Red Hat Training
A Red Hat training course is available for Red Hat Satellite
8.2. ID 管理の使用
以下の方法のいずれかを選択します。
8.2.1. ID 管理の直接的な使用
本項では、Red Hat Satellite Server と IdM サーバーを統合する方法とホストベースアクセス制御を有効にする方法を示します。
前提条件
Satellite Server は Red Hat Enterprise Linux 7.1 または Red Hat Enterprise Linux 6.6 以降で実行する必要があります。
本章の例では、IdM と Satellite の設定が分かれていることを前提とします。ただし、両方のサーバーに対して管理者権限を持っている場合は、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide[4] で説明されているように、IdM を設定できます。
Satellite Server のベースオペレーティングシステムは、組織の IdM 管理者によって IdM ドメインに登録されている必要があります。
手順8.2 Satellite Server での IdM 認証の設定:
- 以下のように、IdM サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。
# ipa host-add --random hostname
注記
IdM 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。ホスト設定プロパティーの詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide[5] を参照してください。 - 以下のように、Satellite Server 向けの HTTP サービスを作成します。
# ipa service-add servicename/hostname
サービスの管理の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide[6] を参照してください。 - Satellite Server で、IdM 登録を設定するために、root で以下のコマンドを実行します。
# ipa-client-install --password OTP
OTP を、IdM 管理者により提供されたワンタイムパスワードに置き換えます。 - Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合は、以下のコマンドを実行します。
# subscription-manager repos --enable rhel-7-server-optional-rpms
インストーラーは、オプションのリポジトリーrhel-7-server-optional-rpms
(Red Hat Enterprise Linux 7 の場合) に含まれるパッケージに依存します。Red Hat Enterprise Linux 6 の場合、必要なすべてのパッケージはbase
リポジトリーに含まれます。 - 以下のコマンドを実行します。
# satellite-installer --foreman-ipa-authentication=true
このコマンドは、Satellite のフレッシュインストールに限定されません。既存の Satellite インストールを変更するためにも使用できます。 - Katello サービスを再起動します。
# katello-service restart
この時点で、外部ユーザーは IdM クレデンシャルを使用して Satellite にログインできます。この場合、ユーザー名とパスワードを使用して直接 Satellite Server にログインするか、設定された Kerberos シングルサインオンを利用し、クライアントマシンでチケットを取得して、自動的にログインすることを選択できます。また、ワンタイムパスワードを使用した 2 要素認証 (2FA OTP) もサポートされます。IdM 内のユーザーが 2FA 向けに設定され、Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合、このユーザーは OTP で Satellite に対して認証することもできます。オプションで、次の手順に進んでホストベースアクセス制御 (HBAC) を設定します。
HBAC ルールでは、IdM ユーザーがアクセスすることを許可されたドメイン内のマシンを定義します。選択されたユーザーが Satellite Server にアクセスすることを防ぐよう IdM サーバー上で HBAC を設定できます。この方法では、ログインが許可されないユーザーのデータベースエントリーを Satellite が作成することを防ぐことができます。HBAC の詳細については、Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide[7] を参照してください。
手順8.3 HBAC の設定:
- HBAC サービスおよびルールを IdM サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。IdM サーバー上で以下のコマンドを実行してください。
$ ipa hbacsvc-add satellite-prod $ ipa hbacrule-add allow_satellite_prod $ ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod
- サービス satellite-prod へのアクセスを持つユーザーと Satellite Server のホスト名を追加します。
$ ipa hbacrule-add-user allow_satellite_prod --user=username $ ipa hbacrule-add-host allow_satellite_prod --hosts=the-satellite-fqdn
または、allow_satellite_prod ルールにホストグループとユーザーグループを追加します。 - ルールのステータスを確認するために、以下のコマンドを実行します。
$ ipa hbacrule-find satellite-prod $ ipa hbactest --user=username --host=the-satellite-fqdn --service=satellite-prod
- IdM サーバーで allow_all rule が無効であることを確認します。他のサービスに影響を与えずにこれを行う方法については、How to configure HBAC rules in IdM article on the Red Hat Customer Portal[8] を参照してください。
- 手順8.2「Satellite Server での IdM 認証の設定:」 で説明されているように、Satellite Server で IdM 統合を設定します。Satellite Server で、root として PAM サービスを定義します。
# satellite-installer --foreman-pam-service=satellite-prod
8.2.2. LDAP 認証での ID 管理の使用
シングルサインオンサポートなしで外部認証ソースとして ID 管理を使用する場合の詳細については、「LDAP を使用」 を参照してください。