手順3.1 組織の作成:

1. Administer (管理) → Organizations (組織) に移動します。
2. New Organization (新規組織) ボタンをクリックします。
3. Name (名前) フィールドに新規組織の名前を挿入します。
4. Label (ラベル) フィールドに新規組織のラベルを挿入します。
5. Description (説明) フィールドに新規組織の説明を挿入します。
6. 送信 をクリックします。
7. 新しい組織に割り当てるホストを選択します。
   • Assign All (すべてを割り当て) をクリックして組織のないすべてのホストを新しい組織に割り当てます。
   • Manually Assign (手動割り当て) をクリックして組織のないホストを手動で選択し、割り当てます。
   • Proceed to Edit (編集に進む) をクリックしてホストの割り当てを省略します。
8. Capsule Server、サブネット、コンピュートリソースなどの組織の設定詳細を指定します。「組織の編集」 で説明されているように、これらの設定はあとで変更できます。
9. 送信 をクリックします。

手順3.2 新規組織デバッグ証明書の作成:

1. Administer (管理) → Organizations (組織) に移動します。
2. デバッグ証明書を生成する組織を選択します。
3. Generate and Download (生成してダウンロード) をクリックします。これにより、デバッグ証明書が生成されます。
4. 証明書ファイルを安全な場所に保存します。

手順3.3 Firefox での組織のデバッグ証明書の使用:

1. 手順3.2「新規組織デバッグ証明書の作成:」 で説明されているように、組織の証明書を作成およびダウンロードします。
2. たとえば、デフォルトの組織の X.509 証明書を開きます。

   $ vi 'Default Organization-key-cert.pem'

3. -----BEGIN RSA PRIVATE KEY----- から -----END RSA PRIVATE KEY----- までのファイルの内容を key.pem という名前のファイルにコピーします。
4. -----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までのいファイルの内容を cert.pem という名前のファイルにコピーします。
5. 以下のようにコマンドを入力して PKCS12 形式の証明書を作成し、パスワードまたはフレーズを入力します (要求された場合)。

   $ openssl pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in cert.pem -inkey key.pem -out organization_label.pfx -name 'organization_name'
   Enter Export Password:
   Verifying - Enter Export Password:

6. 設定タブを使用して、作成された pfx ファイルをブラウザーにインポートします。Edit (編集) → Preferences (設定) → Advanced Tab (詳細タブ) に移動します。Certificates (証明書) ビューの View Certificates (証明書の表示) を選択して Certificate Manager (証明書マネージャー) を開きます。Your Certificates (ユーザーの証明書) タブで、Import (インポート) をクリックし、ロードする pfx ファイルを選択します。証明書の作成時に、パスワードまたはフレーズを入力するよう求められます。
7. ブラウザーのアドレスバーに以下の形式の URL を入力してリポジトリーの参照を開始します。

   http://satellite.example.com/pulp/repos/organization_label

   Pulp は組織ラベルを使用するため、URL も組織ラベルを使用する必要があります。

手順3.4 curl での組織のデバッグ証明書の使用:

1. 手順3.2「新規組織デバッグ証明書の作成:」 で説明されているように、組織の証明書を作成およびダウンロードします。
2. たとえば、デフォルトの組織の X.509 証明書を開きます。

   $ vi 'Default Organization-key-cert.pem'

3. -----BEGIN RSA PRIVATE KEY----- から -----END RSA PRIVATE KEY----- までのファイルの内容を key.pem という名前のファイルにコピーします。
4. -----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までのいファイルの内容を cert.pem という名前のファイルにコピーします。
5. リポジトリーの有効な URL を見つけます。前の手順で説明された参照方法を使用するか、Web UI を使用します。たとえば、Web UI を使用して、Content (コンテンツ) → Products (製品) に移動し、名前別に製品を選択します。Repositories (リポジトリー) タブで名前別にリポジトリーを選択し、Published At (公開) エントリーを探します。
6. curl を使用してリポジトリーにアクセスするには、以下のようにコマンドを使用します。

   $ curl -k --cert cert.pem --key key.pem http://satellite.example.com/pulp/repos/Default_Organization/Library/content/dist/rhel/server/7/7Server/x86_64/sat-tools/6.2/os/

   cert.pem と key.pem へのパスが適切な絶対パスであることを確認します。適切でないと、コマンドがサイレントで失敗します。

手順3.5 組織の編集:

1. Administer (管理) → Organizations (組織) に移動します。
2. 編集する組織の名前をクリックします。
3. 左側の一覧から編集するリソースを選択します。
4. 必要な項目の名前をクリックし、それらを 選択された項目 の一覧に追加します。
5. 送信 をクリックします。

手順3.6 組織の削除:

1. Administer (管理) → Organizations (組織) に移動します。
2. 削除する組織の名前の右側にあるドロップダウンメニューから、Delete (削除) を選択します。
3. 警告ボックスが表示されます。

   Delete Organization?

4. OK をクリックして組織を削除します。

手順3.7 ロケーションの作成:

1. Administer (管理) → Locations (ロケーション) に移動します。
2. New Location (新規ロケーション) をクリックします。
3. Name (名前) フィールドに新規ロケーションの名前を挿入します。ネストされたロケーションを作成する場合は、ドロップダウンメニューから Parent (親) ロケーションを選択します。オプションで、ロケーションの Description (説明) を指定できます。Submit (送信) をクリックします。
4. 新規ロケーションに割り当てるホストを選択します。
   • Assign All (すべてを割り当て) をクリックしてロケーションのないすべてのホストを新しいロケーションに割り当てます。
   • Manually Assign (手動割り当て) をクリックしてロケーションのないホストを手動で選択し、割り当てます。
   • Proceed to Edit (編集に進む) をクリックしてホストの割り当てを省略します。
5. Capsule Server、サブネット、コンピュートリソースなどのロケーションの設定詳細を指定します。「ロケーションの編集」 で説明されているように、これらの設定はあとで変更できます。
6. 送信 をクリックします。

手順3.8 ロケーションの編集:

1. Administer (管理) → Locations (ロケーション) に移動します。
2. 編集するロケーションの名前をクリックします。
3. 左側の一覧から編集するリソースを選択します。
4. 必要な項目の名前をクリックし、それらを 選択された項目 の一覧に追加します。
5. 送信 をクリックします。

手順3.9 ロケーションの削除:

1. Administer (管理) → Locations (ロケーション) に移動します。
2. 削除するロケーションの名前の右側にあるドロップダウンメニューから、Delete (削除) を選択します。
   警告ボックスが表示されます。

   Delete Location?

3. OK をクリックします。

手順3.10 ライフサイクル環境の作成:

1. 左上隅にあるメニューから組織を選択します。
2. Content (コンテンツ) → Life Cycle Environments (ライフサイクル環境) をクリックしてから、New Environment Path (新規環境パス) をクリックします。
3. ライフサイクル環境の名前とラベルを挿入します (Name (名前) フィールドに自動的に入力されます)。Description (説明) フィールドはオプションです。
4. Save (保存) をクリックして環境を作成します。

手順3.11 コンテンツビューのプロモート:

1. メインメニューで Content (コンテンツ) → Content Views (コンテンツビュー) をクリックします。
2. Name (名前) 列で、プロモートするコンテンツビューの名前をクリックします。
3. Versions (バージョン) タブで、最新バージョンを特定し、Promote (プロモート) をクリックします。
4. コンテンツビューをプロモートするプロモーションパスを特定し、適切なライフサイクル環境を選択して、Promote Version (バージョンのプロモート) をクリックします。
5. プロモーションが完了したら、Versions (バージョン) タブが更新されコンテンツビューの新しいステータスが表示されます。

手順3.12 ライフサイクル環境の削除:

1. メインメニューで Content (コンテンツ) → Life Cycle Environments (ライフサイクル環境) をクリックします。
2. 削除するライフサイクル環境の名前をクリックし、Remove Environment (環境の削除) をクリックします。
3. 確認ダイアログボックスで Remove (削除) をクリックして環境を削除します。

手順3.13 Capsule Server からのライフサイクル環境の削除:

1. root ユーザーとして Satellite Server CLI にログインします。
2. 一覧から必要な Capsule Server を選択し、その ID をメモします。

   # hammer capsule list

   Capsule Server の詳細は、以下のコマンドを使って検証することができます。

   # hammer capsule info --id capsule_id_number

3. Capsule Server に現在割り当てられているライフサイクル環境の一覧を検証し、environment id をメモします。

   # hammer capsule content lifecycle-environments --id capsule_id_number

4. Capsule Server からのライフサイクル環境を削除します。

   # hammer capsule content remove-lifecycle-environment --id capsule_id_number --environment-id environment_id

   ここで、
   • capsule_id_number は Capsule Server の ID 番号です。
   • environment_id は、ライフサイクル環境の ID 番号です。
   Capsule Server から削除するすべてのライフサイクル環境に対してこの手順を繰り返します。
5. Satellite Server の環境にあるコンテンツを Capsule Server に同期します。

   # hammer capsule content synchronize --id capsule_id_number

手順4.1 ユーザーの作成:

1. Administer (管理) → Users (ユーザー) をクリックしてから、New User (新規ユーザー) をクリックします。
2. User (ユーザー) タブで、必要な詳細を入力します。
3. ロケーション タブで、このユーザーに必要なロケーションを選択します。
4. Organizations (組織) タブで、このユーザーがアクセスできる組織を選択します。デフォルトでは、現在アクティブな組織が選択されます。複数の組織を指定する場合は、ドロップダウンリストからユーザーログインのデフォルト組織を選択できます。
5. ロール タブで、このユーザーに必要なロールを選択します。アクティブなロールが右側のパネルに表示されます。
6. 送信 をクリックしてユーザーを作成します。

手順4.2 既存ユーザーの編集:

1. Administer (管理) → Users (ユーザー) に移動します。
2. 変更するユーザーのユーザー名をクリックします。ユーザーに関する全般情報が右側に表示されます。
3. User (ユーザー) タブで、ユーザーのユーザー名、名、姓、電子メールアドレス、デフォルトロケーション、デフォルト組織、言語、およびパスワードを変更できます。
4. Locations (ロケーション) タブで、割り当てられたユーザーのロケーションを変更できます。
5. Organizations (組織) タブで、割り当てられたユーザーの組織を変更できます。
6. Roles (ロール) タブで、割り当てられたユーザーのロールを変更できます。
7. Save (保存) をクリックして、変更を保存します。

手順4.3 ユーザーへのロールの割り当て:

1. Administer (管理) → Users (ユーザー) をクリックします。作成されたユーザーアカウントがリストされない場合は、現在適切な組織を表示していることを確認します。Satellite ですべてのユーザーをリストするには、Default Organization (デフォルト組織)、次に Any Organization (任意の組織) をクリックします。組織ビューは Any Context (任意のコンテキスト) に変更されます。
2. 変更するユーザーのユーザー名をクリックします。ユーザーに関する全般情報が右側に表示されます。
3. Locations (ロケーション) タブをクリックし、何も割り当てられていない場合はロケーションを選択します。
4. Organizations (組織) タブをクリックし、組織が割り当てられていることを確認します。
5. Roles (ロール) タブをクリックして利用可能な割り当て済みロールのリストを表示します。
6. Roles (ロール) リストで、ユーザーに割り当てるロールを選択します。リストには、事前定義されたロールとカスタムロールが含まれます (表4.1「Red Hat Satellite で利用可能な事前定義済みロール」 を参照)。または、Administrator (管理者) チェックボックスを選択して、選択されたユーザーに利用可能なすべてのパーミッションを割り当てます。
7. 保存 をクリックします。

手順4.4 電子メール通知の設定:

1. Administer (管理) → Users (ユーザー) に移動します。
2. 編集するユーザーの Username (ユーザー名) をクリックします。
3. Email Preferences (電子メール設定) タブをクリックし、Mail enabled (メールの有効化) を選択して電子メール通知を有効にします。
4. ユーザーが受信する通知を選択します。
   • Audit summary (監査の概要) は、Satellite Server で監査されたすべてのアクティビティーの概要です。これらの通知を有効にするには、ドロップダウンリストから電子メールの頻度 (Daily (毎日)、Weekly (毎週)、または Monthly (毎月)) を選択します。関連するクエリーフィールドにクエリーを入力して、含まれる監査アクティビティーを絞り込みます。
   • Host built (ホストの構築) は、ホストが構築されたときに送信される通知です。これらの通知を有効にするには、ドロップダウンメニューから Subscribe (サブスクライブ) を選択します。
   • Host errata advisory (ホストエラータアドバイザリー) は、ユーザーが管理するホストの適用およびインストール可能なエラータの概要です。これらの通知を有効にするには、ドロップダウンリストから電子メールの頻度 (Daily (毎日)、Weekly (毎週)、または Monthly (毎月)) を選択します。
   • OpenSCAP policy summary (OpenSCAP ポリシー概要) は、OpenSCAP ポリシーレポートとその結果の概要です。これらの通知を有効にするには、ドロップダウンリストから電子メールの頻度 (Daily (毎日)、Weekly (毎週)、または Monthly (毎月)) を選択します。
   • Promote errata (エラータのプロモート) は、コンテンツビューのプロモーション後にのみ送信される通知です。これには、プロモートされたコンテンツビューに登録された適用およびインストール可能なエラータの概要が含まれます。この場合は、どのアップデートがどのホストに適用されたかを監視できます。これらの通知を有効にするには、ドロップダウンメニューから Subscribe (サブスクライブ) を選択します。
   • Puppet error state (Puppet エラー状態) は、ホストが Puppet に関連するエラーを報告したあとに送信される通知です。これらの通知を有効にするには、ドロップダウンメニューから Subscribe (サブスクライブ) を選択します。
   • Puppet summary (Puppet 概要) は、Puppet レポートの概要です。これらの通知を有効にするには、ドロップダウンリストから電子メールの頻度 (Daily (毎日)、Weekly (毎週)、または Monthly (毎月)) を選択します。
   • Sync errata (エラータの同期) は、リポジトリーの同期後にのみ送信される通知です。これには、同期で導入された新しいエラータの概要が含まれます。これらの通知を有効にするには、ドロップダウンメニューから Subscribe (サブスクライブ) を選択します。
5. 送信 をクリックします。

手順4.5 ユーザーの削除:

1. メインメニューで Administer (管理) → Users (ユーザー) をクリックして Users (ユーザー) ページを表示します。
2. 削除するユーザー名の右側にある Delete (削除) リンクをクリックします。
3. 警告ボックスで、OK をクリックしてユーザーを削除します。

手順4.7 ロールの作成:

1. Administer (管理) → Roles (ロール) に移動します。
2. New Role をクリックします。
3. ロールの 名前 を入力します。
4. Submit (送信) をクリックして新規ロールを保存します。

手順4.8 ロールへのパーミッションの追加:

1. Administer (管理) → Roles (ロール) に移動します。
2. 必要なロールの右側にあるドロップダウンリストから Add Filter (フィルターの追加) を選択します。
3. ドロップダウンリストから Resource type (リソースタイプ) を選択します。(Miscellaneous) グループには、どのリソースグループにも関連付けられていないパーミッションが含まれます。
4. 選択するパーミションを Permission (パーミッション) リストでクリックします。
5. パーミッションを Unlimited (無制限) にするかどうかを選択します。このオプションはデフォルトで選択されるため、パーミションは選択されたタイプのすべてのリソースに適用されます。Unlimited (無制限) チェックボックスを無効にすると、Search (検索) フィールドがアクティベートされます。このフィールドでは、Red Hat Satellite 6 の検索構文を使用して詳細なフィルタリングを指定できます。詳細については、「詳細なパーミッションフィルタリング」 を参照してください。
6. Next (次へ) をクリックします。
7. 送信 (Submit) をクリックして変更を保存します。

手順4.9 ロールに関連付けられたパーミッションの表示:

1. Administer (管理) → Roles (ロール) に移動します。
2. 必要なロールの右側にある Filters (フィルター) をクリックして Filters (フィルター) ページに移動します。

手順4.10 パーミッションの完全な表の作成:

1. 必要なパッケージがインストールされていることを確認します。Satellite Server で以下のコマンドを実行します。

   # yum install tfm-rubygem-foreman*

2. 以下のコマンドで Satellite コンソールを起動します。

   # foreman-rake console

   コンソールに以下のコードを挿入します。

   f = File.open('/tmp/table.html', 'w')
   
   result = Foreman::AccessControl.permissions.sort {|a,b| a.security_block <=> b.security_block}.collect do |p|
         actions = p.actions.collect { |a| "<li>#{a}</li>" }
         "<tr><td>#{p.name}</td><td><ul>#{actions.join('')}</ul></td><td>#{p.resource_type}</td></tr>"
   end.join("\n")
   
   f.write(result)

   上記の構文により、パーミッションの表が作成され、/tmp/table.html ファイルに保存されます。
3. Ctrl+D を押して、Satellite コンソールを終了します。/tmp/table.html の最初の行に以下のテキストを挿入します。

   <table border="1"><tr><td>Permission name</td><td>Actions</td><td>Resource type</td></tr>

   /tmp/table.html の最後の以下のテキストを追加します。

   </table>

4. Web ブラウザーで /tmp/table.html を開いて、表を参照します。

手順4.11 ロールの削除:

1. Administer (管理) → Roles (ロール) に移動します。
2. 削除するロールの右側にあるドロップダウンリストから Delete (削除) を選択します。
3. 表示された警告ボックスで、OK をクリックしてロールを削除します。

手順6.1 Red Hat Satellite Server からのソリューションの検索:

1. 右上で Red Hat Access → Search (検索) をクリックします。
2. 必要な場合は、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
3. Red Hat Search フィールドに検索クエリーを入力します。検索結果が左側の Recommendations (推奨項目) リストに表示されます。
4. Recommendations (推奨項目) リストでソリューションをクリックします。ソリューションの記事がメインパネルに表示されます。

手順6.2 Red Hat Satellite サーバーからのログ診断ツールの使用:

1. 右上で Red Hat Access → Logs (ログ) をクリックします。
2. 必要な場合は、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
3. 左側にあるファイルツリーで、ログファイルを選択し、ファイル名をクリックします。
4. Select File (ファイルの選択) をクリックします。ポップアップウィンドウには、ログファイルの内容が表示されます。
5. ログファイルで、診断するテキストセクションを強調表示します。Red Hat Diagnose (Red Hat 診断) ボタンが表示されます。
6. Red Hat Diagnose (Red Hat 診断) をクリックします。これにより、強調表示された情報が Red Hat カスタマーポータルに送信され、提供されたログ情報に近似するソリューションが提供されます。
7. 以下のケースに従います。
   • ソリューションが問題に一致する場合は、ソリューションをクリックし、必要な手順を実行して問題のトラブルシューティングを行います。
   • ソリューションが問題に一致しない場合は、Open a New Support Case (サポートケースを新規作成) をクリックします。サポートケースには、ログファイルの強調表示されたテキストが入力されます。「Red Hat Access プラグインを使用したサポートケースの作成」 を参照してください。

手順6.3 Red Hat Satellite サーバーからの既存サポートケースの表示:

1. 右上で Red Hat Access → Support (サポート) → My Cases (自分のケース) をクリックします。
2. 必要な場合は、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
3. 以下のいずれかを実行し、既存のケースの中から特定のサポートケースを検索します。
   1. Search (検索) フィールドにキーワードまたはフレーズを入力します。
   2. ドロップダウンリストから、特定の Case Group (ケースグループ) を選択します。Case Groups (ケースグループ) は、ユーザーの組織により Red Hat カスタマーポータル内で定義されています。
   3. ケースのステータスを選択します。
4. 検索結果から特定のサポートケースを選択し、Case ID (ケース ID) をクリックします。サポートケースは表示できます。

手順6.4 Red Hat Satellite Server Web UI からのサポートケースの更新:

1. 「Red Hat Access プラグインを使用した既存サポートケースの表示」 の手順を完了します。
2. サポートケースで、マークされたセクションにスクロールダウンし、以下のことを行います。
   • Attachments: (添付ファイル:) - システムにあるローカルファイルを添付します。ファイル名を追加して識別しやすくします。

     注記

     ファイル名は 80 文字未満にしてください。Web UI を使用してアップロードする添付ファイルの最大サイズは 250 MBです。ファイルのサイズがそれよりも大きい場合は、FTP を使用します。
   • Case Discussion: (ケースディスカッション:) - グローバルサポートサービスに相談するケースに関する更新情報を追加します。情報の追加後に Add Comment (コメントの追加) をクリックします。

手順6.5 Red Hat Satellite Server を使用した新規サポートケースの作成:

1. 右上にある Red Hat Access → Support (サポート) → New Case (新規ケース) をクリックします。
2. 必要な場合は、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
3. Product (製品) フィールドと Product Version (製品バージョン) フィールドにデータが自動的に設定されます。以下のように他の関連フィールドにデータを入力してください。
   • Summary (概要) — 問題の簡単な概要を記載します。
   • Description (詳細) — 問題の詳細を記載します。
   提供した概要に基づいて、推奨されるソリューションがメインパネルに表示されます。
4. Next (次へ) をクリックします。
5. 以下のように適切なオプションを選択します。
   • Severity (重大度) — チケットの緊急度に応じて 4 (低)、3 (通常), 2 (高)、または 1 (緊急) を選択します。
   • Case Group (ケースグループ) — 通知の必要なメンバーに応じて、サポートケースに関連付けられたケースグループを作成します。Red Hat Satellite でケースグループを選択します。カスタマーポータル内でケースグループを作成します。
6. sosreport の出力と必要なファイルを添付します。ファイルの詳細を追加し、Attach (添付) をクリックします。

   注記

   • 大規模なログファイルまたは多くの Satellite タスクがある場合は、foreman-debug の出力も添付することが推奨されます。
   • ファイル名は 80 文字未満にしてください。Web UI を使用してアップロードする添付ファイルの最大サイズは 250 MBです。ファイルのサイズがそれ以上の場合は、FTP を使用します。
7. Submit (送信) をクリックします。システムによりケースがカスタマーポータルにアップロードされ、参考のためにケース番号が提供されます。

手順8.1 LDAP 認証の設定:

1. 許可 Network Information System (NIS) サービスのブール値を true に設定して SELinux により送信 LDAP 接続が中止されるのを防ぎます。

   • Red Hat Enterprise Linux 6 の場合

     # setsebool -P allow_ypbind on

   • Red Hat Enterprise Linux 7 の場合

     # setsebool -P nis_enabled on

2. Administer (管理) → LDAP Authentication (LDAP 認証) に移動します。
3. New authentication source (新規の認証ソース) をクリックします。
4. LDAP server (LDAP サーバー) タブで LDAP サーバーの名前、ホスト名、ポート、およびサーバータイプを入力します。デフォルトポートは 389、デフォルトサーバータイプは POSIX (認証サーバーのタイプに応じて FreeIPA または Active Directory を選択することもできます)。TLS 暗号化接続に対しては、LDAPS チェックボックスを選択して暗号化を有効にします。ポートは LDAPS のデフォルト値である 636 に変更されるはずです。
5. Account (アカウント) タブでアカウント情報とドメイン名の詳細を入力します。説明と例については、「LDAP 設定の説明と例」 を参照してください。
6. Attribute mappings (マッピング属性) タブで LDAP 属性を Satellite 属性にマップします。ログイン名、名、姓、電子メールアドレス、および写真の属性をマップできます。例については、「LDAP 設定の説明と例」 を参照してください。
7. 送信 をクリックします。

手順8.2 Satellite Server での IdM 認証の設定:

1. 以下のように、IdM サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。

   # ipa host-add --random hostname

   注記

   IdM 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。
   ホスト設定プロパティーの詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide^[5] を参照してください。
2. 以下のように、Satellite Server 向けの HTTP サービスを作成します。

   # ipa service-add servicename/hostname

   サービスの管理の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide^[6] を参照してください。
3. Satellite Server で、IdM 登録を設定するために、root で以下のコマンドを実行します。

   # ipa-client-install --password OTP

   OTP を、IdM 管理者により提供されたワンタイムパスワードに置き換えます。
4. Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合は、以下のコマンドを実行します。

   # subscription-manager repos --enable rhel-7-server-optional-rpms

   インストーラーは、オプションのリポジトリー rhel-7-server-optional-rpms (Red Hat Enterprise Linux 7 の場合) に含まれるパッケージに依存します。Red Hat Enterprise Linux 6 の場合、必要なすべてのパッケージは base リポジトリーに含まれます。
5. 以下のコマンドを実行します。

   # satellite-installer --foreman-ipa-authentication=true

   このコマンドは、Satellite のフレッシュインストールに限定されません。既存の Satellite インストールを変更するためにも使用できます。
6. Katello サービスを再起動します。

   # katello-service restart

手順8.3 HBAC の設定:

1. HBAC サービスおよびルールを IdM サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。IdM サーバー上で以下のコマンドを実行してください。

   $ ipa hbacsvc-add satellite-prod
   $ ipa hbacrule-add allow_satellite_prod
   $ ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
   

2. サービス satellite-prod へのアクセスを持つユーザーと Satellite Server のホスト名を追加します。

   $ ipa hbacrule-add-user allow_satellite_prod --user=username
   $ ipa hbacrule-add-host allow_satellite_prod --hosts=the-satellite-fqdn

   または、allow_satellite_prod ルールにホストグループとユーザーグループを追加します。
3. ルールのステータスを確認するために、以下のコマンドを実行します。

   $ ipa hbacrule-find satellite-prod
   $ ipa hbactest --user=username --host=the-satellite-fqdn --service=satellite-prod
   

4. IdM サーバーで allow_all rule が無効であることを確認します。他のサービスに影響を与えずにこれを行う方法については、How to configure HBAC rules in IdM article on the Red Hat Customer Portal^[8] を参照してください。
5. 手順8.2「Satellite Server での IdM 認証の設定:」 で説明されているように、Satellite Server で IdM 統合を設定します。Satellite Server で、root として PAM サービスを定義します。

   # satellite-installer --foreman-pam-service=satellite-prod
   

手順8.4 AD サーバーを使用した Satellite Server の登録:

1. 必要なパッケージをインストールします。

   # yum install sssd adcli realmd ipa-python

2. AD サーバーを使用して Satellite Server を登録します。以下のコマンドを実行するには、管理者パーミッションが必要な場合があります。

   # realm join -v EXAMPLE.ORG

手順8.5 GSS-proxy との直接 AD 統合の設定:

1. デフォルトでは、satellite-installer コマンドが IdM 統合に設定されます。この設定を変更するには、以下の内容で /etc/ipa/default.conf ファイルを作成します。

   [global]
   server = unused
   realm = EXAMPLE.ORG

2. 以下の内容で /etc/net-keytab.conf ファイルを作成します。

   [global]
   workgroup = EXAMPLE
   realm = EXAMPLE.ORG
   kerberos method = system keytab
   security = ads

3. 以下のコマンドを使用して HTTP 向け keytab ファイルを作成します。

   # KRB5_KTNAME=FILE:/etc/gssproxy/http.keytab net ads keytab add HTTP -U administrator -d3 -s /etc/net-keytab.conf

   このコマンドを実行すると、AD サーバーから HTTP サービス keytab ファイルが取得され、/etc/gssproxy/http.keytab に格納されます。このファイルは root ユーザーおよびグループによって所有されるようにしてください。

   # chown root:root /etc/gssproxy/http.keytab

4. 以下の行を /etc/krb5.conf ファイルの先頭に挿入します。

   includedir /var/lib/sss/pubconf/krb5.include.d/

5. /etc/httpd/conf/http.keytab に空の keytab ファイルを作成します。

   # touch /etc/httpd/conf/http.keytab

6. 以下のコマンドを実行します。

   # satellite-installer --foreman-ipa-authentication=true

7. gssproxy サービスを起動して、有効にします。

   # systemctl restart gssproxy.service
   # systemctl enable gssproxy.service

8. Apache サーバーが GSS-proxy を使用するよう設定するために。以下の内容で /etc/systemd/system/httpd.service ファイルを作成します。

   .include /lib/systemd/system/httpd.service
   [Service]
   Environment=GSS_USE_PROXY=1

   変更をサービスに適用します。

   # systemctl daemon-reload

9. httpd サービスを起動し、有効にします。

   # systemctl restart httpd.service

   Apache サーバーが実行中であり、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。

手順8.7 Red Hat Satellite Server または Capsule Server での IdM レルムサポートの設定:

1. Satellite Server または Capsule Server に以下のパッケージをインストールします。

   # yum install ipa-client foreman-proxy ipa-admintools

2. IdM クライアントとして Satellite Server (または Capsule Server) を設定します。

   # ipa-client-install

3. Satellite Server または Capsule Server の Red Hat Identity Management で realm-capsule ユーザーと関連ロールを作成します。

   # foreman-prepare-realm admin realm-capsule

   foreman-prepare-realm を実行して、Capsule Server と使用するよう IdM サーバーを準備します。これにより、Satellite に必要なパーミッションを持つ専用ロールと、そのロールを持つユーザーが作成され、keytab ファイルが取得されます。この手順では Identity Management サーバー設定の詳細が必要になります。
   コマンドが正常に実行されると、以下のコマンド出力が表示されるはずです。

   Keytab successfully retrieved and stored in: freeipa.keytab
   Realm Proxy User:    realm-capsule
   Realm Proxy Keytab:  /root/freeipa.keytab
   

4. /root/freeipa.keytab を /etc/foreman-proxy ディレクトリーに移し、ユーザーの foreman-proxy に所有者設定を行います。

   # mv /root/freeipa.keytab /etc/foreman-proxy
   # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
   

5. Satellite Server または Capsule Server のどちらを使用しているかに応じてレルムを設定します。
   • Satellite Server で統合された Capsule Server を使用している場合は、レルムを設定するために satellite-installer を使用します。

     # satellite-installer --foreman-proxy-realm true \
     --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
     --foreman-proxy-realm-principal 'realm-capsule@EXAMPLE.COM' \
     --foreman-proxy-realm-provider freeipa
     

     注記

     これらのオプションは、Red Hat Satellite Server を初めて設定する場合にも実行できます。
   • 独立した Capsule Server を使用している場合は、レルムを設定するために satellite-installer --scenario-capsule を使用します。

     # satellite-installer --scenario-capsule --realm true \
     --realm-keytab /etc/foreman-proxy/freeipa.keytab \
     --realm-principal 'realm-capsule@EXAMPLE.COM' \
     --realm-provider freeipa
     

6. ca-certificates パッケージの最新バージョンがインストールされ、IdM 認証局が信頼されていることを確認します。

   # cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   # update-ca-trust enable
   # update-ca-trust
   

7. (オプション) すでに存在する Satellite Server または Capsule Server で IdM を設定している場合は、設定の変更を反映するために以下の手順も実行する必要があります。
   1. foreman-proxy サービスを再起動します。

      # service foreman-proxy restart

   2. Satellite Server にログインし、インフラストラクチャー → Capsule をクリックします。
   3. IdM 用に設定した Capsule Server の右側にあるドロップダウンメニューをクリックし、Refresh Features (機能の更新) を選択します。
8. 最後に、Satellite Server ユーザーインターフェースで新規のレルムエントリーを作成します。
   1. インフラストラクチャー → レルム をクリックしてから、メインページの右側にある 新規レルム をクリックします。
   2. 以下のサブタブにフィールドに入力します。
      1. Realm (レルム) サブタブで、レルム名、使用するレルムの種類、およびレルムプロキシーを指定します。
      2. Locations (ロケーション) サブタブで、新規レルムを使用する予定のロケーションを選択します。
      3. Organizations (組織) サブタブで、新規レルムを使用する予定の組織を選択します。
   3. 送信 をクリックします。

手順8.8 IdM ホストグループへのホストの追加:

1. IdM サーバー上で、ホストグループを作成します。

   # ipa hostgroup-add hostgroup_name
   Description: hostgroup_description
   ----------------------------
   Added hostgroup "hostgroup_name"
   ----------------------------
   Host-group: hostgroup_name
   Description: hostgroup_description

   ここで、
   1. hostgroup_name はホストグループの名前です。
   2. hostgroup_description はホストグループの説明です。
2. automembership のルールを作成します。

   # ipa automember-add --type=hostgroup automember_rule
   ----------------------------------
   Added automember rule "automember_rule"
   ----------------------------------
   Automember Rule: automember_rule

   ここで、
   1. automember-add は automember グループとしてグループにフラグを立てます。
   2. --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
   3. automember_rule は、automember ルールの特定に使用する名前です。
3. userclass 属性に基づいて automembership の条件を定義します。

   # ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name
   ----------------------------------
   Added condition(s) to "hostgroup_name"
   ----------------------------------
   Automember Rule: automember_rule
   Inclusive Regex: userclass=^webserver
   ----------------------------
   Number of conditions added 1
   ----------------------------
   

   ここで、
   1. automember-add-condition により、グループメンバーを特定するための正規表現の条件を追加することができます。
   2. --key=userclass はキー属性を userclass に指定します。
   3. --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
   4. --inclusive-regex=^webserver は、一致する値を特定するための正規表現パターンです。
   5. hostgroup_name はターゲットホストグループの名前です。