Red Hat Training

A Red Hat training course is available for Red Hat Satellite

2.3. 複数の組織の管理

Red Hat Satellite ひとつで 複数の組織 の作成および管理に対応しています。これにより、異なる組織または特定グループのシステム群、コンテンツ、およびサブスクリプションなどを区分することができます。本セクションでは、Red Hat Satellite 内での複数の組織の作成と管理に関する基本的な概念およびセットアップ作業について要約します。

2.3.1. Satellite の複数組織向け使用のモデリング

以下の例では、複数の組織 (multi-organization) 機能を使った 2 つのシナリオを示しています。まずは、追加組織を 1 つ作成し、これを限定的なシステムやユーザーのセットに試用することで、適用しようとしている組織のプロセスおよび方針に複数組織の Satellite が与える影響について十分に理解することが推奨されます。

2.3.1.1. 集中型管理の Satellite − 1 つの組織が複数の部署を持つ場合

以下の最初のシナリオでは、企業または他の組織内の 1 つの中央グループによって Red Hat Satellite の維持管理が行われています (「集中型管理の Satellite − 1 つの組織が複数の部署を持つ場合」 を参照してください)。「組織 1」 (Satellite の設定時に作成された管理組織) の Satellite 管理者は「組織 1」(「管理組織」) をソフトウェア、システムのサブスクリプション、エンタイトルメント用のステージングエリアとして扱います。
Satellite 管理者の責任には Satellite の設定 (Web インターフェースの 管理 部分で行える作業)、 追加の Satellite 組織の作成と削除、 ソフトウェア、 システムのサブスクリプション及びエンタイトルメントの割り当てと削除が含まれます。
この例では、追加の組織が企業内の複数の各部署にそれぞれマッピングされています。組織内の各部署を分割するレベルを決定する方法の 1 つとして、Red Hat Satellite と使用するために各部署が購入するサブスクリプションとエンタイトルメントを考えてみます。Satellite 内の複数の組織に対して集中型の制御を行う場合は、追加作成される各組織内にそれぞれ組織管理者アカウントを作成することにより、何らかの都合によりその組織にアクセスすることができます。
集中型管理の Satellite − 1 つの組織が複数の部署を持つ場合

図2.1 集中型管理の Satellite − 1 つの組織が複数の部署を持つ場合

2.3.1.2. 分散型管理 − 複数の第三者組織の場合

この例では、Satellite は中央のグループによって管理されていますが、各組織は Satellite の他の組織に対して互いに関連性や結び付きがなく別々に取り扱われます。各組織は、Satellite アプリケーション自体を管理するグループの顧客であるかも知れません。
同一企業のあらゆる部署となるサブの組織群で構成される Satellite は組織間でシステムやコンテンツの共有という点で優れた環境であるのに対し、この分散型の例では共有に適した環境とは言えません。 管理者は各組織に対して特定数のエンタイトルメントを割り当てることができます。 各組織はコンテンツに関するソフトウェアチャンネルのエンタイトルメントを持っていれば Satellite と同期している Red Hat の全コンテンツにアクセスできます。
ただし、任意の組織がカスタムのコンテンツをその組織にプッシュしても、そのコンテンツは他の組織では利用できません。コンテンツを各組織に再度プッシュしない限り、全組織あるいは選択した組織群に利用できるようなカスタムのコンテンツは提供できません。
このシナリオでは、Satellite 管理者がログインアクセスを得るため各組織にアカウントをひとつずつ確保したいとします 例えば、Satellite を使用して外部に向けて管理ホスティングサービスを提供する場合、その組織内のシステムにアクセスしてコンテンツをプッシュできるよう自分用のアカウントを確保することができます。
分散型 Satellite 管理 − 複数の部署から構成される組織

図2.2 分散型 Satellite 管理 − 複数の部署から構成される組織

2.3.1.3. 複数組織向け使用に関する推奨事項

複数組織向けの Satellite の管理に選択するモデルには関係なく、以下の推奨事項に留意してください。
管理組織 (組織 #1) は、以下を実行する場合を除き、どのような状況であってもシステムの登録や、ユーザーの作成に使用することは推奨できません。
  • 単一の組織向け Satellite として使用する。
  • Satellite が単一組織向け Satellite から複数組織向け Satellite に移行中である。
これは、以下の理由によります。
  1. 管理組織はエンタイトルメントに関連した特殊ケースとして扱われます。 Satellite にある他の組織でエンタイトルメントを追加したり削除したりすることによってのみ暗示的にこの管理組織に対するエンタイトルメントの追加または削除を行えます。
  2. 管理組織は、サブスクリプションやエンタイトルメント用のステージングエリアとなります。Satellite を新しい証明書に関連付けると、新しいエンタイトルメントがデフォルトでこの組織に与えられます。この新しいエンタイトルメントを Satellite 上の他の組織に使用できるようにするには、エンタイトルメントを管理組織から明示的に他の組織に割り当てる必要があります。
  3. Satellite サーバーには、Satellite 証明書にあるエンタイトルメントの数分のシステムを組み込むことができます。Satellite 上の各組織のエンタイトルメントの使用に関して評価を行い、各組織が適切に機能するために必要なエンタイトルメントの数を判断します。それぞれの組織管理者は、エンタイトルメントの制約に留意し、システムプロファイルを必要に応じて管理する必要があります。万一問題があった場合には、Satellite 管理者はエンタイトルメントに関する懸念を調整するために介入することができます。

    注記

    Satellite 管理者としてログインすると、組織に割り当て済みのエンタイトルメントを、組織がシステムプロファイルに正しく関連付けたエンタイトルメントの数よりも少なくすることができません。

2.3.2. 組織内のシステム群の設定

組織を作成し必要なエンタイトルメントを割り当てたら、システムを各組織に割り当てることができるようになります。
特定の組織に対してシステムを登録する場合、基本的方法が2つあります。
  1. ログインとパスワードを使用して登録する: 特定の組織用に作成したログインとパスワードを入力すると、その特定組織にシステムが登録されます。例えば、user-123 が Satellite 上の Central IT 組織のメンバーである場合、次のコマンドはいずれのシステムで使用してもそのシステムを Satellite の Central IT 組織に登録させることになります。
    # rhnreg_ks --username=user-123 --password=foobaz

    注記

    rhnreg_ks--orgid パラメーター (Red Hat Enterprise Linux 5 用) は、Satellite の登録や Red Hat Satellite の複数組織のサポートには関係ありません
  2. アクティベーションキーを使用して登録する: 組織のアクティベーションキーを使用してその組織にシステムを登録することもできます。アクティベーションキーはそのアクティベーションキーの作成元である組織へシステムを登録します。ユーザーに組織へのログインアクセスは与えずにその組織へのシステム登録を許可したい場合などに使用すると便利な登録方法です。組織間でシステムを移動したい場合も、アクティベーションキーを使用したスクリプトでシステムの移動を自動化することができます。

    注記

    アクティベーションキーは Red Hat Satellite 5.1.0 以降より新しい形式となり、アクティベーションキーの先頭の数文字がそのアクティベーションを所有する組織を表わすために使用されます (ID 番号)。

2.3.3. 組織の信頼の管理

組織は、Satellite 内に 組織の信頼関係 を確立することによって、リソースを相互に共有することができます。組織の信頼関係が双方向となる、つまり、Satellite 管理者が複数の組織間で信頼を確立すると、各組織の組織管理者は必要最大限または最小限のリソースを自由に共有することができるようになります。どのリソースを共有の対象とするか、信頼関係にある他の組織からの共有リソースの中でどれを使用するのかは、各組織管理者が決定します。

注記

カスタムのコンテンツを共有することができるのは組織管理者のみになります。 Satellite 管理者は各組織へのシステムとソフトウェアエンタイトルメントの割り当てを行うだけです。

2.3.3.1. 組織間の信頼の作成

Satellite 管理者は、複数の組織間に信頼を作成することができます。管理 のメインページでサイドメニューにある 組織 のリンクをクリックします。
複数ある組織の中の 1 つの組織の名前をクリックして 詳細 ページ内の 信頼 サブタブをクリックします。
信頼 サブタブ上には、Red Hat Satellite のすべての「信頼」が表示されます。ここで、組織別に分類 (Filter by Organization) テキストボックスを使用して表示させる組織数を目的のグループに絞り込みます。
現在の組織と組織間の信頼を持たせたい組織名の横のチェックボックスをクリックしてから 信頼の変更 ボタンをクリックします。

2.3.3.2. 「信頼」内の複数の組織間でのコンテンツチャンネルの共有

組織間の信頼を作成したら、カスタムのソフトウェアチャンネルなどのコンテンツを信頼関係にある他の組織と共有できるようになります。また、チャンネルのアクセスについて詳細な制御ができるよう各チャンネルに適用できるチャンネル共有レベルが 3 通りあります。

注記

Red Hat チャンネルはそのエンタイトルメントを有する全組織で利用できるため、組織間での共有はできません。
別の組織とカスタムチャンネルを共有するには、以下の手順を実行します。
  1. 組織管理者のユーザー名で Satellite にログインします。
  2. チャンネルソフトウェアチャンネルの管理の順にクリックします。
  3. 他の組織と共有したいカスタムチャンネルをクリックします。
  4. 詳細 ページの チャンネルアクセス制御 セクションには 組織の共有 (Organizational Sharing) 内に共有に関して 3 種類の選択肢があります。
    • プライベート - チャンネルをプライベートにすると、チャンネルの所有者以外はどの組織からもチャンネルにアクセスできなくなります。
    • 保護 - 選択した特定の信頼できる組織にチャンネルへのアクセスを許可します。

      注記

      保護 共有を選択すると、別のページが表示され アクセスを許可して確認 をクリックすることによって組織へのチャンネルのアクセス権を許可する確認が求められます。
    • パブリック (Public) - 信頼関係内にある全組織にカスタムチャンネルへのアクセスを許可します。
    選択したレベルの横にあるラジオボタンをクリックして チャンネルの更新 をクリックします。
これで、カスタムチャンネルへのアクセスを許可した信頼関係にある組織の組織管理者は、その組織内のクライアントシステムに共有チャンネルからのパッケージをインストールして更新させることができるようになります。

注記

共有チャンネルにサブスクライブさせているシステムがあり、その共有チャンネルの組織管理者がチャンネルへのアクセス権を変更してしまうと、システムはそのチャンネルを失うことになります。管理者がベースチャンネルのアクセス権を変更すると、システムは システム ページにベースチャンネルがなくなるため更新を受信しなくなります。

2.3.3.3. 信頼できる組織内でのシステムの移行

ソフトウェアチャンネルの共有のほかに、信頼関係にある組織はシステムを他の信頼できる組織に移行することができます。これを実行するには、Satellite Web インターフェースから行う方法と、migrate-system-profile と言うユーティリティを使用して行う方法の 2 種類があります。

注記

Satellite 管理者は、信頼できる組織から「信頼」内のいずれの組織にシステムを移行させることができます。一方、組織管理者ができるのは自らの組織から「信頼」内の別の組織への移行のみになります。
2.3.3.3.1. Satellite インターフェースを使用したシステムの移行

手順2.1 組織間でのシステムの移行

  1. Systems タブをクリックした後、移行するシステムの名前をクリックします。
  2. 詳細移行 とクリックし、システムの移行先となる組織の名前を選択します。
  3. システムの移行 をクリックします。
2.3.3.3.2. migrate-system-profile の使用
migrate-system-profile はコマンドラインでの使用になります。移動対象と移動先の組織を指定するため systemID と orgID を引数として使用します。
migrate-system-profile コマンドを使用する場合は、spacewalk-utils パッケージをインストールしておく必要があります。migrate-system-profile を使用するのに Satellite サーバーにログインする必要はありません。ただし、ログインしない場合はサーバーのホスト名か IP アドレスをコマンドラインスイッチとして指定する必要があります。

注記

migrate-system-profile コマンドを使用してシステムを移行する場合、移行前の組織でシステムが持っていたエンタイトルメントやチャンネルのサブスクリプションなどは移行されません。ただし、そのシステムの履歴は保存されるので、新しい組織管理者はこの履歴にアクセスして、ベースチャンネルへのサブスクライブやエンタイトルメントの付与などの移行プロセスを簡略化することができます。
移行するシステムの ID とシステムの移行先となる組織の ID、および別のマシンからコマンドを実行する場合は Satellite サーバーのホスト名または IP アドレスを確認します。

注記

Web UI または spacewalk-report ツールのいずれかを使用して、システム ID と組織 ID を見つけます。
このデータを取得した後のコマンドラインからの使用は以下のようにします。
# migrate-system-profile --satellite {SATELLITE HOSTNAME OR IP} --systemId={SYSTEM ID} --to-org-id={DESTINATION ORGANIZATION ID}

例2.1 ある部署から別の部署への移行

経理部はエンジニアリング部からワークステーションの移行を希望しているものの、経理部の組織管理者には Red Hat Satellite サーバーへのシェルアクセスがない場合は、以下のデータを使用します。
  • 経理部の組織 ID は 2
  • ワークステーションのシステム ID は 10001020
  • Red Hat Satellite ホスト名は satserver.example.com
経理部の組織管理者は、シェルプロンプトから以下のように入力を行います。
# migrate-system-profile --satellite=satserver.example.com --systemId=10001020 --to-org-id=2
経理部の組織管理者は、ユーザー名とパスワードの入力を求められます (コマンドラインで --username=--password= を使って指定しなかった場合)。
この後、Red Hat Satellite の Web インターフェースにログインすると経理部の組織管理者は システム ページでこのシステムが見れるようになります。経理部の組織管理者は、他のシステムを組織に登録したときと同様に、このクライアントにベースチャンネルを割り当ててエンタイトルメントを付与し、移行プロセスを完了します。これらは システムの イベント サブタブ内の 履歴 ページで確認することができます。
一度に複数のシステムを移行する必要がある場合、Satellite 管理者は migrate-system-profile--csv オプションを使用して、移行するシステムをすべてコンマで区切って記載した一覧でこのプロセスを自動化することができます。
以下のような形式で、移行するシステムの ID のほかに、移行先の組織の ID を CSV ファイル内の1行に含める必要があります。
systemId,to-org-id
適切な CSV は以下のような記述になるはずです。
1000010000,3
1000010020,1
1000010010,4
migrate-system-profile の使い方については、man migrate-system-profile と入力して man ページを参照するか、または migrate-system-profile -h と入力して基本的なヘルプ画面を参照します。