章 16. 在 Red Hat Satellite 中配置身份管理(Identity Management)

身份管理(IDM)負責在網路環境中處理個別身份、其帳號認證和權限上的管理。IDM 能協助提升您系統的安全性,並確保正確的使用者能在需要的時候存取正確的資訊。
Red Hat Satellite 包含了一項領域功能,這項功能能夠自動管理已向一個領域或區域供應方註冊的任何系統的生命週期。此部分解釋了您需如何為 IDM 配置 Satellite Server 或 Capsule Server,以及如何自動新增客戶端系統至 Satellite 6 Identity Management 主機群組。
〈Red+Hat+Satellite+6Docs+User+Guide回報錯誤

16.1. 為 Red Hat Satellite Server 或是 Capsule Server 配置 IDM Realm Support

在 Red Hat Satellite 中使用身份管理(IDM)的初始步驟就是配置 Red Hat Satellite Server 或是 Red Hat Satellite Capsule Server。
先決條件

在配置 IDM 之前,確認已設定以下項目:

  1. 一個向內容傳遞網路註冊的 Satellite Server,或是一個向 Satellite Server 註冊的獨立 Capsule Server
  2. 配置並設定一項領域(Realm)或是區域(Domain)供應者,例如 Red Hat Identity Management
若要為 Satellite Server 或是 Capsule Server 配置 IDM Realm Support:
  1. 在 Satellte Server 或是 Capsule Server 上安裝下列套件:
    # yum install ipa-client foreman-proxy ipa-admintools
    
  2. 將 Satellite Server(或是 Capsule Server)配置為 IPA 客戶端:
    # ipa-client-install
    
  3. 在 Satellite Server 或是 Capsule Server 上的 Red Hat Identity Management 中建立一個 realm-capsule 使用者,以及相關的角色:
    # foreman-prepare-realm admin realm-capsule
    
    執行 foreman-prepare-realm 將會準備一項 FreeIPA 或是 Red Hat Identity Management 伺服器以用來搭配 Foreman Smart Proxy 使用。它會建立一個專屬角色(這個角色將擁有 Foreman 所需要的權限)、建立一個屬於該角色的使用者,並擷取 keytab 檔案。您將需要您的 Identity Management 伺服器配置才能完成此步驟。
    若指令成功執行,您應該能夠看見以下指令輸出:
    Keytab successfully retrieved and stored in: freeipa.keytab
    Realm Proxy User:    realm-capsule
    Realm Proxy Keytab:  /root/freeipa.keytab
    
  4. /root/freeipa.keytab 移至 /etc/foreman-proxy 目錄並將擁有者設定設為使用者 foreman-proxy:
    # mv /root/freeipa.keytab /etc/foreman-proxy
    # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/freeipa.keytab
    
  5. 根據您使用的是 Satellite Server 或是 Capsule Server 來配置領域:
    • 若您要使用 Satellite Server 中的整合式 capsule,請使用 katello-installer 來配置領域:
      # katello-installer --capsule-realm true \
        --capsule-realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --capsule-realm-principal 'realm-proxy@EXAMPLE.COM' \
        --capsule-realm-provider freeipa
      

      注意

      這些選項也能在 Red Hat Satellite Server 的初始配置中執行。
    • 若您要使用獨立的 Capsule Server,請使用 capsule-installer 來配置領域:
      # capsule-installer --realm true \
        --realm-keytab /etc/foreman-proxy/freeipa.keytab \
        --realm-principal 'realm-capsule@EXAMPLE.COM' \
        --realm-provider freeipa
      
  6. (選用性)若您要在一個早已存在的 Satellite Server 或 Capsule Server 上配置 IDM,您也應該進行下列步驟以確保配置能生效:
    1. 重新啟用 foreman-proxy 服務:
      # service foreman-proxy restart
      
    2. 登入 Satellite Server 並點選「設備Capsules」。
    3. 點選您已為其配置了 IDM 的 Capsule Server 右方的下拉式選單,並選擇「更新功能」。
  7. 最後,在 Satellite Server 使用者介面中建立新的領域項目:
    1. 點選「設備領域」並按下位於主頁右方角落上的「新增領域」。
    2. 填入在下列子分頁中的欄位:
      1. 領域 - 提供領域名稱、欲使用的領域類型,以及領域的代理伺服器。
      2. 位置 - 選擇欲使用新領域的位置在哪裡。
      3. 組織 - 選擇欲使用新領域的組織為何。
    3. 點選「提交」。
Satellite Server 或 Capsule Server 現在已準備好佈建會自動向 IDM 註冊的主機。下個部分將會詳述如何自動將主機新增至 IDM 主機群組的步驟。
〈Red+Hat+Satellite+6Docs+User+Guide回報錯誤