Red Hat Training

A Red Hat training course is available for Red Hat Satellite

用户指南

红帽网络 Satellite 5.5

Red Hat Network Satellite 使用及管理

版 2

Red Hat Engineering Content Services

摘要

本书论述了 Red Hat Network Satellite 的使用和操作。有关详情请参考《Red Hat Network Satellite 入门指南》

前言

红帽网络提供红帽系统和网络的系统级支持和管理。它汇集了工具、服务和所需信息库,为您最大限度提供红帽系统的可靠性、安全性以及系统性能。要使用红帽网络,系统管理员要在红帽网络中注册其客户端系统的软件和硬件侧写,即系统侧写。当客户端系统请求进行软件包更新时,只能返回可用于该客户端的软件包。
RHN Satellite Server 服务器允许机构在不提供对其服务器或者其它客户端系统公共互联网访问的情况下使用红帽网络。系统侧写本地保存在 Satellite 服务器中。红帽网络 Satellite 网站也是使用本地网页服务器提供服务,且只有能访问它的系统方可连接到 Satellite。所有软件包管理任务,包括勘误更新都是通过 Satellite 服务器执行。
RHN Satellite Server 服务器可为需要绝对控制、隐私维护以及服务器软件包部署的机构提供解决方案。它为红帽网络客户提供极大的灵活性,并保证系统安全和更新。您可在 Satellite 服务器中添加模块以便支持附加功能。本文档提供对运行的 Satellite 服务器非常重要的操作指南。

第 1 章 用户管理

1.1. 添加、停用和删除用户帐户

可使用 RHN Satellite Server 顶部导航条中的「用户」标签管理用户。在这个标签中可授予并编辑用户权限。

过程 1.1. 添加用户

在机构中添加用户:
  1. 「用户」标签中点击「创建新用户」打开「创建用户」。页。
    「创建用户」页面

    图 1.1. 「创建用户」页面

  2. 「所需登录(Desired Login)」字段输入该用户名称。登录名必须至少有五个字符。
  3. 「所需密码(Desired Password)」字段输入该用户的密码。重新输入同一密码确认。
  4. 「姓名(First,Last Name)」字段输入该用户的姓和名,并在可用下拉菜单中选择称谓(比如先生、女士或者夫人)。
  5. 「电子邮件(Email)」字段输入该用户的电子邮件地址。
  6. 「时区(Time Zone)」部分选择正确的时区。
  7. 「界面语言(Interface Language)」部分选择在 RHN Satellite Server 界面中使用的语言。
  8. 点击「创建登录(Create Login)」创建新用户。此时会为该用户发送一封电子邮件(使用在创建过程中指定的地址)通知他们新帐户详情。
  9. 成功创建帐户后,都会将您重新指向「用户列表」页面。如果您要为新用户更改权限和选项,请从列表中选择显示列表中的名称,这样会显示该用户的「用户详情」页面,您可以在适当的标签中导航更改内容。

过程 1.2. 停用用户

管理员可以停用用户帐户,用户也可以停用他们自己的帐户。停用的用户帐户不能登录到 RHN Satellite Server 界面或者调度动作。所有帐户停用前调度的动作都会在动作队列中保留至完成。管理员可重新激活那些停用的用户帐户。
从该帐户中删除管理员角色后就可停用管理员帐户。
要停用用户帐户:
  1. 「用户」标签的列表中点击该用户名称显示「用户详情」页。
  2. 查看该用户是否为 Satellite 管理员。
    如果该用户是 Satellite 管理员,则取消选择该角色旁边的复选框,并点击「提交」按钮。
    如果该用户不是 Satellite 管理员,继续进入下一步。
  3. 点击「停用用户」链接。
    停用用户

    图 1.2. 停用用户

    再次点击它会请您确认这个动作。检查详细内容,然后再次点击「停用用户」确认。
  4. 成功停用帐户后,该用户将不再出现在「激活用户」列表中。点击「用户列表」中的「停用」链接查看停用的用户。
  5. 要重新激活该用户帐户,请查看「停用」列表,检查要重新激活的用户名旁边的选择框,点击「重新激活」按钮即可。

过程 1.3. 删除用户

管理员可删除用户帐户。不能使用删除的帐户登录 RHN Satellite Server 界面或者调度动作。无法重新激活删除的帐户。
只有从该帐户中删除管理员角色后方可删除管理员帐户。

警告

用户删除是不可逆的,执行时一定要小心。可以考虑首先禁用该用户,这样做与从 RHN Satellite Server 构架中删除该用户的效果相同。
要删除用户帐户:
  1. 「用户」标签的列表中点击该用户名称显示「用户详情」页。
  2. 查看该用户是否为 Satellite 管理员。
    如果该用户是 Satellite 管理员,则取消选择该角色旁边的复选框,并点击「提交」按钮。
    如果该用户不是 Satellite 管理员,继续进入下一步。
  3. 点击「删除用户」
    用户删除中......

    图 1.3. 用户删除中......

    此时会请您确认这个动作。检查详细内容,然后再次点击「删除用户」确认。
  4. 成功删除该帐户后,该用户的名称就不会出现在「激活用户」列表中。这一步是不可逆的。

1.2. 用户管理

可使用 RHN Satellite Server 顶部导航条中的「用户」管理用户帐户。要为某个用户更改权限或者设定选项,请在显示的列表中选择其名称以便显示「用户详情」页面,并导航到适当的标签进行更改。更改内容并点击「提交」按钮即可修改帐户详情。

用户角色

用户角色是用来代表用户帐户的职责。每个用户角色都有不同级别的职责和访问。
要为某个用户分配新角色,请选择「用户详情」页面中正确的复选框。更改内容并点击「提交」按钮即可修改角色。
可选择用户角色有
「RHN Satellite 管理员」
Satellite 管理任务的特殊角色,比如创建机构、管理订阅、配置全局 RHN Satellite Server 设定。
不能在「用户详情」页面中分配这个角色。已经拥有 RHN Satellite Server 管理员角色的用户可为其他用户分配这个角色,方法为进入「管理」「用户」
「机构管理员」
执行管理功能,比如在其机构的上下文中管理用户、系统和频道。会自动为机构管理员赋予其他角色管理访问,这些角色使用灰色复选框表示。
「激活码管理员」
执行激活密钥功能,比如在该帐户中生成、修改和删除密钥。
「频道管理员」
提供对机构中所有软件频道及其关联频道的访问。执行一些功能,比如生成频道全局订阅、创建新频道以及在频道中管理软件包。
「配置管理员」
可访问机构中的所有配置频道及其关联频道。在机构中执行频道和文件管理配置功能。
「Monitoring 管理员」
执行探测调度并可查看其它监控构架。这个角色只可用于启用了监控的 RHN Satellite Server。
「系统组群管理员」
这个角色有全部系统和系统组群授权,即可以访问它们。可执行管理功能,比如创建新系统组群、删除所有分配的系统组群、在组群中添加系统以及管理对组群的用户访问。
Satellite 管理员可以删除另一个用户的 Satellite 管理员权利,但不能删除唯一 Satellite 管理员的 Satellite 管理员权利。在任何时候都至少要有一个 Satellite 管理员。Satellite 管理员也可以删除其自身 Satellite 管理员特权,只要他们不是唯一的 Satellite 管理员即可。

第 2 章 自动同步

手动将 RHN Satellite 服务器程序库与红帽网络同步是很困难的。可执行自动同步这样就可以在非高峰时段进行,比如深夜或者凌晨,以便更好地平衡负载并保证更迅速的同步。同步应随机发生以保证最佳性能。自动同步最有效的方法是使用 cron

过程 2.1. 自动同步

  1. 切换成 root 用户,并在文本编辑器中打开 crontab
    crontab -e
    

    注意

    默认情况是使用 vi 打开 crontab。要改变这一行为,请将 EDITOR 变量改为您喜欢使用的文本编辑器名称。
  2. crontab 中,使用前五个字段(分钟、小时、日、月和工作日)调度同步。要创建随机同步时间,请使用以下条目:
    0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null 2>1
    
    crontab 条目会在 01:00 至 03:30 间随机运行同步任务。它会放弃 cronstdoutstderr,这样可防止在 satellite-sync 中出现重复信息。您还可根据需要添加其它选项。
  3. 退出文本编辑器即可保存 crontab。新的 cron 规则会立即生效。

第 3 章 备份和恢复

本章论述了备份、验证以及恢复 Satellite 系统的方法。
您应该每天或者每周执行一次备份,具体情况要根据要保存的数据量以及在系统断电时您能接受的数据损失量而定。
建议您在 RHN Satellite 服务器维护期间进行数据库备份,因为在备份过程中网页和客户端连接将无法使用任何服务。

3.1. 备份

过程 3.1. 备份内嵌的数据库

  1. 使用 stop 命令停止 RHN Satelite 服务器:
    rhn-satellite stop
    
  2. 切换为 Oracle 用户,并使用 db-control 程序创建备份:
    su - oracle
    db-control backup [directory]
    
    使用您要保存数据库备份位置的绝对路径替换 directory。这个过程可能需要几分钟。
  3. 切换回 root 用户并启动 Satellite:
    exit
    rhn-satellite start
    
  4. 切换为 Oracle 用户,并使用 db-controlexamine 选项检查备份时间戳,并确定是否有丢失的文件:
    su - oracle
    db-control examine [directory]
    
    您还可以使用 db-control 命令的 verify 选项执行全面的检查,其中包括检查备份中每个文件的 md5sum:
    db-control verify [directory]
    
    如果验证成功,就可以使用 directory 中的内容恢复数据库。

注意

外部数据库用户也应周期性执行备份。有关支持的备份过程,请咨询您的外部数据库管理员。

备份系统文件

除数据库外,还有很多系统文件和目录也应该备份。下面是应该备份的最基本文件和目录列表:
  • /etc/sysconfig/rhn/
  • /etc/rhn/
  • /etc/sudoers
  • /etc/tnsnames.ora
  • /var/www/html/pub/
  • /var/satellite/redhat/[0-9]*/(这是自定义 RPM 的位置)
  • /root/.gnupg/
  • /root/ssl-build/
  • /etc/dhcpd.conf
  • /etc/httpd/
  • /tftpboot/
  • /var/lib/cobbler/
  • /var/lib/nocpulse/
  • /var/lib/rhn/kickstarts/
  • /var/www/cobbler/
如果可能,还应该备份 /var/satellite/。这是红帽 RPM 库的副本,并可在从失败中恢复时保存大量下载。您可以使用 satellite-sync 工具生成该文件。如果您使用断开连接的 satellite,则必须备份 /var/satellite/ 方可从失败中恢复。
只备份以上列出的文件和目录需要重新安装 RHN Satellite 服务器 ISO RPM,并在 Satellite 中重新注册方可从失败中恢复。另外,需要使用 satellite-sync 工具重新与 Red Hat 软件包同步,并需要安装 /root/ssl-build/rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm 软件包。另外,您还可以在不重新注册的情况下重新安装 RHN Satellite 服务器,取消或者跳过红帽网络注册和 SSL 证书生成部分即可。
最完整的备份方法是备份整台机器。这样可节省下载以及重新安装的时间,但需要额外的磁盘空间以及备份时间。

3.2. 使用备份恢复

可通过红帽网络数据库控制使用备份恢复内嵌的数据库。

过程 3.2. 使用备份恢复内嵌的数据库

  1. 使用 stop 命令停止 RHN Satelite 服务器:
    rhn-satellite stop
    
  2. 切换为 Oracle 用户,并使用 db-control 工具恢复备份:
    su - oracle
    db-control restore [directory]
    
    使用您要保存数据库备份位置的绝对路径替换 directory。这个过程要在恢复数据库前验证备份的内容,可能需要几分钟。
  3. 切换回 root 用户并启动 Satellite:
    exit
    rhn-satellite start
    
  4. 无论您备份的是外部数据库还是内嵌数据库,当您使用备份恢复 Satellite 时,应运行以下命令调度在下次启动 rhn-search 服务时重新生成搜索索引:
    /etc/init.d/rhn-search cleanindex
    

3.3. 自动的备份

备份任务可自动执行,这样就可在非高峰时段执行备份,比如午夜或者凌晨。这样还可确定常规执行备份,且不会忘记。执行自动备份最有效的方法是使用 cron

过程 3.3. 自动的备份

生成包含以下脚本的名为 backup-db.sh 的新文件。这个脚本可停止 satellite,执行数据库备份并重启 satellite:
#!/bin/bash
{
/usr/sbin/rhn-satellite stop
su - oracle -c'
d=db-backup-$(date "+%F");
mkdir -p /tmp/$d;
db-control backup /tmp/$d
';
/usr/sbin/rhn-satellite start
} &> /dev/null
  1. 生成包含以下脚本的名为 move-files.sh 的新文件。这个脚本可使用 rsync 将备份文件移动到保存它的目录中:
    #!/bin/bash
    rsync -avz /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
    
    使用到备份目录的路径替换 [destination]
    另外,以下脚本使用 scp 可得到同样的结果:
    #!/bin/bash
    scp -r /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
    
  2. 切换为 root 用户,并在文本编辑器中打开 crontab
    crontab -e
    

    注意

    默认情况是使用 vi 打开 crontab。要改变这一行为,请将 EDITOR 变量改为您喜欢使用的文本编辑器名称。
  3. crontab 中,使用前五个字段(分钟、小时、日、月和工作日)调度备份脚本运行:
    0 3 * * * backup-db.sh
    0 6 * * * move-files.sh
    
    这个 crontab 条目将在 03:00 运行备份,并在 06:00 传送备份文件。您可根据需要添加其它选项。您还可以添加清除脚本以便删除旧的备份目录,防止填满备份存储。
  4. 退出文本编辑器即可保存 crontab。新的 cron 规则会立即生效。

第 4 章 克隆机器

RHN Satellite 用户可使用 spacewalk-clone-by-date 命令,根据红帽企业版 Linux 系统中的可用日期勘误生成自定义克隆的红帽企业版 Linux 频道。

4.1. 特性

以下是 spacewalk-clone-by-date 的特性:
  • 克隆该频道在某个具体日期时的状态
  • 使用脚本和模板文件自动克隆
  • 从频道中删除或者阻断软件包
  • 在上级和下级频道中解决软件包相依性问题
  • 在具体勘误中执行过滤和动作而忽略其他。例如:只在安全性勘误中执行,忽略 bugfix 和改进。

注意

需要作为 root 用户运行 spacewalk-clone-by-date,且 username 必须为 Organizational Administrator 或者 Channel Administrator。

4.2. 命令行选项

表 4.1. 可用命令行选项

选项 定义
-h, --help 显示帮助文件。
-c CONFIG, --config=CONFIG 允许用户提供指定所有选项的配置文件。在这个配置文件中可指定命令行中运行的所有选项。该配置文件允许用户设定他们要克隆复杂的频道列表,并保存具体命令以备今后使用。
-u USERNAME, --username=USERNAME 指定用来登录 Satellite 的用户名。
-p PASSWORD, --password=PASSWORD 指定该用户名的密码
-s SERVER, --server=SERVER api 连接中使用的服务器 URL。默认为 https://localhost/rpc/api
-l CHANNELS, --channels=CHANNELS 指定要克隆的频道。频道标签必须使用原始克隆对指定。指定克隆对时,请记住将其用空格分开。可使用 --channels 选项指定一个以上的附加频道。
-b BLACKLIST, --blacklist=BLACKLIST 用逗号分开的软件包名称(或者正则表达式)列表以便从克隆的勘误中排除(只考虑添加的软件包)。
-r REMOVELIST, --removelist=REMOVELIST 逗号分开的,要从目的频道中删除的软件包名称(或者正则表达式)列表(所有软件包都可以被删除)。
-d TO_DATE, --to_date=TO_DATE 将勘误克隆到具体日期(YYYY-MM-DD)。可让用户克隆原始软件包以及从生成原始频道到具体 TO_DATE 参数指定日期见发布的所有具体勘误。在指定的 TO_DATE 过程中可获得根据时间获取的频道快照。
-y, --assumeyes 假设对所有提示的回答都是 yes。这是用于没有人机互动的克隆。
-m, --sample-config 打印完整配置文件示例并退出。
-k, --skip_depsolve 跳过所有相依性解决(不推荐)。
-v, --validate 在一组指定的库中运行 repoclosure。
-g, --background 在后端克隆勘误。提示符将更迅速地返回,即总克隆完成前就可返回。
-o, --security_only 只克隆安全勘误(及其相依性)。这个命令可与 --to_date 命令一同使用只克隆之前或者指定日期发布的安全勘误。

4.3. 示例用法

下面的示例克隆 2012 年 1 月 1 日的 rhel-i386-server-5 频道,将其命名为 my-clone-RHEL-5。
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01
下面的示例只克隆 2012 年 1 月 1 日或者之前的安全勘误,忽略其他内核更新或者 vim 扩展软件包。该命令还将在 Satellite 后端运行克隆进程。
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01 --security_only --background --blacklist=kernel,vim-extended --assumeyes

第 5 章 监控

RHN Satellite 服务器包含很多组件,其中很多都可被监控。本章论述了对系统的不同部分执行监控操作的方法。

过程 5.1. 监控表空间

  1. 在 Oracle 数据库中,常规查看表空间是否有足够可用空间是很重要的。切换为 Oracle 用户,并执行 db-control report 命令可达到此目的:
    su - oracle
    db-control report
    Tablespace    Size  Used Avail  Use%
    DATA_TBS      4.8G 3.9G  996M   80%
    SYSTEM        250M 116M  133M   46%
    TOOLS         128M 3M    124M   2%
    UNDO_TBS      1000M 61M  938M   6%
    USERS         128M 64K   127M   0%
    
  2. 如果表空间将要用完时,可使用 db-control extend 命令附带要扩展的表空间名称扩大表空间:
    db-control extend tablespace

过程 5.2. 监控 RHN Satellite 服务器进程

  • 请使用 rhn-satellite status 命令确认 Satellite 进程工作正常:
    rhn-satellite status
    

第 6 章 OpenSCAP

SCAP 是用于企业级 Linux 基础设施的标准化合规检查解决方案。它是一系列由美国国家标准和技术研究院(NIST)维护,用来保证企业级系统安全的规则。
在 RHN Satellite Server 5.5 中,SCAP 由程序 OpenSCAP 实施。OpenSCAP 是一个审核工具,使用可扩展配置清单它格式描述格式(XCCDF)。XCCDF 是描述清单内容和定义安全清单的标准方法。它还可与其他规格合用,比如 CPE、CCE 和 OVAL,创建用 SCAP 表示的清单,并可由 SCAP 认证的产品处理。

6.1. OpenSCAP 功能

OpenSCAP 根据 红帽安全响应团队(SRT)提供的内容验证出现的补丁,检查系统安全配置设定并根据标准/规格中的的规则检查系统危险迹象。昂
要有效使用 OpenSCAP 有两个要求:
  • 确认系统的工具是标准工具
    RHN Satellite Server 有整合的 OpenSCAP 作为版本 5.5 的审核功能。您可用它通过网页界面调度并查看系统合规扫描。
  • SCAP 内容
    如果您了解 XCCDF 或者 OVAL,则可从头开始创建 SCAP 内容。另外还有其他选项。XCCDF 内容会经常以开源许可证方式在网上发布,同时您可以自定义这个内容以满足您的需要。

    注意

    红帽支持使用这个模板评估您的系统。但不支持使用这些模板编写的自定义内容。
    这些组的一些示例如下:
    • RHEL5 桌面的美国政府配置基准(USGCB) — NIST 与红帽公司及美国国防部(DoD)合作使用 OVAL 开发出政府部门使用桌面的官方 SCAP 内容。
    • 社区提供的内容
      • RHEL6 SCAP 安全指南 — 使用根据 USGCB 要求和广泛接受的策略激活社区使用内容,并包含桌面、服务器以及 ftp 服务器侧写。
      • RHEL6 的 OpenSCAP 内容 — 红帽企业版 Linux 6 自选频道中的 openscap-content 软件包还使用模板为红帽企业版 Linux 6 提供默认内容向导。
因为 SCAP 是用来维护系统安全,用来不断修改满足社区和企业业务需要的标准。新的规格是由 NIST 的 SCAP 发行周期管理,以便提供修订流程的统一性和可重复性。

6.2. RHN Satellite 中的 OpenSCAP

6.2.1. 前提条件

软件包要求

SCAP 需要这些软件包:

  • 服务器:RHN Satellite 5.5
  • 客户端:spacewalk-oscap 软件包(可在 RHN 工具子频道中找到)
授权要求

调度的扫描需要管理授权。

其他要求

客户端:向客户端机器发布 XCCDF 内容

您可使用以下方法向客户端机器中发布 XCCDF 内容:
  • 传统方法(CD、USB、nfs、scp、ftp)
  • Satellite 脚本
  • RPM
    推荐使用自定义 RPM 将 SCAP 内容发布到其他机器中。可签署或者确认 RPM 软件包以确定其完整性。可使用用户界面安装、删除并确认 RPM 软件包。

6.2.2. 执行审核扫描

RHN Satellite Server 中整合的 OpenSCAP 可在客户端系统中执行审核扫描。本小节讨论了两种可用的方法。

过程 6.1. 使用网页界面扫描

通过 Satellite 网页界面执行扫描:
  1. 登录 Satellite 网页界面。
  2. 点击「系统」「目标系统」.
  3. 点击「审核」「调度」
  4. 填写 调度新 XCCDF 扫描 表格:
    • 命令行参数:可在此字段添加 oscap 工具的附加参数。这里有两个可使用的命令行参数。它们是:
      --profile PROFILE — 从 XCCDF 文档中选择具体侧写。XCCDF xml 文件可确定侧写,并可使用 Profile id 标签检查。例如:
      Profile id="RHEL6-Default"
      

      注意

      OpenSCAP 的某些版本需要 --profile 命令行参数,否则扫描将失败。
      --skip-valid — 不确认输入/输出文件。使用非正规格式 XCCDF 内容的用户可以选择使用这个参数绕过文件验证过程。
      如果命令行参数通过,则会使用默认侧写。
    • 到 XCCDF 文档的路径:这是必填项。path 参数指向客户端系统中该内容位置。例如:/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      警告

      在远程系统中运行 xccdf 内容前要对其进行验证。指定无效参数可导致 spacewalk-oscap 无法验证或者运行。出于安全考虑,‘osccap xccdf eval’ 命令只接受有限的参数。
  5. 运行 rhn_check 保证客户端系统选择了这个动作。
    rhn_check -vv
    

    注意

    另外,如果客户端系统中运行 rhnsd 或者 osad 命令,则这些服务会提取这个动作。要检查它们是否正在运行:
    service rhnsd start
    
    或者
    service osad start
    
要查看扫描结果,请参考 第 6.2.3 节 “如何查看 SCAP 结果”
使用 Web UI 调度扫描

图 6.1. 使用 Web UI 调度扫描

过程 6.2. 使用 API 扫描

使用 API 执行审核扫描:
  1. 可使用前台 API system.scap.scheduleXccdfScan 选择现有脚本或者创建调度系统扫描的脚本。
    脚本示例:
    #!/usr/bin/python
    client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
    key = client.auth.login('username', 'password')
    client.system.scap.scheduleXccdfScan(key, 1000010001,
        '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
        '--profile united_states_government_configuration_baseline')
    
    其中:
    • 1000010001 是 system ID (sid)
    • 内容在 /usr/local/share/scap 目录中。
    • --profile united_states_government_configuration_baseline 代表 oscap 工具中的附加参数。在这个示例中使用 USCFGB。
  2. 在任意系统的命令行界面中运行脚本。该系统需要安装正确的 python 和库。
  3. 运行 rhn_check 保证客户端系统选择了这个动作。
    rhn_check -vv
    

    注意

    另外,如果客户端系统中运行 rhnsd 或者 osad 命令,则这些服务会提取这个动作。要检查它们是否正在运行:
    service rhnsd start
    
    或者
    service osad start
    

6.2.3. 如何查看 SCAP 结果

查看完成的扫描结果有三种方法:
  • 使用网页界面。执行该动作后,会在系统「审核」标签中显示结果。详情请参考 第 6.2.4 节 “OpenSCAP Satellite 页面”
  • 使用句柄 system.scap 的 API 功能:
  • 运行以下命令使用 Satellite 的 spacewalk-reports 工具:
        # /usr/bin/spacewalk-reports system-history-scap
        # /usr/bin/spacewalk-reports scap-scan
        # /usr/bin/spacewalk-reports scap-scan-results
    

6.2.4. OpenSCAP Satellite 页面

下面的小节讨论了包含 OpenSCAP 的 RHN Satellite Web UI 中的标签。

6.2.4.1. 「审核」

导航栏顶部的「审核」是 RHN Satellite Server 5.5 中使用 OpenSCAP 功能的页面。点击这个标签就可以查看完成的 OpenSCAP 扫描、搜索,并进行比较。
「审核」「所有扫描」
「所有扫描」 是选择 「审核」 标签后默认出现的页面。在这个页面中显示所有完成的 OpenSCAP 扫描,这些扫描是用户有查看权限的扫描。扫描权限与系统权限相同。
审核 ⇒ 所有扫描

图 6.2. 审核 ⇒ 所有扫描

在每个扫描中都会显示以下信息:
系统
扫描的目标系统
XCCDF 侧写
评估的侧写
完成
完成时间
满足
满足/通过的规则数。如果评估结果是 Pass 或者 Fixed,则视其为满足。
不满足
不满足/失败的规则数。如果评估结果是 Fail,则视其为不满足。
未知
无法评估的规则数。如果评估结果为 Error、Unknown 或者 Not Checked,则视其为未知。
XCCDF 规则评估也可能会返回类似「Informational」「Not Applicable」或者「Not Selected」等状态。如果出现这种情况,给出的规则就不会包含在本页的统计信息中。详情请查看「系统详情」「审核」
「审核」「XCCDF Diff」
XCCDF Diff 是对比两个 XCCDF 扫描结果的视频程序。它显示两个扫描的元数据以及结果列表。
审核 ⇒ XCCDF Diff

图 6.3. 审核 ⇒ XCCDF Diff

您可以直接访问类似扫描的 diff,方法是点击 「列出扫描」页,或者您也可以通过指定其 id,使用 diff 对比随机扫描。
只在进行对比的扫描中的一个中显示的项目被视为“验证中”。验证中的项目总是被突出为米黄色。有三个可能的对比形式:「全面对比」,即显示所有扫描项目;「只对比更改的项目」,即显示有变动的项目;和「只对比不变的项目」,即显示没有更改或者类似的项目。
「审核」「高级搜索」
搜索页面允许您根据具体标准搜索您的扫描,其中包括:
  • 规则结果
  • 目标机器
  • 扫描时间范围
搜索返回结果列表或者结果中的扫描列表。

6.2.4.2. 「系统」「系统详情」「审核」

这个标签及其子标签可让您调度和查看系统的合规扫描。扫描由 SCAP 工具执行,该工具是 NIST 的标准 SCAP(安全内容自动化协议)实施。要扫描该系统,请确定准备好 SCAP 内容,并满足 第 6.2.1 节 “前提条件” 中列出的条件。
「系统」「系统详情」「审核」「列出扫描」
系统 ⇒ 系统详情 ⇒ 审核 ⇒ 列出扫描扫描结果

图 6.5. 系统 ⇒ 系统详情 ⇒ 审核 ⇒ 列出扫描扫描结果

这个子目录列出系统中完成的所有扫描小结。该栏目类似如下:

表 6.1. OpenSCAP 扫描标签

栏目标签 定义
XCCDF 测试结果 扫描的测试结果名称,它可提供该扫描详细结果的链接。
完成 扫描完成的具体时间
合规 根据使用的标准得到的合规非加权 pass/fail 比例
P 通过的检查数
F 失败的检查数
E 扫描中出现的错误
U 未知
N 无法在该机器中应用
K 未检查
S 未选择
I 信息
X 已修复
总计 检查总数
每一行前面的图标表示与上衣个类似扫描的对比结果。这些图标显示新的扫描可以是:
  • "已检查 RHN 列表" 图标 — 与上一个扫描相比没有不同
  • "RHN 列表警告" 图标 — 肯定有不同
  • "RHN 列表错误" 图标 — 有很大不同,可能是比上一个扫描失败的项目多,或者通过的项目少
  • "RHN 列表记录" 图标 — 没有找到可进行对比的扫描,因此无法进行对比。
「系统」「系统详情」「审核」「扫描详情」
本页包含单次扫描的结果。可将其分为两部分:
  • XCCDF 扫描详情
    扫描详情为您提供:
    • 文件路径的常规信息
    • 使用的命令行参数
    • 调度此扫描的人
    • 基准识别符和版本是什么
    • 侧写识别符
    • 侧写标题
    • 开始和完成时间
    • 所有错误输出结果。
  • XCCDF 规则结果
    规则结果为您提供 XCCDF 规则识别符完整列表,用它们可识别每个规则结果的标签和结果。可根据具体结果过滤这个列表。
「系统」「系统详情」「审核」「调度」
您可以使用这个子标签调度新扫描。除提供系统中要扫描的 XCCDF 文档路径外还可提供附加命令行参数。根据 "Schedule no sooner than" 参数,该扫描将在系统下次调度登录 Satellite 服务器时执行。有关如何使用 Satellite 网页界面进行调度的详情请参考本章中 过程 6.1, “使用网页界面扫描” 一节。

第 7 章 PAM 验证

RHN Satellite Server 支持使用可插拔验证模块(PAM)通过网络验证系统。PAM 是一个程序库组件,可帮助系统管理员使用集中验证机制整合 RHN Satellite Server,因此就不需要记住多个密码。
RHN Satellite Server 可将 LDAP、Kerberos、目录服务器以及其它基于网络的验证系统与 PAM 一同使用。本章论述了将 PAM 设定为与您机构的验证设施一同工作的方法。

过程 7.1. 设置 PAM 验证

  1. 确保您使用 selinux-policy-targeted 软件包的最新版本:
    # yum update selinux-policy-targeted
    
  2. allow_httpd_mod_auth_pam SELinux 布尔值设定为 on:
    # setsebool -P allow_httpd_mod_auth_pam 1
    
  3. 使用您喜欢的文本编辑器打开 /etc/rhn/rhn.conf 文件,并添加以下行。这样可在 /etc/pam.d/rhn-satellite 中生成 PAM 文件:
    pam_auth_service = rhn-satellite
    
  4. 要设置验证,请使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加适当的规则。有关配置 PAM 的详情,请参考《红帽企业版 Linux 部署指南》《可插拔验证模块(PAM)》一章。

注意

在 RHN Satellite Server 中使用 PAM 验证前确认其可正常工作。

例 7.1. 在红帽企业版 Linux 5 i386 系统中将 PAM 与 Kerberos 一同使用

这个示例在红帽企业版 Linux 5 i386 系统中使用 Kerberos 验证启用 PAM。
使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加以下行:
#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check
对于使用 Kerberos 认证的用户,可使用 kpasswd 更改密码。不要在 RHN 网站中更改密码,因为这个方法只适用于在 Satellite 服务器中更改本地密码。如果为该用户启用 PAM,则不会使用本地密码。

例 7.2. 将 PAM 与 LDAP 合用

这个示例使用 LDAP 验证启用 PAM。
使用您喜欢的文本编辑器打开 /etc/pam.d/rhn-satellite 服务文件,并添加以下行:
#%PAM-1.0
auth	        required      pam_env.so
auth        	sufficient    pam_ldap.so no_user_check
auth       		required      pam_deny.so
account     	required      pam_ldap.so no_user_check

第 8 章 RPM

作为自动安装的一部分,管理员会经常部署那些不是由红帽提供的自定义应用程序,比如备份和监控软件。要做到这一点,这个软件必须以 RPM 格式打包。在运行红帽企业版 Linux 的系统中可设置 RPM 构建环境。应该注意的是构建环境必须包含与目标系统所使用的软件包的同一版本。就是说为基于红帽企业版 Linux 5 系统构建 RPM 必须使用红帽企业版 Linux 5 系统,构建红帽企业版 Linux 6 RPM 必须使用红帽企业版 Linux 6 系统。
必须在构建系统中安装 rpm-build 软件包。您可能还需要其他软件包,比如编译程序和库文件。
应使用 GPG 密钥签注可用于产品的 RPM 软件包,这样可让用户确认软件包的来源及其完整性。只有信托管理员组才知道用于签注 RPM 的 GPG 密钥密码短语。

过程 8.1. 生成 GPG 密钥

重要

下面的命令可生成 GPG 密钥并将其以适合客户端系统的格式导出。创建的密钥应保存在安全的地方并进行备份。
  1. 为生成该密钥创建目录:
    mkdir -p ~/.gnupg
    
  2. 生成密钥对:
    gpg --gen-key
    
    您需要选择密钥类型、大小以及该密钥的有效期限(按 enter 使用默认值)。您还需要指定名称、注释和电子邮件地址:
    Real name: rpmbuild
    Email address: rpmbuild@example.com
    Comment: this is a comment
    You selected this USER-ID:
        "rpmbuild (this is a comment) <rpmbuild@example.com>"
    
    Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?
    
    O 接受详情并继续。
  3. 列出所有密钥及其指纹:
    gpg --list-keys --fingerprint
    
  4. 导出该密钥:
    gpg --export --armor "rpmbuild <rpmbuild@example.com>" > EXAMPLE-RPM-GPG-KEY
    
  5. 以 root 在所有目标系统中运行 gpg --import 即可将这个密钥导入到 RPM 数据库,确认其来源和完整性:
    rpm --import EXAMPLE-RPM-GPG-KEY
    
    这会在客户端安装的过程中自动出现,且应不需要手动运行。
  6. 生成 RPM 后,可使用 GPG 密钥签注并上传到正确的频道中:
    rpm --resign package.rpm
    rhnpush --server=http[s]://satellite.server/APP package.rpm --channel=custom-channel-name
  7. 要确认 RPM 软件包,请导航至包含该软件包的目录并运行以下命令:
    rpm –qip package.rpm
    rpm -K package.rpm

过程 8.2. 构建 RPM

  1. 为构建软件包生成名为 rpmbuild 的非特权帐户。这可让几个管理员共享构建环境和 GPG 密钥。
  2. rpmbuild 用户的主目录 /home/rpmbuild 中,创建名为 .rpmmacros 的文件:
    touch /home/rpmbuild/.rpmmacros
    
  3. 使用您喜欢的文本编辑器打开 .rpmmacros 并添加以下行。_gpg_name 必须与签注 RPM 的 GPG 密钥名称匹配:
    %_topdir            %(echo $HOME)/rpmbuild
    %_signature         %gpg
    %_gpg_name          rpmbuild <rpmbuild@example.com>
    
    定义的顶级目录的目录列表(上面的示例中为 /home/rpmbuild/rpmbuild)必须与在 /usr/src/redhat 中出现的目录有同样的目录布局。

例 8.1. RPM 说明文件

下面是 RPM 说明文件的基本示例。在构建时,它应位于 _topdir 下的 SPECS 目录中,并在用户的 .rpmmacros 文件中定义,同时对应的源和路径文件应位于 SOURCES 目录中。
  Name: foo
  Summary: The foo package does foo
  Version: 1.0
  Release: 1
  License: GPL
  Group: Applications/Internet
  URL: http://www.example.org/
  Source0 : foo-1.0.tar.gz
  Buildroot: %{_tmppath}/%{name}-%{version}-%{release}-root
  Requires: pam
  BuildPrereq: coreutils
  %description
  This package performs the foo operation.
  %prep
  %setup -q
  %build
  %install
  mkdir -p %{buildroot}/%{_datadir}/%{name}
  cp -p foo.spec %{buildroot}/%{_datadir}/%{name}
  %clean
  rm -fr %{buildroot}
  %pre
  # Add user/group here if needed
  %post
  /sbin/chkconfig --add food
  %preun
  if [ $1 = 0 ]; then # package is being erased, not upgraded
      /sbin/service food stop > /dev/null 2>&1
      /sbin/chkconfig --del food
  fi
  %postun
  if [ $1 = 0 ]; then # package is being erased
      # Any needed actions here on uninstalls
  else
      # Upgrade
      /sbin/service food condrestart > /dev/null 2>&1
  fi
  %files
  %defattr(-,root,root)
  %{_datadir}/%{name}
  %changelog
  * Mon Jun 16 2003 Some One <one@example.com>
  - fixed the broken frobber (#86434)

第 9 章 引导设备

自动安装(或者 kickstart)是有效系统供应的重要组成部分。本章论述了如何为 kickstart 客户端准备不同类型的引导介质。
有关使用 kickstart 供应的详情请参考《RHN Satellite 服务器入门指南》
要创建引导设备,红帽企业版 Linux CD 引导映像 boot.iso 是必要条件。请确定系统中有这个映像,并记录其位置。

过程 9.1. CD 引导介质

注意

以下使用的反斜杠 "\" 表示在 shell 提示符后连续的一行。
  1. 为引导映像生成工作目录:
    mkdir -p temp cd/isolinux
    
  2. 将该引导映像挂载到 boot.iso 目录:
    mount -o loop boot.iso temp
    
  3. 为 CD 引导介质设备将所需文件复制到上一步生成的目录中:
    cp -aP temp/isolinux/* cd/isolinux/
    
  4. 卸载 temp 目录并将 cd 目录权限改为用户可读取、写入:
    umount temp
    chmod -R u+rw cd
    
  5. 进入 ./cd 目录:
    cd ./cd
    
  6. /usr/lib/syslinux/menu.c32 文件复制到 CD 中:
    cp -p /usr/lib/syslinux/menu.c32 isolinux
    
  7. 使用您喜欢的文本编辑器打开 isolinux/isolinux.cfg 文件,并添加以下行:
    mkisofs -o ./custom-boot.iso -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot \
      -boot-load-size 4 -boot-info-table -J -l -r -T -v -V "Custom RHEL Boot" .
    
  8. isolinux.cfg 文件中自定义 CD 引导所需的引导参数和对象。
  9. 将详细内容刻录到 CD 中完成此流程。

过程 9.2. PXE 引导

  1. 为引导映像生成工作目录:
    mkdir -p temp pxe/pxelinux.cfg
    
  2. 将该引导映像挂载到 boot.iso 目录:
    mount -o loop boot.iso temp
    
  3. 为 PXE 引导设备将所需文件复制到上一步生成的目录中:
    cp -aP temp/isolinux/* pxe/
    
  4. 卸载 temp 目录并将 cd 目录权限改为用户可读取、写入:
    umount temp
    chmod -R u+rw pxe
    
  5. 进入 /pxe 目录:
    cd ./pxe
    
  6. /usr/lib/syslinux/menu.c32 文件复制到 /pxe 目录中:
    cp -p /usr/lib/syslinux/menu.c32 .
    
  7. isolinux.cfg 文件移动到 pxelinux.cfg/default 中:
    mv isolinux.cfg pxelinux.cfg/default
    
  8. 删除临时文件:
    rm -f isolinux.bin TRANS.TBL
    
  9. /usr/lib/syslinux/pxelinux.0 文件复制到 /pxe 目录中:
    cp -p /usr/lib/syslinux/pxelinux.0 .
    
  10. 使用您喜欢的文本编辑器打开 pxelinux.cfg/default 文件,并为 PXE 引导自定义所有引导参数和对象。

过程 9.3. USB 引导介质

警告

作为 root 用户执行这些命令时要格外小心(大多数关键部分需要成为 root 用户)。这些命令可访问设备文件,如果使用不当会对您的系统造成无法挽回的损害。以下示例使用 /dev/loop0 挂载,请确定为您的系统使用正确的设备。您可以使用 losetup -f 命令结果查看哪个是正确的设备。
  1. 为引导映像生成工作目录:
    mkdir -p temp usb/extlinux
    
  2. 将该引导映像挂载到 boot.iso 目录:
    mount -o loop boot.iso temp
    
  3. 为 USB 介质引导设备将所需文件复制到上一步生成的目录中:
    cp -aP temp/isolinux/* usb/extlinux/
    
  4. 卸载 temp 目录并将 cd 目录权限改为用户可读取、写入:
    umount temp
    chmod -R u+rw usb
    
  5. 进入 /usb 目录:
    cd ./usb
    
  6. /usr/lib/syslinux/menu.c32 文件复制到 extlinux/ 目录中:
    cp -p /usr/lib/syslinux/menu.c32 extlinux/
    
  7. extlinux/isolinux.cfg 文件移动到 extlinux/extlinux.conf
    mv extlinux/isolinux.cfg extlinux/extlinux.conf
    
  8. 删除临时文件:
    rm -f extlinux/isolinux.bin extlinux/TRANS.TBL
    
  9. 转换 custom-boot.img 文件并复制:
    dd if=/dev/zero of=./custom-boot.img bs=1024 count=30000
    
  10. 为这个回路设备找出正确的挂载点:
    losetup -f
    /dev/loop0
    
    使用引导映像设定回路设备:
    losetup /dev/loop0 ./custom-boot.img
    
  11. 打开 fdisk 程序:
    fdisk /dev/loop0
    
    在该设备中创建主引导分区。您可使用以下按键组合完成此步骤:n p 1 Enter Enter a 1 p w
  12. 将主引导记录(MBR)复制到回路设备中:
    dd if=/usr/lib/syslinux/mbr.bin of=/dev/loop0
    
  13. 在回路设备中添加分区映射:
    kpartx -av /dev/loop0
    
  14. 创建该文件系统:
    mkfs.ext2 -m 0 -L "Custom RHEL Boot" /dev/mapper/loop0p1
    
  15. 挂载该设备:
    mount /dev/mapper/loop0p1 temp
    
  16. 删除临时文件:
    rm -rf temp/lost+found
    
  17. extlinux/ 目录复制到临时位置:
    cp -a extlinux/* temp/
    
  18. 在临时位置安装引导装载程序:
    extlinux temp
    
  19. 卸载临时位置:
    umount temp
    
  20. 在回路设备中删除分区映射:
    kpartx -dv /dev/loop0
    
  21. 删除该回路:
    losetup -d /dev/loop0
    
    同步该文件系统更改:
    sync
    
  22. 使用您喜欢的文本编辑器打开 extlinux.conf 文件,并为 USB 引导自定义所有引导参数和对象。
  23. 将该映像传送到 USB 设备中以完成此流程。插入该设备,并运行 dmesg 命令检查挂载位置。在这个示例中它是 /dev/sdb
    卸载 USB 设备:
    umount /dev/sdb
    
    将该映像复制到 USB 设备中:
    dd if=./custom-boot.img of=/dev/sdb
    

第 10 章 机构

管理员可使用 RHN Satellite 将其部署有组织地分配到容器中。这些容器(或者机构)可帮助将系统目的和拥有者明确分开并将内容部署到那些系统中。
RHN Satellite 支持在一个安装中创建并管理多个机构,允许在不同机构间划分系统、内容和订阅。本章总结了多机构创建和管理的基本设置和概念。
「机构」网页可让管理员浏览、创建并管理多个 Satellite 机构。Satellite 管理员可在各种机构间分配软件和系统授权,并可控制某个机构对系统管理任务的访问。
Satellite 管理员可创建新机构并为那些机构分配管理员以及分配授权。机构管理员可为其机构分配组群、系统和用户。这种划分可让机构在不影响其他机构的情况下在其机构内执行管理任务。
管理

图 10.1. 管理

「机构」页面包含 Satellite 中的机构列表以及为每个机构分配的用户和系统计数。「机构」页面还为每个建立的机构托管设有「托管」标签。

10.1. 创建机构

过程 10.1. 创建机构

  1. 要创建机构,请打开「管理」菜单,并选择「机构」 => 「创建新机构」
    创建新机构

    图 10.2. 创建新机构

  2. 在正确的文本框中输入机构名称。名称长度应该在 3-128 个字符之间。
  3. 提供以下信息为机构生成管理员:
    • 为机构管理员输入「所需登录」,该登录名称长度应该在 3-128 个字符之间。请考虑为机构管理员帐户使用描述性登录名以便与该结构中的管理登录名称匹配。
    • 创建「所需密码」「确认」该密码。
    • 为机构管理员输入「电子邮件」地址。
    • 输入机构管理员的「名」「姓」
  4. 点击「创建机构」按钮完成该过程。
新机构创建后会显示列出新机构的「机构」页面。
Satellite 管理员应考虑为他们自己保留 organization 1 机构管理员帐户。这可让他们在需要时可登录到该机构中。

重要

如果将 RHN Satellite 配置为 PAM 验证,则请在新机构中避免使用 PAM 帐户作为 Satellite 管理机构管理员帐户。相反,您应该创建一个 Satellite 本地帐户进行机构管理,并保留 PAM 验证的帐户作为 Satellite 登录,该帐户有较少的特权,这样可防止用户经常使用特权帐户登录 Satellite,因为使用这些帐户犯错的潜在威胁要高。

10.2. 管理授权

创建新机构后的一个重要任务就是为这个新机构分配管理授权。每个系统都将需要系统授权,比如管理和指配。使用频道而不是自定义频道的系统还将需要频道授权,比如 rhel-server 或者 rhn-tools。管理系统授权是机构可在 Satellite 中正常工作的基本要求。为机构分配的管理授权数与要在 RHN Satellite 中注册到该机构的系统最大值相等,这里不考虑可用的软件授权。例如:如果有 100 个红帽企业版 Linux 客户端授权,但该机构只有 50 个管理授权,那么在该机构中就只能注册 50 个系统。
还将需要为每个机构赋予红帽网络工具软件频道授权。红帽网络工具频道包含各种用来扩展 RHN Satellite Server 功能的客户端软件,比如需要配置管理和 kickstart 支持的客户端以及 rhn-virtualization 软件包,后者可保证正确计数 Xen 和 KVM 虚拟机授权。
要访问「订阅」界面,请打开「管理」菜单,选择「机构」。从列表中选择一个机构并选择「订阅」标签。
「订阅」界面中打开「软件频道授权」标签查看所有机构的所有授权及其用量。
「软件频道授权」标签中,「机构」标签可让 Satelllite 管理员调整每个机构可使用的软件频道数量。输入数值(在「可能的值」列出的范围内)并点击「更新机构」按钮。
频道授权可以是常规,也可以是弹性(Flex)。所有系统都可使用常规授权。只有成为支持的虚拟化类型虚拟机系统方可使用 Flex 授权。

注意

创建自定义频道的机构管理员创建只能使用其机构内部的频道,除非在想要共享频道的机构间建立机构托管。有关机构托管的详情请参考 第 10.5 节 “机构信托”
「机构」标签还包含「订阅」+「系统授权」,具体内容如下:
  • 「总计」:Satellite 中频道授权总数。
  • 「可用」:目前可以分配的授权数。
  • 「用量」:目前所有机构已经使用的授权数,与分配的授权总数对比。
例如:如果「总数」栏中为 100,「可用」栏中为 70,就是说已经为该机构分配了 30 个授权。「用量」栏显示基本机构以外的机构使用了多少那 30 个分配的授权。因此,如果「用量」栏为 24 of 30 (80%),就是说在 Satellite 机构(organization 1 之外的机构)中使用了 30 个总分配权利中的 24 个频道授权。
「订阅」界面中选择「软件频道授权」标签查看所有机构的所有授权及其用量。点击某个机构显示「详情」页面,该页面可提供有关该机构的进一步信息。
  • 「活跃用户」:机构中的用户数
  • 「系统」:该机构订阅的系统数
  • 「系统组群」:该机构订阅的组群数
  • 「激活码」:该机构可使用的激活码数
  • 「Kickstart 侧写」:该机构可使用的 kickstart 侧写数
  • 「配置频道」:该机构可使用的配置频道数
从这页开始,您可以点击「删除机构」链接删除机构。

10.3. 在机构中配置系统

创建机构并为其分配授权后就可以分配系统。
为具体机构注册系统有两种方法:
使用用户名和密码注册
如果您提供用户名和密码注册注册指定的机构,则会在那个机构中注册该系统。例如:如果 user-123 是 Satellite 中的「中央 IT」机构,那么在任意系统中执行以下命令就可在您的 Satellite 的「中央 IT」机构中注册该系统:
rhnreg_ks --username=user-123 --password=foobar

注意

rhnreg_ks 中的 --orgid 与 Satellite 注册或者 RHN Satellite 的多机构支持没有关系
使用激活码注册
您还可以使用该机构的激活码在机构中注册系统。激活码会在生成该激活码的机构中注册系统。如果您想要让用户在机构中注册系统而无须提供该机构的登录访问,那么激活码是个好方法:
rhnreg_ks --activationkey=21-myactivationkey
要在机构间移动系统,还可使用该激活码的脚本自动进行移动。

注意

激活码的最开始几个字符是用来说明拥有该密钥的机构 ID。

10.4. 机构的用户

「用户」页包含 Satellite 中所有机构中所有用户的列表。
「用户」页面中列出为机构分配的用户,包括其真实姓名、电子邮件地址以及说明该用户是机构管理员的检查标记。
如果您是机构管理员,您可以点击用户名显示该用户的「用户详情」

注意

您必须作为机构管理员登录方可编辑机构的用户详情。Satellite 管理员角色不允许您编辑机构用户的用户详情,它只能让您为该 satellite 中其他用户分配 Satellite 管理员角色。

10.5. 机构信托

机构可与其它机构通过建立机构信托关系共享他们的资源。机构信托是由 Satellite 管理员定义并有机构管理员实施。当在两个或者更多机构间成立信托后,每个机构的机构管理员都可根据其需要自由共享其资源。共享的资源以及在信托关系中使用其他机构的什么资源都由机构管理员决定。
每个独立关系与其他信托关系之间都是唯一且双向的。例如:如果 Accounting 机构信托将 Finance 机构列为信托,那么 Finance 机构也会将 Accounting 机构列为信托,而 Accounting 机构不会将 Facilities 机构列为信托除非在 Accounting 和 Facilities 机构间规定独立的信托关系。
机构信托

图 10.3. 机构信托

过程 10.2. 建立机构托管

Satellite 管理员可在两个或者多个机构间创建信托。要这样做请执行以下步骤:
  1. 点击「管理」主页菜单中的「机构」链接。
  2. 点击机构名称之一并在「详情」页中点击「信托」标签。
  3. 「信托」标签中有 RHN Satellite 中所有其他信托的列表。在这里您可以使用「根据机构过滤」文本框将机构列表缩短。
  4. 选择您要与当前机构建立机构信托的机构名称旁边的复选框。
  5. 点击「修改信托」按钮创建该信托。
建立机构信托后,机构就可与该信托中的其它机构共享自定义软件频道。每个频道有三个频道共享级别可用来微调频道访问控制:
专用
使频道成为专用频道,这样除拥有它的机构外任何机构都不能访问该频道。
保护的
允许您选择的具体信托机构访问该频道。
公共
允许信托内的所有机构访问自定义频道。
可使用保护或者公共模式为信托的机构赋予访问自定义内容的权限,以便允许其客户端系统使用共享频道安装和更新软件包。当出现以下任意事件时会丢失订阅访问:
  • Satellite 管理员删除该信托关系
  • 该机构管理员将频道访问改为专用
  • 该机构管理员将频道访问改为专用,且在保护的列表中不包含订阅的系统的机构。
  • 该机构管理员直接删除共享频道
  • 该机构管理员删除共享子频道的上一级频道

注意

所有红帽软件频道都是通过授权进行管理。机构管理员不能共享红帽频道是因为他们对所有拥有那些频道授权的机构都可用。Satellite 管理员负责为每个机构分配红帽软件频道权利。

过程 10.3. 迁移系统

除共享软件频道外,信托中的机构还可以使用程序 migrate-system-profile 将系统迁移到其它信托的机构,该程序是在命令行中使用 systemIDorgID 作为参数指定要迁移的系统及其目的地机构。Satellite 管理员可将系统从一个信托机构迁移到信托中的其它任意机构中。但是机构管理员只能将系统从其自身机构迁移到信托的另一个机构中。
migrate-system-profile 命令需要安装 spacewalk-utils 软件包,该软件包一般由 RHN Satellite 默认安装。当使用 migrate-system-profile 命令迁移系统时,该系统不会保留任何之前的源机构权利或者频道订阅。但系统历史记录是保留的,且新的机构管理员可访问这些记录以便简化剩余的迁移过程,其中包括订阅到基本频道和赋予授权。
  1. 使用以下格式执行该命令:
    migrate-system-profile --satellite SATELLITE HOSTNAME OR IP --systemId=SYSTEM ID --to-org-id=DESTINATION ORGANIZATION ID
    例如:如果财务部(在 RHN Satellite Server 中使用 OrgID 2 作为机构创建)想要从工程部迁移工作站(SystemID 10001020),但财务部机构管理员没有对 RHN Satellite 服务器的 shell 访问。RHN Satellite 主机名为 satserver.example.com。财务部机构管理员可在 shell 提示符后输入以下命令:
    migrate-system-profile --satellite satserver.example.com --systemId=10001020 --to-org-id=2
    
    该程序会提示您输入用户名和密码。
  2. 登录到 RHN Satellite 网页界面后即可在「系统」页中看到该系统。通过为该客户端分配基本频道并为该客户端授权完成迁移过程,其它注册到他的机构的系统可在系统「历史记录」页中的「事件」标签中看到。
    系统历史记录

    图 10.4. 系统历史记录

  3. 需要一次迁移几个系统的 Satellite 管理员可使用 migrate-system-profile--csv 选项自动完成此过程,用逗号分开要迁移的系统。
    CSV 文件中的行应使用以下格式标记迁移的系统的 ID 和目的地机构的 ID:
    systemId,to-org-id
    
    例如:systemId 可为 1000010000,而 to-org-id 可以是 3。以下为示例 CSV 文件:
    1000010000,3
    1000010020,1
    1000010010,4
    

附录 A. 修订记录

修订历史
修订 3-5.2.4002013-10-31Rüdiger Landmann
Rebuild with publican 4.0.0
修订 3-5.2Sun Nov 4 2012Leah Liu
完成翻译、校对
修订 3-5.1Sun Nov 4 2012Terry Chuang
Translation files synchronised with XML sources 3-5
修订 3-5Wed Sept 19 2012Dan Macpherson
为版本 5.5 最后打包。
修订 3-4Fri Aug 31 2012Athene Chan
BZ#839798 小版本编辑
修订 3-3Fri Aug 24 2012Athene Chan
BZ#839798 将 4.3 示例改为标准格式
修订 3-3Fri Aug 24 2012Athene Chan
BZ#839798 将 4.3 示例改为标准格式
修订 3-2Fri Aug 24 2012Athene Chan
BZ#826501 应用 QA-审核后的更改。
BZ#884313 应用 QA-审核后的更改。
修订 3-1Fri Aug 17 2012Athene Chan
BZ#848313 添加 OpenSCAP 一章 -- “如何查看 SCAP 结果”
修订 3-0Thu Aug 9 2012Athene Chan
校对
修订 2-5Wed Aug 1 2012Athene Chan
BZ#839798 添加“根据日期克隆 spacewalk” 一章
BZ#826501 添加新的 OpenSCAP 信息
修订 2-0Fri Jul 6 2012Athene Chan
为发布 RHN Satellite 5.5 做准备
BZ#826501 已添加 OpenSCAP 一章
已添加 OpenSCAP 截屏
修订 1-5Mon Aug 15 2011Lana Brindley
将 z-stream 发行本与 y-stream 发行本合并
修订 1-4Mon Jun 20 2011Lana Brindley
BZ#701900 - PAM 认证
修订 1-3Mon Jun 20 2011Lana Brindley
BZ#714029 - 修复图片颜色
修订 1-2Wed Jun 15 2011Lana Brindley
准备翻译
修订 1-1Fri May 27 2011Lana Brindley
更新
修订 1-0Fri May 6, 2011Lana Brindley
准备翻译
修订 0-15Thu May 5, 2011Lana Brindley
BZ#701818 - QE 审核
修订 0-14Mon May 2, 2011Lana Brindley
BZ#248465 - QE 审核
修订 0-13Fri Apr 29, 2011Lana Brindley
BZ#692295 - QE 审核
修订 0-12Mon Apr 18, 2011Lana Brindley
BZ#691985 - 更新映像
修订 0-11Mon Apr 18, 2011Lana Brindley
BZ#691990 - QE 审核
修订 0-10Mon Apr 18, 2011Lana Brindley
BZ#691985 - QE 审核
修订 0-9Thu Apr 14, 2011Lana Brindley
技术预览反馈
修订 0-8Wed Apr 13, 2011Lana Brindley
BZ#692314 - QE 审核
BZ#692294 - QE 审核
BZ#692291 - QE 审核
BZ#692290 - QE 审核
BZ#691988 - QE 审核
BZ#691986 - QE 审核
BZ#691981 - QE 审核
修订 0-7Wed Mar 23, 2011Lana Brindley
技术审核准备
修订 0-6Mon Feb 19, 2011Lana Brindley
RPMs
引导设备
机构
修订 0-5Fri Feb 18, 2011Lana Brindley
监控
PAM 验证
修订 0-4Mon Jan 10, 2011Lana Brindley
备份及恢复
修订 0-3Fri Jan 7, 2011Lana Brindley
用户管理
前言
自动同步
修订 0-2Wed Jan 5, 2011Lana Brindley
用户管理
修订 0-1Tue Jan 4, 2011Lana Brindley
完成新章节结构
修订 0-0Tue Dec 21, 2010Lana Brindley
根据原始《RHN Satellite 部署指南》生成新文档

索引

符号

停用
用户,添加、停用和删除用户帐户
克隆机器
spacewalk-clone-by-date,克隆机器
删除
用户(只用于 RHN Satellite Server),添加、停用和删除用户帐户
前提条件
OpenSCAP,前提条件
功能,OpenSCAP 功能
审核
OpenSCAP,OpenSCAP
审核扫描,执行审核扫描
OpenSCAP,执行审核扫描
密码
更改,用户管理
添加
用户,添加、停用和删除用户帐户
用户,用户管理
停用,添加、停用和删除用户帐户
删除(只用于 RHN Satellite Server),添加、停用和删除用户帐户
更改密码,用户管理
更改电子邮件地址,用户管理
添加,添加、停用和删除用户帐户
角色,用户管理
用户角色,用户管理
电子邮件地址
更改,用户管理
网页
用户,用户管理

A

API
审核扫描,执行审核扫描

P

PAM 验证
实施,PAM 验证

S

Satellite 管理员,用户管理
spacewalk-clone-by-date,克隆机器

W

Web UI
审核扫描,执行审核扫描

法律通告

Copyright © 2011 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.