第5章 ユーザーとロールの管理
ユーザーは、システムを使用する各個人の一連の詳細情報を定義します。組織と環境をユーザーに関連付けることで、新しいエンティティーを作成する際にこれらのデフォルト値を自動的に使用することができます。また、ユーザーには 1 つ以上のロールを割り当てることもでき、ユーザーには組織と環境を参照および管理する権限が与えられます。ユーザーの使用の詳細は、「ユーザー管理」 を参照してください。
複数のユーザーのパーミッションは、ユーザーグループでまとめることにより一括して管理できます。また、ユーザーグループ自体をさらにグループ化してパーミッションの階層を作成できます。ユーザーグループの作成の詳細は、「ユーザーグループの作成と管理」 を参照してください。
ロールでは、一連のパーミッションおよびアクセスレベルを定義します。各ロールには、ロールに許可されたアクションを指定する 1 つ以上のパーミッションフィルターが含まれます。アクションは、リソースタイプに従ってグループ化されます。ロールが作成されたら、そのロールにはユーザーとユーザーグループを関連付けることができます。この場合は、ユーザーの大きなグループに同じ一連のパーミッションセットを割り当てることができます。Red Hat Satellite は、事前定義されたロールのセットを提供し、「ロールの作成および管理」 で説明されているようにカスタムロールおよびパーミッションフィルターを作成することもできます。
5.1. ユーザー管理
管理者は、Satellite ユーザーを作成、変更、および削除できます。また、異なる ロール をユーザーやユーザーのグループに割り当てて、アクセスパーミッションを設定することもできます。
5.1.1. ユーザーの作成
この手順を使用してユーザーを作成します。
手順
ユーザーを作成するには、以下の手順を行います。
- 管理 > ユーザー に移動します。
- ユーザーの作成 をクリックします。
- ログイン フィールドにユーザーのユーザー名を入力します。
- 名 および 姓 フィールドに、ユーザーの実名を入力します。
- Email アドレス フィールドにメールアドレスを入力します。
- 説明 フィールドには、新規ユーザーの説明を加えます。
- 言語 一覧からユーザー用の言語を選択します。
タイムゾーン 一覧からタイムゾーンを選択します。
デフォルトでは、Satellite Server はユーザーのブラウザーの言語とタイムゾーンを使用します。
ユーザーのパスワードを設定します。
認証先 一覧から、ユーザー認証に使用するソースを選択します。
- 内部: Satellite Server 内でのユーザー管理を有効にします。
- EXTERNAL: 13章外部認証の設定 の説明に従って外部認証を設定します。
- パスワード フィールドに初回パスワードを入力して、確認 フィールドで再入力します。
- 送信 をクリックしてユーザーを作成します。
CLI をご利用の場合
以下のコマンドを実行してユーザーを作成します。
# hammer user create \ --login user_name \ --password user_password \ --mail user_mail \ --auth-source-id 1 \ --organization-ids org_ID1,org_ID2...
--auth-source-id 1
の設定では、ユーザーは内部で認証されますが、外部認証を指定することもできます。--admin
オプションを追加して、管理者権限をユーザーに付与します。組織 ID を指定する必要はありません。update
サブコマンドを使用してユーザーの詳細を変更できます。
ユーザー関連のサブコマンドに関する情報は、hammer user --help
の入力してください。
5.1.2. ユーザーへのロールの割り当て
この手順を使用して、ロールをユーザーに割り当てます。
手順
- 管理 > ユーザー に移動します。
ロールを割り当てるユーザーの ユーザー名 をクリックします。
注記ユーザーアカウントが表示されない場合は、現在適切な組織を表示しているかどうかを確認します。Satellite の全ユーザーを一覧表示するには、デフォルトの組織 をクリックしてから 任意の組織 をクリックします。
- ロケーション タブをクリックして、ロケーションが割り当てられていない場合は選択します。
- 組織 タブをクリックして、組織が割り当てられていることを確認します。
- ロール タブをクリックして利用可能なロールのリストを表示します。
ロール リストから割り当てるロールを選択します。
利用可能な全パーミッションを付与するには、管理 チェックボックスを選択します。
- 送信 をクリックします。
ユーザーに割り当てられたロールを参照するには、ロール タブをクリックします。割り当てられたロールは、選択された項目 に表示されます。割り当てたロールを削除するには、選択された項目 でロール名をクリックします。
CLI をご利用の場合
ユーザーにロールを割り当てるには、次のコマンドを入力します。
# hammer user add-role --id user_id --role role_name
5.1.3. 別のユーザーアカウントへの切り替え
管理者は、別のユーザーとして Satellite Web UI に一時的にログオンすることにより、テストおよびトラブルシューティングの目的で他の認証済みユーザーに切り替えることができます。別のユーザーに切り替える場合、管理者は、同じメニューを含め、切り替えたユーザーとまったく同じシステム内のアクセス権限を持ちます。
監査は、管理者が別のユーザーとして実行するアクションを記録するために作成されます。ただし、管理者が別のユーザーとして実行するすべてのアクションは、切り替え後のユーザーで実行されたものとして記録されます。
前提条件
- Satellite の管理者権限を持つユーザーとして Satellite Web UI にログオンしていること。
手順
別のユーザーにアカウントを切り替えて使用するには、以下の手順を実行します。
- Satellite Web UI で、管理 > ユーザー に移動します。
- 切り替えるユーザーの右側の アクション コラムの一覧から、ユーザー切り替え を選択します。
切り替えセッションを停止するには、メインメニューの右上にある切り替えアイコンをクリックします。
5.1.4. SSH キー
ユーザーに SSH キーを追加すると、プロビジョニング中に SSH キーのデプロイメントが可能になります。
プロビジョニング中に SSH キーをデプロイする方法については、『プロビジョニング ガイド』 の「プロビジョニング中の SSH キーのデプロイ」を参照してください。
SSH キーおよびその作成方法についての詳細は、『Red Hat Enterprise Linux 7 システム管理者のガイド』の「SSH ベースの認証の使用」を参照してください。
5.1.5. ユーザーの SSH キー管理
この手順を使用して、ユーザーの SSH キーを追加または削除します。
前提条件
Red Hat Satellite 管理ユーザーとして Web UI にログインするか、SSH キーの追加には create_ssh_key パーミッションを有効にしたユーザーとして、キーの削除には destroy_ssh_key パーミッションを有効にしたユーザーとしてログインすること。
手順
- 管理 > ユーザー に移動します。
- ユーザー名 コラムから必要となるユーザーのユーザー名をクリックします。
SSH キー タブをクリックします。
SSH キーの追加
- 公開 SSH キーのコンテンツをクリップボードに用意します。
- SSH キーの追加 をクリックします。
- キー フィールドに公開 SSH キーのコンテンツをクリップボードから貼り付けます。
- 名前 フィールドに SSH キーの名前を入力します。
- 送信 をクリックします。
SSH キーの削除
- 削除する SSH キーの列にある 削除 をクリックします。
- 確認プロンプトで OK をクリックします。
CLI をご利用の場合
SSH キーをユーザーに追加するには、公開 SSH キーファイルへのパスを指定するか、クリップボードにコピーする公開 SSH キーのコンテンツへのパスが必要です。
公開 SSH キーファイルがある場合は、次のコマンドを入力します。
# hammer user ssh-keys add \ --user-id user_id \ --name key_name \ --key-file ~/.ssh/id_rsa.pub
SSH 公開キーのコンテンツがある場合は、次のコマンドを入力します。
# hammer user ssh-keys add \ --user-id user_id \ --name key_name \ --key ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNtYAAABBBHHS2KmNyIYa27Qaa7EHp+2l99ucGStx4P77e03ZvE3yVRJEFikpoP3MJtYYfIe8k 1/46MTIZo9CPTX4CYUHeN8= host@user
ユーザーの SSH キーを削除するには、次のコマンドを入力します。
# hammer user ssh-keys delete --id key_id --user-id user_id
ユーザーにアタッチされた SSH キーを表示するには、次のコマンドを入力します。
# hammer user ssh-keys info --id key_id --user-id user_id
ユーザーにアタッチされた SSH キーを表示するには、以下のコマンドを入力します。
# hammer user ssh-keys list --user-id user_id
5.1.6. メール通知
メール通知は Satellite Server が定期的に作成するか、特定イベントの完了後に作成されます。定期通知は、毎日、毎週、または毎月送信することができます。
通知をトリガーするイベントは以下のとおりです。
- ホストのビルド
- コンテンツビューのプロモーション
- ホストが報告するエラー
- リポジトリーの同期
デフォルトでは、ユーザーにはメールは通知されません。通知のタイプや頻度などの基準に基づいて、ユーザーが通知を受信するように管理者が設定できます。
メール通知を個人のメールアドレスではなくグループのメールアドレスに送信する場合は、グループのメールアドレスと最小の Satellite パーミッションでユーザーアカウントを作成し、そのユーザーアカウントを必要な通知タイプにサブスクライブします。
Satellite Server は、デフォルトで送信メールを有効化していないため、メール設定を確認する必要があります。詳細は、『 オンラインネットワークから の Satellite Server のインストール』の「Satellite Server での送信 メールの設定」を参照してください。
5.1.7. メール通知の設定
Satellite Web UI でメール通知を設定します。
手順
- 管理 > ユーザー に移動します。
- 編集する ユーザー名 をクリックします。
- ユーザー タブで、メール フィールドの値を確認します。メール通知は、このフィールドのアドレスに送信されます。
- メール設定 タブで メールの有効化 を選択します。
通知タイプの横にあるドロップダウンメニューから、ユーザーが受信する通知を選択します。
注記メールクエリー テキストボックスに必要なクエリーを記入すると、監査サマリー 通知をフィルターすることができます。
送信 をクリックします。
通知メールのユーザーへの送信が開始されます。
5.1.8. メールの配信テスト
メールの配信を確認するには、テストメールをユーザーに送信します。メールが配信されれば、設定が適切であることを確認できます。
手順
- Satellite Web UI で、管理 > ユーザー に移動します。
- ユーザー名をクリックします。
メール設定 タブで テストメール をクリックします。
ユーザーのメールアドレスにすぐにテストメッセージが送信されます。
メールが配信されれば、確認は完了です。配信されない場合は、以下の診断ステップを実行してください。
- ユーザーのメールアドレスを確認します。
- Satellite Server のメール設定を確認します。
- ファイアウォールおよびメールサーバーのログを調べます。
5.1.9. 電子メール通知のテスト
ユーザーが正常に E メール通知をサブスクライブしていることを確認するには、手動で通知をトリガーします。
手順
通知をトリガーするには、以下のコマンドを実行します。
# foreman-rake reports:<frequency>
frequency を以下のいずれかで置き換えます。
- daily (毎日)
- weekly (毎週)
- monthly (毎月)
これでサブスクライブしている全ユーザーに指定された頻度ですべての予定されている通知が配信されます。サブスクライブしているユーザーがすべて通知を受信すれば、検証に成功しています。
現在、手動でトリガーした通知の個別ユーザーへの送信は、サポート対象外です。
5.1.10. 通知タイプ
Satellite では以下の通知が作成されます。
- 監査サマリー: Satellite Server が監査した全アクティビティーのサマリーです。
- ホストの構築: ホストが構築されるとこの通知が送信されます。
- ホストエラータアドバイザリー: ユーザーが管理するホストの適用およびインストール可能なエラータのサマリーです。
- OpenSCAP ポリシーサマリー: OpenSCAP ポリシーレポートとその結果のサマリーです。
- エラータのプロモート: コンテンツビューのプロモーション後にのみ送信される通知です。これには、プロモートされたコンテンツビューに登録された適用およびインストール可能なエラータのサマリーが含まれます。これにより、どの更新がどのホストに適用されたかを監視できます。
- Puppet エラー状態 : ホストが Puppet に関連するエラーを報告した後に送信される通知です。
- Puppet サマリー : Puppet レポートのサマリーです。
- エラータの同期 : リポジトリーの同期後にのみ送信される通知です。これには、同期で導入された新しいエラータのサマリーが含まれます。