手順

1. 管理 > ユーザー に移動します。
2. ユーザーの作成 をクリックします。
3. ログイン フィールドにユーザーのユーザー名を入力します。
4. 名 および 姓 フィールドに、ユーザーの本当の姓名を入力します。
5. Email アドレス フィールドに email アドレスを入力します。
6. 説明 フィールドには、新規ユーザーの説明を加えます。
7. 言語 一覧からユーザー用の言語を選択します。

8. タイムゾーン 一覧からタイムゾーンを選択します。

   デフォルトでは、Satellite Server はユーザーのブラウザーの言語とタイムゾーンを使用します。

9. ユーザーのパスワードを設定します。

   1. 認証先 一覧から、ユーザー認証に使用するソースを選択します。

      • 内部: Satellite Server 内でのユーザー管理を有効にします。
      • LDAP または IdM: 12章外部認証の設定 の説明にある外部認証を設定します。
   2. パスワード フィールドに初期パスワードを入力して、確認 フィールドで再入力します。
10. 送信 をクリックしてユーザーを作成します。

手順

1. 管理 > ユーザー に移動します。

2. ロールを割り当てるユーザーの ユーザー名 をクリックします。

   注記

   ユーザーアカウントが表示されない場合は、現在適切な組織を表示しているかどうかを確認します。Satellite の全ユーザーを一覧表示するには、デフォルトの組織 をクリックしてから 任意の組織 をクリックします。

3. ロケーション タブをクリックして、ロケーションが割り当てられていない場合は選択します。
4. 組織 タブをクリックして、組織が割り当てられていることを確認します。
5. ロール タブをクリックして利用可能なロールのリストを表示します。

6. ロール リストから割り当てるロールを選択します。

   利用可能な全パーミッションを付与するには、管理 チェックボックスを選択します。

7. 送信 をクリックします。

手順

1. 管理 > ユーザー に移動します。
2. ユーザー名 コラムから必要となるユーザーのユーザー名をクリックします。

3. SSH キー タブをクリックします。

   • SSH キーの追加

     1. 公開 SSH キーのコンテンツをクリップボードに用意します。
     2. SSH キーの追加 をクリックします。
     3. キー フィールドに公開 SSH キーのコンテンツをクリップボードから貼り付けます。
     4. 名前 フィールドに SSH キーの名前を入力します。
     5. 送信 をクリックします。

   • SSH キーの削除

     1. 削除する SSH キーの列にある 削除 をクリックします。
     2. 確認メッセージで OK をクリックします。

手順

1. 管理 > ユーザー に移動します。
2. 編集する ユーザー名 をクリックします。
3. ユーザー タブで、メール フィールドの値を確認します。E メールは、このフィールドのアドレスに送信されます。
4. 電子メール設定 タブで メールの有効化 を選択します。

5. 通知タイプの横にあるドロップダウンメニューから、ユーザーが受信する通知を選択します。

   注記

   メールクエリー テキストボックスに必要なクエリを記入すると、Audit Summary 通知をフィルターすることができます。

6. 送信 をクリックします。

   通知メールのユーザーへの送信が開始されます。

手順

1. Satellite Web UI で、管理 > ユーザー に移動します。
2. ユーザー名をクリックします。

3. E メール設定 タブで テスト E メール をクリックします。

   ユーザーの E メールアドレスにすぐにテストメッセージが送信されます。

1. ユーザーのメールアドレスを確認します。
2. Satellite Server のメール設定を確認します。
3. ファイアウォールおよびメールサーバーのログを調べます。

手順

1. 管理 > ユーザーグループ に移動します。
2. ユーザーグループの作成 をクリックします。

3. ユーザーグループ タブで、新規ユーザーグループの名前を指定し、グループメンバーを選択します。

   • ユーザーグループ のリストから、以前に作成したユーザーグループを選択します。
   • ユーザー のリストからユーザーを選択します。
4. ロール タブで、ユーザーグループに割り当てるロールを選択します。または、管理者 チェックボックスを選択して利用可能なすべてのパーミッションを割り当てます。
5. 送信 をクリックします。

手順

1. 管理 > ユーザーグループ に移動します。
2. 削除するユーザーグループの右側にある 削除 をクリックします。
3. 警告ボックスで、OK をクリックしてユーザーグループを削除します。

手順

1. 管理 > ロール に移動します。
2. ロールの作成 をクリックします。
3. ロールの 名前 を記入します。
4. 送信 をクリックして、新しいロールを保存します。

手順

1. 管理 > ロール に移動して、必要なロールの右側にあるドロップダウンメニューから クローン を選択します。
2. ロールの 名前 を記入します。
3. 送信 をクリックしてロールのクローンを作成します。
4. クローンされたロールの名前をクリックし、フィルター に移動します。
5. 必要に応じて、パーミッションを編集します。
6. 送信 をクリックして、新しいロールを保存します。

手順

1. 管理 > ロール に移動します。
2. 必要なロールの右側にあるドロップダウンリストから フィルターの追加 を選択します。
3. ドロップダウンリストから リソースタイプ を選択します。(その他) グループには、どのリソースグループにも関連付けられていないパーミッションが含まれます。
4. 選択するパーミションを パーミッション リストからクリックします。
5. リソースタイプ での選択により、無制限 と 上書き のチェックボックスが表示されます。無制限 チェックボックスはデフォルトで選択され、選択されたタイプの全リソースにパーミッションが適用されます。無制限 チェックボックスを無効にすると、検索 フィールドが有効になり、Red Hat Satellite 6 の検索構文を使用して詳細なフィルタリングを指定できます。詳細については、「詳細なパーミッションフィルタリング」 を参照してください。上書き チェックボックスを有効にすると、新たなロケーションと組織を追加して、それらのロケーションや組織のリソースタイプにこのロールがアクセスできるようになります。また、既に関連付けられたロケーションや組織をリソースタイプから削除して、アクセスを制限することもできます。
6. 次へ をクリックします。
7. 送信 をクリックして変更を保存します。

手順

1. 管理 > ロール に移動します。
2. ロールの右側にある フィルター をクリックして、フィルター ページを開きます。

手順

1. 必要なパッケージがインストールされていることを確認します。Satellite Server で以下のコマンドを実行します。

   # yum install tfm-rubygem-foreman*

2. 以下のコマンドで Satellite コンソールを起動します。

   # foreman-rake console

   コンソールに以下のコードを挿入します。

   f = File.open('/tmp/table.html', 'w')
   
   result = Foreman::AccessControl.permissions.sort {|a,b| a.security_block <=> b.security_block}.collect do |p|
         actions = p.actions.collect { |a| "<li>#{a}</li>" }
         "<tr><td>#{p.name}</td><td><ul>#{actions.join('')}</ul></td><td>#{p.resource_type}</td></tr>"
   end.join("\n")
   
   f.write(result)

   上記の構文により、パーミッションの表が作成され、/tmp/table.html ファイルに保存されます。

3. Ctrl + D を押して、Satellite コンソールを終了します。/tmp/table.html の最初の行に以下のテキストを挿入します。

   <table border="1"><tr><td>Permission name</td><td>Actions</td><td>Resource type</td></tr>

   /tmp/table.html の最後に以下のテキストを追加します。

   </table>

4. Web ブラウザーで /tmp/table.html を開いて、表を確認します。

手順

1. 管理 > ロール に移動します。
2. 削除するロールの右側にあるドロップダウンリストから 削除 を選択します。
3. 警告ボックスで、OK をクリックしてロールを削除します。

手順

1. 設定 > 環境 に移動します。
2. satellite.example.com からの環境のインポート をクリックします。

3. 監査するホストに関連付けられた Puppet 環境のチェックボックスを選択します。

   Puppet 環境が存在しない場合は、production 環境のチェックボックスを選択します。

4. 更新 をクリックします。

ポリシーを作成するには、以下を実行します。

1. Satellite web UI で、ホスト > ポリシー に移動して、新規ポリシー をクリックしてからウィザードのステップに従います。
2. ポリシーの名前、説明 (オプション) を入力してから 次へ をクリックします。
3. 適用する SCAP コンテンツおよび XCCDF プロファイルを選択してから 次へ をクリックします。

4. ポリシーを適用する時間を指定してから 次へ をクリックします。

   期間 のドロップダウンメニューから、毎週、毎月、または カスタム を選択します。

   • 毎週 を選択したら 平日 ドロップダウンリストから曜日を選択します。
   • 毎月 を選択したら 日付 フィールドで日付を指定します。

   • カスタム を選択したら Cron 行 フィールドに有効な Cron 式を入力します。

     Custom オプションでは、毎週 もしくは 毎月 オプションよりもスケジュールに柔軟性を持たせることができます。

5. ポリシーを適用するロケーションを選択してから 次へ をクリックします。
6. ポリシーを適用する組織を選択してから 次へ をクリックします。
7. ポリシーを適用するホストグループを選択してから 送信 をクリックします。

ポリシーを表示するには、以下を実行します。

1. Satellite web UI で、ホスト > ポリシー に移動します。
2. ガイドの表示 をクリックします。

ポリシーを編集するには、以下を実行します。

1. Satellite web UI で、ホスト > ポリシー に移動します。
2. ポリシーの名前の右側にあるドロップダウンリストから、編集 を選択します。
3. 必要な属性を編集します。
4. 送信 をクリックします。

1. Satellite web UI で、ホスト > ポリシー に移動します。
2. ポリシーの名前の右側にあるドロップダウンリストから、削除 を選択します。
3. 確認メッセージで OK をクリックします。

1. Satellite web UI で、ホスト > すべてのホスト に移動します。
2. ポリシーを追加するホストを選択します。
3. アクションの選択 をクリックします。
4. リストから コンプライアンスポリシーの割り当て を選択します。
5. 新規パネルで、利用可能なポリシー一覧から適切なポリシーを選択し 送信 をクリックします。

手順

1. ホスト > コンプライアンス - テーラリングファイル に移動して、新規 テーラリングファイル をクリックします。
2. 名前 テキストボックスに、名前を入力します。
3. ファイルの選択 をクリックしてから、SCAP DataStream テーラリングファイルが含まれるロケーションに移動し、開く を選択します。
4. 送信 をクリックして、選択したテーラリングファイルをアップロードします。

手順

1. ホスト > コンプライアンス - ポリシー に移動します。
2. 新規ポリシー、または既存のコンプライアンスポリシーがある場合は、新規コンプライアンスポリシー をクリックします。
3. 名前 テキストボックスに名前を入力して 次へ をクリックします。
4. ドロップダウンメニューから Scap コンテンツ を選択します。
5. ドロップダウンメニューから XCCDF プロファイル を選択します。
6. ドロップダウンメニューから テーラリングファイル を選択します。

7. ドロップダウンメニューから テーラリングファイル内の XCCDF プロファイル を選択します。

   テーラリングファイルは複数の XCCDF プロファイルを含めることが可能なため、XCCDF プロファイルの選択が重要になります。

8. 次へ をクリックします。
9. ドロップダウンメニューから 期間 を選択します。
10. ドロップダウンメニューから 平日 を選択して、次へ をクリックします。
11. 選択したアイテム ウィンドウに移動させる ロケーション を選択して、次へ をクリックします。
12. 選択したアイテム ウィンドウに移動させる 組織 を選択して、次へ をクリックします。
13. 選択したアイテム ウィンドウに移動させる ホストグループ を選択して、送信 をクリックします。

バックアップサイズの予測

1. du コマンドを入力して、Satellite データベースおよび設定ファイルを含む非圧縮ディレクトリーのサイズを予測します。以下に例を示します。

   # du -sh /var/lib/mongodb /var/lib/pgsql/data /var/lib/pulp
   480G	/var/lib/mongodb
   100G    /var/lib/pgsql/data
   100G	/var/lib/pulp
   # du -csh /var/lib/qpidd /var/lib/tftpboot /etc /root/ssl-build \
   /var/www/html/pub /opt/puppetlabs
   886M    /var/lib/qpidd
   16M     /var/lib/tftpboot
   37M	/etc
   900K	/root/ssl-build
   100K	/var/www/html/pub
   2M	/opt/puppetlabs
   942M   total

2. 圧縮データを保存するために必要な領域を計算します。

   表7.1「バックアップデータ圧縮率」 は、バックアップで使用されるすべてのデータアイテムの圧縮率を提示します。

   表7.1 バックアップデータ圧縮率

   データ型	ディレクトリー	比率	圧縮結果の例
   MongoDB データベースファイル	/var/lib/mongodb	85 - 90 %	480 GB → 60 GB
   PostgreSQL データベースファイル	/var/lib/pgsql/data	80 - 85%	100 GB → 20 GB
   Pulp RPM ファイル	/var/lib/pulp	(非圧縮)	100 GB
   設定ファイル	/var/lib/qpidd /var/lib/tftpboot /etc /root-ssl/build /var/www/html/pub /opt/puppetlabs	85%	942 MB → 141 MB

   この例では、圧縮されたバックアップデータは合計 180 GB を占有します。

3. バックアップの保存に必要な領域を計算するには、圧縮および非圧縮のバックアップデータの予測値を合計し、合計値の 20% をさらに追加してバックアップの信頼性を高めます。

   この例では、非圧縮および圧縮のバックアップデータに 681 GB と 180 GB の合計 861 GB が必要です。172 GB の予備領域もあわせ、1033 GB をバックアップの場所に割り当てる必要があります。

1. バックアップの場所に、バックアップを保存するための十分なディスク領域があることを確認します。詳細は 「バックアップサイズの予測」 を参照してください。

2. バックアップスクリプトを実行します。

   # foreman-maintain backup offline /var/backup_directory

   コピーするデータサイズのために、このプロセスの完了には時間がかかることがあります。

1. バックアップの場所に、バックアップを保存するための十分なディスク領域があることを確認します。詳細は 「バックアップサイズの予測」 を参照してください。

2. バックアップスクリプトを実行します。

   # foreman-maintain backup offline --skip-pulp-content /var/backup_directory

1. バックアップの場所に、バックアップを保存するための十分なディスク領域があることを確認します。詳細は 「バックアップサイズの予測」 を参照してください。

2. 完全バックアップを作成します。

   # foreman-maintain backup offline  /var/backup_directory

3. --incremental 引数を使用してバックアップスクリプトを実行します。これで初回増分バックアップを保存するディレクトリーがバックアップディレクトリー内に作成されます。

   # foreman-maintain backup offline --incremental /var/backup_directory/full_backup  /var/backup_directory

4. バックアップスクリプトを再度実行して、2 回目の増分バックアップを作成します。次回増分の開始点を示すために、初回増分バックアップをポイントします。これで 2 回目増分バックアップのディレクトリーがバックアップディレクトリー内に作成されます。

   # foreman-maintain backup offline --incremental /var/backup_directory/first_incremental_backup  /var/backup_directory

   別のバージョンのバックアップをポイントし、開始点としてそのバックアップバージョンでの増分シリーズを作成する場合は、いつでもこれを行うことができます。たとえば、初回もしくは 2 回目増分バックアップからではなく、完全バックアップからの増分バックアップを作成するには、完全バックアップディレクトリーをポイントします。

   # foreman-maintain backup offline --incremental /var/backup_directory/full_backup  /var/backup_directory

オンラインバックアップの実行

1. バックアップの場所に、バックアップを保存するための十分なディスク領域があることを確認します。詳細は 「バックアップサイズの予測」 を参照してください。

2. バックアップスクリプトを実行します。

   # foreman-maintain backup online /var/backup_directory

Red Hat Satellite Server からのソリューション検索:

1. 画面右上で、Red Hat Access > 検索 をクリックします。

2. 必要に応じて、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。

3. Red Hat Search フィールドに検索クエリーを入力します。検索結果が左側の 推奨項目 リストに表示されます。
4. 推奨項目 リストでソリューションをクリックします。ソリューションの記事がメインパネルに表示されます。

Red Hat Satellite Server からのログ診断ツールの使用:

1. 画面右上で、Red Hat Access > ログ をクリックします。

2. 必要に応じて、Red Hat カスタマーポータルにログインします。右上のメインパネルで ログイン をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。

3. 左側にあるファイルツリーで、ログファイルを選択し、ファイル名をクリックします。
4. ファイルの選択 をクリックします。ポップアップウィンドウに、ログファイルの内容が表示されます。
5. ログファイルで、診断するテキストセクションを強調表示すると、Red Hat 診断 ボタンが有効になります。
6. Red Hat 診断 をクリックします。これにより、強調表示された情報が Red Hat カスタマーポータルに送信され、提供されたログ情報に近似するソリューションが提供されます。

7. ソリューションの結果によって、以下のいずれかに従います。

   • ソリューションが問題に一致する場合は、ソリューションをクリックし、必要な手順を実行して問題のトラブルシューティングを行います。
   • ソリューションが問題に一致しない場合は、サポートケースを新規作成 をクリックします。サポートケースには、ログファイルの強調表示されたテキストが入力されます。「Red Hat Access プラグインを使用した既存サポートケースの作成」 を参照してください。

Red Hat Satellite Server から既存サポートケースを表示:

1. 画面右上で、Red Hat Access > サポート > マイケース をクリックします。

2. 必要に応じて、Red Hat カスタマーポータルにログインします。右上のメインパネルで ログイン をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。

3. 以下のいずれかを実行し、既存のケースの中から特定のサポートケースを検索します。

   • 検索 フィールドにキーワードまたはフレーズを入力します。
   • ドロップダウンリストから、特定の ケースグループ を選択します。ケースグループ は、ユーザーの組織により Red Hat カスタマーポータル内で定義されています。
   • ケースのステータスを選択します。
4. 検索結果から特定のサポートケースを選択し、ケース ID をクリックすると、サポートケースが表示されます。

Red Hat Satellite Server Web UI からのサポートケースの更新:

1. 「Red Hat Access プラグインを使用した既存サポートケースの表示」 の手順を完了します。

2. サポートケースで、マークされたセクションにスクロールダウンし、以下のことを行います。

   • 添付ファイル: システムからローカルファイルを添付します。分かりやすくするために、ファイル名を追加してください。

     注記

     ファイル名は 80 文字未満にしてください。Web UI を使用してアップロードする添付ファイルの最大サイズは 250 MBです。ファイルのサイズがそれよりも大きい場合は、FTP を使用します。

   • ケースコメント: グローバルサポートサービスに相談するケースに関する更新情報を追加します。情報の追加後に コメントの追加 をクリックします。

Red Hat Satellite Server を使用した新規サポートケースの作成:

1. 画面右上で、Red Hat Access > サポート > 新規ケース をクリックします。

2. 必要に応じて、Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。

   注記

   Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。

3. 製品 および 製品バージョン フィールドは、自動入力されます。以下のフィールドに入力します。

   • 概要 — 問題の簡単な概要を記載します。

   • 詳細 — 問題の詳細を記載します。

     提供した概要に基づいて、推奨されるソリューションがメインパネルに表示されます。

4. 次へ をクリックします。

5. 以下のように適切なオプションを選択します。

   • 重大度 — チケットの緊急度に応じて 4 (低)、3 (通常), 2 (高)、または 1 (緊急) を選択します。
   • ケースグループ — 通知する必要があるメンバーに応じて、サポートケースに関連付けられたケースグループを作成します。Red Hat Satellite でケースグループを選択します。カスタマーポータル内でケースグループを作成します。

6. sosreport の出力と必要なファイルを添付します。ファイルの詳細を追加し、ローカルファイルの添付 をクリックします。

   注記

   • 大規模なログファイルまたは多くの Satellite タスクがある場合は、foreman-debug の出力も添付することが推奨されます。
   • ファイル名は 80 文字未満にしてください。Web UI を使用してアップロードする添付ファイルの最大サイズは 250 MBです。ファイルのサイズがそれよりも大きい場合は、FTP を使用します。
7. 送信 をクリックします。システムによりケースがカスタマーポータルにアップロードされ、ケース番号が提供されます。

LDAP 認証の設定:

1. allow Network Information System (NIS) サービスブール値を true に設定して SELinux により送信 LDAP 接続が中止されるのを防ぎます。

   • Red Hat Enterprise Linux 6 の場合:

     # setsebool -P allow_ypbind on

   • Red Hat Enterprise Linux 7 の場合:

     # setsebool -P nis_enabled on

2. 管理 > LDAP 認証 に移動します。
3. 新規認証ソース をクリックします。
4. LDAP サーバータブで LDAP サーバーの名前、ホスト名、ポート、およびサーバータイプを入力します。デフォルトポートは 389、デフォルトサーバータイプは POSIX です (認証サーバーのタイプに応じて FreeIPA または Active Directory を選択することもできます)。TLS 暗号化接続に対しては、LDAPS チェックボックスを選択して暗号化を有効にします。ポートは LDAPS のデフォルト値である 636 に変更されるはずです。
5. アカウント タブでアカウント情報とドメイン名の詳細を入力します。説明と例については、「LDAP 設定の説明と例」 を参照してください。
6. マッピング属性 タブで LDAP 属性を Satellite 属性にマップします。ログイン名、名、姓、E メールアドレス、および写真の属性をマップできます。例については、「LDAP 設定の説明と例」 を参照してください。
7. ロケーション タブで、左側の表からロケーションを選択します。選択したロケーションは、LDAP 認証ソースから作成されたユーザーに割り当てられ、初回ログイン以降、利用可能となります。
8. 組織 タブで、左側の表から組織を選択します。選択した組織は、LDAP 認証ソースから作成されたユーザーに割り当てられ、初回ログイン以降、利用可能となります。
9. 送信 をクリックします。

Satellite Server での IdM 認証の設定:

1. 以下のように、IdM サーバー上で Satellite Server のホストエントリーを作成し、ワンタイムパスワードを生成します。

   # ipa host-add --random hostname

   注記

   IdM 登録を完了するには、生成されたワンタイムパスワードをクライアントで使用する必要があります。

   ホスト設定プロパティーの詳細については、Linux ドメイン ID、認証、およびポリシーガイド^[3] を参照してください。

2. 以下のように、Satellite Server 向けの HTTP サービスを作成します。

   # ipa service-add servicename/hostname

   ホスト設定プロパティーの詳細については、Linux ドメイン ID、認証、およびポリシーガイド^[4] を参照してください。

3. Satellite Server で、IdM 登録を設定するために、root で以下のコマンドを実行します。

   # ipa-client-install --password OTP

   OTP を、IdM 管理者により提供されたワンタイムパスワードに置き換えます。

4. Satellite Server が Red Hat Enterprise Linux 7 上で実行されている場合は、以下のコマンドを実行します。

   # subscription-manager repos --enable rhel-7-server-optional-rpms

   インストーラーは、オプションのリポジトリー rhel-7-server-optional-rpms (Red Hat Enterprise Linux 7 の場合) に含まれるパッケージに依存します。Red Hat Enterprise Linux 6 の場合、必要なすべてのパッケージは base リポジトリーに含まれます。

5. 以下のコマンドを実行します。

   # satellite-installer --foreman-ipa-authentication=true

   このコマンドは、Satellite のフレッシュインストールに限定されません。既存の Satellite インストールを変更するためにも使用できます。

6. Satellite サービスを再起動します。

   # foreman-maintain service restart

HBAC の設定:

1. HBAC サービスおよびルールを IdM サーバーで作成し、リンクします。以下の例では、satellite-prod という PAM サービス名を使用しています。IdM サーバー上で以下のコマンドを実行してください。

   $ ipa hbacsvc-add satellite-prod
   $ ipa hbacrule-add allow_satellite_prod
   $ ipa hbacrule-add-service allow_satellite_prod --hbacsvcs=satellite-prod

2. サービス satellite-prod へのアクセスを持つユーザーと Satellite Server のホスト名を追加します。

   $ ipa hbacrule-add-user allow_satellite_prod --user=username
   $ ipa hbacrule-add-host allow_satellite_prod --hosts=the-satellite-fqdn

   または、allow_satellite_prod ルールにホストグループとユーザーグループを追加します。

3. ルールのステータスを確認するために、以下のコマンドを実行します。

   $ ipa hbacrule-find satellite-prod
   $ ipa hbactest --user=username --host=the-satellite-fqdn --service=satellite-prod

4. IdM サーバーで allow_all rule が無効であることを確認します。他のサービスに影響を与えずにこれを行う方法については、Red Hat カスタマーポータル上の記事 How to configure HBAC rules in IdM^[6] を参照してください。

5. Satellite Server での IdM 認証の設定: で説明されているように、Satellite Server で IdM 統合を設定します。Satellite Server で、root として PAM サービスを定義します。

   # satellite-installer --foreman-pam-service=satellite-prod

AD サーバーを使用した Satellite Server の登録:

1. 必要なパッケージをインストールします。

   # yum install sssd adcli realmd ipa-python-compat krb5-workstation

2. AD サーバーを使用して Satellite Server を登録します。以下のコマンドを実行するには、管理者パーミッションが必要な場合があります。

   # realm join -v EXAMPLE.ORG

GSS-proxy との直接 AD 統合の設定:

1. /etc/ipa/ ディレクトリーと default.conf ファイルを作成します。

   # mkdir /etc/ipa
   # touch /etc/ipa/default.conf

2. default.conf ファイルに以下のコンテンツを追加します。

   [global]
   server = unused
   realm = EXAMPLE.ORG

3. 以下の内容で /etc/net-keytab.conf ファイルを作成します。

   [global]
   workgroup = EXAMPLE
   realm = EXAMPLE.ORG
   kerberos method = system keytab
   security = ads

4. 以下の内容で /etc/gssproxy/00-http.conf ファイルを作成します。

   [service/HTTP]
   mechs = krb5
   cred_store = keytab:/etc/krb5.keytab
   cred_store = ccache:/var/lib/gssproxy/clients/krb5cc_%U
   euid = 48

5. 以下の行を /etc/krb5.conf ファイルの先頭に挿入します。

   includedir /var/lib/sss/pubconf/krb5.include.d/

6. keytab エントリーを作成します。

   # KRB5_KTNAME=FILE:/etc/httpd/conf/http.keytab net ads keytab add HTTP -U administrator -d3 -s /etc/net-keytab.conf
   # chown root.apache /etc/httpd/conf/http.keytab
   # chmod 640 /etc/httpd/conf/http.keytab

7. Satellite の IPA 認証を有効にします。

   # satellite-installer --foreman-ipa-authentication=true

8. gssproxy サービスを起動して、有効にします。

   # systemctl restart gssproxy.service
   # systemctl enable gssproxy.service

9. Apache サーバーが gssproxy サービスを使用するように設定します。

   1. 以下の内容で /etc/systemd/system/httpd.service ファイルを作成します。

      .include /lib/systemd/system/httpd.service
      [Service]
      Environment=GSS_USE_PROXY=1

   2. 変更をサービスに適用します。

      # systemctl daemon-reload

10. httpd サービスを起動して、有効にします。

    # systemctl restart httpd.service

    Apache サーバーが実行中であり、クライアントに有効な Kerberos チケットがある場合、サーバーに対して HTTP 要求を行うユーザーは認証されます。

    SSO が Satellite Server で動作していることを確認するには、以下のコマンドを入力して LDAP ユーザーの Kerberos チケットを取得します。

    # kinit ldapuser

    Kerberos チケットを表示するには、以下のコマンドを入力します。

    # klist

    成功した SSO ベースの認証からの出力を表示するには、以下のコマンドを入力します。

    # curl -k -u : --negotiate https://satellite.example.com/users/extlogin
    <html><body>You are being <a href="https://satellite.example.com/users/4-ldapuserexample-com/edit">redirected</a>.</body></html>

1. HBAC 機能を有効にするために、外部グループを作成し、AD グループをその外部グループに追加します。新しい外部グループを POSIX グループに追加します。この POSIX グループを HBAC ルールで使用します。

2. AD ユーザーの追加属性を転送するよう sssd を設定します。これらの属性を /etc/sssd/sssd.conf の nss セクションと domain セクションに追加します。

   [nss]
   user_attributes=+mail, +sn, +givenname
   
   [domain/EXAMPLE]
   ldap_user_extra_attrs=mail, sn, givenname

Red Hat Satellite Server または Capsule Server での IdM レルムサポートの設定:

1. Satellite Server または Capsule Server に以下のパッケージをインストールします。

   # yum install ipa-client foreman-proxy ipa-admintools

2. IdM クライアントとして Satellite Server (または Capsule Server) を設定します。

   # ipa-client-install

3. Satellite Server または Capsule Server の Red Hat Identity Management で realm-capsule ユーザーと関連ロールを作成します。

   # foreman-prepare-realm admin realm-capsule

   foreman-prepare-realm を実行して、Capsule Server と使用するよう IdM サーバーを準備します。これにより、Satellite に必要なパーミッションを持つ専用ロールと、そのロールを持つユーザーが作成され、keytab ファイルが取得されます。この手順では Identity Management サーバー設定の詳細が必要になります。

   コマンドが正常に実行されると、以下の出力が表示されます。

   Keytab successfully retrieved and stored in: freeipa.keytab
   Realm Proxy User:    realm-capsule
   Realm Proxy Keytab:  /root/freeipa.keytab

4. /root/freeipa.keytab を /etc/foreman-proxy ディレクトリーに移動し、ユーザーの foreman-proxy に所有者設定を行います。

   # mv /root/freeipa.keytab /etc/foreman-proxy
   # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab

5. Satellite Server または Capsule Server のどちらを使用しているかに応じてレルムを設定します。

   • Satellite Server で統合された Capsule Server を使用している場合は、レルムを設定するために satellite-installer を使用します。

     # satellite-installer --foreman-proxy-realm true \
     --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
     --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \
     --foreman-proxy-realm-provider freeipa

     注記

     これらのオプションは、Red Hat Satellite Server を初めて設定する場合にも実行できます。

   • 外部の Capsule Server を使用している場合は、レルムを設定するために satellite-installer --scenario capsule を使用します。

     # satellite-installer --scenario capsule \
     --foreman-proxy-realm true \
     --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \
     --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \
     --foreman-proxy-realm-provider freeipa

6. ca-certificates パッケージの最新バージョンがインストールされ、IdM 認証局が信頼されていることを確認します。

   # cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt
   # update-ca-trust enable
   # update-ca-trust

7. (オプション) すでに存在する Satellite Server または Capsule Server で IdM を設定している場合は、設定の変更を反映するために以下の手順も実行する必要があります。

   1. foreman-proxy サービスを再起動します。

      # service foreman-proxy restart

   2. Satellite Server にログインし、インフラストラクチャー > Capsules (スマートプロキシー) に移動します。
   3. IdM 用に設定した Capsule Server の右側にあるドロップダウンメニューをクリックし、機能の更新 を選択します。

8. 最後に、Satellite Server ユーザーインターフェースで新規のレルムエントリーを作成します。

   1. インフラストラクチャー > レルム に移動し、メインページの右側にある 新規レルム をクリックします。

   2. 以下のサブタブのフィールドに値を入力します。

      • レルム サブタブで、レルム名、使用するレルムの種類、およびレルムプロキシーを指定します。
      • ロケーション サブタブで、新規レルムを使用する予定のロケーションを選択します。
      • 組織 サブタブで、新規レルムを使用する予定の組織を選択します。
   3. 送信 をクリックします。

IdM ホストグループへのホストの追加:

1. IdM サーバー上で、ホストグループを作成します。

   # ipa hostgroup-add hostgroup_name
   Description: hostgroup_description
   ----------------------------
   Added hostgroup "hostgroup_name"
   ----------------------------
   Host-group: hostgroup_name
   Description: hostgroup_description

   ここで、

   • hostgroup_name はホストグループの名前です。
   • hostgroup_description はホストグループの説明です。

2. automembership のルールを作成します。

   # ipa automember-add --type=hostgroup automember_rule
   ----------------------------------
   Added automember rule "automember_rule"
   ----------------------------------
   Automember Rule: automember_rule

   ここで、

   • automember-add は automember グループとしてグループにフラグを立てます。
   • --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
   • automember_rule は、automember ルールの特定に使用する名前です。

3. userclass 属性に基づいて automembership の条件を定義します。

   # ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name
   ----------------------------------
   Added condition(s) to "hostgroup_name"
   ----------------------------------
   Automember Rule: automember_rule
   Inclusive Regex: userclass=^webserver
   ----------------------------
   Number of conditions added 1
   ----------------------------

   ここで、

   • automember-add-condition により、グループメンバーを特定するための正規表現の条件を追加することができます。
   • --key=userclass はキー属性を userclass に指定します。
   • --type=hostgroup は、ターゲットグループがユーザーグループではなく、ホストグループであることを特定します。
   • --inclusive-regex= ^webserver は、一致する値を特定するための正規表現パターンです。
   • hostgroup_name はターゲットホストグループの名前です。

手順

1. yum install を使用して必要なプラグインをインストールします。

   例: tfm-rubygem-foreman_templates プラグインのインストール:

   # yum install tfm-rubygem-foreman_templates

2. foreman-maintain サービスを再起動します。

   # foreman-maintain service restart

手順

1. rpm コマンドで Foreman のリリースを確認します。

   $ rpm -q foreman
   foreman-1.7.2.53-1.el7sat.noarch

2. rpm 設定ファイルを作成します。

   touch /etc/yum.repos.d/foreman-plugins.repo

3. 以下の内容をファイルに追加します。

   [foreman-plugins]
   name=Foreman plugins
   baseurl=http://yum.theforeman.org/plugins/1.10/el_7_/x86_64/
   enabled=1
   gpgcheck=0

   URL 内のバージョン番号 (上記の 1.10) を必要な Foreman リリース番号で置き換えます。

手順

1. 各 Foreman オブジェクトには 1 つのサブディレクトリーを作成する必要があります (各イベント名には他のサブディレクトリーが作成されます)。Foreman オブジェクトは、ホストまたはネットワークインターフェースである場合があります。フックへのパスは以下のようになります。

   /usr/share/foreman/config/hooks/object/event/hook_script

2. たとえば、ホストでオペレーティングシステムのインストールが完了した後にフックをアクティベートするために、以下のコマンドでサブディレクトリーを作成します。

   # mkdir -p /usr/share/foreman/config/hooks/host/managed/before_provision/

3. スクリプトをダウンロードし、適切な名前が指定されたディレクトリーがすでに作成されている場合は、以下のように install コマンドを使用して SELinux コンテキストが正しいことを確認します。

   install hook_script /usr/share/foreman/config/hooks/object/event/hook_script

   • または、イベントサブディレクトリーに直接スクリプトを作成した場合は、root で以下のコマンドを入力して SELinux コンテキストを適用します。

     # restorecon -RvF /usr/share/foreman/config/hooks

     Red Hat Enterprise Linux 7 での SELinux コンテキストは foreman_hook_t です。スクリプトは制限のある状態で実行されるため、一部のアクションが SELinux によって拒否される場合があることに注意してください。SELinux により拒否されたアクションを確認するには、aureport -a を実行するか、/var/log/audit/audit.log を調べます。

     SELinux の問題のデバッグと audit2allow ユーティリティーの使用の詳細については、以下のトピックを参照してください。

   • Red Hat Enterprise Linux 7 の場合は、Fixing Problems^[9] を参照してください。

手順

1. Satellite Server ベースシステムでディレクトリー構造を作成します。

   # mkdir -p /usr/share/foreman/config/hooks/host/managed/before_provision/

2. 以下のようにスクリプトを作成します。

   # vi /usr/share/foreman/config/hooks/host/managed/before_provision/_10__logger.sh
   #!/bin/bash
   logger $1 $2

   ファイル名 _logger.sh の前の数値の接頭辞 10 により、同じサブディレクトリー内のスクリプトの実行順序が決定されます。必要に応じてこの接頭辞を変更します。

3. スクリプトの所有者を foreman に変更します。

   # chown foreman:foreman /usr/share/foreman/config/hooks/host/managed/before_provision/_10__logger.sh

4. ユーザーによる実行を許可するためにスクリプトのパーミッションを変更します。

   # chmod u+x /usr/share/foreman/config/hooks/host/managed/before_provision/_10__logger.sh

5. SELinux コンテキストが /usr/share/foreman/config/hooks ディレクトリー内のすべてのファイルで正しいことを確認します。

   # restorecon -RvF /usr/share/foreman/config/hooks/

6. foreman ユーザーが logger コマンドを使用できるようにするために、以下のルールを /etc/sudoers ファイルに追加します。

   # vi /etc/sudoers
   foreman ALL=(ALL) NOPASSWD:/usr/bin/logger

7. Satellite サービスを再起動して、フックを登録します。

   # foreman-maintain service restart

タイムアウト設定を調整するには、以下を実行します。

1. 管理 > 設定 に移動します。
2. 検索ボックスに %_timeout を入力し、検索 をクリックします。検索では、説明を含む 4 つの設定が返されます。
3. 値 のコラムで、数字の横にあるアイコンをクリックして編集します。
4. 希望する秒数を入力したら、保存 をクリックします。

サービスのチェックを無効にするには、以下を実行します。

1. 管理 > 設定 に移動します。
2. 検索ボックスに check_services_before_actions を入力し、検索 をクリックします。
3. 値 コラムでアイコンをクリックして値を編集します。
4. ドロップダウンメニューから false を選択します。
5. 保存 をクリックします。

ブックマークを作成するには、以下の手順に従います。

1. ブックマークを作成するページに移動します。
2. 検索 フィールドに保存する検索クエリーを入力します。
3. 検索 ボタンの右側にある矢印を選択し、この検索をブックマーク を選択します。
4. 名前 フィールドに 新規ブックマークの名前を入力します。
5. 検索クエリー フィールドに正しい検索クエリーがあることを確認します。

6. 公開 チェックボックスの設定を確認します。

   • 公開 にチェックを入れると、ブックマークが公開されて全ユーザーに見えるようになります。
   • 公開 のチェックを外すと、ブックマークが非公開となり、作成したユーザーのみに見えるようになります。
7. 送信 をクリックします。

ブックマークの削除手順

1. 管理 > ブックマーク に移動します。
2. ブックマークページで、削除するブックマークの 削除 をクリックします。
3. 確認ウィンドウが表示されたら、OK をクリックして削除を確認します。