Red Hat Training

A Red Hat training course is available for Red Hat Satelitte

第3章 Satellite Server のインストール

Satellite Server のインストールには、接続と切断の 2 つの方法があります。接続されたインストールでは、Satellite Server をインストールするのに必要なパッケージを Red Hat Content Delivery Network (CDN) から直接インストールして取得できます。切断されたインストールでは、外部のコンピューターからパッケージの ISO イメージをダウンロードし、インストールのために Satellite Server にコピーします。

ネットワークに接続されているホストの場合、Red Hat は CDN から直接パッケージをインストールすることをお勧めします。ISO イメージには最新のアップデートが含まれないことがあるため、ISO イメージの使用は、切断された環境のホストにのみ推奨されます。

Satellite Server を正常にインストールするには、root アクセスが必要です。

3.1. 切断されたネットワークからの Satellite Server のインストール

切断されたネットワークから Satellite Server をインストールすると、Red Hat Content Delivery Network から直接パッケージとアップデートを取得できます。

Satellite 6 インストールプログラムは Puppet に基づいていることに注意してください。つまり、インストールプログラムを複数回実行すると、手動での設定の変更が上書きされることがあります。この問題を回避する場合は、インストールプログラムを実行するときに --noop 引数を使用して、適用する変更を特定します。この引数により、実際の変更は行われません。潜在的な変更は /var/log/katello-installer.log に書き込まれます。

ファイルは常にバックアップされるため、不要な変更は復元することができます。たとえば、katello-installer ログには、Filebucket に関する以下のようなエントリーが示されます。

/Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1

以前のファイルは以下のように復元できます。

puppet filebucket -l restore /etc/dhcp/dhcpd.conf 622d9820b8e764ab124367c68f5fa3a1

3.1.1. Red Hat Subscription Management への登録

Red Hat サブスクリプション管理にホストを登録すると、ホストはユーザーが利用可能なサブスクリプションに対するコンテンツをサブスクライブし、消費できます。これには、Red Hat Enterprise Linux、Red Hat Software Collection (RHSCL)、Red Hat Satellite などのコンテンツが含まれます。

Red Hat コンテンツ配信ネットワークにシステムを登録します。プロンプトが表示されたら、カスタマーポータルのユーザー名とパスワードを入力します。

# subscription-manager register

このコマンドを実行すると、以下のような出力が表示されます。

# subscription-manager register
Username: user_name
Password:
The system has been registered with ID: 541084ff2-44cab-4eb1-9fa1-7683431bcf9a

3.1.2. Satellite サブスクリプションを識別してホストに割り当てる

ホストの登録後に、利用可能な Satellite サブスクリプションを識別し、割り当てる必要があります。Satellite サブスクリプションは、Satellite コンテンツ、Red Hat Enterprise Linux、Red Hat Software Collections (RHSCL)、および Red Hat Satellite へのアクセスを提供します。これは、必要な唯一のサブスクリプションです。各 Red Hat サブスクリプションはプール ID によって識別されます。

  1. Satellite サブスクリプションの識別

    Red Hat Enterprise Linux 6.7 (以上) または 7.1 (以上) では、文字列 Red Hat Satellite を含む利用可能なすべてのサブスクリプションを検索できます。Red Hat Enterprise Linux の古いバージョンでは、すべての利用可能なサブスクリプションをリストし、適切なサブスクリプションの出力を手動でチェックする必要があります。

    1. Red Hat Enterprise Linux 6.7 (以上) または 7.1 (以上) では、以下のコマンドを実行します。

      # subscription-manager list --available --matches 'Red Hat Satellite'

      このコマンドは、利用可能なすべてのサブスクリプションのフィールドに対して小文字と大文字を区別しない検索を実行します (Subscription NameProvides を含み、Red Hat Satellite のすべてのインスタンスに一致)。サブスクリプションは、システムにすでに割り当てられていない場合に利用可能として分類されます。検索文字列には、単一の文字またはゼロ以上の文字にそれぞれ一致するワイルドカード ? または * を含めることもできます。ワイルドカード文字はバックスラッシュでエスケープして、リテラルの疑問符またはアスタリスクを表すことができます。

      利用可能な Satellite サブスクリプションを見つけることができない場合は、Red Hat ナレッジベースソリューション How do I figure out which subscriptions have been consumed by clients registered under Red Hat Subscription Manager? を参照して、スクリプトを実行し、サブスクリプションが別のシステムによって消費されているかどうかを確認できます。

    2. Red Hat Enterprise Linux の他のバージョンで、以下のコマンドを実行します。

      # subscription-manager list --all --available

      出力が長すぎる場合は、lessmore などのページャーユーティリティーにパイプして、一度に 1 画面ずつ出力を確認できるようにします。

    3. 実行される subscription-manager コマンドの形式に関係なく、出力は以下のようになります。

      Subscription Name: Red Hat Satellite
      Provides:          Oracle Java (for RHEL Server)
                         Red Hat Satellite 6
                         Red Hat Enterprise Linux Server
                         Red Hat Satellite
                         Red Hat Enterprise Linux Load Balancer (for RHEL Server)
      SKU:               MCT0370
      Pool ID:           8a85f9874152663c0541943739717d11
      Available:         3
      Suggested:         1
      Service Level:     Premium
      Service Type:      L1-L3
      Multi-Entitlement: No
      Ends:              10/07/2014
      System Type:       Physical
  2. Satellite ホストに割り当てることができるように、プール ID をメモします。使用するプール ID は、ここで提示した例とは異なります。
  3. Satellite サーバーにサブスクリプションを割り当てるには、お使いのプール ID を指定して以下のコマンドを実行します。

    # subscription-manager attach --pool=pool_id

    出力は以下のようになります。

    Successfully attached a subscription for: Red Hat Satellite
  4. サブスクリプションが正しく割り当てられたことを確認するには、以下のコマンドを実行します。

    # subscription-manager list --consumed

    この出力では、以下のような内容が表示されます。

    +-------------------------------------------+
       Consumed Subscriptions
    +-------------------------------------------+
    Subscription Name: Red Hat Satellite
    Provides:          Red Hat Satellite
                       Red Hat Enterprise Linux Server
                       Red Hat Software Collections (for RHEL Server)
                       Red Hat Satellite
                       Red Hat Satellite 6
                       Red Hat Software Collections  (for RHEL Server)
                       Red Hat Satellite Capsule
                       Red Hat Enterprise Linux Load Balancer (for RHEL Server)
                       Red Hat Satellite with Embedded Oracle
                       Red Hat Satellite Capsule
                       Red Hat Enterprise Linux High Availability (for RHEL Server)
    SKU:               MCT0370
    Contract:          10293569
    Account:           5361051
    Serial:            1653856191250699363
    Pool ID:           8a85f9874152663c0541943739717d11
    Active:            True
    Quantity Used:     1
    Service Level:     Premium
    Service Type:      L1-L3
    Status Details:
    Starts:            10/08/2013
    Ends:              10/07/2014
    System Type:       Physical

3.1.3. リポジトリーの設定

  1. すべての既存のリポジトリーを無効にします。

    # subscription-manager repos --disable "*"
  2. Red Hat Satellite および Red Hat Enterprise Linux、Red Hat Software Collections リポジトリーを有効にします。

    Red Hat Enterprise Linux リポジトリーが、使用してる特定のバージョンに一致することを確認します。

    1. Red Hat Enterprise Linux 6 を使用している場合は、次のコマンドを実行します。

      # subscription-manager repos --enable=rhel-6-server-rpms \
      --enable=rhel-server-rhscl-6-rpms \
      --enable=rhel-6-server-satellite-6.2-rpms
    2. Red Hat Enterprise Linux 7 を使用している場合は、次のコマンドを実行します。

      # subscription-manager repos --enable=rhel-7-server-rpms \
      --enable=rhel-server-rhscl-7-rpms \
      --enable=rhel-7-server-satellite-6.2-rpms
      注記

      Red Hat Enterprise Linux の異なるバージョンを使用する場合は、お使いのバージョンに基づいてリポジトリーを変更してください。

  3. Red Hat 以外の yum リポジトリーから残されたすべてのメタデータを消去します。

    # yum clean all
  4. リポジトリーが有効になっていることを確認します。

    # yum repolist enabled

    以下のような出力が表示されます。

    Loaded plugins: product-id, subscription-manager
    repo id                                        repo name                                                                   status
    !rhel-7-server-rpms/x86_64                     Red Hat Enterprise Linux 7 Server (RPMs)                                    9,889
    !rhel-7-server-satellite-6.2-rpms/x86_64    Red Hat Satellite 6.2 (for RHEL 7 Server) (RPMs)                         545
    !rhel-server-rhscl-7-rpms/x86_64               Red Hat Software Collections RPMs for Red Hat Enterprise Linux 7 Server     4,279
    repolist: 14,713

3.1.4. Satellite サーバーパッケージのインストール

Satellite サーバーパッケージをインストールする前に、すべてのパッケージを更新する必要があります。インストール後に、サーバー証明書の設定、ユーザー名、パスワード、デフォルトの組織および場所の設定を含む Satellite サーバーの初期設定を実行する必要があります。

  1. すべてのパッケージを更新します。

    # yum update
  2. インストールパッケージをインストールします。

    # yum install satellite
  3. 初期設定の実行に移動して、インストーラープログラムを実行し、Satellite サーバーの初期設定を行います。

3.1.5. マニフェストの作成

Satellite サーバーのカスタマーポータルページでは、サブスクリプションのグループを収集し、管理対象システムに配布するためにサーバーに割り当てます。これを行うには、Satellite サーバー向けのサブスクリプションマニフェストを作成します。マニフェストを作成するには、以下の手順を実行します。

  1. Red Hat カスタマーポータルに移動し、ログインします。
  2. サブスクリプション をクリックします。
  3. Red Hat サブスクリプション管理 セクションで Satellite Organizations をクリックします。
  4. Satellite の登録 をクリックします。
  5. 名前 フィールドに、Satellite_Server_example と入力します。
  6. バージョンに Satellite 6.2 を選択して 登録 をクリックします。
  7. サブスクリプションのアタッチ をクリックします。
  8. 割り当てるサブスクリプションのチェックボックスをそれぞれ選択して、サブスクリプション数を指定します。
  9. 選択項目のアタッチ をクリックします。

    すべてのサブスクリプションが割り当てられるまで数分かかることがあります。

  10. マニフェストのダウンロード をクリックして、マニフェストファイルを所定の場所に保存します。

3.1.6. マニフェストの Satellite サーバーへのアップロード

Red Hat Satellite 6 Web UI と CLI は、マニフェストをインポートする手段を提供します。

Web UI を使用したマニフェストのアップロード

  1. 正しい組織内にいることを確認します。
  2. コンテンツ > Red Hat サブスクリプション をクリックします。
  3. マニフェストの管理 をクリックしてサブスクリプションページを開きます。
  4. 参照 をクリックして、作成したマニフェストファイルを選択し、開く をクリックします。
  5. アップロード をクリックして、マニフェストを Satellite サーバーにアップロードします。

Hammer CLI を使用したマニフェストのアップロード

  1. Satellite サーバーにマニフェストをアップロードします。

    hammer subscription upload --organization-label org_label --file path_to_manifest

3.1.7. 自己登録 Satellite の設定

Red Hat Satellite サーバーは通常 Red Hat カスタマーポータルに登録され、Satellite サーバーとしてアクティベートされ、Red Hat カスタマーポータルから新しいコンテンツを取得します。自己登録 Red Hat Satellite 6 サーバーは、Red Hat カスタマーポータルではなくそれ自体に登録されます。

Red Hat Satellite 6 サーバーがインストールされた場合、クライアントとして自己登録するには複数の利点があります。

  • 同じライフサイクル管理の手順は、残りの管理対象に適用された Satellite 6 サーバー自体に適用できます。
  • Satellite 6 サーバーを独自のコンテンツビューにサブスクライブすることにより、残りの管理対象ホストと同じスケジュールで同じアップデートを受け取ります。
  • 自己登録 Satellite Server を使用して virt-who を使用できますが、自己登録なしで virt-who をインストールおよび設定することもできます。詳細については、『Red Hat Satellite Virtual Instances Guide』を参照してください。

自己登録 Satellite Server には複数の制限があります。

  • 自己登録 Satellite Server は、ライフサイクル環境を使用してパッケージアップデートをテストできません。未テストのパッケージにアップグレードする前に、自己登録 Satellite Server の完全バックアップを作成することが重要です。
  • すべての puppet モジュールが自己登録 Satellite Server でサポートされるわけではありません。puppet モジュールを自己登録 Satellite Server に適用する場合は、未サポートの設定が作成されないようにしてください。

Satellite の自己登録

自己登録 Satellite がそれ自体からアップデートを取得するよう設定する前に、Satellite サブスクリプションを Satellite のマニフェストに追加する必要があります。サブスクリプションがマニフェストに含まれる場合、適切な Satellite リポジトリーと Satellite を同期できます。

Satellite の自己登録手順:

  1. Satellite がすでに Red Hat カスタマーポータルに登録されている場合は、以下のコマンドを使用して Red Hat カスタマーポータルから Satellite を登録解除します。

    # subscription-manager remove --all
    # subscription-manager unregister
  2. Red Hat カスタマーポータルで Satellite サブスクリプションが利用可能になりました。サブスクリプションは、Satellite のマニフェストに移行できます。マニフェストの詳細については、『Content Management Guide』の「Managing Subscriptions」を参照してください。

    1. https://access.redhat.com に移動し、ページ上部のメインメニューにある サブスクリプション をクリックします。
    2. Red Hat サブスクリプション管理 セクションまで下にスクロールし、サブスクリプション管理アプリケーション 下の Satellite をクリックします。
    3. 表でホスト名をクリックして、必要な Satellite Server を選択します。
    4. サブスクリプションのアタッチ をクリックし、割り当てるサブスクリプションを選択します。各サブスクリプションの数を指定し、ボタン 選択項目のアタッチ をクリックします。
  3. Satellite Server のマニフェストを更新します。

    1. Satellite サーバーにログインします。
    2. 正しい組織が選択されていることを確認します。
    3. コンテンツ > Red Hat サブスクリプション をクリックし、次にページの右上にある マニフェストの管理 をクリックします。
    4. サブスクリプションマニフェスト セクションで、アクション をクリックし、サブスクリプションマニフェスト サブセクションで、マニフェストの更新 をクリックします。
  4. Satellite Web UI またはコマンドラインインターフェースを使用して Red Hat リポジトリーを有効にします。

    • Satellite Web UI の使用:

      1. コンテンツ > Red Hat リポジトリー をクリックします。
      2. 必要なリポジトリーに移動します。リポジトリーを選択する各リポジトリーセットをクリックし、必要な各リポジトリーのチェックボックスをオンにします。リポジトリーは自動的に有効になります。

        • Red Hat Enterprise Linux 6 の場合、有効にする必要があるリポジトリーは以下のとおりです。

          • Red Hat Enterprise Linux 6 Server RPM x86_64 6Server
          • Red Hat Satellite 6.2 for RHEL 6 Server RPMs x86_64
          • Red Hat Software Collections RPMs for Red Hat Enterprise Linux 6 Server x86_64 6Server
          • Red Hat Enterprise Linux 6 Server - Satellite Tools 6.2 RPMs x86_64 リポジトリー
        • Red Hat Enterprise Linux 7 の場合、有効にする必要があるリポジトリーは以下のとおりです。

          • Red Hat Enterprise Linux 7 Server RPMs x86_64 6Server
          • Red Hat Satellite 6.2 for RHEL 7 Server RPMs x86_64
          • Red Hat Software Collections RPMs for Red Hat Enterprise Linux 7 Server x86_64 6Server
          • Red Hat Enterprise Linux 7 Server - Satellite Tools 6.2 RPMs x86_64 リポジトリー
    • Hammer CLI Tool の使用:

      Satellite Server に必要なリポジトリーを有効にするには、以下の形式のコマンドを使用します。

      subscription-manager repos --enable=repository-to-be-enabled
      1. Red Hat Enterprise Linux 6 の場合、有効にする必要があるリポジトリーは以下のとおりです。

        1. rhel-6-server-satellite-6.2-rpms
        2. rhel-6-server-satellite-tools-6.2-rpms
      2. Red Hat Enterprise Linux 7 の場合、有効にする必要があるリポジトリーは以下のとおりです。

        1. rhel-7-server-satellite-6.2-rpms
        2. rhel-7-server-satellite-tools-6.2-rpms
  5. Satellite Server を同期します。

    1. Content (コンテンツ) > Sync Status (同期ステータス) に移動します。有効なサブスクリプションとリポジトリーに基づいて、同期できる製品リポジトリーのリストが表示されます。
    2. 製品名の横にある矢印をクリックして使用可能なコンテンツを表示します。
    3. 同期するコンテンツを選択します。
    4. Synchronize Now (今すぐ同期) をクリックして同期を開始します。同期プロセスのステータスは、Result (結果) 列に表示されます。同期が成功したら、Sync complete (同期が完了)Result (結果) 列に表示されます。同期が失敗した場合は、Error syncing (同期エラー) が表示されます。

      注記

      コンテンツの同期には時間がかかることがあります。同期に要する時間は、ディスクドライブの速度やネットワーク接続の速度、同期対象として選択されたコンテンツの量によって異なります。

  6. オプションで、Satellite Server を表すコンテンツビューを作成します。これにより、Satellite ではサーバー上の残りのコンテンツと同じライフサイクル管理手順を実行できます。コンテンツビューの詳細については、『Red Hat Satellite 6.2 Host Configuration Guide』の章「Using Content Views」を参照してください。

    1. コンテンツビューを作成するには、以下の手順を実行します。

      1. Satellite 管理者として Web UI ログインします。
      2. Content (コンテンツ) > Content Views (コンテンツビュー) をクリックします。
      3. Create New View (新規ビューの作成) をクリックします。
      4. コンテンツビューの Name (名前) を指定します。Name (名前) フィールドに値が入力されると、Label (ラベル) フィールドに値が自動的に入力されます。オプションで、コンテンツビューの説明を提供できます。
      5. Save (保存) をクリックします。
    2. コンテンツビューを編集して Red Hat Enterprise Linux サーバーと Satellite リポジトリーを追加します。

      1. Content (コンテンツ) > Content Views (コンテンツビュー) をクリックし、リポジトリーを追加するコンテンツビューを選択します。
      2. Yum Content (Yum コンテンツ) をクリックし、ドロップダウンメニューから Repositories (リポジトリー) を選択します。サブメニューから、Add (追加) をクリックします。
      3. 追加する必要があるリポジトリーを選択し、Add Repositories (リポジトリーの追加) をクリックします。自己登録 Satellite に必要なリポジトリーは、Satellite 向けのすべてのリポジトリー、すべてのサポートリポジトリー、および Base OS 向けリポジトリーです。自己登録 Satellite に必要なリポジトリーはこの手順の手順 4 にリストされています。
  7. 以下のコマンドを実行して必要な証明書をダウンロードおよびインストールします。

    # rpm -Uvh /var/www/html/pub/katello-ca-consumer-latest.noarch.rpm
  8. Satellite Server を登録し、適切なエンタイトルメントを割り当てます。Satellite Server を登録する場合は、サーバーが属する組織とライフサイクル環境を指定する必要があります。利用可能な組織とライフサイクル環境を確認するには、Satellite Web UI で、Hosts (ホスト) > New host (新規ホスト) に移動し、これらの値に対してドロップダウンリストを選択します。

    # subscription-manager register --org=organization  --environment=environment

    # subscription-manager register --org=ExampleCompany  --environment=Library

    Red Hat Satellite ユーザー名およびパスワードを入力するよう求められます。Satellite Server 管理者は、新規ユーザーを設定できます。詳細については、『Red Hat Satellite Server Administration Guide』を参照してください。

  9. 以下のコマンドを実行して Satellite と Red Hat Enterprise Linux のプール ID を見つけます。

    # subscription-manager list --available
  10. 以下のコマンドを実行してエンタイトルメントを割り当てます。

    # subscription-manager attach --pool Red_Hat_Satellite_Pool_ID --pool Red_Hat_Enterprise_Linux_ID

    この時点で、Satellite Server の内部の Satellite Server に対してコンテンツホストが作成されます。

  11. Satellite Web UI からエラータ管理とパッケージインストールを許可するために Katello Agent パッケージをインストールします。katello-agent パッケージは、goferd サービスを提供する gofer パッケージに依存します。Red Hat Satellite Server または Capsule Server がコンテンツホストに適用可能なエラータに関する情報を提供できるように goferd サービスを有効にする必要があります。

    katello-agent をインストールするには、以下のコマンドを実行します。

    # yum install katello-agent

    katello-agent が正常にインストールされた後に、goferd サービスが起動し、有効になります。

3.2. 切断されたネットワークからのダウンロードおよびインストール

Red Hat Satellite Server に対するホストが切断された環境に存在する場合は、ISO イメージを使用して Satellite Server をインストールできます。ISO イメージには最新のアップデート、バグフィックス、および機能が含まれないことがあるため、この方法は他のすべての状況に推奨されません。

注記

ベースシステムが Red Hat CDN から更新されなかった場合、パッケージの依存エラーが発生することがあります。必要なパッケージの最新バージョンは手動でダウンロードおよびインストールする必要があります。詳細については、「パッケージを手動でダウンロード」 を参照してください。

作業を開始する前に

  • インストールで使用されたリポジトリーのコピーは /opt/ ディレクトリーに格納されます。このファイルシステムとディレクトリーのために最低 2GB の領域を確保してください。

3.2.1. バイナリー DVD イメージのダウンロード

  1. Red Hat カスタマーポータルに移動し、ログインします。
  2. ダウンロードをクリックします。
  3. Red Hat Enterprise Linux を選択します。
  4. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Enterprise Linux Server に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  5. Product Software (製品ソフトウェア) タブで、最新の Red Hat Enterprise Linux Server バージョン向けのバイナリー DVD イメージをダウンロードします。
  6. ダウンロードをクリックし、Red Hat Satellite を選択します。
  7. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Satellite に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  8. Product Software (製品ソフトウェア) タブで、最新の Red Hat Satellite バージョン向けのバイナリー DVD イメージをダウンロードします。
  9. ISO ファイルを Satellite ベースシステムまたは他のアクセス可能なストレージデバイスにコピーします。

    scp localfile username@hostname:remotefile

3.2.2. オフラインリポジトリーでベースシステムを設定

  1. ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。

    # mkdir /media/rhelX-server

    ここで、X は、使用している Red Hat Enterprise Linux のメジャーバージョンです。

  2. Red Hat Enterprise Linux の ISO イメージをマウントポイントにマウントします。

    mount -o loop rhelX-Server-DVD.iso /media/rhelX-server

    以下の例は、Red Hat Enterprise Linux 7.2 のマウントを示しています。

    # mount -o loop RHEL-7.2-20151030.0-Server-x86_64-dvd1.iso /media/rhel7-server
    mount: /dev/loop0 is write-protected, mounting read-only
  3. ISO ファイルのリポジトリーデータファイルをコピーします。

    # cp /media/rhelX-server/media.repo /etc/yum.repos.d/rhelX-server.repo
  4. リポジトリーデータファイルを編集し、baseurl ディレクティブを追加します。

    baseurl=file:///media/rhelX-server/

    以下の例は、Red Hat Enterprise Linux 7.2 を使用した場合のリポジトリーデータファイルを示しています。

    # vi /etc/yum.repos.d/rhel7-server.repo
    [InstallMedia]
    name=Red Hat Enterprise Linux 7.2
    mediaid=1446216863.790260
    metadata_expire=-1
    gpgcheck=0
    cost=500
    baseurl=file:///media/rhel7-server/
    enabled=1
  5. リポジトリーが設定されたことを確認します。

    # yum repolist
    Loaded plugins: product-id, search-disabled-repos, subscription-manager
    This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
    repo id          repo name                       status
    InstallMedia     Red Hat Enterprise Linux 7.2    4,620
  6. ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。

    # mkdir /media/sat6
  7. Red Hat Satellite Server の ISO イメージをマウントポイントにマウントします。

    mount -o loop sat6-DVD.iso /media/sat6

    以下の例は、Red Hat Enterprise Linux 7 向け Red Hat Satellite 6.2.1 を使用した ISO のマウントを示しています。

    # mount -o loop satellite-6.2.1-rhel-7-x86_64-dvd.iso /media/sat6
    mount: /dev/loop1 is write-protected, mounting read-only

3.2.3. オフラインリポジトリーからのインストール

  1. Red Hat GPG キーをインポートします。

    # rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
  2. バイナリー DVD イメージを使用してベースシステムを最新の状態にします。

    # yum update
  3. Satellite ISO がマウントされたディレクトリーに移動します。

    # cd /media/sat6/
  4. マウントされたディレクトリーでインストーラースクリプトを実行します。

    # ./install_packages
    	This script will install the foreman packages on the current machine.
       - Ensuring we are in an expected directory.
       - Copying installation files.
       - Creating a Repository File
       - Creating RHSCL Repository File
       - Checking to see if Foreman is already installed.
       - Importing the gpg key.
       - Foreman is not yet installed, installing it.
       - Installation repository will remain configured for future package installs.
       - Installation media can now be safely unmounted.
    
    Install is complete. Please run satellite-installer.

    パッケージが不明であるか、古いため、スクリプトが失敗した場合は、これらをダウンロードし、個別にインストールする必要があります。手順については、「パッケージを手動でダウンロード」 を参照してください。

  5. ISO ファイルをアンマウントします。

    # unmount /media/sat6
    # unmount /media/rhelX-server

3.2.4. パッケージを手動でダウンロード

パッケージを手動でダウンロードする必要がある場合は、以下の手順を実行します。

  1. Red Hat カスタマーポータルに移動し、ログインします。
  2. ダウンロードをクリックします。
  3. Red Hat Satellite を選択します。
  4. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Satellite に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  5. Packages (パッケージ) タブで、Search (検索) ボックスに必要なパッケージの名前を入力します。
  6. 必要なパッケージの横にある Download Latest (最新版のダウンロード) をクリックします。

3.3. 初期設定の実行

初期設定の一部として、カスタムサーバー証明書を設定し、手動で Satellite を設定したり、回答ファイルを使用して Satellite を自動的に設定したりできます。

  • 手動設定 - Satellite Server には、サーバーで使用できるデフォルトの初期設定オプションがあります。これらの設定は、使用している環境の要件に応じて上書きできます。必要なオプションを設定するために、コマンドは、必要に応じて実行できます。
  • 自動設定 - 回答ファイルを使用することにより、ほとんどのインストールと設定を自動化できます。
注記

Satellite インストーラーの実行時に使用するオプションによっては、設定が完了するのに数分かかることがあります。

作業を進める前に、使用している環境に適切なマニフェストまたはパッケージを確認します。詳細については、『Content Management Guide』を参照してください。

3.3.1. 時間の同期

時刻の誤差を最小化するには、ホストオペレーティングシステムで時刻シンクロナイザーを起動し、有効にする必要があります。システムの時刻が正しくない場合は、証明書の検証に失敗することがあります。

NTPchrony の 2 つの時刻シンクロナイザーが利用可能です。各シンクロナイザーにはそれぞれの利点があります。chrony は、頻繁に一時停止するシステムと、ネットワークから断続的に切断され、ネットワーク接続が再確立されるシステム (モバイルシステムや仮想システムなど) に推奨されます。NTP は、実行状態を維持し、中断なしでネットワークに接続することが期待されるシステムに推奨されます。

NTPchrony の違いに関する詳細については、『Red Hat Enterprise Linux 7 System Administrators Guide』または『Red Hat Enterprise Linux 6 Deployment Guide』を参照してください。

NTP を使用した時刻の同期

  1. ntp をインストールします。

    # yum install ntp
  2. NTP サーバーが利用可能であることを確認します。

    # ntpdate -q ntp_server_address
  3. システム時刻を設定します。

    # ntpdate ntp_server_address
  4. ntpd サービスを起動して、有効にします。

    # chkconfig ntpd on

chronyd を使用した時刻の同期

  1. chronyd をインストールします。

    # yum install chrony
  2. chrony サービスを起動し、有効にします。

    # systemctl start chronyd
    # systemctl enable chronyd

3.3.2. ホストオペレーティングシステムへの SOS パッケージのインストール

ホストオペレーティングシステムには sos パッケージをインストールする必要があります。sos パッケージを使用すると、Red Hat Enterprise Linux システムから設定と診断情報を収集できます。また、Red Hat テクニカルサポートでサービス要求をオープンするときに必要な初期システム分析を提供することもできます。sos の使用の詳細については、「What is a sosreport and how to create one in Red Hat Enterprise Linux 4.6 and later?」を参照してください。

  1. sos パッケージをインストールします。

    # yum install sos

3.3.3. 初期設定を手動で実行

初期設定では、組織、場所、ユーザー名、およびパスワードが作成されます。初期設定後に、必要に応じて追加の組織と場所を作成できます。

インストールプロセスが完了するには何十分もかかることがあります。システムにリモートで接続する場合は、リモートシステムから切断された場合にインストールの進捗を確認できるよう、通信セッションの一時中断または再接続を許可できる screen などのユーティリティーの使用を検討してください。Red Hat ナレッジベースの記事 How do I use the screen command? には screen のインストールについて記載されています。また、詳細については、screen man ページを参照してください。インストールコマンドが実行中のシェルへの接続が失われた場合は、/var/log/foreman-installer/satellite.log のログを参照してプロセスが正常に完了したかどうかを確認します。

Satellite Server の手動設定

値を指定しない場合は、デフォルト値が使用されます。satellite-installer --help コマンドを使用して利用可能なオプションとすべてのデフォルト値を表示します。

注記

オプション --foreman-initial-organization に意味のある値を指定します。これには会社名を指定できます。値に一致する内部ラベルが作成され、このラベルはあとで簡単に変更できません。値を指定しない場合は、ラベルが Default_OrganizationDefault Organization という名前の組織が作成されます。組織名は変更できますが、ラベルは変更できません。

# satellite-installer --scenario satellite \
--foreman-initial-organization "initial_organization_name" \
--foreman-initial-location "initial_location_name" \
--foreman-admin-username admin-username \
--foreman-admin-password admin-password

スクリプトが正常に完了すると、以下の出力が表示されます。

Installing             Done
   [100%] [........................................]
   Success!
   * Satellite is running at https://satellite.example.com
       Default credentials are 'admin / changeme'
   * Capsule is running at https://satellite.example.com:9090
   * To install additional capsule on separate machine continue by running:

   capsule-certs-generate --capsule-fqdn "$CAPSULE" --certs-tar "~/$CAPSULE-certs.tar"

   The full log is at /var/log/foreman-installer/satellite.log

3.3.4. Answer ファイルを使用した Red Hat Satellite の設定

回答ファイルを使用すると、カスタマイズされたオプションでインストールを自動化できます。最初の回答ファイルには、部分的に情報が入力されます。回答ファイルには、satellite-installer の初回実行後に、インストール向けの標準的なパラメーター値が入力されます。

ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用する必要があります。

  1. デフォルトの回答ファイル /etc/foreman-installer/scenarios.d/satellite-answers.yaml をローカルファイルシステムの場所にコピーします。

    # cp /etc/foreman-installer/scenarios.d/satellite-answers.yaml /etc/foreman-installer/scenarios.d/my-answer-file.yaml
  2. 設定可能なすべてのオプションを表示するには、satellite-installer --help コマンドを実行します。
  3. 回答ファイルのコピーを開き、ご使用の環境に適した値を編集し、ファイルを保存します。
  4. /etc/foreman-installer/scenarios.d/satellite.yaml ファイルを開き、カスタム回答ファイルを参照する回答ファイルエントリーを編集します。

    :answer_file: /etc/foreman-installer/scenarios.d/my-answer-file.yaml
  5. satellite-installer コマンドを実行します。

    # satellite-installer --scenario satellite

3.4. 追加設定の実行

3.4.1. Satellite Tools リポジトリーのインストール

Satellite Tools リポジトリーは、Satellite Server に登録されたクライアント向けの katello-agent パッケージと puppet パッケージを提供します。クライアントのリモートアップデートを許可するために、katello エージェントをインストールすることが推奨されます。自己登録 Satellite Server または Capsule Server のベースシステムは Satellite Server のクライアントであるため、katello エージェントもインストールする必要があります。

Satellite Tools リポジトリーのインストール手順:

  1. Satellite Web UI で、Content > Red Hat Repositories に移動し、RPM タブを選択します。
  2. Red Hat Enterprise Linux Server 項目を見つけ、展開します。
  3. Red Hat Satellite Tools 6.2 (RHEL VERSION Server 向け) (RPM) 項目を見つけ、展開します。

    Red Hat Satellite Tools 6.2 項目が非表示の場合は、その項目がカスタマーポータルから取得されたサブスクリプションマニフェストに含まれないことが原因であることがあります。この問題を修正するには、カスタマーポータルにログインし、To correct that, log in to the Customer Portal, add these repositories, download the subscription manifest and import it into Satellite.

  4. Satellite 6.2 Tools リポジトリーの名前の横にある Enabled チェックボックスをオンにします。

ホストで実行されている Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Tools リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。

Satellite Tools リポジトリーの同期方法:

  1. Content > Sync Status に移動します。

    同期可能な製品リポジトリーのリストが表示されます。

  2. 製品コンテンツの横にある矢印をクリックして利用可能なコンテンツを表示します。
  3. 同期するコンテンツを選択します。
  4. Synchronize Now をクリックします。

3.4.2. HTTP プロキシーを使用して Satellite Server を設定

ネットワークで HTTP プロキシーを使用している場合は、HTTP プロキシーを有効にできます。ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。

  1. http_proxyhttps_proxy、および no_proxy の変数が設定されていないことを確認します。

    # export http_proxy=""
    # export https_proxy=$http_proxy
    # export no_proxy=$http_proxy
  2. HTTP プロキシーオプションを使用して satellite-installer を実行します。

    # satellite-installer --scenario satellite \
    --katello-proxy-url=http://myproxy.example.com \
    --katello-proxy-port=8080 \
    --katello-proxy-username=proxy_username \
    --katello-proxy-password=proxy_password
  3. Satellite Server が Red Hat Content Delivery Network (CDN) に接続し、リポジトリーを同期できることを確認します。

    1. ネットワークゲートウェイと HTTP プロキシーで、以下のホスト名に対して TCP を有効にします。

      ホスト名ポートプロトコル

      subscription.rhn.redhat.com

      443

      HTTPS

      cdn.redhat.com

      443

      HTTPS

      *.akamaiedge.net

      443

      HTTPS

      cert-api.access.redhat.com (Red Hat Insights を使用している場合)

      443

      HTTPS

      api.access.redhat.com (Red Hat Insights を使用している場合)

      443

      HTTPS

      subscription.rhn.redhat.com により現在使用されている IP アドレスについては、Red Hat カスタマーポータルのナレッジベースソリューション「What is the IP address range for 'subscription.rhn.redhat.com'」を参照してください。

      Red Hat CDN (cdn.redhat.com) により使用されている IP アドレスのリストについては、Red Hat カスタマーポータルのナレッジベース記事「Public CIDR Lists for Red Hat」を参照してください。

    2. Satellite Server の /etc/rhsm/rhsm.conf ファイルで、以下の詳細を記入します。

      # an http proxy server to use (enter server FQDN)
      proxy_hostname = http_proxy.example.com
      
      # port for http proxy server
      proxy_port = 3128
      
      # user name for authenticating to an http proxy, if needed
      proxy_user =
      
      # password for basic http proxy auth, if needed
      proxy_password =

3.4.3. Satellite Server で DNS、DHCP、および TFTP を設定

Satellite Server では、DNS、DHCP、および TFTP を設定できます。

外部サービスを設定する場合は、詳細について「Satellite Server での外部サービスの設定」を参照してください。

これらのサービスを手動で管理するために Satellite でサービスを無効にする場合は、詳細について「管理対象外ネットワークに対して DNS、DHCP、および TFTP を無効化」を参照してください。

設定可能なオプションの完全なリストを表示するには、satellite-installer --help コマンドを実行します。

作業を開始する前に

  • ネットワーク管理者に連絡して正しい設定が行われていることを確認します。
  • 以下の情報を用意する必要があります。

    • DHCP IP アドレス範囲
    • DHCP ゲートウェイ IP アドレス
    • DHCP ネームサーバー IP アドレス
    • DNS 情報
    • TFTP サーバー名
  • ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。
注記

タスクの情報は例です。自分の環境に該当する情報を使用する必要があります。

Satellite Server での DNS、DHCP、および TFTP の設定

  1. 使用している環境に適切なオプションを使用して satellite-installer を実行します。

    # satellite-installer --scenario satellite \
    --foreman-proxy-dns true \
    --foreman-proxy-dns-interface eth0 \
    --foreman-proxy-dns-zone example.com \
    --foreman-proxy-dns-forwarders 172.17.13.1 \
    --foreman-proxy-dns-reverse 13.17.172.in-addr.arpa \
    --foreman-proxy-dhcp true \
    --foreman-proxy-dhcp-interface eth0 \
    --foreman-proxy-dhcp-range "172.17.13.100 172.17.13.150" \
    --foreman-proxy-dhcp-gateway 172.17.13.1 \
    --foreman-proxy-dhcp-nameservers 172.17.13.2 \
    --foreman-proxy-tftp true \
    --foreman-proxy-tftp-servername $(hostname)

    インストールのステータスが表示されます。ユーザー名とパスワードはコマンド出力で参照できます。また、これらの情報は /etc/foreman-installer/scenarios.d/satellite-answers.yaml ファイルの admin_password パラメーターからも取得できます。

    Success!
      * Satellite is running at https://satellite.example.com
          Default credentials are 'admin:*******'
      * Capsule is running at https://satellite.example.com:9090
      * To install additional capsule on separate machine continue by running:"
    
          capsule-certs-generate --capsule-fqdn "$CAPSULE" --certs-tar "~/$CAPSULE-certs.tar"
    
      The full log is at /var/log/foreman-installer/satellite.log
注記

設定を変更するには、satellite-installer を再び実行する必要があります。スクリプトは複数回実行でき、すべての設定ファイルが変更された値で更新されます。

3.4.4. 管理対象外ネットワークに対して DNS、DHCP、および TFTP を無効化

Satellite 6 は、Satellite の内部または外部 Capsule で実行されている TFTP、DHCP、および DNS ネットワークサービス向けの完全な管理機能を提供します。これらのサービスを手動で管理、または外部の手段を使用する場合、Satellite 6 はそれらと直接統合できません。Foreman Hooks を介してカスタム統合スクリプトを開発できる一方で (新しいホストの作成後の DNS レコードの作成など) 、DHCP と DNS の検証エラーを回避するためにこの統合 (オーケストレーションとも呼ばれます) は無効にする必要があります。

  1. Infrastructure > Subnets に移動し、サブネットを選択します。
  2. Capsules タブで、ドロップダウンリストを None に設定して、関連付けられた DHCP Capsule または TFTP Capsule がないことを確認します。
  3. 正引きレコードオーケストレーションを無効にします。

    1. Infrastructure > Domains に移動し、ドメインを選択します。
    2. Domain (ドメイン) タブで、DNS Capsule ドロップダウンリストを None (なし) に設定します。
  4. 逆引き (PTR) レコードオーケストレーションを無効にします。

    1. Infrastructure > Subnets に移動し、サブネットを選択します。
    2. Capsules タブで、Reverse DNS Capsule ドロップダウンリストを None (なし) に設定します。
注記

Satellite 6 は、Capsule が該当するサブネットとドメインに設定されていない場合にオーケストレーションを実行しません。Capsule の関連付けを有効または無効にすると、期待されたレコードと設定ファイルが存在しない場合に、既存のホストのオーケストレーションコマンドが失敗することがあります。オーケストレーションを有効にするために Capsule を関連付ける場合は、将来ホストの削除に失敗することを回避するために、既存の Satellite 6 管理対象ホストに対して必要な DHCP および DNS レコードと TFTP ファイルが所定の場所にあることを確認します。

3.4.5. Satellite Server で送信電子メールを設定

Satellite Server から電子メールメッセージを送信するには、SMTP サーバーまたは sendmail コマンドのいずれかを使用できます。

  1. お好みの配信方法に合わせて設定ファイル /etc/foreman/email.yaml を編集します。

    以下の例は、SMTP サーバーを使用する場合の設定ファイルの内容を示しています。

    production:
       delivery_method: :smtp
       smtp_settings:
          address: smtp.example.com
          port: 25
          domain: example.com
          authentication: :login
          user_name: satellite@example.com
          password: satellite

    ここで、user_name ディレクティブと password ディレクティブは SMTP サーバーのログインクレデンシャルを指定します。デフォルトの /etc/foreman/email.yaml には authentication: :none が含まれます。

    以下の例では、gmail.com が SMTP サーバーとして使用されています。

    production:
       delivery_method: :smtp
       smtp_settings:
          enable_starttls_auto: :true
          address: smtp.gmail.com
          port: 587
          domain: smtp.gmail.com
          authentication: :plain
          user_name: user@gmail.com
          password: password

    以下の例では、sendmail コマンドが配信方法として使用されています。

    production:
       delivery_method: :sendmail
       sendmail_settings:
          arguments: "-i -t -G"

    ここで、arguments ディレクティブは、コマンドラインオプションを sendmail に渡すために使用されます。arguments のデフォルト値は "-i -t" です。詳細については、sendmail 1 の man ページを参照してください。

  2. TLS 認証を使用する SMTP サーバーで電子メールを送信する場合は、以下のいずれかの手順を実行してください。

    • SMTP サーバーの CA 証明書を信頼済みとしてマークします。このようにマークするには、Satellite Server で以下のコマンドを実行します。

      # cp mailca.crt /etc/pki/ca-trust/source/anchors/
      # update-ca-trust enable
      # update-ca-trust

      ここで、mailca.crt は SMTP サーバーの CA 証明書です。

    • または、以下のディレクティブを smtp_settings 下の /etc/foreman/email.yaml に追加します。

      enable_starttls_auto: :false
  3. /etc/foreman/email.yaml ファイルの更新後に、Katello サービスを再起動して変更を適用します。

    # katello-service restart
  4. 返信アドレスまたは件名プレフィックスなどの追加の電子メール設定は、Satellite Web UI (General タブ下で Administer (管理) > Settings (設定)) で行えます。
注記

個々のユーザーまたはユーザーグループに対する電子メール通知の設定については、『Red Hat Satellite Server Administration Guide』を参照してください。

3.4.6. カスタムサーバー証明書を使用した Satellite Server の設定

Red Hat Satellite 6 は、Satellite Server、Capsule Server、およびすべてのホスト間で暗号化された通信を有効にするためにデフォルトの SSL 証明書を提供します。必要に応じて、デフォルト証明書をカスタム証明書に置き換えることができます。たとえば、会社のセキュリティーポリシーで、特定の認証局から SSL 証明書を取得することが規定されている場合があります。

デフォルトの SSL 証明書を置き換えるには、Satellite Server とすべての外部 Capsule Server (存在する場合) 向けのカスタム SSL 証明書を取得し、個々のホストでインストールする必要があります。

注記

この手順を実行する前に、Satellite Server とすべての外部 Capsule Server 向けのカスタム SSL 証明書を取得します。

Satellite サーバーでカスタム証明書を使用するには、これらの手順を完了します。

外部 Capsule サーバーがある場合は、「カスタムサーバー証明書を使用した Capsule Server の設定」 の手順も完了する必要があります。

3.4.6.1. Satellite Server 向けの SSL 証明書を取得

注記

Satellite Server 向けのカスタム SSL 証明書がすでにある場合は、この手順を省略します。

  1. root ユーザーのみがアクセスできる、すべてのソース証明書ファイルを含むディレクトリーを作成します。

    これらの例では、ディレクトリーは /root/sat_cert です。

    # mkdir /root/sat_cert
    # cd /root/sat_cert
  2. Certificate Signing Request (CSR) を署名する秘密鍵を作成します。

    注記

    Satellite Server 向けの秘密鍵がすでにある場合は、この手順を省略します。

    # openssl genrsa -out /root/sat_cert/satellite_cert_key.pem 4096
  3. Certificate Signing Request (CSR) の作成

    Certificate Signing Request は、証明書を要求しているサーバーの詳細を含むテキストファイルです。このコマンドを使用する場合は、(前の手順で出力された) 秘密鍵を提供し、Satellite Server に関するいくつかの質問に答えます。その結果、Certificate Signing Request が作成されます。

    注記

    証明書の Common Name (CN) は、証明書が使用されるサーバーの完全修飾ドメイン名 (FQDN) に一致する必要があります。Satellite サーバー向けの証明書を要求している場合、これは Satellite サーバーの FQDN です。Capsule サーバー向けの証明書を要求している場合、これは Capsule サーバーの FQDN です。

    サーバーの FQDN を確認するには、該当するサーバーでコマンド hostname -f を実行します。

    # openssl req -new \
      -key /root/sat_cert/satellite_cert_key.pem \ 1
      -out /root/sat_cert/satellite_cert_csr.pem   2
    1
    証明書を署名するために使用する Satellite Server の秘密鍵
    2
    Certificate Signing Request ファイル

    Certificate Signing Request セッションの例

    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    
    Country Name (2 letter code) [XX]:AU
    State or Province Name (full name) []:Queensland
    Locality Name (eg, city) [Default City]:Brisbane
    Organization Name (eg, company) [Default Company Ltd]:Example
    Organizational Unit Name (eg, section) []:Sales
    Common Name (eg, your name or your server's hostname) []:satellite.example.com
    Email Address []:example@example.com
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:password
    An optional company name []:Example

  4. 証明書要求を認証局に送信します。

    要求を送信する場合は、証明書のライフスパンを指定する必要があります。証明書要求を送信する方法は異なるため、推奨される方法について認証局にお問い合わせください。要求に対する応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。

3.4.6.2. Satellite Server の SSL 証明書の検証

以下の例のように、必要なパラメーターを使用して katello-certs-check コマンドを実行します。これにより、カスタム証明書に必要な入力ファイルが検証され、これらを Satellite サーバー、すべての Capsule サーバー、および Satellite で管理されているホストにインストールするために必要なコマンドが出力されます。

  1. カスタム SSL 証明書入力ファイルを検証します。ファイルに一致するようファイル名を変更します。

    # katello-certs-check \
       -c /root/sat_cert/satellite_cert.pem \      1
       -k /root/sat_cert/satellite_cert_key.pem \  2
       -r /root/sat_cert/satellite_cert_csr.pem \  3
       -b /root/sat_cert/ca_cert_bundle.pem        4
    1
    認証局により署名された Satellite Server 向けの証明書ファイル
    2
    証明書を署名するために使用する Satellite Server の秘密鍵
    3
    Satellite Server 向けの証明書署名要求ファイル
    4
    認証局バンドル

katello-certs-check の出力例

Validating the certificate subject= /C=AU/ST=Queensland/L=Brisbane/O=Example/OU=Sales/CN=satellite.example.com/emailAddress=example@example.com
Check private key matches the certificate: [OK]
Check ca bundle verifies the cert file: [OK]

Validation succeeded.

To install the Satellite main server with the custom certificates, run:

    satellite-installer --scenario satellite\
                        --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
                        --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
                        --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
                        --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"

To update the certificates on a currently running Satellite installation, run:

    satellite-installer --scenario satellite\
                        --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
                        --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
                        --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
                        --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\
                        --certs-update-server --certs-update-server-ca

To use them inside a $CAPSULE, run this command INSTEAD:

    capsule-certs-generate --capsule-fqdn ""\
                           --certs-tar  "/root/certs.tar"\
                           --server-cert "/root/sat_cert/satellite_cert.pem"\
                           --server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
                           --server-key "/root/sat_cert/satellite_cert_key.pem"\
                           --server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\
                           --certs-update-server

3.4.6.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行

この時点で SSL 証明書が作成され、Red Hat Satellite 6 で使用できることが確認されました。次の手順は、カスタム SSL 証明書を Satellite Server とそのすべてのホストにインストールすることです。

この手順は、Satellite Server がすでにインストールされているかどうかに応じて、少し異なります。Satellite Server がすでにインストールされている場合は、既存の証明書を証明書アーカイブの証明書で更新する必要があります。

このセクションのコマンドは、「Satellite Server の SSL 証明書の検証」 で説明されたように katello-certs-check コマンドで出力され、ターミナルにコピーアンドペーストできます。

  1. 状況に応じて、satellite-installer コマンドを実行します。

    1. Satellite がすでにインストールされている場合は、Satellite サーバーで以下のコマンドを実行します。

      # satellite-installer --scenario satellite\
         --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
         --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
         --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
         --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\
         --certs-update-server --certs-update-server-ca

      このコマンドの重要なパラメーターには --certs-update-server--certs-update-server-ca が含まれます。これにより、サーバーの SSL 証明書と認証局を更新するよう指定されます。すべてのインストーラーのパラメーターの簡単な説明については、コマンド satellite-installer --scenario satellite --help を実行します。

      注記

      satellite-installer コマンドのすべてのファイルについては、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。

    2. Satellite がまだインストールされていない場合は、Satellite サーバーで以下のコマンドを実行します。

      # satellite-installer --scenario satellite\
        --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
        --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
        --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
        --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"
      注記

      satellite-installer コマンドのすべてのファイルについては、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。

  2. 証明書をホストにインストールする前に証明書が Satellite サーバーに正常にインストールされていることを確認します。Satellite サーバーへのネットワークアクセスがあるコンピューターで、Web ブラウザーを起動し、URL https://satellite.example.com に移動して、証明書の詳細を参照します。

3.4.6.4. Satellite Server に接続されたすべてのホストに新しい証明書をインストール

カスタム SSL 証明書は Satellite サーバーにインストールされたため、Satellite サーバーに登録された各ホストにもインストールする必要があります。すべての該当するホストで以下のコマンドを実行します。

# yum -y localinstall http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

3.4.7. mongod へのアクセスの制限

データ損失の危険を減らすために、MongoDB データベースデーモン mongod へのアクセスは apache ユーザーと root ユーザーにだけ許可する必要があります。

Satellite Server と Capsule Server で mongod へのアクセスを制限するには、以下のコマンドを使用します。

Red Hat Enterprise Linux 6 でのファイアウォールの設定

  1. Satellite Server と Capsule Server で iptables サービスを設定します。

    # iptables -I OUTPUT -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && iptables -I OUTPUT -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && iptables -I OUTPUT -o lo -p tcp -m tcp --dport 27017 -j DROP
    && iptables -I OUTPUT -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && iptables -I OUTPUT -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && iptables -I OUTPUT -o lo -p tcp -m tcp --dport 28017 -j DROP
    service iptables save

Red Hat Enterprise Linux 7 でのファイアウォールの設定

  1. Satellite Server と Capsule Server でファイアウォールを設定します。

    # firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 28017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 28017 -j DROP
  2. --permanent オプションを追加してコマンドを繰り返し、設定を永続化します。

    # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 28017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 28017 -j DROP