Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第3章 Satellite Server のインストール

本章では、Red Hat Satellite Server のインストール、初期設定、マニフェストの作成およびインストール、および追加設定の実行について説明します。

Red Hat Satellite 6.3 はデフォルトで Puppet 3 を使用しますが、インストールスクリプトの実行前に Puppet 4 アップグレードリポジトリーを有効にすると、以下のインストール手順の一部でオプションとして Puppet 4 をインストールすることもできます。インストール後に Puppet 4 にアップグレードする手順と Puppet モジュールのアップグレードに関する情報は、『RED HAT SATELLITE のアップグレードおよびアップデート』「Puppet のアップグレード」を参照してください。

Satellite Server は、以下の 2 つのインストール方法があります。

接続インストール

Satellite Server のインストールに必要なパッケージは、Red Hat Content Delivery Network (CDN) から直接取得できます。CDN を使用すると、システムは常に最新のアップデートを受信できます。

非接続インストール

外部のコンピューターを使用してパッケージの ISO イメージをダウンロードして、それを Satellite Server のインストール先のシステムにコピーする必要があります。非接続環境が必要な場合にのみ、ISO イメージを使用してください。ISO イメージには最新のアップデートが含まれていない場合があります。

注記

Satellite Server をそれ自体に登録することはできません。

3.1. 接続済みネットワークからの Satellite Server のインストール

接続済みネットワークから Satellite Server をインストールする場合には、Red Hat Content Delivery Network から直接パッケージとアップデートを取得できます。

Satellite 6 インストールスクリプトは Puppet をベースとしていることに留意してください。つまり、インストールスクリプトを複数回実行すると、手動での設定変更が上書きされることがあります。この問題を回避し、適用する変更を特定するには、インストールスクリプトを実行時に --noop 引数を使用します。この引数により、実際の変更は行われません。潜在的な変更は /var/log/katello-installer.log に書き込まれます。

ファイルは常にバックアップされるため、不要な変更は復元することができます。たとえば、katello-installer ログには、Filebucket に関する以下のようなエントリーが示されます。

/Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1

以前のファイルは以下のように復元できます。

# puppet filebucket -l \
restore /etc/dhcp/dhcpd.conf 622d9820b8e764ab124367c68f5fa3a1

3.1.1. Red Hat Subscription Management への登録

Red Hat サブスクリプション管理にホストを登録すると、ホストはユーザーが利用可能なサブスクリプションに対するコンテンツをサブスクライブし、使用できます。これには、Red Hat Enterprise Linux、Red Hat Software Collection (RHSCL)、Red Hat Satellite などのコンテンツが含まれます。

Red Hat コンテンツ配信ネットワークにシステムを登録します。プロンプトが表示されたら、カスタマーポータルのユーザー名とパスワードを入力します。

# subscription-manager register

このコマンドを実行すると、以下のような出力が表示されます。

# subscription-manager register
Username: user_name
Password:
The system has been registered with ID: 541084ff2-44cab-4eb1-9fa1-7683431bcf9a

3.1.2. Satellite サブスクリプションを識別してホストへの割り当て

ホストの登録後に、利用可能な Satellite サブスクリプションを識別し、割り当てる必要があります。Satellite サブスクリプションは、Satellite コンテンツ、Red Hat Enterprise Linux、Red Hat Software Collections (RHSCL)、および Red Hat Satellite へのアクセスを提供します。これは、必要な唯一のサブスクリプションです。各 Red Hat サブスクリプションはプール ID によって識別されます。

  1. Satellite サブスクリプションの特定

    # subscription-manager list --available --matches 'Red Hat Satellite'

    このコマンドは、利用可能なすべてのサブスクリプションのフィールドに対して小文字と大文字を区別しない検索を実行します (Subscription NameProvides を含み、Red Hat Satellite のすべてのインスタンスに一致)。システムにすでに割り当てられていないサブスクリプションが、利用可能として分類されます。検索文字列には、1 つ文字、またはゼロ個以上の文字にそれぞれ一致するワイルドカード ? または * を含めることもできます。ワイルドカード文字はバックスラッシュでエスケープして、リテラルの疑問符またはアスタリスクを表すことができます。

    利用可能な Satellite サブスクリプションを見つけることができない場合は、Red Hat ナレッジベースソリューション 「How do I figure out which subscriptions have been consumed by clients registered under Red Hat Subscription Manager?」 を参照して、スクリプトを実行し、サブスクリプションが別のシステムで使用されているかどうかを確認できます。

    出力が長すぎる場合は、lessmore などのページャーユーティリティーにパイプして、一度に 1 画面ずつ出力を確認できるようにします。

    1. 実行する subscription-manager コマンドの形式に関係なく、出力は以下のようになります。

      Subscription Name: Red Hat Satellite
      Provides:          Red Hat Satellite 6
                         Red Hat Enterprise Linux Server
                         Red Hat Satellite
                         Red Hat Enterprise Linux Load Balancer (for RHEL Server)
      SKU:               MCT0370
      Pool ID:           8a85f9874152663c0541943739717d11
      Available:         3
      Suggested:         1
      Service Level:     Premium
      Service Type:      L1-L3
      Multi-Entitlement: No
      Ends:              10/07/2014
      System Type:       Physical
  2. 後で Satellite ホストに割り当てるために、プール ID をメモします。実際に使用するプール ID は、この例で使用されているものとは異なります。
  3. Satellite サーバーにサブスクリプションを割り当てるには、実際のプール ID を指定して以下のコマンドを実行します。

    # subscription-manager attach --pool=pool_id

    出力は以下のようになります。

    Successfully attached a subscription for: Red Hat Satellite
  4. サブスクリプションが正しく割り当てられたことを確認するには、以下のコマンドを入力します。

    # subscription-manager list --consumed

    この出力では、以下のような内容が表示されます。

    +-------------------------------------------+
       Consumed Subscriptions
    +-------------------------------------------+
    Subscription Name: Red Hat Satellite
    Provides:          Red Hat Satellite
                       Red Hat Enterprise Linux Server
                       Red Hat Software Collections (for RHEL Server)
                       Red Hat Satellite
                       Red Hat Satellite 6
                       Red Hat Software Collections  (for RHEL Server)
                       Red Hat Satellite Capsule
                       Red Hat Enterprise Linux Load Balancer (for RHEL Server)
                       Red Hat Satellite with Embedded Oracle
                       Red Hat Satellite Capsule
                       Red Hat Enterprise Linux High Availability (for RHEL Server)
    SKU:               MCT0370
    Contract:          10293569
    Account:           5361051
    Serial:            1653856191250699363
    Pool ID:           8a85f9874152663c0541943739717d11
    Active:            True
    Quantity Used:     1
    Service Level:     Premium
    Service Type:      L1-L3
    Status Details:
    Starts:            10/08/2013
    Ends:              10/07/2014
    System Type:       Physical

3.1.3. リポジトリーの設定

  1. すべての既存のリポジトリーを無効にします。

    # subscription-manager repos --disable "*"
  2. 必要なリポジトリーを有効にします。

    • Red Hat Satellite、Red Hat Enterprise Linux、Red Hat Software Collections、および Puppet 4 のリポジトリーを有効にするには、以下のコマンドを使用します。

      # subscription-manager repos \
      --enable=rhel-7-server-rpms \
      --enable=rhel-server-rhscl-7-rpms \
      --enable=rhel-7-server-satellite-6.3-rpms \
      --enable=rhel-7-server-satellite-6.3-puppet4-rpms
    • もしくは、以下のコマンドを使用して、Red Hat Satellite、Red Hat Enterprise Linux、Red Hat Software Collections、および Puppet 3 のリポジトリーを有効にします。

      # subscription-manager repos \
      --enable=rhel-7-server-rpms \
      --enable=rhel-server-rhscl-7-rpms \
      --enable=rhel-7-server-satellite-6.3-rpms
      注記

      Satellite 6.3 は、Puppet 3 でサポートされる最後のリリースです。Puppet 3 から Puppet 4 へのアップグレードは、Satellite 6.3 以前を Satellite 6.4 にアップグレードする前に行う必要があります。Satellite 6.4 は Puppet 5 だけをサポートしますが、Puppet 5 へのアップグレードは、Satellite のアップグレード時に行われます。

      注記

      Red Hat Satellite を Red Hat Virtualization (RHV) でホストされる仮想マシンとしてインストールする場合は、Red Hat Common リポジトリーを有効にして、RHV ゲストエージェントとドライバーもインストールする必要があります。詳細は『仮想マシン管理ガイド』「ゲストエージェントおよびドライバーのインストール」を参照してください。

  3. Red Hat Subscription Manager が特定のオペレーティングシステムリリースを使用しないようにします。

    # subscription-manager release --unset
  4. Red Hat 以外の yum リポジトリーからのすべてのメタデータを消去します。

    # yum clean all
  5. リポジトリーが有効になっていることを確認します。

    # yum repolist enabled

    以下のような出力が表示されます。

    Loaded plugins: product-id, subscription-manager
    repo id                                    repo name                                                                status
    !rhel-7-server-rpms/x86_64                 Red Hat Enterprise Linux 7 Server (RPMs)                                 9,889
    !rhel-7-server-satellite-6.3-rpms/x86_64   Red Hat Satellite 6.3 (for RHEL 7 Server) (RPMs)                           545
    !rhel-server-rhscl-7-rpms/x86_64           Red Hat Software Collections RPMs for Red Hat Enterprise Linux 7 Server  4,279
    repolist: 14,713

3.1.4. Satellite サーバーパッケージのインストール

Satellite サーバーパッケージをインストールする前に、すべてのパッケージを更新する必要があります。インストール後に、サーバー証明書の設定、ユーザー名、パスワード、デフォルトの組織および場所の設定を含む Satellite サーバーの初期設定を実行する必要があります。

  1. すべてのパッケージを更新します。

    # yum update
  2. インストールパッケージをインストールします。

    # yum install satellite
  3. 「初期設定の実行」 に移動して、インストーラースクリプトを実行し、Satellite Server の初期設定を行います。

3.2. 切断されたネットワークからのダウンロードおよびインストール

Red Hat Satellite Server のホストがオフライン環境にある場合は、ISO イメージを使用して Satellite Server をインストールできます。ISO イメージには最新のアップデート、バグフィックス、および機能が含まれないことがあるため、この方法はこの環境以外では推奨されません。

注記

ベースシステムが Red Hat CDN から更新されなかった場合、パッケージの依存関係エラーが発生することがあります。必要なパッケージの最新バージョンは手動でダウンロードしてインストールしてください。詳細は「パッケージの手動ダウンロード」 を参照してください。

作業開始前の準備

  • インストールで使用されたリポジトリーのコピーは /opt/ ディレクトリーに格納されます。このファイルシステムとディレクトリーのために最低 3GB の領域を確保してください。

3.2.1. バイナリー DVD イメージのダウンロード

  1. Red Hat カスタマーポータル に移動し、ログインします。
  2. ダウンロード をクリックします。
  3. Red Hat Enterprise Linux を選択します。
  4. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Enterprise Linux Server に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  5. Product Software (製品ソフトウェア) タブで、最新の Red Hat Enterprise Linux Server バージョン向けのバイナリー DVD イメージをダウンロードします。
  6. DOWNLOADS (ダウンロード) をクリックし、Red Hat Satellite を選択します。
  7. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Satellite に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  8. Product Software (製品ソフトウェア) タブで、最新の Red Hat Satellite バージョン向けのバイナリー DVD イメージをダウンロードします。
  9. ISO ファイルを Satellite ベースシステムまたは他のアクセス可能なストレージデバイスにコピーします。

    # scp localfile username@hostname:remotefile

3.2.2. オフラインリポジトリーでベースシステムの設定

  1. ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。

    # mkdir /media/rhel7-server
  2. Red Hat Enterprise Linux の ISO イメージをマウントポイントにマウントします。

    # mount -o loop rhel7-Server-DVD.iso /media/rhel7-server

    以下の例は、Red Hat Enterprise Linux 7.2 のマウントを示しています。

    # mount -o loop RHEL-7.2-20151030.0-Server-x86_64-dvd1.iso \
    /media/rhel7-server
    mount: /dev/loop0 is write-protected, mounting read-only
  3. ISO ファイルのリポジトリーデータファイルをコピーします。

    # cp /media/rhel7-server/media.repo /etc/yum.repos.d/rhel7-server.repo
  4. リポジトリーデータファイルを編集し、baseurl ディレクティブを追加します。

    baseurl=file:///media/rhel7-server/

    以下の例は、Red Hat Enterprise Linux 7.2 を使用した場合のリポジトリーデータファイルを示しています。

    # vi /etc/yum.repos.d/rhel7-server.repo
    [InstallMedia]
    name=Red Hat Enterprise Linux 7.2
    mediaid=1446216863.790260
    metadata_expire=-1
    gpgcheck=0
    cost=500
    baseurl=file:///media/rhel7-server/
    enabled=1
  5. リポジトリーが設定されたことを確認します。

    # yum repolist
    Loaded plugins: product-id, search-disabled-repos, subscription-manager
    This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
    repo id          repo name                       status
    InstallMedia     Red Hat Enterprise Linux 7.2    4,620
  6. ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。

    # mkdir /media/sat6
  7. Red Hat Satellite Server の ISO イメージをマウントポイントにマウントします。

    # mount -o loop sat6-DVD.iso /media/sat6

    以下の例では、Red Hat Enterprise Linux 7 向け Red Hat Satellite 6.3.0 を使用した ISO のマウントを示しています。

    # mount -o loop satellite-6.3.0-rhel-7-x86_64-dvd.iso /media/sat6
    mount: /dev/loop1 is write-protected, mounting read-only
  8. Red Hat Satellite 6.3 はデフォルトで Puppet 3 を使用しますが、Puppet 4 を使用することも可能で、その場合は必要なパッケージにアクセスするためのローカルリポジトリーを作成し、そこに以下のコンテンツを追加します。

    # vi /etc/yum.repos.d/satellite-puppet4.repo
    [satellite-puppet4]
    name=satellite-puppet4
    baseurl=file:///media/sat6/addons/Puppet4
    enabled=1
    gpgcheck=1

3.2.3. オフラインリポジトリーからのインストール

  1. Red Hat Enterprise Linux Server と Red Hat Satellite の ISO イメージがマウントされていることを確認します。

    # findmnt -t iso9660
  2. Red Hat GPG キーをインポートします。

    # rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
  3. バイナリー DVD イメージを使用してベースシステムを最新の状態にします。

    # yum update
  4. Satellite ISO がマウントされたディレクトリーに移動します。

    # cd /media/sat6/
  5. マウントされたディレクトリーでインストールスクリプトを実行します。

    # ./install_packages
    	This script will install the foreman packages on the current machine.
       - Ensuring we are in an expected directory.
       - Copying installation files.
       - Creating a Repository File
       - Creating RHSCL Repository File
       - Checking to see if Foreman is already installed.
       - Importing the gpg key.
       - Foreman is not yet installed, installing it.
       - Installation repository will remain configured for future package installs.
       - Installation media can now be safely unmounted.
    
    Install is complete. Please run satellite-installer --scenario satellite.

    パッケージが見つからない、または古いためにスクリプトが失敗する場合は、これらをダウンロードして個別にインストールする必要があります。手順は「パッケージの手動ダウンロード」を参照してください。

    インストール済みパッケージが必要なものよりも新しいためにスクリプトが失敗する場合は、yum distribution-synchronization を実行してインストール済みパッケージを Red Hat Enterprise Linux ISO からのバージョンにダウングレードしてから、インストールスクリプトを再度実行します。リポジトリーのソースが Red Hat Enterprise Linux ISO 以外のものに設定されている場合にのみ、これが発生します。このようなリポジトリーの使用はサポート対象外になります。

3.2.4. パッケージの手動ダウンロード

パッケージを手動でダウンロードする必要がある場合は、以下の手順を実行します。

  1. Red Hat カスタマーポータル に移動し、ログインします。
  2. ダウンロード をクリックします。
  3. Red Hat Satellite を選択します。
  4. 製品とバージョンがご使用の環境に適切であることを確認します。

    • Product Variant (製品のバリアント)Red Hat Satellite に設定されます。
    • Version (バージョン) は、ベースシステムとして使用する製品の最新マイナーバージョンに設定されます。
    • Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
  5. Packages (パッケージ) タブで、Search (検索) ボックスに必要なパッケージの名前を入力します。
  6. 必要なパッケージの横にある Download Latest (最新版のダウンロード) をクリックします。

3.3. 初期設定の実行

本セクションでは、Red Hat Satellite Server インストール時のホストオペレーティングシステムの初期設定について説明します。時間の同期、sos パッケージのインストール、インストールオプションの指定などが含まれます。

作業を進める前に、使用している環境に適切なマニフェストまたはパッケージを確認します。マニフェストついての詳細は『Red Hat Satellite コンテンツ管理ガイド』「サブスクリプションの管理」 を参照してください。

3.3.1. 時間の同期

時刻の誤差を最小化するには、ホストオペレーティングシステムで時刻シンクロナイザーを起動し、有効にする必要があります。システムの時刻が正しくないと、証明書の検証に失敗することがあります。

NTPchronyd の 2 つの時刻シンクロナイザーが利用できます。両シンクロナイザーにはそれぞれ利点があります。chronyd は、頻繁に一時停止するシステムと、ネットワークから断続的に切断され、接続が再確立されるシステム (モバイルシステムや仮想システムなど) に推奨されます。NTP は、実行状態を維持し、中断せずにネットワークに接続することが期待されるシステムに推奨されます。

NTPchronyd の違いについては、『システム管理者のガイド』「ntpd と chronyd の違い」を参照してください。

NTP を使用した時間の同期

  1. ntp をインストールします。

    # yum install ntp
  2. NTP サーバーが利用可能であることを確認します。

    # ntpdate -q ntp_server_address
  3. システム時刻を設定します。

    # ntpdate ntp_server_address

chronyd を使用した時間の同期

  1. chronyd をインストールします。

    # yum install chrony
  2. chronyd サービスを起動して、有効にします。

    # systemctl start chronyd
    # systemctl enable chronyd

3.3.2. ホストオペレーティングシステムへの SOS パッケージのインストール

ホストオペレーティングシステムには sos パッケージをインストールする必要があります。sos パッケージを使用すると、Red Hat Enterprise Linux システムから設定と診断情報を収集できます。また、Red Hat テクニカルサポートでサービスリクエストを開く際に必要な初期システム分析を提供することもできます。sos の使用の詳細は、カスタマーポータルのナレッジベース「Red Hat Enterprise Linux 4.6 以降における sosreport の役割と取得方法」を参照してください。

sos パッケージをインストールします。

# yum install sos

3.3.3. インストールオプションの指定

Satellite Server は satellite-installer インストールスクリプトを使用してインストールし、初期設定の一部として自動または手動で Satellite を設定します。

以下のいずれかの設定方法を選択します。

  • 自動設定: この方法は、インストールスクリプトの実行時に応答ファイルを使用して設定プロセスを自動化することで実行します。応答ファイルとは、コマンドやスクリプトによって読み込まれるパラメーター一覧が含まれているファイルです。デフォルトの Satellite 応答ファイルは、/etc/foreman-installer/scenarios.d/satellite-answers.yaml です。使用する応答ファイルは、/etc/foreman-installer/scenarios.d/satellite.yaml 設定ファイル内の answer_file ディレクティブで設定します。

    応答ファイルを使用したインストールスクリプトによる初期設定の実行法は「応答ファイルを使用した初期設定の自動実行」を参照してください。

  • 手動設定: 1 つ以上のコマンドオプションが含まれるインストールスクリプトを実行します。コマンドオプションは、対応するデフォルトの初期設定オプションを上書きし、Satellite 応答ファイルに記録されます。必要なオプションを設定するために、スクリプトは何回でも実行することができます。

    コマンドラインオプションのあるインストールスクリプトによる初期設定の実行法は「手動による初期設定」を参照してください。

注記

Satellite インストーラーの実行時に使用するオプションによっては、設定が完了するのに数分かかることがあります。管理者は、応答ファイルを見ることで、両方の方法でこれまでに使用されたオプションを確認できます。

3.3.3.1. 手動による初期設定

初期設定では、組織、場所、ユーザー名、およびパスワードが作成されます。初期設定後に、必要に応じて追加の組織と場所を作成できます。

インストールプロセスの完了には、数十分かかることがあります。システムにリモートで接続する場合は、リモートシステムから切断された場合にインストールの進捗を確認できるよう、通信セッションの一時中断または再接続を許可できる screen などのユーティリティーの使用を検討してください。Red Hat ナレッジベースの記事「How to use the screen command」には screen のインストールについて記載されています。詳細はscreen の man ページを参照してください。インストールコマンドを実行しているシェルへの接続が切断された場合は、/var/log/foreman-installer/satellite.log のログを参照してプロセスが正常に完了したかどうかを確認します。

Satellite Server の手動設定

satellite-installer --scenario satellite --help コマンドを使用して利用可能なオプションとすべてのデフォルト値を表示します。値を指定しない場合は、デフォルト値が使用されます。

--foreman-initial-organization オプションには、意味のある値を指定することが推奨されます。たとえば会社名を指定できます。値に一致する内部ラベルが作成されますが、このラベルは後で変更できません。値を指定しない場合は、ラベルが Default_OrganizationDefault Organization という名前の組織が作成されます。組織名は変更できますが、ラベルは変更できません。

デフォルトでは、インストーラーが設定するすべての設定ファイルが Puppet によって管理されます。satellite-installer を実行すると、Puppet が管理するファイルに手動で加えられた変更が初期値で上書きされます。Satellite Server は、デフォルトでは、サービスとして実行している Puppet エージェントを使用してインストールされます。必要に応じて、--puppet-runmode=none オプションを使用して、Satellite Server で Puppet エージェントを無効にできます。

DNS ファイルと DHCP ファイルを手動で管理する場合には、--foreman-proxy-dns-managed=false オプションと --foreman-proxy-dhcp-managed=false オプションを使用して、Puppet が各サービスに関連するファイルを管理しないようにします。他のサービスにカスタム設定を適用する方法は「付録C Red Hat Satellite へのカスタム設定の適用」を参照してください。

# satellite-installer --scenario satellite \
--foreman-initial-organization "initial_organization_name" \
--foreman-initial-location "initial_location_name" \
--foreman-admin-username admin_user_name \
--foreman-admin-password admin_password \
--foreman-proxy-dns-managed=false \
--foreman-proxy-dhcp-managed=false

スクリプトが正常に完了すると、以下の出力が表示されます。

Installing             Done
[100%] [..............................................]
  Success!
  * Satellite is running at https://rhel7-4-sat6-3.example.com
      Initial credentials are admin / changeme
  * To install an additional Capsule on separate machine continue by running:

      capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" --certs-tar "/root/$CAPSULE-certs.tar"
  The full log is at /var/log/foreman-installer/satellite.log

切断環境でインストールしている場合は、ISO イメージをアンマウントします。

# umount /media/sat6
# umount /media/rhel7-server

3.3.3.2. 応答ファイルを使用した初期設定の自動実行

応答ファイルを使用すると、カスタマイズされたオプションでインストールを自動化できます。最初の応答ファイルには、部分的に情報が入力されます。応答ファイルには、satellite-installer の初回実行後に、インストール用の標準パラメーター値が入力されます。「手動による初期設定」 の記載通りに Satellite Server を既にインストールしている場合は、この方法を使用する必要ありません。ただし、この方法を使用していつでも Satellite Server の設定に変更を加えることはできます。

ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用する必要があります。

応答ファイルを使用した Satellite Server の自動設定

  1. デフォルトの回答ファイル /etc/foreman-installer/scenarios.d/satellite-answers.yaml をローカルファイルシステムの場所にコピーします。

    # cp /etc/foreman-installer/scenarios.d/satellite-answers.yaml \
    /etc/foreman-installer/scenarios.d/my-answer-file.yaml
  2. 設定可能なすべてのオプションを表示するには、satellite-installer --scenario satellite --help コマンドを実行します。
  3. 回答ファイルのコピーを開き、ご使用の環境に適した値を編集し、ファイルを保存します。
  4. /etc/foreman-installer/scenarios.d/satellite.yaml ファイルを開き、カスタム回答ファイルを参照する回答ファイルエントリーを編集します。

    :answer_file: /etc/foreman-installer/scenarios.d/my-answer-file.yaml
  5. satellite-installer スクリプトを実行します。

    # satellite-installer --scenario satellite
  6. 切断環境でインストールしている場合は、ISO イメージをアンマウントします。

    # umount /media/sat6
    # umount /media/rhel7-server

3.3.4. カスタマーポータルでサブスクリプション割り当ての作成

サブスクリプション情報は、Red Hat カスタマーポータルでアクセスできます。また、カスタマーポータルでは、subscription allocation を使用して、Red Hat Satellite サーバーなどのオンプレミス管理アプリケーションで使用するサブスクリプションを割り当てることができます。

  1. ブラウザーで https://access.redhat.com/ を開き、Red Hat アカウントでログインします。
  2. カスタマーポータルの左上にある サブスクリプション に移動します。
  3. サブスクリプション割り当て に移動します。
  4. 新規サブスクリプションの割り当てを作成 をクリックします。
  5. 名前 フィールドに名前を入力します。
  6. タイプ の一覧からお使いの Satellite Server に一致するタイプとバージョンを選択します。
  7. 作成 をクリックします。

3.3.5. 割り当てへのサブスクリプションの追加

以下の手順では、サブスクリプションを割り当てに追加する方法を説明します。

  1. サブスクリプション割り当て に移動します。
  2. 変更するサブスクリプションの名前を選択します。
  3. サブスクリプション タブをクリックします。
  4. サブスクリプションの追加 をクリックします。
  5. Red Hat 製品サブスクリプションの一覧が表示されます。各製品に対するエンタイトルメントの数量 を入力します。
  6. 送信 をクリックして割り当てを完了します。

割り当てにサブスクリプションを追加したら、マニフェストファイルをエクスポートします。

3.3.6. カスタマーポータルからのサブスクリプションマニフェストのエクスポート

少なくとも 1 つのサブスクリプションがあるサブスクリプション割り当てを表示する間に、以下のいずれかでマニフェストをエクスポートできます。

  • サブスクリプション セクションの 詳細 タブから マニフェストのエクスポート ボタンをクリックします。
  • サブスクリプション タブから マニフェストのエクスポート ボタンをクリックします。

マニフェストをエクスポートすると、カスタマーポータルにより、選択したサブスクリプション証明書がエンコードされ、.zip アーカイブが作成されます。作成した .zip アーカイブはサブスクリプションのマニフェストで、Satellite サーバーにアップロードできます。

3.3.6.1. Satellite Server へのサブスクリプションマニフェストのインポート

Red Hat Satellite 6 Web UI と CLI は、マニフェストをインポートする手段を提供します。

Web UI を使用する場合

  1. コンテキストが、使用する組織に設定されていることを確認します。
  2. コンテンツ > Red Hat サブスクリプション に移動します。
  3. マニフェストの管理 をクリックして、組織のマニフェストページを表示します。
  4. ファイルの選択 をクリックしてサブスクリプションマニフェストを選択し、アップロード をクリックします。

CLI を使用する場合

Red Hat Satellite 6 CLI を使用するには、マニフェストが Satellite Server 上にある必要があります。ローカルクライアントシステムで、マニフェストを Satellite Server にコピーします。

[user@client ~]$ scp ~/manifest_file.zip root@satellite.example.com:~/.

次に、以下のコマンドを使用してインポートします。

[root@satellite ~]# hammer subscription upload \
--file ~/manifest_file.zip \
--organization "organization_name"

数分後に、CLI により、正常なマニフェストのインポートが報告されます。

上記の手順を完了すると、リポジトリーを有効にして Red Hat コンテンツをインポートできるようになります。これは、後に続くいくつかの手順での前提条件になります。詳細は、『Red Hat Satellite コンテンツ管理ガイド』「Red Hat コンテンツのインポート」を参照してください。

3.4. 追加設定の実行

3.4.1. Satellite Tools リポジトリーのインストール

Satellite Tools リポジトリーは、Satellite Server に登録されたクライアント向けの katello-agent パッケージと puppet パッケージを提供します。クライアントのリモートアップデートを許可するために、katello エージェントをインストールすることが推奨されます。Capsule Server のベースシステムは Satellite Server のクライアントであるため、katello エージェントもインストールする必要があります。

Satellite Tools リポジトリーのインストール手順:

  1. Satellite Web UI で、コンテンツ > Red Hat リポジトリー に移動し、RPM タブを選択します。
  2. Red Hat Enterprise Linux Server 項目を見つけ、展開します。
  3. Red Hat Satellite Tools 6.3 (Red Hat Enterprise Linux 7 Server 用) (RPM) 項目を見つけ、展開します。

    Red Hat Satellite Tools 6.3 項目が非表示の場合は、その項目がカスタマーポータルから取得したサブスクリプションマニフェストに含まれないことが原因である場合があります。この問題を修正するには、カスタマーポータルにログインし、これらのリポジトリーを追加し、サブスクリプションマニフェストをダウンロードして、Satellite にインポートします。

  4. Satellite 6.3 Tools リポジトリーの名前の横にある Enabled チェックボックスをオンにします。

ホストで実行している Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Tools リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。

Satellite Tools リポジトリーの同期方法:

  1. Content (コンテンツ) > Sync Status (同期ステータス) に移動します。

    同期可能な製品リポジトリーのリストが表示されます。

  2. 製品コンテンツの横にある矢印をクリックして利用可能なコンテンツを表示します。
  3. 同期するコンテンツを選択します。
  4. Synchronize Now (今すぐ同期) をクリックします。

3.4.2. HTTP プロキシーを使用した Satellite Server の設定

ネットワークで HTTP プロキシーを使用している場合は、それを使用するように Satellite Server を設定できます。ネットワークの変更が原因で接続が失われるのを回避するために、可能な限り IP の代わりに FQDN を使用します。

  1. http_proxyhttps_proxy、および no_proxy の変数が設定されていないことを確認します。

    # export http_proxy=""
    # export https_proxy=$http_proxy
    # export no_proxy=$http_proxy
  2. HTTP プロキシーオプションを使用して satellite-installer を実行します。

    # satellite-installer --scenario satellite \
    --katello-proxy-url=http://myproxy.example.com \
    --katello-proxy-port=8080 \
    --katello-proxy-username=proxy_username \
    --katello-proxy-password=proxy_password
  3. Satellite Server が Red Hat Content Delivery Network (CDN) に接続し、リポジトリーを同期できることを確認します。

    1. ネットワークゲートウェイと HTTP プロキシーで、以下のホスト名に対して TCP を有効にします。

      ホスト名ポートプロトコル

      subscription.rhsm.redhat.com

      443

      HTTPS

      cdn.redhat.com

      443

      HTTPS

      *.akamaiedge.net

      443

      HTTPS

      cert-api.access.redhat.com (Red Hat Insights を使用している場合)

      443

      HTTPS

      api.access.redhat.com (Red Hat Insights を使用している場合)

      443

      HTTPS

      Satellite Server は、SSL で安全に Red Hat CDN と通信します。SSL インターセプトプロキシーを使用すると、この通信が妨害されます。これらのホストは、プロキシーでホワイトリスト化されている必要があります。

      Red Hat CDN (cdn.redhat.com) で使用されている IP アドレスの一覧は、Red Hat カスタマーポータルのナレッジベース記事「Red Hat が公開している CIDR の一覧」を参照してください。

    2. Satellite Server の /etc/rhsm/rhsm.conf ファイルで、以下の詳細を記入します。

      # an http proxy server to use (enter server FQDN)
      proxy_hostname = http_proxy.example.com
      
      # port for http proxy server
      proxy_port = 8080
      
      # user name for authenticating to an http proxy, if needed
      proxy_user =
      
      # password for basic http proxy auth, if needed
      proxy_password =
  4. SELinux を使用すると、Red Hat Satellite 6 と Red Hat Subscription Manager のアクセスが、特定ポートに限定されます。HTTP キャッシュの TCP ポートは、8080、8118、8123、および 10001 ~ 10010 になります。SELinux のタイプ http_cache_port_t がないポートを使用する場合は、以下のステップを行います。

    1. 以下のコマンドを実行して、SELinux で HTTP キャッシュに許可されているポートを確認します。

      # semanage port -l | grep http_cache
      http_cache_port_t       tcp    8080, 8118, 8123, 10001-10010
      [出力を省略]
    2. 以下のコマンドを実行して、SELinux が HTTP キャッシュにポート (たとえば、8088) を許可するよう設定します。

      # semanage port -a -t http_cache_port_t -p tcp 8088

SELinux ポートの設定に関する詳細は「デフォルトの SELinux ポートの変更」を参照してください。

3.4.3. 管理対象ホスト上での電源管理の有効化

Satellite Server でベースボード管理コントローラー (BMC) を有効にすると、IPMI (Intelligent Platform Management Interface) または類似したプロトコルを使用して、管理対象ホストで電源管理コマンドを使用できます。

BMC サービスを使用すると、さまざまな電源管理タスクを実行できます。この機能の基礎となるプロトコルは IPMI です (BMC 機能とも呼ばれます)。IPMI は、ホストの CPU から独立して実行する専用プロセッサーに接続された管理対象ハードウェア上で、特別なネットワークインターフェースを使用します。多くのインスタンスで、BMC 機能はシャーシ管理の一部として、シャーシベースのシステムに組み込まれます (シャーシの専用モジュール)。

BMC サービスの詳細は『ホストの管理』「追加のネットワークインターフェースの設定」を参照してください。

作業開始前の準備

  • すべての管理対象ホストに BMC タイプのネットワークインターフェースが搭載されている必要があります。Satellite はこの NIC を使用して適切な認証情報をホストに渡します。

管理対象ホスト上での電源管理の有効化

  1. オプションを使用してインストーラーを実行し、BMC を有効にします。

    # satellite-installer --foreman-proxy-bmc "true" \
    --foreman-proxy-bmc-default-provider "freeipmi"

3.4.4. Satellite Server で DNS、DHCP、および TFTP の設定

Satellite Server では、DNS、DHCP、および TFTP を設定できます。

外部サービスを設定する場合は、「5章外部サービスの設定」を参照してください。

これらのサービスを手動で管理するために Satellite でサービスを無効にする場合は、「管理対象外ネットワークに対して DNS、DHCP、および TFTP の無効化」 を参照してください。

設定可能な全オプションを表示するには、satellite-installer --scenario satellite --help コマンドを実行します。

作業開始前の準備

  • ネットワーク管理者に連絡して正しい設定が行われていることを確認します。
  • 以下の情報を用意する必要があります。

    • DHCP IP アドレス範囲
    • DHCP ゲートウェイ IP アドレス
    • DHCP ネームサーバー IP アドレス
    • DNS 情報
    • TFTP サーバー名
  • ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。
注記

タスクの情報は例です。ご使用の環境情報を使用してください。

Satellite Server での DNS、DHCP、および TFTP の設定

  1. 使用している環境に適切なオプションを使用して satellite-installer を実行します。

    # satellite-installer --scenario satellite \
    --foreman-proxy-dns true \
    --foreman-proxy-dns-interface eth0 \
    --foreman-proxy-dns-zone example.com \
    --foreman-proxy-dns-forwarders 172.17.13.1 \
    --foreman-proxy-dns-reverse 13.17.172.in-addr.arpa \
    --foreman-proxy-dhcp true \
    --foreman-proxy-dhcp-interface eth0 \
    --foreman-proxy-dhcp-range "172.17.13.100 172.17.13.150" \
    --foreman-proxy-dhcp-gateway 172.17.13.1 \
    --foreman-proxy-dhcp-nameservers 172.17.13.2 \
    --foreman-proxy-tftp true \
    --foreman-proxy-tftp-servername $(hostname)

    インストールのステータスが表示されます。ユーザー名とパスワードはコマンド出力で参照できます。また、これらの情報は /etc/foreman-installer/scenarios.d/satellite-answers.yaml ファイルの admin_password パラメーターからも取得できます。

    Success!
      * Satellite is running at https://satellite.example.com
          Default credentials are 'admin:*******'
      * Capsule is running at https://satellite.example.com:9090
      * To install additional capsule on separate machine continue by running:
    
          capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" --certs-tar "~/$CAPSULE-certs.tar"
    
      The full log is at /var/log/foreman-installer/satellite.log
注記

設定を変更するには、satellite-installer を再び実行する必要があります。スクリプトは複数回実行でき、すべての設定ファイルが変更された値で更新されます。

3.4.5. 管理対象外ネットワークに対して DNS、DHCP、および TFTP の無効化

Satellite 6 は、Satellite の内部または外部 Capsule で実行されている TFTP、DHCP、および DNS ネットワークサービス向けの完全な管理機能を提供します。これらのサービスを手動で管理、または外部の手段を使用する場合、Satellite 6 はそれらと直接統合できません。Foreman Hooks を使用してカスタム統合スクリプトを開発できる一方で (新しいホストの作成後の DNS レコードの作成など) 、DHCP と DNS の検証エラーを回避するためにこの統合 (オーケストレーションとも呼ばれます) は無効にする必要があります。

  1. Web UI で、インフラストラクチャー > サブネット に移動し、サブネットを選択します。
  2. Capsules (カプセル) タブで、ドロップダウンリストを None (なし) に設定して、関連付けられている DHCP Capsule または TFTP Capsule がないことを確認します。
  3. 正引きレコードオーケストレーションを無効にします。

    1. インフラストラクチャー > ドメイン に移動し、ドメインを選択します。
    2. Domain (ドメイン) タブで、DNS Capsule (DNS カプセル) ドロップダウンリストを None (なし) に設定します。
  4. 逆引き (PTR) レコードオーケストレーションを無効にします。

    1. インフラストラクチャー > Subnets (サブネット) に移動し、サブネットを選択します。
    2. Capsules (カプセル) タブで、Reverse DNS Capsule (逆引き DNS カプセル) ドロップダウンリストを None (なし) に設定します。
  5. オプション: サードパーティーが提供する DHCP サービスを使用する場合は、以下のオプションを渡すように DHCP サーバーを設定します。

    Option 66: IP_address_of_Satellite_or_Capsule
    Option 67: /pxelinux.0

    DHCP オプションの詳細は「RFC 2132」を参照してください。

注記

Satellite 6 は、Capsule が該当するサブネットとドメインに設定されていない場合にオーケストレーションを実行しません。Capsule の関連付けを有効または無効にした場合に、期待されるレコードと設定ファイルが存在しないと、既存のホストのオーケストレーションコマンドが失敗することがあります。オーケストレーションを有効にするために Capsule を関連付ける場合は、将来ホストの削除に失敗することを回避するために、既存の Satellite 6 管理対象ホストに対して必要な DHCP レコード、DNS レコード、TFTP ファイルが所定の場所にあることを確認します。

3.4.6. Satellite Server で送信メールの設定

Satellite Server からメールメッセージを送信するには、SMTP サーバーまたは sendmail コマンドのいずれかを使用できます。

前提条件

前回のリリースからアップグレードしている場合は、設定ファイル /usr/share/foreman/config/email.yaml の名前を変更するか削除して、httpd サービスを再起動してください。例を示します。

# mv /usr/share/foreman/config/email.yaml \
/usr/share/foreman/config/email.yaml-backup
# systemctl restart httpd

Satellite Server で送信メールの設定

  1. Satellite web UI で、管理設定 に移動します。
  2. Email タブをクリックして、希望する配信方法に一致する設定オプションを設定します。変更は即座に反映されます。

    1. 以下の例は、SMTP サーバーを使用する場合の設定オプションの例を示しています。

      表3.1 配信方法に SMTP サーバーを使用する例

      名前値の例

      配信方法

      SMTP

      SMTP アドレス

      smtp.example.com

      SMTP 認証

      ログイン

      SMTP HELO/EHLO ドメイン

      example.com

      SMTP パスワード

      パスワード

      SMTP ポート

      25

      SMTP ユーザー名

      satellite@example.com

      SMTP ユーザー名SMTP パスワード では、SMTP サーバーのログイン認証情報を指定します。

    2. 以下の例では、gmail.com が SMTP サーバーとして使用されています。

      表3.2 gmail.com を SMTP サーバーとして使用する例

      名前値の例

      配信方法

      SMTP

      SMTP アドレス

      smtp.gmail.com

      SMTP 認証

      plain

      SMTP HELO/EHLO ドメイン

      smtp.gmail.com

      SMTP enable StartTLS auto

      あり

      SMTP パスワード

      パスワード

      SMTP ポート

      587

      SMTP ユーザー名

      user@gmail.com

    3. 以下の例では、sendmail コマンドが配信方法として使用されています。

      表3.3 配信方法に sendmail を使用する例

      名前値の例

      配信方法

      Sendmail

      Sendmail の引数

      -i -t -G

      Sendmail の引数 では、sendmail コマンドに渡すオプションを指定します。デフォルト値は、-i -t です。詳細は、sendmail 1 の man ページを参照してください。

  3. TLS 認証を使用する SMTP サーバーで電子メールを送信する場合は、以下のいずれかの手順を実行してください。

    • SMTP サーバーの CA 証明書を信頼済みとしてマークします。このようにマークするには、Satellite Server で以下のコマンドを実行します。

      # cp mailca.crt /etc/pki/ca-trust/source/anchors/
      # update-ca-trust enable
      # update-ca-trust

      ここで、mailca.crt は SMTP サーバーの CA 証明書です。

    • 別の方法では、web UI の SMTP enable StartTLS auto オプションを No に設定します。
  4. Test email をクリックしてユーザーのメールアドレスにテストメッセージを送信し、設定が機能していることを確認します。メッセージの送信に失敗する場合は、web UI でエラーが表示されます。詳細については、/var/log/foreman/production.log のログを確認してください。
注記

個々のユーザーまたはユーザーグループに対する電子メール通知の設定は、『Red Hat Satellite の管理』「電子メール通知の設定」 を参照してください。

3.4.7. カスタムサーバー証明書を使用した Satellite Server の設定

SSL 証明書は、情報を保護し、通信を安全にするために使用されます。Red Hat Satellite 6 は自己署名 SSL 証明書を作成し、Satellite Server、外部の Capsule Server、およびすべてのホスト間で暗号化された通信を有効します。必要に応じて、デフォルト証明書をカスタム証明書に置き換えることができます。これらの自己署名証明書を使用する代わりに、外部の信頼できる企業である認証局が発行したカスタム SSL 証明書をインストールすることもできます。たとえば、会社のセキュリティーポリシーで、認証局から SSL 証明書を取得することが規定されている場合があります。証明書を取得するには、「Satellite Server 向けの SSL 証明書を取得」 にあるように Certificate Signing Request を作成して認証局に送信します。すると、署名済み SSL 証明書が送られてきます。

注記

この手順を実行する前に、Satellite Server とすべての外部 Capsule Server 向けのカスタム SSL 証明書を取得します。

Satellite サーバーでカスタム証明書を使用するには、これらの手順を完了します。

外部 Capsule サーバーがある場合は、「カスタムサーバー証明書を使用した Capsule Server の設定」 の手順も完了する必要があります。

3.4.7.1. Satellite Server 向けの SSL 証明書を取得

重要

SSL 証明書には、PEM エンコードのみを使用してください。

注記

Satellite Server 向けのカスタム SSL 証明書がすでにある場合は、この手順を省略します。

  1. root ユーザーのみがアクセスできる、すべてのソース証明書ファイルを含むディレクトリーを作成します。

    これらの例では、ディレクトリーは /root/sat_cert です。

    # mkdir /root/sat_cert
    # cd /root/sat_cert
  2. Certificate Signing Request (CSR) を署名する秘密鍵を作成します。

    注記

    Satellite Server 向けの秘密鍵がすでにある場合は、この手順を省略します。

    # openssl genrsa -out /root/sat_cert/satellite_cert_key.pem 4096
  3. Certificate Signing Request (CSR) の作成

    Certificate Signing Request は、証明書を要求しているサーバーの詳細を含むテキストファイルです。このコマンドを使用する場合は、(前の手順で出力された) 秘密鍵を提供し、Satellite Server に関するいくつかの質問に答えます。その結果、Certificate Signing Request が作成されます。

    注記

    証明書の Common Name (CN) は、証明書が使用されるサーバーの完全修飾ドメイン名 (FQDN) に一致する必要があります。Satellite サーバー向けの証明書を要求している場合、これは Satellite サーバーの FQDN です。Capsule サーバー向けの証明書を要求している場合、これは Capsule サーバーの FQDN です。

    サーバーの FQDN を確認するには、該当するサーバーでコマンド hostname -f を実行します。

    # openssl req -new \
      -key /root/sat_cert/satellite_cert_key.pem \ 1
      -out /root/sat_cert/satellite_cert_csr.pem   2
    1
    証明書を署名するために使用する Satellite Server の秘密鍵
    2
    Certificate Signing Request ファイル

    Certificate Signing Request セッションの例

    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    
    Country Name (2 letter code) [XX]:AU
    State or Province Name (full name) []:Queensland
    Locality Name (eg, city) [Default City]:Brisbane
    Organization Name (eg, company) [Default Company Ltd]:Example
    Organizational Unit Name (eg, section) []:Sales
    Common Name (eg, your name or your server's hostname) []:satellite.example.com
    Email Address []:example@example.com
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:password
    An optional company name []:Example

  4. 証明書要求を認証局に送信します。

    要求を送信する場合は、証明書のライフスパンを指定する必要があります。証明書要求を送信する方法は異なるため、推奨される方法について認証局にお問い合わせください。要求に対する応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。

3.4.7.2. Satellite Server の SSL 証明書の検証

以下の例のように、必要なパラメーターを使用して katello-certs-check コマンドを入力します。これにより、カスタム証明書に必要な入力ファイルが検証され、これらを Satellite サーバー、すべての Capsule サーバー、および Satellite で管理されているホストにインストールするために必要なコマンドが出力されます。

  1. カスタム SSL 証明書入力ファイルを検証します。ファイルに一致するようファイル名を変更します。

    # katello-certs-check \
       -c /root/sat_cert/satellite_cert.pem \      1
       -k /root/sat_cert/satellite_cert_key.pem \  2
       -r /root/sat_cert/satellite_cert_csr.pem \  3
       -b /root/sat_cert/ca_cert_bundle.pem        4
    1
    認証局により署名された Satellite Server 向けの証明書ファイル
    2
    証明書を署名するために使用する Satellite Server の秘密鍵
    3
    Satellite Server 向けの証明書署名要求ファイル
    4
    認証局バンドル

katello-certs-check の出力例

Checking expiration of certificate: [OK]
Checking expiration of CA bundle: [OK]
Validating the certificate subject= /C=AU/ST=Queensland/L=Brisbane/O=Example/OU=Sales/CN=satellite.example.com/emailAddress=example@example.com
Checking to see if the private key matches the certificate: [OK]
Checking ca bundle against the cert file: [OK]
Checking for non ascii characters[OK]

Validation succeeded.

To install the Satellite server with the following custom certificates, run:

    satellite-installer --scenario satellite\
              --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
              --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
              --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
              --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"

To update the certificates on a currently running Satellite installation, run:

    satellite-installer --scenario satellite\
              --certs-server-cert "/root/sat_cert/satellite_cert.pem"\
              --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
              --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\
              --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\
              --certs-update-server --certs-update-server-ca

To use them inside a NEW $CAPSULE, run this command:

    capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE"\
              --certs-tar  "~/$CAPSULE-certs.tar"\
              --server-cert "/root/sat_cert/satellite_cert.pem"\
              --server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
              --server-key "/root/sat_cert/satellite_cert_key.pem"\
              --server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\

To use them inside an EXISTING $CAPSULE, run this command INSTEAD:

    capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE"\
              --certs-tar  "~/$CAPSULE-certs.tar"\
              --server-cert "/root/sat_cert/satellite_cert.pem"\
              --server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\
              --server-key "/root/sat_cert/satellite_cert_key.pem"\
              --server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\
              --certs-update-server

3.4.7.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行

この時点で SSL 証明書が作成され、Red Hat Satellite 6 で使用できることが確認されました。次の手順は、カスタム SSL 証明書を Satellite Server とそのすべてのホストにインストールすることです。

この手順は、Satellite Server がすでにインストールされているかどうかに応じて、少し異なります。Satellite Server が すでに インストールされている場合は、既存の証明書を証明書アーカイブの証明書で更新する必要があります。

このセクションのコマンドは、「Satellite Server の SSL 証明書の検証」 で説明されたように katello-certs-check コマンドの出力を使用します。katello-certs-check の出力は、ターミナルにコピーアンドペーストできます。

  1. インストールの状況に応じて、satellite-installer コマンドを実行します。

    1. Satellite がすでにインストールされている場合は、Satellite サーバーで以下のコマンドを実行します。

      # satellite-installer --scenario satellite \
      --certs-server-cert /root/sat_cert/satellite_cert.pem \
      --certs-server-cert-req /root/sat_cert/satellite_cert_csr.pem \
      --certs-server-key /root/sat_cert/satellite_cert_key.pem \
      --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem \
      --certs-update-server --certs-update-server-ca

      このコマンドの重要なパラメーターは --certs-update-server--certs-update-server-ca です。これにより、サーバーの SSL 証明書と認証局を更新するよう指定されます。すべてのインストーラーのパラメーターの簡単な説明は、satellite-installer --scenario satellite --help コマンドを実行します。

      注記

      satellite-installer コマンドにおけるファイルはすべて、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。

    2. Satellite を まだインストールしていない 場合は、Satellite Server で以下のコマンドを実行します。

      # satellite-installer --scenario satellite \
      --certs-server-cert /root/sat_cert/satellite_cert.pem \
      --certs-server-cert-req /root/sat_cert/satellite_cert_csr.pem \
      --certs-server-key /root/sat_cert/satellite_cert_key.pem \
      --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem
      注記

      satellite-installer コマンドにおけるファイルはすべて、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。

  2. 証明書をホストにインストールする前に証明書が Satellite サーバーに正常にインストールされていることを確認します。Satellite サーバーへのネットワークアクセスがあるコンピューターで、Web ブラウザーを起動し、URL https://satellite.example.com に移動して、証明書の詳細を参照します。

3.4.7.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストール

カスタム SSL 証明書が Satellite サーバーにインストールされたので、Satellite サーバーに登録されている各ホストにもインストールする必要があります。すべての該当するホストで以下のコマンドを実行します。

  1. ホスト上で現行の katello-ca-consumer パッケージを削除します。

    # yum remove 'katello-ca-consumer*'
  2. ホストにカスタム SSL 証明書をインストールします。

    # yum localinstall http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

3.4.8. mongod へのアクセスの制限

データ損失の危険を減らすために、MongoDB データベースデーモン mongod へのアクセスは apache ユーザーと root ユーザーにだけ許可する必要があります。

Satellite Server と Capsule Server で mongod へのアクセスを制限するには、以下のコマンドを使用します。

  1. ファイヤーウォールを設定します。

    # firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
    tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
    tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
    tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
    && firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
    tcp -m tcp --dport 28017 -j DROP \
    && firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
    tcp -m tcp --dport 28017 -j DROP
  2. --permanent オプションを追加してコマンドを繰り返し、設定を永続化します。

    # firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 27017 -m owner \
    --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 27017 -m owner \
    --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 27017 -m owner \
    --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 27017 -m owner \
    --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 \
    -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 \
    -o lo -p tcp -m tcp --dport 27017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 28017 -m owner \
    --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 28017 -m owner \
    --uid-owner apache -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 28017 -m owner \
    --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \
    -o lo -p tcp -m tcp --dport 28017 -m owner \
    --uid-owner root -j ACCEPT \
    && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 \
    -o lo -p tcp -m tcp --dport 28017 -j DROP \
    && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 \
    -o lo -p tcp -m tcp --dport 28017 -j DROP