Red Hat Training
A Red Hat training course is available for Red Hat Satellite
8.4. 外部ユーザーグループの設定
外部ソースを介して認証されたユーザーは、最初にログインしたときに Satellite Server で自動的に作成されます。これは、Satellite GUI で手動で作成されたユーザーグループにマップする必要がある外部ユーザーグループには適用されません。外部ユーザーグループのメンバーは、自動的に Satellite ユーザーグループのメンバーになり、関連するパーミッションを受け取ります。
前提条件
外部ユーザーグループの設定は、外部認証の種類によって異なります。
- LDAP ソースを使用している場合は、LDAP 認証が適切に設定されていることを確認します。Administer (管理) → LDAP Authentication (LDAP 認証) に移動して、既存のソースを参照および変更します。LDAP ソースの作成手順については、「LDAP を使用」 を参照してください。使用する LDAP グループ名をメモします。
注記
LDAP ソースから外部ユーザーグループを使用している場合は、アカウントユーザー名の代わりに$login変数を使用できません。匿名または専用サービスユーザーを使用する必要があります。 - 8章外部認証の設定 で説明されたように Satellite が IdM または AD サーバーで登録されている場合は、使用する外部ユーザーグループをメモします。外部ユーザーのグループメンバーシップを見つけるには、Satellite で
idコマンドを実行します。# id username
ここで、username は、外部グループメンバーの名前です。Satellite では、外部グループを設定する前に、少なくとも 1 人の外部ユーザーが初めて認証する必要があります。また、外部認証ソースには少なくとも 1 人のユーザーが存在する必要があります。
手順8.6 外部ユーザーグループの設定:
- Administer (管理) → User Groups (ユーザーグループ) に移動します。New User Group (新規ユーザーグループ) をクリックします。
- User group (ユーザーグループ) タブで、新規ユーザーグループの名前を指定します。ユーザーは、外部ユーザーグループの更新時に自動的に追加されるため、選択しないでください。
- Roles (ロール) タブで、ユーザーグループに割り当てるロールを選択します。または、Administrator (管理者) チェックボックスを選択して利用可能なすべてのパーミッションを割り当てます。
- External groups (外部グループ) タブで Add external user group (外部ユーザーグループの追加) をクリックし、Auth source (認証ソース) ドロップダウンメニューから認証ソースを選択します。Name (名前) フィールドに LDAP または外部グループの名前を指定します。
- 送信 をクリックします。
重要
ユーザーログイン時に自動的にユーザーグループメンバーシップを同期するために LDAP ソースを設定できます。このオプションが設定されていない場合、LDAP ユーザーグループは、LDAP 認証ソースを (デフォルトでは 30 分ごとに) 同期するスケジュールされたタスク (cron ジョブ) により自動的に更新されます。LDAP 認証ソースのユーザーグループがスケジュールされたタスクの間の時間に変更された場合、ユーザーは間違った外部ユーザーグループに割り当てられる可能性があります。この問題は、スケジュールされたタスクが実行されたときに自動的に修正されます。また、
foreman-rake ldap:refresh_usergroups を実行したり、Web UI で外部ユーザーグループを更新したりすることにより LDAP ソースを手動で更新することもできます。
IdM または AD に基づいた外部ユーザーグループは、グループメンバーが Satellite にログインした場合のみ更新されます。Satellite GUI で外部ユーザーグループのユーザーメンバーシップを変更することはできません。このような変更はグループの次回更新時に上書きされます。外部ユーザーに追加パーミッションを割り当てるには、外部マッピングが指定されていない内部ユーザーグループにそのユーザーを追加します。次に、必要なロールをそのグループに割り当てます。