Red Hat Training

A Red Hat training course is available for Red Hat Satellite

第 16 章 在 Red Hat Satellite 中配置身份识别管理

我们使用身份管理(IDM)处理有关个体身份及其在联网环境中的证书和特权管理的问题。IDM 可以帮助提高系统安全性,同时可保证有授权的用户可以在需要时访问正确的信息。
Red Hat Satellite 的区域(realm)功能可自动管理中区域或者域供应商中所注册系统的生命周期。本小节论述了您应如何为 IDM 配置 Satellite Server 或者 Capsule Server,以及如何在 Satellite 6 身份管理主机组中自动添加客户端系统。
Red+Hat+Satellite+6Docs+User+Guide报告 bug

16.1. 为 IDM 区域支持配置 Red Hat Satellite Server 或者 Capsule Server

在 Red Hat Satellite 中使用身份管理(IDM)的最初步骤是要配置 Red Hat Satellite Server 或者 Red Hat Satellite Capsule Server。
前提条件

配置 IDM 前请确定满足以下条件:

  1. 在内容发布网络(CDN)中注册的 Satellite Server 或者在 Satellite Server 中注册的独立 Capsule Server
  2. 配置并设置区域或者域供应商,比如 Red Hat Identity Management
为 IDM 区域支持配置 Satellite Server 或者 Capsule Server:
  1. 在 Satellite Server 或者 Capsule Server 中安装以下软件包:
    # yum install ipa-client foreman-proxy ipa-admintools
    
  2. 将 Satellite Server(或者 Capsule Server)配置为 IPA 客户端:
    # ipa-client-install
    
  3. 创建 realm-capsule 用户,并在 Satellite Server 或者 Capsule Server 的 Red Hat Identity Management 中创建相关角色:
    # foreman-prepare-realm admin realm-capsule
    
    运行 foreman-prepare-realm 可准备一个 FreeIPA 或者 Red Hat Identity Management 服务器以供 Foreman 智能代理服务器使用。它会创建一个有 Foreman 所需权限的专用角色、一个使用该角色的用户、并检索 keytab 文件。在这个步骤中您需要身份管理服务器配置详情。
    如果成功执行该命令,您就可以看到以下命令输出结果:
    Keytab successfully retrieved and stored in: freeipa.keytab
    Realm Proxy User:    realm-capsule
    Realm Proxy Keytab:  /root/freeipa.keytab
    
  4. /root/freeipa.keytab 移动到 /etc/foreman-proxy 目录,并将拥有者设定为用户 foreman-proxy:
    # mv /root/freeipa.keytab /etc/foreman-proxy
    # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
    
  5. 根据您要使用 Satellite Server 还是 Capsule Server 配置该区域:
    • 如果要在 Satellite Server 中使用整合的 capsule,请使用 katello-installer 配置该区域:
      # katello-installer --capsule-realm true \
        --capsule-realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --capsule-realm-principal 'realm-proxy@EXAMPLE.COM' \
        --capsule-realm-provider freeipa
      

      注意

      开始配置 Red Hat Satellite Server 时还应运行这些选项。
    • 如果要使用独立 Capsule Server,请使用 capsule-installer 配置该区域:
      # capsule-installer --realm true \
        --realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --realm-principal 'realm-capsule@EXAMPLE.COM' \
        --realm-provider freeipa
      
  6. (自选)如果要在现有 Satellite Server 或者 Capsule Server 中配置 IDM,则还应执行以下步骤以确定配置更改生效:
    1. 重启 foreman-proxy 服务:
      # service foreman-proxy restart
      
    2. Log in to the Satellite Server and click InfrastructureCapsules.
    3. 点击为 IDM 配置的 Capsule Server 右侧的下拉菜单,并选择 刷新特性
  7. 最后,在 Satellite Server 用户界面中创建新 realm 条目:
    1. 点击 架构区域,并在该主页右上角点击 新区域
    2. 在以下子标签中的字段:
      1. 区域 - 提供区域名称,要使用的区域类型以及区域代理服务器。
      2. 位置 - 选择要使用新区域的位置。
      3. 机构 - 选择要使用新区域的机构。
    3. 点击 提交
Satellite Server 或者 Capsule Server 已准备好配置自动在 IDM 注册的主机。下一部分将详细论述如何自动在 IDM 主机组中添加主机。
Red+Hat+Satellite+6Docs+User+Guide报告 bug