --puppet               "false"\
                            --puppetca             "false"\
                            --pulp                 "true"
        
      3. Option 3 - Serveur Satellite Capsule en tant que nœud de contenu avec Smart Proxy : Installe un serveur Satellite Capsule avec toutes les fonctionnalités. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        

Procédure 5.3. Paramétrer un certificat serveur personnalisé après avoir exécuté capsule-certs-generate

Utiliser des certificats serveur personnalisés pour le serveur Satellite signifie que les mêmes certificats serveur personnalisés doivent être déployés sur les serveurs Satellite Capsule. Il est requis que les étapes suivantes soient effectuées sur chaque serveur Satellite Capsule :
  1. Générer un nouveau certificat basé sur votre certificat serveur personnalisé :
    capsule-certs-generate --capsule-fqdn "satcapsule.example.com"\
                           --certs-tar "~/$CAPSULE-certs.tar"\
                           --server-cert ~/path/to/server.crt\
                           --server-cert-req ~/path/to/server.crt.req\
                           --server-key ~/path/to/server.key\
                           --server-ca-cert ~/cacert.crt\
                           --certs-update-server --certs-update-server-ca
    
  2. Veuillez copier le tarball généré, capsule.example.com-certs.tar, du serveur Satellite au système Satellite Capsule hôte.
  3. Sur le serveur Satellite Capsule, exécutez à nouveau la commande capsule-installer pour ré-actualiser les certificats. En fonction du type de serveur Satellite Capsule, veuillez choisir l'une des options suivantes :
    1. Option 1 - Serveur Satellite Capsule avec Smart Proxy : Installe un serveur Satellite Capsule Server avec des fonctionnalités Smart Proxy (DHCP, DNS, Puppet). Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
        
      # capsule-installer --parent-fqdn          "satellite.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "/root/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
                          --tftp                 "true"
                          --dhcp                 "true"\
                          --dhcp-interface       "virbr1
                         --dns                  "true"\
                         --dns-forwarders       "8.8.8.8"\
                         --dns-forwarders       "8.8.4.4"\
                         --dns-interface        "virbr1"\
                         --dns-zone             "example.com"
      
      
    2. Option 2 - Serveur Satellite Capsule en tant que nœud de contenu : Installe un serveur Satellite Capsule avec des fonctionnalités de gestion de contenu et un Puppet Master. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
      # capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar           "~/capsule.example.com-certs.tar"\
                          --puppet               "false"\
                          --puppetca             "false"\
                          --pulp                 "true"
      
    3. Option 3 - Serveur Satellite Capsule en tant que nœud de contenu avec Smart Proxy : Installe un serveur Satellite Capsule avec toutes les fonctionnalités. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
      # capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "/root/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
                          --tftp                 "true"
                          --dhcp                 "true"\
                          --dhcp-interface       "virbr1
                         --dns                  "true"\
                         --dns-forwarders       "8.8.8.8"\
                         --dns-forwarders       "8.8.4.4"\
                         --dns-interface        "virbr1"\
                         --dns-zone             "example.com"
      
      

Important

Veuillez utiliser le même certificat serveur personnalisé sur Red Hat Satellite Server et sur Red Hat Satellite Capsule Server afin de vous assurer que la relation de confiance entre les deux hôtes soit maintenue.
14370%2C+Installation+Guide-6.0-116-09-2014+09%3A44%3A32Red+Hat+Satellite+6Docs+Install+Guide14370%2C+Installation+Guide-6.0-116-09-2014+09%3A44%3A32Red+Hat+Satellite+6Docs+Install+GuideRapporter un bogue