8.2. ID 管理の使用

以下の方法のいずれかを選択します。

8.2.1. ID 管理の直接的な使用

本項では、Red Hat Satellite Server と IdM サーバーを統合する方法とホストベースアクセス制御を有効にする方法を示します。

前提条件

Satellite Server は Red Hat Enterprise Linux 7.1 または Red Hat Enterprise Linux 6.6 以降で実行する必要があります。

本章の例では、IdM と Satellite の設定が分かれていることを前提とします。ただし、両方のサーバーに対して管理者権限を持っている場合は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide ^[4] で説明されているように、IdM を設定できます。

Satellite Server のベースオペレーティングシステムは、組織の IdM 管理者によって IdM ドメインに登録されている必要があります。

手順8.2 Satellite Server での IdM 認証の設定:

以下のように、IdM サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。
```
# ipa host-add --random hostname
```
注記
IdM 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。
ホスト設定プロパティーの詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide ^[5] を参照してください。
以下のように、Satellite Server 向けの HTTP サービスを作成します。
```
# ipa service-add servicename/hostname
```
サービスの管理の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide ^[6] を参照してください。
Satellite Server で、IdM 登録を設定するために、root で以下のコマンドを実行します。
```
# ipa-client-install --password OTP
```
OTP を、IdM 管理者により提供されたワンタイムパスワードに置き換えます。
Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合は、以下のコマンドを実行します。
```
# subscription-manager repos --enable rhel-7-server-optional-rpms
```
インストーラーは、オプションのリポジトリー rhel-7-server-optional-rpms (Red Hat Enterprise Linux 7 の場合) に含まれるパッケージに依存します。Red Hat Enterprise Linux 6 の場合、必要なすべてのパッケージは base リポジトリーに含まれます。
以下のコマンドを実行します。
```
# satellite-installer --foreman-ipa-authentication=true
```
このコマンドは、Satellite のフレッシュインストールに限定されません。既存の Satellite インストールを変更するためにも使用できます。
Katello サービスを再起動します。
```
# katello-service restart
```

この時点で、外部ユーザーは IdM クレデンシャルを使用して Satellite にログインできます。この場合、ユーザー名とパスワードを使用して直接 Satellite Server にログインするか、設定された Kerberos シングルサインオンを利用し、クライアントマシンでチケットを取得して、自動的にログインすることを選択できます。また、ワンタイムパスワードを使用した 2 要素認証 (2FA OTP) もサポートされます。IdM 内のユーザーが 2FA 向けに設定され、Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合、このユーザーは OTP で Satellite に対して認証することもできます。オプションで、次の手順に進んでホストベースアクセス制御 (HBAC) を設定します。

HBAC ルールでは、IdM ユーザーがアクセスすることを許可されたドメイン内のマシンを定義します。選択されたユーザーが Satellite Server にアクセスすることを防ぐよう IdM サーバー上で HBAC を設定できます。この方法では、ログインが許可されないユーザーのデータベースエントリーを Satellite が作成することを防ぐことができます。HBAC の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide ^[7] を参照してください。

手順8.3 HBAC の設定:

HBAC サービスおよびルールを IdM サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。IdM サーバー上で以下のコマンドを実行してください。
```
$ ipa hbacsvc-add satellite-prod
$ ipa hbacrule-add allow_satellite_prod
$ ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
```
サービス satellite-prod へのアクセスを持つユーザーと Satellite Server のホスト名を追加します。
```
$ ipa hbacrule-add-user allow_satellite_prod --user=username
$ ipa hbacrule-add-host allow_satellite_prod --hosts=the-satellite-fqdn
```
または、allow_satellite_prod ルールにホストグループとユーザーグループを追加します。

ルールのステータスを確認するために、以下のコマンドを実行します。

$ ipa hbacrule-find satellite-prod
$ ipa hbactest --user=username --host=the-satellite-fqdn --service=satellite-prod

IdM サーバーで allow_all rule が無効であることを確認します。他のサービスに影響を与えずにこれを行う方法については、How to configure HBAC rules in IdM article on the Red Hat Customer Portal^[8] を参照してください。
手順8.2「Satellite Server での IdM 認証の設定:」で説明されているように、Satellite Server で IdM 統合を設定します。Satellite Server で、root として PAM サービスを定義します。
```
# satellite-installer --foreman-pam-service=satellite-prod
```

8.2.2. LDAP 認証での ID 管理の使用

シングルサインオンサポートなしで外部認証ソースとして ID 管理を使用する場合の詳細については、「LDAP を使用」を参照してください。

^[4] https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/linux-manual.html

^[5] https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/host-attr.html

^[6] https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/services.html

^[7] https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/configuring-host-access.html

^[8] https://access.redhat.com/solutions/67895

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

8.2. ID 管理の使用

8.2.1. ID 管理の直接的な使用

前提条件

8.2.2. LDAP 認証での ID 管理の使用

Where did the comment section go?