5.8. 用于置备主机的外部身份验证
使用本节为 Red Hat Identity Management 域支持配置 Satellite 服务器或胶囊式服务器,然后将主机添加到 Red Hat Identity Management realm 组中。
前提条件
- 注册到 Content Delivery Network 或注册到 Satellite Server 的外部胶囊式服务器的 Satellite 服务器。
- 一个部署的领域或域提供商,如红帽身份管理。
要在卫星服务器或胶囊服务器上安装和配置红帽身份管理软件包:
要将 Red Hat Identity Management 用于置备的主机,请完成以下步骤,在 Satellite 服务器或 Capsule 服务器上安装和配置 Red Hat Identity Management 软件包:
在 Satellite 服务器或 Capsule 服务器中安装
ipa-client软件包:# satellite-maintain packages install ipa-client
将服务器配置为 Red Hat Identity Management 客户端:
# ipa-client-install
在 Red Hat Identity Management 中创建域代理用户、
realm-capsule以及相关角色:# foreman-prepare-realm admin realm-capsule
请注意返回的主体名称和 Red Hat Identity Management 服务器配置详情,因为需要它们进行以下操作。
为 Red Hat Identity Management Realm 支持配置 Satellite 服务器或 Capsule 服务器:
在 Satellite 上和您要使用的每个胶囊上完成以下步骤:
将
/root/freeipa.keytab文件复制到您要在同一主体和域中包含的任何胶囊服务器:# scp /root/freeipa.keytab root@capsule.example.com:/etc/foreman-proxy/freeipa.keytab将
/root/freeipa.keytab文件移到/etc/foreman-proxy目录中,并将所有权设置设置为foreman-proxy用户:# mv /root/freeipa.keytab /etc/foreman-proxy # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
对您要包含在 realm 中的所有胶囊上输入以下命令。如果您在 Satellite 上使用集成胶囊,请在管理门户中输入这个命令:
# satellite-installer --foreman-proxy-realm true \ --foreman-proxy-realm-keytab /etc/foreman-proxy/freeipa.keytab \ --foreman-proxy-realm-principal realm-capsule@EXAMPLE.COM \ --foreman-proxy-realm-provider freeipa您也可以在首次配置卫星服务器时使用这些选项。
确保安装了 ca-certificates 软件包的最更新版本,并信任 Red Hat Identity Management 证书颁发机构:
# cp /etc/ipa/ca.crt /etc/pki/ca-trust/source/anchors/ipa.crt # update-ca-trust enable # update-ca-trust
可选:如果您在现有 Satellite 服务器或胶囊服务器上配置红帽身份管理,请完成以下步骤以确保配置更改生效:
重启 foreman-proxy 服务:
# systemctl restart foreman-proxy
- 在 Satellite Web UI 中,导航到 Infrastructure > Capsules。
- 找到您为红帽身份管理配置的胶囊,然后从 Actions 列中的列表选择 Refresh。
为启用了 Red Hat Identity Management 的胶囊创建一个域
在使用红帽身份管理配置集成或外部胶囊后,您必须创建一个域,并将红帽身份管理配置的胶囊添加到域中。
流程
- 在 Satellite Web UI 中,导航到 Infrastructure > Realms,再点 Create Realm。
- 在 Name 字段中输入域的名称。
- 从 Realm Type 列表中,选择 realm 的类型。
- 从 Realm Capsule 列表中,选择您配置的 Red Hat Identity Management 的 Capsule 服务器。
- 单击 Locations 选项卡,然后从 Locations 列表中选择要添加新域的位置。
- 单击 Organizations 选项卡并从 Organizations 列表中选择要添加新域的组织。
- 点 Submit。
使用 Realm 信息更新主机组
您必须更新要用于新域信息的任何主机组。
- 在 Satellite Web UI 中,导航到 Configure > Host Groups,选择您要更新的主机组,然后点击 Network 选项卡。
- 从 Realm 列表中,选择您创建的域作为此流程的一部分,然后单击 Submit。
在 Red Hat Identity Management Host Group 中添加主机
红帽身份管理支持根据系统属性设置自动成员资格规则。Red Hat Satellite 的域功能让管理员能够将 Red Hat Satellite 主机组映射到 Red Hat Identity Management 参数 userclass,这使得管理员能够配置自动成员规则。
使用嵌套式主机组时,它们将发送到 Red Hat Identity Management 服务器,因为它们在 Red Hat Satellite 用户界面中显示。例如:"Parent/Child/Child"。
卫星服务器或胶囊式服务器将更新发送到红帽身份管理服务器,但只有在初始注册时应用自动成员规则。
要在 Red Hat Identity Management Host Group 中添加主机:
在 Red Hat Identity Management 服务器中创建一个主机组:
# ipa hostgroup-add hostgroup_name --desc=hostgroup_description
创建自动成员规则:# ipa automember-add --type=hostgroup hostgroup_name automember_rule
您可以使用以下选项:
-
automember-add将组标记为自动成员组。 -
--type=hostgroup标识目标组是主机组,而不是用户组。 -
automember_rule添加您要用来识别自动成员规则的名称。
-
根据
userclass属性定义自动成员条件:# ipa automember-add-condition --key=userclass --type=hostgroup --inclusive-regex=^webserver hostgroup_name ---------------------------------- Added condition(s) to "hostgroup_name" ---------------------------------- Automember Rule: automember_rule Inclusive Regex: userclass=^webserver ---------------------------- Number of conditions added 1 ----------------------------
您可以使用以下选项:
-
automember-add-condition添加正则表达式条件来识别组成员。 -
--key=userclass将 key 属性指定为userclass。 -
--type=hostgroup标识目标组是主机组,而不是用户组。 -
--inclusive-regex=^webserver 使用正则表达式模式来识别匹配的值。 - hostgroup_name - 标识目标主机组的名称。
-
当系统添加到卫星服务器的 hostgroup_name 主机组时,它会自动添加到红帽身份管理服务器的"hostgroup_name"主机组中。红帽身份管理主机组允许基于主机的访问控制(HBAC)、sudo 策略和其他红帽身份管理功能。