A.8. 認証設定

設定デフォルト値説明

OAuth がアクティブ

あり

Satellite は API 認証に OAuth を使用します。

OAuth コンシューマーキー

*****

OAuth コンシューマーキー。

OAuth コンシューマーシークレット

*****

OAuth コンシューマーシークレット。

OAuth マップユーザー

いいえ

Satellite は、リクエストヘッダーのユーザー名でユーザーをマッピングします。これが無効になっている場合、OAuth リクエストには管理者権限があります。

ログイン試行の失敗制限

30

Satellite は、指定された回数のログイン試行の失敗後 5 分間、受信 IP アドレスからのユーザーログインをブロックします。ブルートフォース保護を無効にするには、0 に設定します。

登録された Capsules を制限する

あり

既知の Capsules のみが、Capsules 認証を使用する機能にアクセスできます。

Capsules には SSL が必要

あり

クライアント SSL 証明書は、Capsules を識別するために使用されます (:require_ssl も有効にする必要があります)。

信頼できるホスト

[]

ファクト/レポートインポーターおよび ENC 出力にアクセスするための Capsules に加えて、信頼されるホスト名、IPv4、IPv6 アドレス、またはサブネットのリスト。

SSL 証明書

/etc/foreman/client_cert.pem

Satellite がプロキシーとの通信に使用する SSL 証明書パス。

SSL CA ファイル

/etc/foreman/proxy_ca.pem

Satellite がプロキシーとの通信に使用する SSLCA ファイルパス。

SSL 秘密鍵

/etc/foreman/client_key.pem

Satellite がプロキシーとの通信に使用する SSL 秘密鍵パス。

SSL クライアント DN 環境

HTTP_SSL_CLIENT_S_DN

クライアント SSL 証明書からのサブジェクト DN を含む環境変数。

SSL クライアント検証環境

HTTP_SSL_CLIENT_VERIFY

クライアント SSL 証明書の検証ステータスを含む環境変数。

SSL クライアント証明書環境

HTTP_SSL_CLIENT_CERT

クライアントの SSL 証明書を含む環境変数。

サーバー CA ファイル

 

Satellite への接続を確認するためにテンプレートで使用される SSLCA ファイルパス。

Websocket SSL キー

etc/pki/katello/private/katello-apache.key

Satellite が WebSocket を暗号化するために使用する秘密鍵ファイルのパス。

Websocket SSL 証明書

/etc/pki/katello/certs/katello-apache.crt

Satellite が WebSocket を暗号化するために使用する証明書パス。

WebSocket の暗号化

あり

VNC/SPICE WebSocket プロキシーコンソールアクセス暗号化 (websockets_ssl_key/cert 設定が必要)。

ログイン委譲ログアウト URL

 

ログアウト時にユーザーをこの URL にリダイレクトします。ログイン委譲の承認 も有効にします。

ログイン委譲認証ソースユーザーの自動作成を承認します

外部

不明な外部認証ユーザー (ログイン委譲の承認を参照) が作成される外部認証ソースの名前。空は自動作成がないことを意味します。

ログイン委譲を承認する

いいえ

REMOTE_USER HTTP ヘッダーを使用してログイン委譲を承認します。

ログイン委譲 API を承認する

いいえ

API 呼び出しにも REMOTE_USERHTTP ヘッダーを使用してログイン委譲を承認します。

アイドルタイムアウト

60

指定した分数が経過したら、アイドル状態のユーザーをログアウトします。

BCrypt パスワードのコスト

9

内部認証ソースの bcrypt パスワードハッシュ関数のコスト値 (4-30)。値が大きいほど安全ですが、特にステートレス API 呼び出しと UI ログインの場合、検証は遅くなります。既存のパスワードに影響を与えるには、パスワードの変更が必要です。

BMC クレデンシャルアクセス

あり

ENCYAML 出力およびテンプレートでの BMC インターフェイスパスワードへのアクセスを許可します。

OIDC JWKs URL

 

OpenID Connect JSON Web Key Set (JWKS) の URL。Keycloak を OpenID プロバイダーとして使用する場合、通常は https://keycloak.example.com/auth/realms/<realm name>/protocol/openid-connect/certs

OIDC Audience

[]

認証に使用されている OpenIDConnect Audience の名前。Keycloak の場合、これはクライアント ID です。

OIDC Issuer

 

issuer claim は、JSON Web トークン (JWT) を発行したプリンシパルを識別します。これは、ほとんどの OpenID プロバイダーの場合は /.well-known/openid-configuration に存在します。

OIDC Algorithm

 

OpenID プロバイダーで JWT をエンコードするために使用されるアルゴリズム。