Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Глава 16. Управление идентификацией

Управление идентификацией подразумевает комплексный подход к управлению учетными данными пользователей и их разрешениями с целью повышения безопасности системы и обеспечения контроля доступа.
Red Hat Satellite использует понятие области определения, которое играет важную роль в автоматизации управления жизненным циклом систем. Далее будет рассказано, как настроить автоматическое добавление клиентов Satellite и Capsule в заданную группу узлов.
Red+Hat+Satellite+6Docs+User+GuideСообщить об ошибке

16.1. Настройка управления идентификацией

Прежде всего необходимо подготовить исходный сервер (Satellite или Capsule).
Требования

Ниже перечислены условия, которые должны быть выполнены, прежде чем вы сможете приступить к настройке.

  1. Сервер Satellite должен быть зарегистрирован в сети доставки содержимого, а независимый сервер Capsule должен быть зарегистрирован на Satellite.
  2. Необходимо настроить провайдер домена или область определения.
Далее обсуждается порядок настройки комплекта управления идентификацией на Satellite или Capsule.
  1. Установите пакеты:
    # yum install ipa-client foreman-proxy ipa-admintools
    
  2. Настройте сервер так, чтобы он мог выполнять функции клиента IPA:
    # ipa-client-install
    
  3. Создайте пользователя с именем realm-capsule и настройте роли:
    # foreman-prepare-realm admin realm-capsule
    
    Эта команда подготовит сервер управления идентификацией к работе со смарт-прокси Foreman: создаст пользователя и роль с разрешениями доступа к Foreman, присвоит эту роль пользователю и, наконец, извлечет файл keytab. На этом этапе потребуются сведения о конфигурации сервера управления идентификацией Red Hat.
    Если команда была выполнена успешно, вывод будет выглядеть так:
    Keytab successfully retrieved and stored in: freeipa.keytab
    Realm Proxy User:    realm-capsule
    Realm Proxy Keytab:  /root/freeipa.keytab
    
  4. Переместите файл /root/freeipa.keytab в каталог /etc/foreman-proxy и измените его владельца на пользователя foreman-proxy:
    # mv /root/freeipa.keytab /etc/foreman-proxy
    # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
    
  5. Настройте область определения.
    • Если капсула интегрирована в Satellite, выполните:
      # katello-installer --capsule-realm true \
        --capsule-realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --capsule-realm-principal 'realm-proxy@EXAMPLE.COM' \
        --capsule-realm-provider freeipa
      

      Примечание

      По желанию эти параметры можно определить во время исходной конфигурации Red Hat Satellite.
    • При наличии отдельного сервера Capsule выполните:
      # capsule-installer --realm true \
        --realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --realm-principal 'realm-capsule@EXAMPLE.COM' \
        --realm-provider freeipa
      
  6. Если управление идентификацией настраивается на существующем сервере Satellite или Capsule, надо выполнить несколько действий, чтобы изменения вступили в силу:
    1. Перезапустите foreman-proxy:
      # service foreman-proxy restart
      
    2. Авторизуйтесь на Satellite и выберите ИнфраструктураКапсулы.
    3. Найдите интересующий сервер и из списка действий выберите Обновить функции.
  7. Создайте запись для области определения.
    1. В главном меню выберите ИнфраструктураОбласти определения и нажмите кнопку Добавить.
    2. Заполните вкладки:
      1. Область — имя, тип и прокси.
      2. Участки, на которых будет использоваться новая область.
      3. Организации, в которых будет использоваться новая область.
    3. Нажмите Применить.
После этого Satellite и Capsule смогут управлять узлами, которые будут автоматически регистрироваться в специально созданной группе централизованного управления идентификацией.
Red+Hat+Satellite+6Docs+User+GuideСообщить об ошибке