Red Hat Training
A Red Hat training course is available for Red Hat Satellite
ユーザーガイド
Red Hat Network Satellite 5.5
Red Hat Network Satellite の使用と管理について
エディッション 2
Red Hat Engineering Content Services
概要
本書では Red Hat Network Satellite の使用および操作方法について説明しています。 本書以外に 『Red Hat Network Satellite スタートガイド』 などもご参照頂くことをお勧めします。
前書き
Red Hat Network では、 Red Hat システムの信頼性、セキュリティ、パフォーマンスを最大限に高めるのに必要なツール、サービス、情報リポジトリを提供することにより Red Hat のシステムとネットワークに対するシステムレベルでのサポートと管理を実現します。 Red Hat Network を使用するには、 システム管理者の方にシステムプロファイルと呼ばれるクライアントシステムのソフトウェアとハードウェアのプロファイルを Red Hat Network に登録していただきます。 クライアントシステムによりパッケージの更新が要求されると、 そのクライアントに適用可能なパッケージのみが返されます。
Red Hat Network Satellite サーバーでは、 サーバーやクライアントシステム群に公共インターネットへのアクセスを与えずに Red Hat Network の利点を活用することができます。 システムプロファイルは Satellite サーバー上にローカルに保管されます。 Red Hat Network Satellite の Web サイトはローカルの Web サーバーから提供されるため、 利用できるのは Satellite にアクセス可能なシステムのみに限られます。 エラータの更新など、 パッケージ管理に関する作業はすべて Satellite サーバーを介して行われます。
Red Hat Network Satellite サーバーは、サーバーの保守およびパッケージ配備において完全なコントロールとプライバシー保護を必要とする企業に解決策を提供します。 Red Hat Network をご利用のお客様は、 システムの安全性を維持しながら、 最新の状態を保持する上で高い柔軟性と制御力を実現することができます。 Satellite サーバーはモジュールを追加することで機能拡張することができます。 本書では、 Satellite サーバーを稼働するにあたって不可欠となる操作に関して解説しています。
第1章 ユーザーの管理
1.1. ユーザーアカウントの追加/停止/削除
ユーザーの管理は Red Hat Network Satellite サーバーのナビゲーションバー上部にある ユーザー タブで行うことができます。 このタブでユーザーのパーミッションを付与したり、 編集したりすることができます。
手順1.1 ユーザーを追加する
組織に新規ユーザーを追加します。
- ユーザー タブで新規ユーザーの作成 をクリックし、ユーザーの作成 ページを開きます。
図1.1 ユーザーの作成 ページ
- 希望のログイン フィールドにユーザー名を入力します。 ログイン名は最低でも 5 文字の長さにしてください。
- 希望のパスワード フィールドにユーザーのパスワードを入力します。 確認のため同じパスワードを再入力します。
- 名、 姓 のフィールドにユーザーの名と姓を入力します。 ドロップダウンメニューから適切な敬称(例:Mr、Mrs、Dr など) を選択します。
- Email のフィールドにユーザーの電子メールアドレスを入力します。
- タイムゾーン のセクションで適切なタイムゾーンを選択します。
- インターフェース言語 のセクションで、 Red Hat Network Satellite サーバーのインターフェースに使用する言語を選択します。
- をクリックして、新規ユーザーを作成します。 新規アカウントに関する詳細情報が電子メールでユーザーに送信されます (新規ユーザーの作成時に指定したアドレス)。
- アカウントの作成が完了すると、ユーザーの一覧 ページにリダイレクトされます。 新規ユーザーのパーミッションの変更やオプションの設定を行う場合は、 表示されている一覧からそのユーザーの名前を選択して ユーザーの詳細 ページを表示させます。 該当タブに行き変更を行います。
手順1.2 ユーザーを停止する
ユーザーのアカウントは、 管理者やそのユーザー自身によって停止することができます。 停止されたユーザーアカウントは、Red Hat Network Satellite サーバーインターフェースへのログインや動作のスケジュールには使用できません。 アカウントが停止される前にスケジュールされていた動作は、 その動作が完了するまでキューにそのまま残ります。 停止されたユーザーアカウントは、 管理者によって再度アクティブにすることが可能です。
管理者のアカウントを停止する場合は、 まずそのアカウントから管理者ロールを削除しないと停止できません。
ユーザーアカウントを停止する
- ユーザー のタブ内にある一覧からユーザー名を選択し、ユーザーの詳細 ページを表示します。
- そのユーザーが Satellite 管理者かどうか確認します。Satellite 管理者である場合は、 そのロールの横にあるチェックボックスのチェックマークを外してから ボタンをクリックします。Satellite 管理者ではない場合はそのまま次のステップに進みます。
- ユーザーを停止する をクリックします。
図1.2 ユーザーを停止する
この動作を確認するため再クリックが求められます。 詳細を確認してから ユーザーを停止する を再度クリックして確定します。 - アカウントが正しく停止されると、 そのユーザー名は アクティブなユーザー の一覧には表示されなくなります。 停止されたユーザーアカウントを表示するには、 ユーザーの一覧 のメニューから 停止されました のリンクをクリックします。
- そのユーザーアカウントを再度アクティブにする場合は、 停止されました の一覧を表示させて再度アクティブにしたいユーザーの横にあるチェックボックスに印を付け、 をクリックします。
手順1.3 ユーザーを削除する
ユーザーアカウントの削除は管理者が行います。 Red Hat Network Satellite サーバーのインターフェースへのログインや動作のスケジュールに、 削除されたアカウントを使用することはできません。 また、 削除されたアカウントの再アクティベートはできません。
管理者のアカウント削除は、 まず管理者ロールをそのアカウントから削除してからでないと行えません。
警告
アカウントを削除すると元には戻せません。 アカウントの削除は慎重に行ってください。 Red Hat Netwrok Satellite サーバーのインフラストラクチャに及ぼす影響を確認するため、 削除する前にまずアカウントの停止を検討してみてください。
以下の手順でユーザーアカウントを削除します。
- ユーザー のタブ内にある一覧からユーザー名を選択し、ユーザーの詳細 ページを表示します。
- そのユーザーが Satellite 管理者かどうか確認します。Satellite 管理者である場合は、 そのロールの横にあるチェックボックスのチェックマークを外してから ボタンをクリックします。Satellite 管理者ではない場合はそのまま次のステップに進みます。
- ユーザーの削除 をクリックします。
図1.3 ユーザーの削除
この動作を確認するため再クリックが求められます。 詳細を確認してから ユーザーの削除 を再度クリックして確定します。 - アカウントが削除されると、そのユーザー名は アクティブなユーザー の一覧には表示されなくなります。このステップは元に戻すことはできません。
1.2. ユーザーの管理
ユーザーアカウントの管理は、 Red Hat Network Satellite サーバーのナビゲーションバー上部にある ユーザー タブを使用して行います。 ユーザーのパーミッション変更やオプションの設定を行う場合は、 一覧からそのユーザー名を選択して ユーザーの詳細 ページを表示します。 次に、 該当タブに移動し変更を行います。 変更を加え をクリックするとアカウントの詳細が修正されます。
ユーザーのロール
ユーザーのロール を使ってユーザーアカウントに各種の役割を任せます。 ユーザーロールによって役割やアクセスのレベルがそれぞれ異なります。
ユーザーに新しいロールを割り当てる場合は、 ユーザーの詳細 のページの該当チェックボックスを使ってロールの選択を行います。 変更を加え をクリックしてロールを修正します。
ユーザーロールには以下のような種類があります。
- Red Hat Network Satellite 管理者
- 組織の作成、 サブスクリプションの管理、 グローバル Red Hat Network Satellite サーバーのセッティング構成など、 Satellite の管理作業を行うための特殊ロールになります。このロールは ユーザーの詳細 ページでは割り当てられません。 既に Red Hat Network Satellite サーバー管理者ロールを有しているユーザーによって別のユーザーに割り当てます。 → の順に進み割り当てを行います。
- 組織の管理者
- 組織の枠の中でユーザー、 システム、 チャンネルなどの管理作業を行います。 組織の管理者には、 その他すべてのロールに対する管理アクセスが自動的に付与されます。ロールのチェックボックスがグレー表示されるのでわかるようになっています。
- アクティベーションキーの管理者
- アカウント内のキーの作成、 変更、 削除など、 アクティベーションキー関連の作業を行います。
- チャンネル管理者
- 組織内のソフトウェアチャンネルおよび関連チャンネルへの完全なアクセスが与えられます。 チャンネルをグローバルにサブスクライブ可能にする、 新しいチャンネルを作成する、 チャンネル内のパッケージを管理するなどの作業を行います。
- 設定管理者
- 組織内の設定チャンネルおよび関連チャンネルへの完全なアクセスが与えられます。 組織内のチャンネルおよびファイルの管理設定作業を行います。
- Monitoring 管理者
- プローブのスケジューリングや他のモニタリングインフラストラクチャの監視などを行います。 このロールは Monitoring を有効にしている Red Hat Network Satellite サーバーにしかありません。
- システムグループ管理者
- このロールは、 アクセス権を付与されたシステムおよびシステムグループに対して完全な権限を有します。 システムグループの新規作成、 割り当てられたシステムグループの削除、 グループへのシステムの追加、 グループに対するユーザーアクセスの管理などの作業を行います。
Satellite 管理者の権利の削除は、 同じ Satellite 管理者の権利を持つ別のユーザーによって行うことができます。 ただし、 Satellite 管理者が一人しか残っていない場合は削除できません。 Satellite 管理者は最低でもひとり常に必要です。 最後の一人の Satellite 管理者でない限り、 ユーザー自身による Satellite 管理者の権限の削除 (放棄) を行うこともできます。
第2章 自動同期
Red Hat Network Satellite サーバーのリポジトリと Red Hat Network との同期を手動で行うのは煩雑な作業となる場合があります。 同期を自動化して、 ピークを避けた深夜もしくは早朝などの時間帯に実施されるようにすることにより、 負荷を分散し同期の高速化を図ることができるようになります。 最適なパフォーマンスを得るため、 ランダムに同期が行われるようにします。 同期の自動化で最も効果的な方法は、
cron を使用する方法です。
手順2.1 同期を自動化する
- root ユーザーに切り替え、テキストエディタで
crontabを開きます。crontab -e
注記
デフォルトではcrontabは vi で開かれます。 この動作を変更するにはEDITORの変数を希望のテキストエディタ名に変更します。 crontabで、最初の 5 つのフィールド (分、時、日、月、曜日) を使用して同期のスケジュールを設定します。 ランダムな同期時間を作成する場合は以下のようにします。0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null 2>1
このcrontabエントリは、01:00 から 03:30 の間にランダムに同期ジョブを実行します。satellite-syncからのメッセージとの重複を防ぐため、cronからstdoutとstderrを破棄しています。 その他のオプションも必要に応じて追加することができます。crontabを保存するには、テキストエディタを終了してください。この新たなcronルールは即時に導入されます。
第3章 バックアップと復元
本章では Satellite システムのバックアップ、検証、復元の方法について簡単に説明していきます。
格納しているデータの量、 システムの機能停止が発生した場合の想定データ損失量などに応じ、 バックアップは毎晩もしくは毎週実施してください。
バックアップを行っている間は Web サイトやクライアントからの接続に対してすべてのサービスが使用不可になるため、 データベースのバックアップは Red Hat Network Satellite サーバーの定期保守時の機能停止期間を利用して実施することを推奨します。
3.1. バックアップ
手順3.1 組み込みデータベースのバックアップをとる
stopコマンドを使用して Red Hat Network Satellite サーバーを停止します。rhn-satellite stop
- Oracle ユーザーに切り替え、
db-controlユーティリティを使用してバックアップを作成します。su - oracle db-control backup [directory]
directory の部分はデータベースのバックアップの保管先となる場所の絶対パスを入力してください。 このプロセスには数分かかります。 - root ユーザーに戻り Satellite を起動します。
exit rhn-satellite start
- Oracle ユーザーに切り替え、
db-controlのexamineオプションを使用してバックアップのタイムスタンプを確認し、ファイルが紛失していないかどうかを確認します。su - oracle db-control examine [directory]
また、db-controlのverifyオプションを使用して徹底的な検証を行うこともできます。 これには、 バックアップ内の各ファイルの md5sum のチェックが含まれます。db-control verify [directory]
検証が成功すれば、 directory のコンテンツがデータベースの復元に安全に使用できることになります。
注記
外付けデータベースの場合も定期的なバックアップを行う必要があります。 対応しているバックアップ手順についてはその外付けデータベースの管理者にご相談ください。
システムファイルのバックアップをとる
データベースの他にも、 システムのファイルやディレクトリをいくつかバックアップする必要があります。 バックアップすべきファイルとディレクトリを以下に示します。
/etc/sysconfig/rhn//etc/rhn//etc/sudoers/etc/tnsnames.ora/var/www/html/pub//var/satellite/redhat/[0-9]*/(カスタムの RPM を格納する場所)/root/.gnupg//root/ssl-build//etc/dhcpd.conf/etc/httpd//tftpboot//var/lib/cobbler//var/lib/nocpulse//var/lib/rhn/kickstarts//var/www/cobbler/
できれば
/var/satellite/ のバックアップもとっておきます。 障害から復旧する際にはこれが Red Hat RPM リポジトリの複製となるため大量のデータをダウンロードする手間が省けます。 これは satellite-sync ツールを使用して再生成することができます。 分離モードの Satellite を使用している場合には、 障害からの復旧を行うための /var/satellite/ のバックアップが必ず必要になります。
上記のファイルとディレクトリのみをバックアップしている場合、 障害から復旧する際に Red Hat Network Satellite Server ISO RPM の再インストールおよび Satellite の再登録が必要になります。 また、
satellite-sync ツールを使用した Red Hat パッケージ群の再同期や /root/ssl-build/rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm パッケージのインストールも必要になります。 別の方法として、 再登録を行わずに Red Hat Network Satellite サーバーを再インストールする方法があります。 この方法をとる場合は、 Red Hat Network の登録と SSL 証明書生成のセクションを取り消すか省略してインストールを行います。
最も包括的なバックアップの方法として、マシン全体をバックアップする方法があります。 障害から復旧する場合にはダウンロードや再インストールに要する時間を節約することができますが、 バックアップを行う際には余分なストレージ領域や時間が必要になります。
3.2. バックアップからの復元
バックアップから組込みのデータベースを復元する場合は、 Red Hat Network database control を使用します。
手順3.2 バックアップから組み込みのデータベースを復元する
stopコマンドを使用して Red Hat Network Satellite サーバーを停止します。rhn-satellite stop
- Oracle ユーザーに切り替え、
db-controlユーティリティを使ってバックアップを復元します。su - oracle db-control restore [directory]
directory の部分には、 バックアップが格納されている場所への絶対パスを入力します。 まずバックアップの内容の検証が行われてから、 実際のデータベースの復元が行われます。 このプロセスには数分かかります。 - root ユーザーに戻り Satellite を起動します。
exit rhn-satellite start
- バックアップしているデータベースが外付けであるか組み込みであるかに関わらず、 バックアップから Satellite を復元する際には以下のコマンドを実行して
rhn-searchサービスの次回の起動時に検索インデックスの復元が行われるようスケジュールします。/etc/init.d/rhn-search cleanindex
3.3. 自動バックアップ
バックアップ作業を自動化して、 ピーク時を避け深夜もしくは早朝などにバックアップが行われるようにすることができます。 これにより、 バックアップをとるのを忘れてしまったりすることなく定期的にバックアップを実施することができます。 バックアップの自動化で最も有効なのが
cron を使用する方法です。
手順3.3 バックアップを自動化する
backup-db.sh という名前の新しいファイルを作成し、 以下のスクリプトを含ませます。 このスクリプトで Satellite を停止する、 データベースのバックアップをとる、 Satellite を再起動する、 という作業を行います。
#!/bin/bash
{
/usr/sbin/rhn-satellite stop
su - oracle -c'
d=db-backup-$(date "+%F");
mkdir -p /tmp/$d;
db-control backup /tmp/$d
';
/usr/sbin/rhn-satellite start
} &> /dev/null
move-files.shという名前の新しいファイルを作成し、 以下のスクリプトを含ませます。 このスクリプトを使ってバックアップファイルを格納先のディレクトリにrsyncで移動します。#!/bin/bash rsync -avz /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
[destination] の部分には、 バックアップディレクトリへのパスを入れます。代わりに、以下のスクリプトのようにscpを使用しても同じことができます。#!/bin/bash scp -r /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
- root ユーザーに切り替え、テキストエディタで
crontabを開きます。crontab -e
注記
デフォルトではcrontabは vi で開かれます。 この動作を変更するにはEDITORの変数を希望のテキストエディタ名に変更します。 crontabで、最初の 5 つのフィールド (分、時、日、月、曜日) を使用してバックアップスクリプトを実行するスケジュールを設定します。0 3 * * * backup-db.sh 0 6 * * * move-files.sh
このcrontabのエントリの場合、 バックアップは 03:00、 そのバックアップファイルの転送が 06:00 にそれぞれ実行されます。 その他のオプションも必要に応じて追加することができます。 また、 古いバックアップディレクトリを削除してバックアップストレージが満杯にならないようにするクリーンアップスクリプトを含ませることもできます。- テキストエディタを終了するだけで
crontabは保存されます。 追加した新しいcronルールは直ちに反映されます。
第4章 マシンのクローンを作成する
spacewalk-clone-by-date コマンドを使用すると、 Red Hat Enterprise Linux に対してエラータが利用可能になった日付でカスタムな Red Hat Enterprise Linux チャンネルのクローンを作成することができるようになります。
4.1. 特長
spacewalk-clone-by-date で利用できる主な機能を以下に示します。
- 特定の日付のチャンネルの状態をクローン作成する
- スクリプトとテンプレートファイルでクローン作成を自動化する
- チャンネルのパッケージを削除する、またはチャンネルのパッケージをブロックする
- 親チャンネルと子チャンネル内のパッケージ依存の関係を解決する
- フィルターをかけて特定のエラータのみをクローン作成し他のエラータは無視する (たとえば、 セキュリティエラータのみ作成しバグ修正や機能強化は無視)
注記
spacewalk-clone-by-date コマンドは root ユーザー で実行する必要があります。 また、 username は組織管理者かチャンネル管理者のいずれかにしてください。
4.2. コマンドラインのオプション
表4.1 利用できるコマンドラインのオプション
| オプション | 定義 |
|---|---|
| -h, --help | ヘルプのファイルを表示します。 |
| -c CONFIG, --config=CONFIG | すべてのオプションを指定した設定ファイルを与えることができるようになります。 コマンドラインで実行できるオプションはすべてこの設定ファイルに指定することができます。 クローンを作成したいチャンネルの一覧が複雑になる場合、 その一覧を用意して後日使用できるよう正確なコマンドで保存しておくことができます。 |
| -u USERNAME, --username=USERNAME | Satellite のログインに使用するユーザー名を指定します。 |
| -p PASSWORD, --password=PASSWORD | ユーザー名のパスワードを指定します。 |
| -s SERVER, --server=SERVER | API 接続に使用するサーバーの URL です。 デフォルトでは https://localhost/rpc/api に設定されます。 |
| -l CHANNELS, --channels=CHANNELS | クローン作成するチャンネルを指定します。 オリジナルチャンネル名とクローンチャンネル名を組み合わせてチャンネルラベルを指定しなければなりません。 オリジナルチャンネル名とクローンチャンネル名の間は必ず空白入れて区切ります。 また、 複数のチャンネルを追加することもできます。 その都度 --channels オプションを使用します。 |
| -b BLACKLIST, --blacklist=BLACKLIST | クローンのエラータから除外するパッケージ名 (または正規表現) をコンマで区切った一覧です (考慮されるのは追加されたパッケージのみです)。 |
| -r REMOVELIST, --removelist=REMOVELIST | コピー先チャンネルから削除するパッケージ名 (または正規表現) をコンマで区切った一覧です (すべてのパッケージが削除可能です)。 |
| -d TO_DATE, --to_date=TO_DATE | 指定した日付に対してエラータのクローンを作成します (YYYY-MM-DD)。 オリジナルのパッケージとオリジナルのチャンネル作成日から指定した TO_DATE パラメータまでの間にリリースされたエラータのクローンを作成することができます。 指定した TO_DATE 期間内の時間ベースのチャンネルスナップショットを取得することができます。 |
| -y, --assumeyes | 入力を求めるプロンプトに対しすべて自動的に「yes」にします。 ユーザー介入を必要としないクローン作成に使用できます。 |
| -m, --sample-config | サンプルの設定ファイルを出力して終了します。 |
| -k, --skip_depsolve | すべての依存関係の解決を省略します (非推奨)。 |
| -v, --validate | 指定したリポジトリセットで repoclosure を実行します。 |
| -g, --background | バックグラウンドでエラータのクローン作成を行います。クローン作成が終了するまでのプロンプトの返りが早くなります。 |
| -o, --security_only | セキュリティ関連のエラータ (およびその依存パッケージ) のみをクローン作成します。 このコマンドを --to_date コマンドと併用すると、 指定日または指定日より前にリリースされたセキュリティ関連のエラータのみをクローン作成することができます。 |
4.3. 使用例
以下の例では、 2012年1月1日時点の
rhel-i386-server-5 チャンネルを my-clone-RHEL-5 という名前のチャンネルにクローン作成します。
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01
以下の例では、 2012年1月1日またはそれ以前にリリースされたセキュリティ関連のエラータのみをクローン作成し、 カーネルの更新や vim 拡張パッケージについてはすべて無視します。 また、 このコマンドは Satellite 上でバックグラウンドでクローン作成プロセスを実行します。
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01 --security_only --background --blacklist=kernel,vim-extended --assumeyes
第5章 モニタリング
Red Hat Network Satellite サーバーには異なるコンポーネントが数多く含まれ、 それらの多くがモニタリング可能です。 本章では、 システムのさまざまな領域でモニタリング操作を行う方法について簡単に説明していきます。
手順5.1 表領域をモニタリングする
- Oracle データベースでは、 表領域に十分な空き容量があるかどうかを定期的に点検することが重要になります。 まず、
Oracleユーザーに切り替えてから、db-control reportコマンドを発行します。su - oracle db-control report Tablespace Size Used Avail Use% DATA_TBS 4.8G 3.9G 996M 80% SYSTEM 250M 116M 133M 46% TOOLS 128M 3M 124M 2% UNDO_TBS 1000M 61M 938M 6% USERS 128M 64K 127M 0%
- 表領域が満杯になった場合は、
db-control extendコマンドに拡張する表領域の名前を付けて使用すると拡張を行うことができます。db-control extend tablespace
手順5.2 Red Hat Network Satellite サーバーのプロセスをモニタリングする
- Satellite プロセスが正しく動作しているか確認する場合は、
rhn-satellite statusのコマンドを使用します。rhn-satellite status
第6章 OpenSCAP
SCAP とは、 企業レベルの Linux インフラストラクチャを対象としたソリューションのチェックを行う標準コンプライアンスを指します。 NIST (National Institute of Standards and Technology) によって管理されている企業向けシステムのシステムセキュリティ保守に関する一連の規格になります。
Red Hat Network Satellite Server 5.5 では、 SCAP が OpenSCAP アプリケーションによって実装されます。 OpenSCAP は XCCDF (Extensible Configuration Checklist Description Format) を利用する監査ツールになります。 XCCDF はチェックリストの内容を表す標準的な方法で、 セキュリティチェックリストを定義します。 また、 CPE、 CCE、 OVAL などの他種類の規格を組み合わせて、 SCAP 検証された製品で処理が可能な SCAP 表現のチェックリストも作成します。
6.1. OpenSCAP の特長
OpenSCAP では Red Hat セキュリティレスポンスチーム (SRT) が提供するコンテンツを使ってパッチの有無を確認し、 システムのセキュリティ構成の設定をチェック、 標準や規格に基づいたルールでセキュリティ侵害の兆候がないかを検査します。
OpenSCAP を効率的に使用するための要件が 2 つあります。
- システム検証ツールが標準であることRed Hat Network Satellite サーバーは 5.5 版から OpenSCAP を監査機能として統合しています。 これにより Web インタフェースを使ったシステムのコンプライアンススキャンをスケジュールして表示させることが可能になります。
- SCAP のコンテンツSCAP のコンテンツは、 少なくとも XCCDF か OVAL を理解していればゼロから作成することができます。 代わりに別のオプションもあります。 XCCDF のコンテンツはオープンソースライセンスで頻繁にオンライン公開されるため、 ニーズに合わせてこのコンテンツをカスタマイズすることもできます。
注記
Red Hat ではテンプレートを使用したシステム評価に対応しています。 ただし、 こうしたテンプレートのカスタムなコンテンツオーサリングについては対応していません。こうしたグループの例をいくつか示します。- The United States Government Configuration Baseline (USGCB) - RHEL5 デスクトップ向け — っ米国連邦機関内のデスクトップ向け公式 SCAP コンテンツです。 OVAL を使用し、 Red Hat, Inc および国防総省 (DoD) との協同のもと NIST で開発されました。
- コミュニティ提供によるコンテンツ
- SCAP Security Guide - RHEL6 向け — アクティブなコミュニティにより運営されるコンテンツで、 USGCB 要件や広く認められているポリシーをソースとし、 デスクトップやサーバー、 FTP サーバーなどのプロファイルが含まれています。
- OpenSCAP コンテンツ - RHEL6 向け — Red Hat Enterprise Linux 6 のオプションチャンネルから取得できる openscap-content パッケージでは、 テンプレートを使った Red Hat Enterprise Linux 6 システム向けのデフォルトコンテンツのガイダンスを提供しています。
SCAP はシステムセキュリティの保守を目的として作成されたため、 使用される標準はコミュニティや企業ビジネスなどのニーズに対応するため継続的に変化していきます。 整合性があり繰り返しが可能なリビジョンのワークフローを提供するため、 新しい規格は NIST の SCAP リリースサイクル で管理されています。
6.2. Red Hat Network Satellite 内の OpenSCAP
6.2.1. 前提条件
パッケージに関する要件
SCAP には次のようなパッケージが必要です。
- サーバー用: Red Hat Network Satellite 5.5
- クライアント用: spacewalk-oscap パッケージ (RHN Tools 子チャンネルから取得可)
エンタイトルメントに関する要件
スキャンのスケジュールに Management エンタイトルメントが必要です。
その他の要件
クライアント用: XCCDF コンテンツのクライアントマシン群への配信
クライアントのマシンへの XCCDF コンテンツの配信は次の方法で行うことができます。
- 従来の方法 (CD、 USB、 nfs、 scp、 ftp)
- Satellite のスクリプト
- RPMSCAP コンテンツを他のマシンに配信する場合はカスタムの RPM を使用する方法を推奨します。 RPM パッケージはその完全性を保証するために署名を行い、 検証させることができます。 RPM のインストール、 削除、 検証はユーザーインターフェースで管理することができます。
6.2.2. 監査スキャンを行う
Red Hat Network Satellite サーバーでの OpenSCAP の統合により、 クライアントシステム上で監査スキャンを行うことができるようになります。 このセクションでは 2 種類の方法について説明しています。
手順6.1 Web インターフェースを使ったスキャン
Satellite Web インターフェースを使ってスキャンを行う場合
- Satellite Web インターフェースにログインします。
- → の順でクリックします。
- → の順でクリックします。
新規の XCCDF スキャンをスケジュールのフォームを入力します。- コマンドラインの引数: このフィールドには oscap ツール用に引数を追加することができます。 使用できる引数は以下の 2 種類のみです。
--profile PROFILE— XCCDF ドキュメントから特定のプロファイルを選択します。 プロファイルは XCCDF の xml ファイルで確定され、Profile idタグを使ってチェックできます。 例を示します。Profile id="RHEL6-Default"
注記
OpenSCAP には --profile コマンドライン引数を付けないとスキャンが失敗してしまうバージョンがあります。--skip-valid— 入力や出力のファイルの検証を行いません。 XCCDF コンテンツが適切な形式で構成されていない場合はこの引数を選ぶとファイル検証のプロセスを回避することができます。コマンドライン引数を何も渡さないとデフォルトのプロファイルが使用されます。 - XCCDF ドキュメントへのパス: 必須フィールドになります。
pathパラメータでクライアントシステム上のコンテンツの場所をポイントします。 たとえば、/usr/local/scap/dist_rhel6_scap-rhel6-oval.xmlなどです。警告
xccdf コンテンツは検証が行われたあと、 リモートシステムで実行されます。 無効な引数を指定すると spacewalk-oscap による検証や実行が失敗する可能性があります。 セキュリティ対策上、 「osccap xccdf eval」コマンドが受け取るのは限られたパラメータセットのみになります。
rhn_checkを実行して、 クライアントシステムで動作が正しく拾われるか確認します。rhn_check -vv
注記
代わりに、rhnsdやosadがクライアントシステムで実行している場合には、動作はこれらのサービスによって拾われます。 これらのサービスが実行しているか確認します。service rhnsd start
またはservice osad start
スキャンの結果を表示させる方法については 「SCAP の結果を表示させる方法」 を参照してください。
図6.1 Web UI を使ってスキャンをスケジュールする
手順6.2 API を使ったスキャン
API を使った監査スキャンを実行する場合
- 既存するスクリプトを選択するか、 フロントエンドの API
system.scap.scheduleXccdfScanを使ってシステムスキャンのスケジュールを行うスクリプトを作成します。スクリプトの例#!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')場所:- 1000010001 は
system ID (sid)です。 /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xmlはパスのパラメータです。 クライアントシステム上のコンテンツの場所をポイントします。 この場合、/usr/local/share/scapディレクトリ内の USGSB コンテンツと仮定しています。--profile united_states_government_configuration_baselineは oscap ツールの追加引数を表します。 この場合、 USCFGB を使用しています。
- いずれかのシステムのコマンドラインインターフェースでスクリプトを実行します。 このシステムには適切な python ライブラリと xmlrpc ライブラリをインストールしておく必要があります。
rhn_checkを実行して、 クライアントシステムで動作が正しく拾われるか確認します。rhn_check -vv
注記
代わりに、rhnsdやosadがクライアントシステムで実行している場合には、動作はこれらのサービスによって拾われます。 これらのサービスが実行しているか確認します。service rhnsd start
またはservice osad start
6.2.3. SCAP の結果を表示させる方法
終了したスキャンの結果を表示させる方法は 3 通りあります。
- Web インタフェースを使う方法、 スキャンを実行するとその結果はシステムの タブに表示されるはずです。 このページについては 「OpenSCAP Satellite のページ」 で説明しています。
- ハンドラーの
system.scapで API 関数を使う方法 - Satellite の
spacewalk-reportsツールを使う方法、 次のコマンドを実行します。# /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results
6.2.4. OpenSCAP Satellite のページ
次のセクションでは、 OpenSCAP を含む Red Hat Network Satellite Web UI 内のタブについて説明していきます。
6.2.4.1. 監査
上部ナビゲーションバーの 監査 タブは Red Hat Network Satellite Server 5.5 の OpenSCAP 機能に関する包括的なページになります。 このタブをクリックすると、 完了した OpenSCAP のスキャンの表示、 検索、 そして比較などを行うことができます。
- →
- 全スキャン は、 監査 タブを選択すると表示されるデフォルトのページです。 このページでは、 操作しているユーザーが表示できるパーミッションを有している OpenSCAP スキャンで完了したスキャンをすべて表示します。 スキャンのパーミッションはシステムのパーミッションからきています。
図6.2 監査 ⇒ 全スキャン
各スキャンに対して次の情報が表示されます。- システム
- スキャンの対象システム
- XCCDF プロファイル
- 評価を行ったプロファイル
- 完了
- 完了した時間
- 合格
- 合格したルール数 (評価の結果が合格または修正済みになる場合そのルールは合格とみなされます)
- 不合格
- 不合格になったルール数 ( 評価の結果が失敗になる場合そのルールは不合格とみなされます)
- 不明
- 評価に失敗したルール数 (評価の結果がエラー、 または不明、 チェックされていませんなどになる場合そのルールは不明とみなされます)
また、 XCCDF ルールの評価では 情報、 適用できません、 選択されていません のような状態も返します。 このような場合、 ルールはこのページの統計には含まれません。 詳細については → をご覧ください。 - →
- XCCDF 差分は、 2 つの XCCDF スキャンの比較を視覚化するアプリケーションです。 2 つのスキャンのメタデータの他、 結果の一覧を表示します。
図6.3 監査 ⇒ XCCDF 差分
スキャンの一覧 ページでアイコンをクリックすると同じようなスキャンの差分に直接アクセスできます。 また、 ID を指定して任意のスキャンの差分を取得することもできます。比較スキャンのいずれか一つにしか表示されないアイテムは「変動」しているとみなされます。 変動アイテムは常にベージュ色で強調表示されます。 比較モードは 3 種類あります。 完全比較 は全スキャンアイテムを表示します。 変更された項目のみ は変更があったアイテムを表示します。 変更がない項目のみ は変更がないまたは同じアイテムを表示します。 - →
- 以下のように、 検索ページでは指定した基準に沿ってスキャンの検索を行うことができます。
- ルールの結果
- 対象マシン
- スキャンの時間枠
図6.4 監査 ⇒ 高度な検索
検索で返されるのは結果内に含まれるスキャン一覧または結果一覧のいずれかです。
6.2.4.2. → →
このタブとサブタブでは、 システムのコンプライアンススキャンをスケジュールしたり表示させたりすることができます。 スキャンは NIST 標準の SCAP (Security Content Automation Protocol) を実装する SCAP ツールで行います。 システムのスキャンを行う場合は、 SCAP コンテンツの準備が整い、 「前提条件」 に記載されている要件がすべて満たされていることを確認してください。
- → → →
図6.5 システム ⇒ システムの詳細 ⇒ 監査 ⇒ スキャンの一覧のスキャン結果
このサブタブにはシステム上で完了した全スキャンの要約が表示されます。 コラムの詳細は以下の通りです。表6.1 OpenSCAP スキャンのラベル
コラムのラベル 定義 Xccdf のテスト結果 スキャンの結果詳細へのリンクになっているスキャンテストの結果の名前 完了 スキャンが終了した正確な時間 コンプライアンス 標準的な使用に基づくコンプライアンスの加重のない合格/不合格の配分 P 合格のチェック数 F 不合格のチェック数 E スキャン中に発生したエラー数 U 不明 N このマシンには適用不可 K チェックされていない S 選択されていない I 情報 X 修正済み 合計 チェック合計数 各行の先頭には、 前回行った同様のスキャンと比較した結果を示すアイコンが表示されています。 アイコンで示す最新スキャンの結果は以下のいずれかになります。
— 前回のスキャンと比較して違いなし
— 偶然による違い
— 深刻な違い、 前回のスキャンに比べ不合格が増加しているまたは合格が少ない
— 比較できるスキャンが見つからなかったため、 比較は行われなかった
- → → →
- このページには単一スキャンの結果が表示され、 2 セクションに別れています。
- XCCDF スキャンの詳細次のような項目が表示されます。
- ファイルパスの全般情報
- 使用されたコマンドラインの引数
- スケジュールを行ったユーザー
- ベンチマークの識別子とバージョン
- プロファイルの識別子
- プロファイルのタイトル
- 開始と完了の時間
- エラー出力
- XCCDF ルールの結果ルールの結果では、 XCCDF ルール識別子の全一覧が表示され、 各ルール結果のタグと結果を確認することができます。 この一覧は特定の結果でフィルターをかけることができます。
- → → →
- このサブタブで新規のスキャンをスケジュールすることができます。 スキャンを行うシステム上の XCCDF ドキュメントへのパスと共に追加のコマンドライン引数を与えることができます。 「
これ以降にスケジュールする」のパラメータに応じて、 次にスケジュールされている Satellite サーバーとのチェックインでスキャンが行われます。 Satellite web インターフェースを使ってスケジュールを行う方法については、 本章の 手順6.1「Web インターフェースを使ったスキャン」 のセクションを参照してください。
第7章 PAM 認証
Red Hat Network Satellite サーバー は、Pluggable Authentication Modules (PAM) を使用したネットワークベースの認証システムに対応しています。 PAM とは複数のライブラリのセットで、 システム管理者が Red Hat Network Satellite サーバー に集中型の認証メカニズムを統合する際に利用されます。 PAM を使った統合により複数のパスワードを覚えておく必要がなくなります。
LDAP、 Kerberos、 Directory Server、 その他のネットワークベースの認証システムなどで PAM を使用することができます。 本章では、 企業の認証インフラストラクチャで PAM を動作させるための設定方法について簡単に説明していきます。
手順7.1 PAM 認証を設定する
selinux-policy-targetedパッケージの最新バージョンが手元にあることを確認してください。# yum update selinux-policy-targeted
- 以下のように、
allow_httpd_mod_auth_pamの SELinux boolean をセットします。# setsebool -P allow_httpd_mod_auth_pam 1
- テキストエディタで
/etc/rhn/rhn.confファイルを開いて以下の行を追加します。/etc/pam.d/rhn-satelliteに PAM サービスのファイルが作成されます。pam_auth_service = rhn-satellite
- 認証を設定するには、 テキストエディタで
/etc/pam.d/rhn-satelliteサービスファイルを開いて適切なルールを追加します。 PAM の設定についての詳細は、 『Red Hat Enterprise Linux 導入ガイド』 の 『Pluggable Authentication Modules (PAM)』 の章を参照してください。
注記
Red Hat Network Satellite サーバーで PAM の使用を開始する前に、 まず PAM 認証が正しく動作することを確認します。
例7.1 Red Hat Enterprise Linux 5 i386 システム上の Kerberos で PAM を使用する
この例では、 Red Hat Enterprise Linux 5 i386 システムの Kerberos 認証 で PAM を有効にしています。
テキストエディタで
/etc/pam.d/rhn-satellite サービスファイルを開いて以下のルールを追加します。
#%PAM-1.0 auth required pam_env.so auth sufficient pam_krb5.so no_user_check auth required pam_deny.so account required pam_krb5.so no_user_check
Kerberos 認証しているユーザーの場合は
kpasswd でパスワードの変更を行います。 Red Hat Network web サイトでパスワードの変更は行わないでください。 この方法は Satellite サーバー上のローカルのパスワードの変更を行うだけです。 ユーザーに対して PAM が有効になっているとローカルのパスワードは使用されません。
例7.2 LDAP で PAM を使用する
この例では、 LDAP 認証で PAM を有効にしています。
テキストエディタで
/etc/pam.d/rhn-satellite サービスファイルを開いて以下のルールを追加します。
#%PAM-1.0 auth required pam_env.so auth sufficient pam_ldap.so no_user_check auth required pam_deny.so account required pam_ldap.so no_user_check
第8章 RPM
自動インストールの一環として、 管理者はバックアップやモニタリングのソフトウェアなど Red Hat では提供していないカスタムのアプリケーションを導入することがよくあります。 これを行うためには、 ソフトウェアが RPM としてパッケージ化されていなければなりません。 RPM をビルドする環境は Red Hat Enterprise Linux を稼働しているシステム上に設定することができます。 ビルドを行うシステムには、 目的とするシステム内で使用するパッケージと同じバージョンのパッケージを持たせる必要があるので注意してください。 つまり、 Red Hat Enterprise Linux 5 ベースのシステム用に RPM をビルドする場合は、 ビルドを行うシステムにも Red Hat Enterprise Linux 5 を使用する必要があるということです。 同様に、 Red Hat Enterprise Linux 6 用に RPM をビルドするなら、 ビルドを行うシステムには Red Hat Enterprise Linux 6 を使用しなければなりません。
最低条件として、 ビルドシステムには
rpm-build パッケージをインストールしておく必要があります。 コンパイラやライブラリなどその他のパッケージも必要となる場合があります。
実稼働環境対応の RPM パッケージは GPG キーで署名してください。 ユーザーがパッケージの出所や完全性を確認することができるようになります。 RPM の署名に使用する GPG キーのパスフレーズは信頼できる管理者グループ以外にはわからないようにしてください。
手順8.1 GPG キーを作成する
重要
以下のコマンドで GPG キーの作成が開始され、 クライアントシステムへの配布に適した形式でのキーのエクスポートが行われます。 作成されたキーは安全な場所に保管し、 バックアップをとっておいてください。
- キーを作成するためのディレクトリを作成します。
mkdir -p ~/.gnupg
- キーペアを生成します。
gpg --gen-key
キーの種類、サイズ、有効期間を選択する必要があります (デフォルト値を利用する場合は enter を押す)。 また、 名前、 コメント、 電子メールアドレスも指定する必要があります。Real name: rpmbuild Email address: rpmbuild@example.com Comment: this is a comment You selected this USER-ID: "rpmbuild (this is a comment) <rpmbuild@example.com>" Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?O キーを押して詳細を承認し続行します。 - すべてのキーとそのフィンガープリントを表示させます。
gpg --list-keys --fingerprint
- キーのエクスポート
gpg --export --armor "rpmbuild <rpmbuild@example.com>" > EXAMPLE-RPM-GPG-KEY
- root として
gpg --importのコマンドを全システムで実行すると、 RPM データベースにこのキーがインポートされ、 RPM の出所と完全性の確認が行えるようになります。rpm --import EXAMPLE-RPM-GPG-KEY
これはクライアントのインストール中に自動的に行われるため、 手動で実行する必要はないはずです。 - RPM の作成が完了したら、 GPG キーで署名して該当チャンネルにアップロードします。
rpm --resign package.rpm rhnpush --server=http[s]://satellite.server/APP package.rpm --channel=custom-channel-name
- RPM パッケージを検証するには、 パッケージが格納されているディレクトリに行き以下のコマンドを実行します。
rpm –qip package.rpm rpm -K package.rpm
手順8.2 RPM をビルドする
- パッケージをビルドするために
rpmbuildという名前の特権のないユーザーアカウントを作成します。 これにより、 複数の管理者がビルド環境と GPG キーを共有できるようになります。 rpmbuildユーザーのホームディレクトリとなる/home/rpmbuild内に.rpmmacrosという名前のファイルを作成します。touch /home/rpmbuild/.rpmmacros
- テキストエディタで
.rpmmacrosのファイルを開いて以下の行を追加します。_gpg_nameは RPM の署名に使用した GPG キー名と一致する必要があります。%_topdir %(echo $HOME)/rpmbuild %_signature %gpg %_gpg_name rpmbuild <rpmbuild@example.com>
定義した最上位のディレクトリのレイアウトは (上記の例では/home/rpmbuild/rpmbuild)、/usr/src/redhat配下のディレクトリレイアウトと同じでなければなりません。
例8.1 RPM spec ファイル
以下は、 RPM spec ファイルの基本的な一例です。 ビルドを行う際、 このファイルはユーザーの
.rpmmacros ファイル内で定義されているように _topdir 下の SPECS ディレクトリ内になければなりません。 また対応するソースファイルとパッチファイルは SOURCES ディレクトリ内になければなりません。
Name: foo
Summary: The foo package does foo
Version: 1.0
Release: 1
License: GPL
Group: Applications/Internet
URL: http://www.example.org/
Source0 : foo-1.0.tar.gz
Buildroot: %{_tmppath}/%{name}-%{version}-%{release}-root
Requires: pam
BuildPrereq: coreutils
%description
This package performs the foo operation.
%prep
%setup -q
%build
%install
mkdir -p %{buildroot}/%{_datadir}/%{name}
cp -p foo.spec %{buildroot}/%{_datadir}/%{name}
%clean
rm -fr %{buildroot}
%pre
# Add user/group here if needed
%post
/sbin/chkconfig --add food
%preun
if [ $1 = 0 ]; then # package is being erased, not upgraded
/sbin/service food stop > /dev/null 2>&1
/sbin/chkconfig --del food
fi
%postun
if [ $1 = 0 ]; then # package is being erased
# Any needed actions here on uninstalls
else
# Upgrade
/sbin/service food condrestart > /dev/null 2>&1
fi
%files
%defattr(-,root,root)
%{_datadir}/%{name}
%changelog
* Mon Jun 16 2003 Some One <one@example.com>
- fixed the broken frobber (#86434)
第9章 ブートデバイス
自動インストール (または キックスタート) は効率的なシステムのプロビジョニングに欠かせません。 本章では、 クライアントのキックスタートに使用する様々なタイプのブートメディアを作成する方法について説明します。
プロビジョニングにキックスタートを使用する方法については 『Red Hat Network Satellite サーバーのスタートガイド』 を参照してください。
Red Hat Enterprise Linux CD のブートイメージとなる
boot.iso はブートデバイスの作成に必須の要件です。 このイメージがシステムのどこにあるのかを確認して、 その場所を書き留めておきます。
手順9.1 CD のブートメディア
注記
以下で使用するバックスラッシュ「
\」はコマンドが一行で構成されているためシェルプロンプトでも改行せず一行として入力するという意味です。
- ブートイメージ用の作業ディレクトリを作成します。
mkdir -p temp cd/isolinux
- ブートイメージを
tempディレクトリにマウントします。mount -o loop boot.iso temp
- CD ブートメディアデバイスに必要なファイルを上記で作成したディレクトリにコピーします。
cp -aP temp/isolinux/* cd/isolinux/
tempディレクトリをアンマウントし、cdディレクトリのパーミッションをユーザーに対して読み取りと書き込みに変更します。umount temp chmod -R u+rw cd
./cdディレクトリに移動します。cd ./cd
/usr/lib/syslinux/menu.c32ファイルを CD にコピーします。cp -p /usr/lib/syslinux/menu.c32 isolinux
- テキストエディタで
isolinux/isolinux.cfgファイルを開いて以下の行を追加します。mkisofs -o ./custom-boot.iso -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot \ -boot-load-size 4 -boot-info-table -J -l -r -T -v -V "Custom RHEL Boot" .
- 必要に応じて、 CD による起動用に
isolinux.cfg内のブートパラメータとターゲットをカスタマイズします。 - 詳細を CD に焼き付けたら手順は終了です。
手順9.2 PXE ブート
- ブートイメージ用の作業ディレクトリを作成します。
mkdir -p temp pxe/pxelinux.cfg
- ブートイメージを
tempディレクトリにマウントします。mount -o loop boot.iso temp
- PXE ブートデバイスに必要なファイルを上記で作成したディレクトリにコピーします。
cp -aP temp/isolinux/* pxe/
tempディレクトリをアンマウントし、cdディレクトリのパーミッションをユーザーに対して読み取りと書き込みに変更します。umount temp chmod -R u+rw pxe
/pxeディレクトリに移動します。cd ./pxe
/usr/lib/syslinux/menu.c32ファイルを/pxeディレクトリにコピーします。cp -p /usr/lib/syslinux/menu.c32 .
isolinux.cfgファイルをpxelinux.cfg/defaultに移動します。mv isolinux.cfg pxelinux.cfg/default
- 一時ファイルを削除します。
rm -f isolinux.bin TRANS.TBL
/usr/lib/syslinux/pxelinux.0ファイルを/pxeディレクトリにコピーします。cp -p /usr/lib/syslinux/pxelinux.0 .
- テキストエディタで
pxelinux.cfg/defaultファイルを開いて PXE ブートに必要なブートパラメータやターゲットをカスタマイズします。
手順9.3 USB ブートメディア
警告
root としてこれらのコマンドを実行する際には (最も重要な部分で必要とされます)、極めて慎重に行ってください。これらのコマンドは、デバイスファイルにアクセスするため、システムが回復不可能なダメージを受ける可能性があります。以下の例では、マウントに
/dev/loop0 を使用しています。losetup -f のコマンドを使用すると、どれが正しいデバイスかを確認することができます。
- ブートイメージ用の作業ディレクトリを作成します。
mkdir -p temp usb/extlinux
- ブートイメージを
tempディレクトリにマウントします。mount -o loop boot.iso temp
- USB メディアブートデバイスに必要なファイルを上記で作成したディレクトリにコピーします。
cp -aP temp/isolinux/* usb/extlinux/
tempディレクトリをアンマウントし、cdディレクトリのパーミッションをユーザーに対して読み取りと書き込みに変更します。umount temp chmod -R u+rw usb
/usbディレクトリに移動します。cd ./usb
/usr/lib/syslinux/menu.c32ファイルをextlinux/ディレクトリにコピーします。cp -p /usr/lib/syslinux/menu.c32 extlinux/
extlinux/isolinux.cfgファイルをextlinux/extlinux.confに移動します。mv extlinux/isolinux.cfg extlinux/extlinux.conf
- 一時ファイルを削除します。
rm -f extlinux/isolinux.bin extlinux/TRANS.TBL
custom-boot.imgファイルを変換して、コピーします。dd if=/dev/zero of=./custom-boot.img bs=1024 count=30000
- ループバックデバイスをマウントするための正しい場所を確認します。
losetup -f /dev/loop0
ブートイメージを使用して、ループバックデバイスを設定します。losetup /dev/loop0 ./custom-boot.img
fdiskユーティリティを開きます。fdisk /dev/loop0
デバイス上にブート可能なプライマリパーティションをひとつ作成します。 次のキーの組み合わせを押すと作成することができます。 n p 1 Enter Enter a 1 p w- マスターブートレコード (MBR) をループバックデバイスにコピーします。
dd if=/usr/lib/syslinux/mbr.bin of=/dev/loop0
- ループバックデバイスにパーティションマップを追加します。
kpartx -av /dev/loop0
- ファイルシステムを作成します。
mkfs.ext2 -m 0 -L "Custom RHEL Boot" /dev/mapper/loop0p1
- デバイスをマウントします。
mount /dev/mapper/loop0p1 temp
- 一時的なファイル群を削除します。
rm -rf temp/lost+found
extlinux/ディレクトリを一時ディレクトリにコピーします。cp -a extlinux/* temp/
- ブートローダを一時ディレクトリにインストールします。
extlinux temp
- 一時ディレクトリをアンマウントします。
umount temp
- ループバックデバイス上のパーティションマップを削除します。
kpartx -dv /dev/loop0
- ループバックデバイスを削除します。
losetup -d /dev/loop0
ファイルシステムの変更を同期します。sync
- テキストエディタで
extlinux.confファイルを開いて USB ブートに必要なブートパラメータとターゲットをカスタマイズします。 - イメージを USB デバイスに移動したら手順は完了です。 デバイスを挿入して、
dmesgのコマンドを実行しマウントの場所を確認します。 この例では/dev/sdbになります。USB デバイスをアンマウントします。umount /dev/sdb
イメージを USB デバイスにコピーします。dd if=./custom-boot.img of=/dev/sdb
第10章 組織
各配備を系統別に準備した入れ物に区分することができます。 この入れ物 (つまり 組織) を活用してシステムの用途や所有権、 配備されているコンテンツ別に分けて保守を行うことができます。
Red Hat Network Satellite ひとつで複数の 組織 の作成そして管理に対応しています。 異なるグループのシステム群、 コンテンツ、 サブスクリプションなどを区分することができます 本章では、 複数の組織の作成と管理に関する基本的な概念および作業について要約しています。
組織 の Web インターフェースでは、 管理者による複数の Satellite 組織の表示、 作成、 管理が可能です。 Satellite の管理者は異なる組織を横断してソフトウェアやシステムのエンタイトルメントを割り当てることができます。 また、 任意の組織によるシステム管理作業へのアクセス権を制御することもできます。
新しい組織を作成してその組織用の管理者やエンタイトルメントの割り当てを行うのが Satellite 管理者です。 担当する組織のグループ、 システム、 およびユーザーの割り当てを行うのが組織の管理者です。 こうした分担を行うことにより、 組織単位の管理作業は他の組織に影響を与えることなくその組織の管理者で行うことができるようになります。
図10.1 管理
組織 のページには、Satellite 全体での組織一覧が表示され、 各組織に割り当てられたユーザー数とシステム数も表示されます。 組織 のページには、 組織間で確立している「信頼」がある場合には 信頼 のページも備わっています。
10.1. 組織を作成する
手順10.1 組織を作成する
- 新規の組織を作成する場合は、 メニューを開いて => の順で選択します。
図10.2 新規の組織を作成
- 所定のテキストボックスに、組織名を入力します。この名前は、3 〜 128 文字にしてください。
- 以下のような情報を入力して組織の管理者を作成します。
- 組織管理者用の 希望のログイン を 3 〜 128 文字の長さで入力します。 組織管理者のアカウント名にはその組織の管理ログイン名と一致する、 わかりやすい名前にすることをお勧めします。
- 希望のパスワード を作成し、そのパスワードを 確認 します。
- 組織管理者の Email アドレスを入力します。
- 組織管理者の ファーストネーム (名前) と ラストネーム (苗字) を入力します。
- のボタンをクリックして、プロセスを完了します。
新規組織の作成が完了すると、組織 のページの一覧に新規組織が表示されます。
Satellite 管理者の方には、
organization 1 の組織管理者アカウントを Satellite 管理用に確保しておくことをお勧めします。 必要が生じた場合、 組織へのログインが可能になります。
重要
Red Hat Network Satellite に PAM 認証が設定されている場合は、 新しい組織の Satellite 管理用の組織管理者アカウントに PAM アカウントを使用するのは避けてください。 代わりに、 組織管理者用に Satellite ローカルのアカウントを作成し、 Satellite ログイン用の PAM 認証アカウントは別途あまり特権を持たせずに確保します。 間違った操作を行ってしまう可能性が高いため、 この方法によりユーザーが上位の権限持ったアカウントで Red Hat Network Satellite にログインしないようにします。
10.2. 複数のエンタイトルメントを管理する
新規の組織を作成したら、 その組織へのエンタイトルメントの割り当てが重要な作業となります。 Management や Provisioning といったシステムエンタイトルメントが各システムに必要になります。 また、 カスタムチャンネル以外のチャンネルを使用するシステムには
rhel-server や rhn-tools などのチャンネルエンタイトルメントも必要になります。 Management エンタイトルメントは組織が正しく機能するための基本要件です。 組織に割り当てられる Management エンタイトルメントの数は、 Red Hat Network Satellite 上でその組織に登録できるシステムの最大数と同じであり、 使用可能な Software エンタイトルメント数には関係ありません。 例えば、 Red Hat Enterprise Linux の Client エンタイトルメントは合計で 100 個あるけれど組織で使用できる Management エンタイトルメントは 50 個しかない場合、 その組織に登録できるシステム数は 50 システムのみになります。
また、 Red Hat Network Tools ソフトウェアチャンネルのエンタイトルメントも各組織に付与する必要があります。 Red Hat Network Tools チャンネルには、 Satellite の機能拡張に必要な各種のクライアントソフトウェアが含まれています。 これには、 設定管理やキックスタートのサポートに必要なクライアントソフトウェアの他、 Xen や KVM の仮想化ゲストのエンタイトルメント数が正しくカウントされるために必要な
rhn-virtualization パッケージなども含まれます。
サブスクリプション のインターフェースにアクセスするには、 メニューを開いて を選択します。一覧から組織を一つ選択して、 タブを選択します。
インターフェースで、ソフトウェアチャンネルエンタイトルメント のタブを開き、すべての組織のエンタイトルメントと使用状況を確認します。
Satellite 管理者は、 ソフトウェアチャンネルのエンタイトルメント タブ内の 組織 のタブで各組織が利用できるソフトウェアチャンネル数を調整することができます。 適切な数を (可能な値 に記載されている範囲内で) 入力して、 ボタンをクリックしこの値を変更します。
チャンネルエンタイトルメントは、通常 または Flex のいずれかになります。 Regular のエンタイトルメントはどのシステムにでも使用できます。 Flex のエンタイトルメントはサポートされている仮想化タイプのゲストとして検出されたシステムにのみ使用することができます。
注記
カスタムチャンネルを使用できるのは、 そのチャンネルを作成した組織管理者のみで、 使用できるのは組織内に限られます。 ただし、 チャンネルを共有させる予定のある複数の組織間で「組織の信頼」が確立されている場合を除きます。 組織の信頼については 「組織の信頼」 を参照してください。
組織 のタブには サブスクリプション+システムのエンタイトルメント のセクションもあり、以下のような情報が表示されます。
- 合計: Satellite 用のチャンネルエンタイトルメントの合計数
- 利用可能数量: 現在割り当てが可能なエンタイトルメントの数
- 使用: すべての組織で現在使用されているエンタイトルメントの数と割り当てられているエンタイトルメントの数との対比
例えば、合計 のコラムが 100 で、利用可能数量 のコラムが 70 の場合、30 のエンタイトルメントが組織に割り当てられていることになります。使用 のコラムには、これらの 30 の割り当て済みエンタイトルメントの中で、ベース組織以外の組織が現在使用しているエンタイトルメントの数が表示されます。使用 のコラムに 24 of 30 (80%) と表示されている場合、合計で 30 割り当てられているうち、24 のチャンネルエンタイトルメントが Satellite 組織 (
organization 1 以外) に分配されていることになります。
サブスクリプション のインターフェースで、ソフトウェアチャンネルエンタイトルメント のタブを選択し、すべての組織のエンタイトルメントと使用状況を確認します。その中の一つの組織をクリックして、その組織についての詳しい情報を提供する 詳細 のページを表示します。
- アクティブなユーザー: 組織内のユーザー数
- システム: 組織にサブスクライブしているシステムの数
- システムグループ: 組織にサブスクライブしているグループの数
- アクティベーションキー: 組織が利用可能なアクティベーションキーの数
- キックスタートプロファイル: 組織が利用可能なキックスタートプロファイルの数
- 設定チャンネル: 組織が利用可能な設定チャンネルの数
このページから、組織の削除 のリンクをクリックすると、組織を削除することができます。
10.3. 単一の組織内でのシステムの設定
組織の作成が完了し、必要なエンタイトルメントを割り当てたら、次に、システムを割り当てることができます。
特定の組織にシステムを登録するには、以下のような 2 つの基本的な方法があります。
- ユーザーネームとパスワードを使用した登録
- 指定の組織用に作成されたユーザー名とパスワードを入力すると、 システムがその組織に登録されます。 例えば、
user-123が Satellite 上の Central IT 組織のメンバーである場合、 任意のシステム上で以下のコマンドを実行するとそのシステムは Satellite 上の Central IT 組織に登録されます。rhnreg_ks --username=user-123 --password=foobar
注記
rhnreg_ks内の--orgidパラメータは、 Satellite の登録や Red Hat Network Satellite の複数組織のサポートとは 関係ありません。 - アクティベーションキーを使用した登録
- 組織のアクティベーションキーを使用してもシステムを登録することができます。 アクティベーションキーが作成された組織にシステムを登録します。 ユーザーにシステムの組織への登録を行わせる際にその組織へのログインアクセスは与えないようにしたい場合、 アクティベーションキーを使った登録方法が便利です。
rhnreg_ks --activationkey=21-myactivationkey
組織間でシステムを移行したい場合には、アクティベーションキーを使用したスクリプトで移行作業を自動化することもできます。注記
アクティベーションキーの先頭部分の文字は、 キーを所有する組織の ID 番号を示すのに使用されています。
10.4. 組織のユーザー
ユーザー のページには、 Satellite 上の全組織の全ユーザーの一覧が表示されます。
ユーザー のページには、組織に割り当てられたユーザーが一覧表示され、各ユーザーの本名、Email アドレス、ユーザーが組織の管理者であることを示すチェックマークが表示されます。
組織管理者である場合は、ユーザー名をクリックして、そのユーザーの ユーザーの詳細 のページを開くことができます。
注記
組織のユーザー詳細を編集する場合は、 組織管理者としてログインしている必要があります。 Satellite 管理者のロールでは組織のユーザー詳細の編集は許可されていません。 Satellite 管理者のロールで行えるのは、 Satellite 内の他のユーザーに Satellite 管理者のロールを割り当てることのみです。
10.5. 組織の信頼
組織は、組織の信頼関係を確立することによって、リソースを相互に共有することができます。組織の信頼は、Satellite 管理者によって定義され、組織管理者によって実装されます。複数の組織間で信頼が確立すると、各組織の組織管理者は必要最大限もしくは最小限のリソースを自由に共有することができるようになります。どのリソースを共有の対象とするか、信頼関係にある他の組織からの共有リソースの中でどれを使用するかは、各組織管理者が決定します。
各信頼関係は、他の組織の信頼関係とは異なり、一意的かつ相互排他的です。例えば、経理組織が財務組織を信頼し、かつ財務組織が施設組織を信頼する場合でも、経理組織と施設組織の間で別の信頼関係が定義されていない限りは、経理組織は施設組織を信頼することにはなりません。
図10.3 組織の信頼
手順10.2 組織の信頼の確立
Satellite 管理者は、次の手順に従って、複数の組織間の信頼を作成することができます。
- 管理 のメインページのメニューの 組織 のリンクをクリックします。
- 組織名を1 つクリックし、詳細 のページ内の 信頼 のタブをクリックします。
- 信頼 のタブには、 Red Hat Network Satellite 上にあるその他すべての信頼できる組織の一覧が表示されます。 組織が多すぎて一覧が見づらい場合は 組織別にフィルター のテキストボックスを使用して分類します。
- 現在の組織との組織の信頼に入れたい組織名の横のチェックボックスをクリックします。
- のボタンをクリックして、信頼を作成します。
組織の信頼が確立すると、組織は、信頼関係にある別の組織とカスタムソフトウェアチャンネルを共有できるようになります。チャンネル共有には 3 つのレベルがあり、これらを各チャンネルに適用してチャンネルアクセスを制限することができます。
- プライベート
- オーナー組織以外はチャンネルにアクセスできないようにします。
- 保護
- 自分で選択した特定の信頼する組織にチャンネルへのアクセスを許可します。
- 公開
- 信頼関係内にある全組織にカスタムチャンネルへのアクセスを許可します。
保護または公開のアクセスモードでコンテンツにアクセスすることを許可されている「信頼できる組織」は、 その組織のクライアントシステムが共有チャンネルからパッケージをインストールまたは更新できるようにすることができます。 以下のいずれかの状況が発生した場合には、サブスクリプションアクセスを失う場合があります。
- Satellite 管理者が信頼関係を削除した場合
- 組織管理者がチャンネルアクセスをプライベートに変更した場合
- 組織管理者がチャンネルアクセスをプライベートに変更したが、保護されたチャンネルの一覧内にサブスクライブしているシステムの組織を追加していない場合
- 組織管理者が共有チャンネルを直接削除した場合
- 組織管理者が共有している子チャンネルの親チャンネルを削除した場合
注記
Red Hat ソフトウェアチャンネルはすべてエンタイトルメントによって管理されています。 Red Hat チャンネルは、 そのチャンネルのエンタイトルメントを持つすべての組織で利用できるため、 組織管理者は Red Hat チャンネルを共有することはできません。 各組織に対してRed Hat ソフトウェアチャンネルのエンタイトルメントを割り当てるのは Satellite 管理者の役割になります。
手順10.3 システムを移行する
信頼関係にある組織は、ソフトウェアを共有できるのに加えて、
migrate-system-profile というユーティリティを使用して、他の信頼できる組織にシステムを移行することもできます。このユーティリティはコマンドラインで実行され、systemID と orgID を使用して移行対象のシステムと移行先の組織を指定します。Satellite 管理者は、信頼できる任意の組織から、信頼関係にある任意の別組織にシステムを移行することができますが、組織管理者の場合は、自分の組織から、信頼関係にある別組織にしかシステムを移行できません。
migrate-system-profile のコマンドを実行するには、 spacewalk-utils のパッケージをインストールしておく必要があります。 spacewalk-utils は通常、 Red Hat Network Satellite ではデフォルトでインストールされます。 組織で migrate-system-profile のコマンドを使用し任意のシステムの移行を行う場合、 移行元の組織のエンタイトルメントやチャンネルサブスクリプションは引き継がれません。 ただし、 システムの履歴は保持されるので、 新たな組織管理者はその履歴にアクセスして、 ベースチャンネルのサブスクライブやエンタイトルメントの付与といった残りの移行プロセスを簡素化することができます。
- 以下の形式を用いて、コマンドを実行します。
migrate-system-profile --satellite SATELLITE HOSTNAME OR IP --systemId=SYSTEM ID --to-org-id=DESTINATION ORGANIZATION ID
例えば、 財務部門 (OrgID 2 で Red Hat Network Satellite 内の組織として作成) ではワークステーション (SystemID 10001020) をエンジニアリング部門から移行したいが、 財務部門の管理者 には Red Hat Network Satellite サーバーへのシェルアクセスがないとします。 Red Hat Network Satellite のホスト名は satserver.example.com です。 この場合、 財務部門の組織管理者はシェルプロンプトから以下のように入力します。migrate-system-profile --satellite satserver.example.com --systemId=10001020 --to-org-id=2
このユーティリティは、次にユーザー名とパスワードを求めるプロンプトを表示します。 - これでRed Hat Network Satellite Web インターフェースにログインすると、システム のページでこのシステムを確認することができるようになります。 イベント タブにあるシステムの 履歴 ページに記載され組織に登録されている別のシステムのクライアントにベースチャンネルを割り当てしエンタイトルメントを付与すると移行プロセスが完了します。
図10.4 システムの履歴
- Satellite 管理者が複数のシステムを一度に移行する必要がある場合には、
migrate-system-profileの--csvのオプションを使用し移行対象のシステムをコンマで区切って並べプロセスを自動化することができます。CSV ファイルには、 以下のような形式で移行対象のシステムの ID と移行先の組織 ID が一行に記載されるはずです。systemId,to-org-id
例えば、systemIdが1000010000でto-org-idが3なら、 CSV ファイルは以下のような記載になります。1000010000,3 1000010020,1 1000010010,4
付録A 改訂履歴
| 改訂履歴 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 改訂 3-5.2.400 | 2013-10-31 | ||||||||
| |||||||||
| 改訂 3-5.2 | Fri Nov 30 2012 | ||||||||
| |||||||||
| 改訂 3-5.1 | Sun Nov 4 2012 | ||||||||
| |||||||||
| 改訂 3-5 | Wed Sept 19 2012 | ||||||||
| |||||||||
| 改訂 3-4 | Fri Aug 31 2012 | ||||||||
| |||||||||
| 改訂 3-3 | Fri Aug 24 2012 | ||||||||
| |||||||||
| 改訂 3-3 | Fri Aug 24 2012 | ||||||||
| |||||||||
| 改訂 3-2 | Fri Aug 24 2012 | ||||||||
| |||||||||
| 改訂 3-1 | Fri Aug 17 2012 | ||||||||
| |||||||||
| 改訂 3-0 | Thu Aug 9 2012 | ||||||||
| |||||||||
| 改訂 2-5 | Wed Aug 1 2012 | ||||||||
| |||||||||
| 改訂 2-0 | Fri Jul 6 2012 | ||||||||
| |||||||||
| 改訂 1-5 | Mon Aug 15 2011 | ||||||||
| |||||||||
| 改訂 1-4 | Mon Jun 20 2011 | ||||||||
| |||||||||
| 改訂 1-3 | Mon Jun 20 2011 | ||||||||
| |||||||||
| 改訂 1-2 | Wed Jun 15 2011 | ||||||||
| |||||||||
| 改訂 1-1 | Fri May 27 2011 | ||||||||
| |||||||||
| 改訂 1-0 | Fri May 6, 2011 | ||||||||
| |||||||||
| 改訂 0-15 | Thu May 5, 2011 | ||||||||
| |||||||||
| 改訂 0-14 | Mon May 2, 2011 | ||||||||
| |||||||||
| 改訂 0-13 | Fri Apr 29, 2011 | ||||||||
| |||||||||
| 改訂 0-12 | Mon Apr 18, 2011 | ||||||||
| |||||||||
| 改訂 0-11 | Mon Apr 18, 2011 | ||||||||
| |||||||||
| 改訂 0-10 | Mon Apr 18, 2011 | ||||||||
| |||||||||
| 改訂 0-9 | Thu Apr 14, 2011 | ||||||||
| |||||||||
| 改訂 0-8 | Wed Apr 13, 2011 | ||||||||
| |||||||||
| 改訂 0-7 | Wed Mar 23, 2011 | ||||||||
| |||||||||
| 改訂 0-6 | Mon Feb 19, 2011 | ||||||||
| |||||||||
| 改訂 0-5 | Fri Feb 18, 2011 | ||||||||
| |||||||||
| 改訂 0-4 | Mon Jan 10, 2011 | ||||||||
| |||||||||
| 改訂 0-3 | Fri Jan 7, 2011 | ||||||||
| |||||||||
| 改訂 0-2 | Wed Jan 5, 2011 | ||||||||
| |||||||||
| 改訂 0-1 | Tue Jan 4, 2011 | ||||||||
| |||||||||
| 改訂 0-0 | Tue Dec 21, 2010 | ||||||||
| |||||||||
索引
シンボル
- パスワード
- 変更する, ユーザーの管理
- マシンのクローンを作成する
- spacewalk-clone-by-date, マシンのクローンを作成する
- ユーザー, ユーザーの管理
- Email アドレスを変更する, ユーザーの管理
- パスワードを変更する, ユーザーの管理
- ロール, ユーザーの管理
- 停止, ユーザーアカウントの追加/停止/削除
- 削除 (Red Hat Network Satellite サーバーのみ), ユーザーアカウントの追加/停止/削除
- 追加, ユーザーアカウントの追加/停止/削除
- ユーザーのロール, ユーザーの管理
- 停止
- ユーザー, ユーザーアカウントの追加/停止/削除
- 削除
- ユーザー (Red Hat Network Satellite サーバーのみ), ユーザーアカウントの追加/停止/削除
- 前提条件
- OpenSCAP, 前提条件
- 特長, OpenSCAP の特長
- 監査する
- OpenSCAP, OpenSCAP
- 監査スキャン, 監査スキャンを行う
- OpenSCAP, 監査スキャンを行う
- 追加
- ユーザー, ユーザーアカウントの追加/停止/削除
A
- API
- 監査スキャン, 監査スキャンを行う
E
- Email アドレス
- 変更する, ユーザーの管理
O
- OpenSCAP, OpenSCAP, OpenSCAP の特長, 前提条件, 監査スキャンを行う
P
- PAM 認証
- 実装, PAM 認証
S
- Satellite 管理者, ユーザーの管理
- spacewalk-clone-by-date, マシンのクローンを作成する
法律上の通知
Copyright © 2011 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
