Comments
Description
Transcript
Red Hat Network Satellite 5.5 ユーザーガイド
Red Hat Network Satellite 5.5 ユーザーガイド Red Hat Network Satellite の使用と管理について エディッション 2 Landmann Red Hat Network Satellite 5.5 ユーザーガイド Red Hat Network Satellite の使用と管理について エディッション 2 Landmann [email protected] m 法律上の通知 Copyright © 2011 Red Hat, Inc. T his document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed. Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law. Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux ® is the registered trademark of Linus T orvalds in the United States and other countries. Java ® is a registered trademark of Oracle and/or its affiliates. XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and other countries. Node.js ® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project. T he OpenStack ® Word Mark and OpenStack Logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community. All other trademarks are the property of their respective owners. 概要 本書では Red Hat Network Satellite の使用および操作方法について説明しています。 本書以外に Red Hat Network Satellite スタートガイド などもご参照頂くことをお勧めします。 目次 目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3. . . . . . . . . . 前書き . . .1章 第 . . . .ユーザーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4. . . . . . . . . . 1.1. ユーザーアカウントの追加/停止/削除 4 1.2. ユーザーの管理 8 . . .2章 第 . . . .自動同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ............ . . .3章 第 . . . バックアップと復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 ............ 3.1. バックアップ 11 3.2. バックアップからの復元 12 3.3. 自動バックアップ 13 . . .4.章 第 . . .マシンのクローンを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 ............ 4.1. 特長 15 4.2. コマンドラインのオプション 15 4.3. 使用例 17 . . .5章 第 . . . .モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 ............ . . .6章 第 . . . .OpenSCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ............ 6.1. OpenSCAP の特長 19 6.2. Red Hat Network Satellite 内の OpenSCAP 20 6.2.1. 前提条件 20 6.2.2. 監査スキャンを行う 20 6.2.3. SCAP の結果を表示させる方法 23 6.2.4. OpenSCAP Satellite のページ 23 6.2.4.1. 監査 23 6.2.4.2. システム → システムの詳細 → Audit 26 . . .7章 第 . . . .PAM . . . . .認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 ........... . . .8章 第 . . . .RPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32 ........... . . .9章 第 . . . .ブートデバイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 ........... . . .10章 第 . . . . .組織 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. .0. . . . . . . . . . 10.1. 組織を作成する 41 10.2. 複数のエンタイトルメントを管理する 42 10.3. 単一の組織内でのシステムの設定 43 10.4. 組織のユーザー 44 10.5. 組織の信頼 44 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. .8. . . . . . . . . . 改訂履歴 .索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 ............ シンボル 50 A 51 E 51 O 51 P 51 S 51 W 51 1 Red Hat Network Satellite 5.5 ユーザーガイド 2 前書き 前書き Red Hat Network では、 Red Hat システムの信頼性、セキュリティ、パフォーマンスを最大限に高めるの に必要なツール、サービス、情報リポジトリを提供することにより Red Hat のシステムとネットワークに 対するシステムレベルでのサポートと管理を実現します。 Red Hat Network を使用するには、 システム 管理者の方にシステムプロファイルと呼ばれるクライアントシステムのソフトウェアとハードウェアのプ ロファイルを Red Hat Network に登録していただきます。 クライアントシステムによりパッケージの更 新が要求されると、 そのクライアントに適用可能なパッケージのみが返されます。 Red Hat Network Satellite サーバーでは、 サーバーやクライアントシステム群に公共インターネットへの アクセスを与えずに Red Hat Network の利点を活用することができます。 システムプロファイルは Satellite サーバー上にローカルに保管されます。 Red Hat Network Satellite の Web サイトはローカルの Web サーバーから提供されるため、 利用できるのは Satellite にアクセス可能なシステムのみに限られま す。 エラータの更新など、 パッケージ管理に関する作業はすべて Satellite サーバーを介して行われま す。 Red Hat Network Satellite サーバーは、サーバーの保守およびパッケージ配備において完全なコントロー ルとプライバシー保護を必要とする企業に解決策を提供します。 Red Hat Network をご利用のお客様は、 システムの安全性を維持しながら、 最新の状態を保持する上で高い柔軟性と制御力を実現することができ ます。 Satellite サーバーはモジュールを追加することで機能拡張することができます。 本書では、 Satellite サーバーを稼働するにあたって不可欠となる操作に関して解説しています。 3 Red Hat Network Satellite 5.5 ユーザーガイド 第 1章 ユーザーの管理 1.1. ユ ー ザ ー ア カ ウ ン ト の 追 加 / 停 止 / 削 除 ユーザーの管理は Red Hat Network Satellite サーバーのナビゲーションバー上部にある ユーザー タブで 行うことができます。 このタブでユーザーのパーミッションを付与したり、 編集したりすることができ ます。 手順 1.1 ユーザーを追加する 組織に新規ユーザーを追加します。 1. ユーザー タブで新規ユーザーの作成 をクリックし、ユーザーの作成 ページを開きます。 図 1.1 ユーザーの作成 ページ 2. 希望のログイン フィールドにユーザー名を入力します。 ログイン名は最低でも 5 文字の長さにし てください。 4 第1章 ユーザーの管理 3. 希望のパスワード フィールドにユーザーのパスワードを入力します。 確認のため同じパスワード を再入力します。 4. 名、 姓 のフィールドにユーザーの名と姓を入力します。 ドロップダウンメニューから適切な敬称 (例:Mr、Mrs、Dr など) を選択します。 5. Em ail のフィールドにユーザーの電子メールアドレスを入力します。 6. タイムゾーン のセクションで適切なタイムゾーンを選択します。 7. インターフェース言語 のセクションで、 Red Hat Network Satellite サーバーのインターフェース に使用する言語を選択します。 8. ログインの作成 をクリックして、新規ユーザーを作成します。 新規アカウントに関する詳細情報 が電子メールでユーザーに送信されます (新規ユーザーの作成時に指定したアドレス)。 9. アカウントの作成が完了すると、ユーザーの一覧 ページにリダイレクトされます。 新規ユーザー のパーミッションの変更やオプションの設定を行う場合は、 表示されている一覧からそのユーザー の名前を選択して ユーザーの詳細 ページを表示させます。 該当タブに行き変更を行います。 手順 1.2 ユーザーを停止する ユーザーのアカウントは、 管理者やそのユーザー自身によって停止することができます。 停止された ユーザーアカウントは、Red Hat Network Satellite サーバーインターフェースへのログインや動作のスケ ジュールには使用できません。 アカウントが停止される前にスケジュールされていた動作は、 その動作 が完了するまでキューにそのまま残ります。 停止されたユーザーアカウントは、 管理者によって再度ア クティブにすることが可能です。 管理者のアカウントを停止する場合は、 まずそのアカウントから管理者ロールを削除しないと停止できま せん。 ユーザーアカウントを停止する 1. ユーザー のタブ内にある一覧からユーザー名を選択し、ユーザーの詳細 ページを表示します。 2. そのユーザーが Satellite 管理者かどうか確認します。 Satellite 管理者である場合は、 そのロールの横にあるチェックボックスのチェックマークを外して から サブミット ボタンをクリックします。 Satellite 管理者ではない場合はそのまま次のステップに進みます。 3. ユーザーを停止する をクリックします。 5 Red Hat Network Satellite 5.5 ユーザーガイド 図 1.2 ユーザーを停止する この動作を確認するため再クリックが求められます。 詳細を確認してから ユーザーを停止する を 再度クリックして確定します。 4. アカウントが正しく停止されると、 そのユーザー名は アクティブなユーザー の一覧には表示され なくなります。 停止されたユーザーアカウントを表示するには、 ユーザーの一覧 のメニューから 停止されました のリンクをクリックします。 5. そのユーザーアカウントを再度アクティブにする場合は、 停止されました の一覧を表示させて再 度アクティブにしたいユーザーの横にあるチェックボックスに印を付け、 再度アクティベートす る をクリックします。 手順 1.3 ユーザーを削除する ユーザーアカウントの削除は管理者が行います。 Red Hat Network Satellite サーバーのインターフェース へのログインや動作のスケジュールに、 削除されたアカウントを使用することはできません。 また、 削 除されたアカウントの再アクティベートはできません。 管理者のアカウント削除は、 まず管理者ロールをそのアカウントから削除してからでないと行えません。 6 第1章 ユーザーの管理 警告 アカウントを削除すると元には戻せません。 アカウントの削除は慎重に行ってください。 Red Hat Netwrok Satellite サーバーのインフラストラクチャに及ぼす影響を確認するため、 削除する前にま ずアカウントの停止を検討してみてください。 以下の手順でユーザーアカウントを削除します。 1. ユーザー のタブ内にある一覧からユーザー名を選択し、ユーザーの詳細 ページを表示します。 2. そのユーザーが Satellite 管理者かどうか確認します。 Satellite 管理者である場合は、 そのロールの横にあるチェックボックスのチェックマークを外して から サブミット ボタンをクリックします。 Satellite 管理者ではない場合はそのまま次のステップに進みます。 3. ユーザーの削除 をクリックします。 図 1.3 ユーザーの削除 この動作を確認するため再クリックが求められます。 詳細を確認してから ユーザーの削除 を再度 クリックして確定します。 4. アカウントが削除されると、そのユーザー名は アクティブなユーザー の一覧には表示されなくな ります。このステップは元に戻すことはできません。 7 Red Hat Network Satellite 5.5 ユーザーガイド 1.2. ユ ー ザ ー の 管 理 ユーザーアカウントの管理は、 Red Hat Network Satellite サーバーのナビゲーションバー上部にある ユーザー タブを使用して行います。 ユーザーのパーミッション変更やオプションの設定を行う場合は、 一覧からそのユーザー名を選択して ユーザーの詳細 ページを表示します。 次に、 該当タブに移動し変 更を行います。 変更を加え サブミット をクリックするとアカウントの詳細が修正されます。 ユーザーのロール ユーザーのロール を使ってユーザーアカウントに各種の役割を任せます。 ユーザーロールによって役割 やアクセスのレベルがそれぞれ異なります。 ユーザーに新しいロールを割り当てる場合は、 ユーザーの詳細 のページの該当チェックボックスを使っ てロールの選択を行います。 変更を加え サブミット をクリックしてロールを修正します。 ユーザーロールには以下のような種類があります。 Red Hat Network Satellite 管理者 組織の作成、 サブスクリプションの管理、 グローバル Red Hat Network Satellite サーバーの セッティング構成など、 Satellite の管理作業を行うための特殊ロールになります。 このロールは ユーザーの詳細 ページでは割り当てられません。 既に Red Hat Network Satellite サーバー管理者ロールを有しているユーザーによって別のユーザーに割り当てます。 管理 → ユーザー の順に進み割り当てを行います。 組織の管理者 組織の枠の中でユーザー、 システム、 チャンネルなどの管理作業を行います。 組織の管理者に は、 その他すべてのロールに対する管理アクセスが自動的に付与されます。ロールのチェック ボックスがグレー表示されるのでわかるようになっています。 アクティベーションキーの管理者 アカウント内のキーの作成、 変更、 削除など、 アクティベーションキー関連の作業を行いま す。 チャンネル管理者 組織内のソフトウェアチャンネルおよび関連チャンネルへの完全なアクセスが与えられます。 チャンネルをグローバルにサブスクライブ可能にする、 新しいチャンネルを作成する、 チャン ネル内のパッケージを管理するなどの作業を行います。 設定管理者 組織内の設定チャンネルおよび関連チャンネルへの完全なアクセスが与えられます。 組織内の チャンネルおよびファイルの管理設定作業を行います。 Monitoring 管理者 プローブのスケジューリングや他のモニタリングインフラストラクチャの監視などを行います。 このロールは Monitoring を有効にしている Red Hat Network Satellite サーバーにしかありませ ん。 システムグループ管理者 8 第1章 ユーザーの管理 このロールは、 アクセス権を付与されたシステムおよびシステムグループに対して完全な権限を 有します。 システムグループの新規作成、 割り当てられたシステムグループの削除、 グループ へのシステムの追加、 グループに対するユーザーアクセスの管理などの作業を行います。 Satellite 管理者の権利の削除は、 同じ Satellite 管理者の権利を持つ別のユーザーによって行うことができ ます。 ただし、 Satellite 管理者が一人しか残っていない場合は削除できません。 Satellite 管理者は最低 でもひとり常に必要です。 最後の一人の Satellite 管理者でない限り、 ユーザー自身による Satellite 管理 者の権限の削除 (放棄) を行うこともできます。 9 Red Hat Network Satellite 5.5 ユーザーガイド 第 2章 自動同期 Red Hat Network Satellite サーバーのリポジトリと Red Hat Network との同期を手動で行うのは煩雑な作 業となる場合があります。 同期を自動化して、 ピークを避けた深夜もしくは早朝などの時間帯に実施さ れるようにすることにより、 負荷を分散し同期の高速化を図ることができるようになります。 最適なパ フォーマンスを得るため、 ランダムに同期が行われるようにします。 同期の自動化で最も効果的な方法 は、 cron を使用する方法です。 手順 2.1 同期を自動化する 1. root ユーザーに切り替え、テキストエディタで crontab を開きます。 crontab -e 注記 デフォルトでは crontab は vi で開かれます。 この動作を変更するには EDIT OR の変数を 希望のテキストエディタ名に変更します。 2. crontab で、最初の 5 つのフィールド (分、時、日、月、曜日) を使用して同期のスケジュールを 設定します。 ランダムな同期時間を作成する場合は以下のようにします。 0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null 2>1 この crontab エントリは、01:00 から 03:30 の間にランダムに同期ジョブを実行します。 satellite-sync からのメッセージとの重複を防ぐため、 cron から stdout と stderr を破棄 しています。 その他のオプションも必要に応じて追加することができます。 3. crontab を保存するには、テキストエディタを終了してください。この新たな cron ルールは即 時に導入されます。 10 第3章 バックアップと復元 第 3章 バックアップと復元 本章では Satellite システムのバックアップ、検証、復元の方法について簡単に説明していきます。 格納しているデータの量、 システムの機能停止が発生した場合の想定データ損失量などに応じ、 バック アップは毎晩もしくは毎週実施してください。 バックアップを行っている間は Web サイトやクライアントからの接続に対してすべてのサービスが使用 不可になるため、 データベースのバックアップは Red Hat Network Satellite サーバーの定期保守時の機能 停止期間を利用して実施することを推奨します。 3.1. バ ッ ク ア ッ プ 手順 3.1 組み込みデータベースのバックアップをとる 1. stop コマンドを使用して Red Hat Network Satellite サーバーを停止します。 rhn-satellite stop 2. Oracle ユーザーに切り替え、 db-control ユーティリティを使用してバックアップを作成しま す。 su - oracle db-control backup [directory] directory の部分はデータベースのバックアップの保管先となる場所の絶対パスを入力してくださ い。 このプロセスには数分かかります。 3. root ユーザーに戻り Satellite を起動します。 exit rhn-satellite start 4. Oracle ユーザーに切り替え、 db-control の exam ine オプションを使用してバックアップのタ イムスタンプを確認し、ファイルが紛失していないかどうかを確認します。 su - oracle db-control examine [directory] また、 db-control の verify オプションを使用して徹底的な検証を行うこともできます。 これ には、 バックアップ内の各ファイルの md5sum のチェックが含まれます。 db-control verify [directory] 検証が成功すれば、 directory のコンテンツがデータベースの復元に安全に使用できることにな ります。 注記 外付けデータベースの場合も定期的なバックアップを行う必要があります。 対応しているバック アップ手順についてはその外付けデータベースの管理者にご相談ください。 システムファイルのバックアップをとる 11 Red Hat Network Satellite 5.5 ユーザーガイド データベースの他にも、 システムのファイルやディレクトリをいくつかバックアップする必要がありま す。 バックアップすべきファイルとディレクトリを以下に示します。 /etc/sysconfig/rhn/ /etc/rhn/ /etc/sudoers /etc/tnsnam es.ora /var/www/htm l/pub/ /var/satellite/redhat/[0-9]* / (カスタムの RPM を格納する場所) /root/.gnupg/ /root/ssl-build/ /etc/dhcpd.conf /etc/httpd/ /tftpboot/ /var/lib/cobbler/ /var/lib/nocpulse/ /var/lib/rhn/kickstarts/ /var/www/cobbler/ できれば /var/satellite/ のバックアップもとっておきます。 障害から復旧する際にはこれが Red Hat RPM リポジトリの複製となるため大量のデータをダウンロードする手間が省けます。 これは satellite-sync ツールを使用して再生成することができます。 分離モードの Satellite を使用している 場合には、 障害からの復旧を行うための /var/satellite/ のバックアップが必ず必要になります。 上記のファイルとディレクトリのみをバックアップしている場合、 障害から復旧する際に Red Hat Network Satellite Server ISO RPM の再インストールおよび Satellite の再登録が必要になります。 また、 satellite-sync ツールを使用した Red Hat パッケージ群の再同期や /root/ssl-build/rhn-orghttpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm パッケージのインストールも必要に なります。 別の方法として、 再登録を行わずに Red Hat Network Satellite サーバーを再インストールす る方法があります。 この方法をとる場合は、 Red Hat Network の登録と SSL 証明書生成のセクションを 取り消すか省略してインストールを行います。 最も包括的なバックアップの方法として、マシン全体をバックアップする方法があります。 障害から復旧 する場合にはダウンロードや再インストールに要する時間を節約することができますが、 バックアップを 行う際には余分なストレージ領域や時間が必要になります。 3.2. バ ッ ク ア ッ プ か ら の 復 元 バックアップから組込みのデータベースを復元する場合は、 Red Hat Network database control を使用し ます。 手順 3.2 バックアップから組み込みのデータベースを復元する 1. stop コマンドを使用して Red Hat Network Satellite サーバーを停止します。 rhn-satellite stop 2. Oracle ユーザーに切り替え、 db-control ユーティリティを使ってバックアップを復元します。 12 第3章 バックアップと復元 su - oracle db-control restore [directory] directory の部分には、 バックアップが格納されている場所への絶対パスを入力します。 まず バックアップの内容の検証が行われてから、 実際のデータベースの復元が行われます。 このプロセ スには数分かかります。 3. root ユーザーに戻り Satellite を起動します。 exit rhn-satellite start 4. バックアップしているデータベースが外付けであるか組み込みであるかに関わらず、 バックアップ から Satellite を復元する際には以下のコマンドを実行して rhn-search サービスの次回の起動時 に検索インデックスの復元が行われるようスケジュールします。 /etc/init.d/rhn-search cleanindex 3.3. 自 動 バ ッ ク ア ッ プ バックアップ作業を自動化して、 ピーク時を避け深夜もしくは早朝などにバックアップが行われるように することができます。 これにより、 バックアップをとるのを忘れてしまったりすることなく定期的に バックアップを実施することができます。 バックアップの自動化で最も有効なのが cron を使用する方法 です。 手順 3.3 バックアップを自動化する backup-db.sh という名前の新しいファイルを作成し、 以下のスクリプトを含ませます。 このスクリプ トで Satellite を停止する、 データベースのバックアップをとる、 Satellite を再起動する、 という作業を 行います。 #!/bin/bash { /usr/sbin/rhn-satellite stop su - oracle -c' d=db-backup-$(date "+%F"); mkdir -p /tmp/$d; db-control backup /tmp/$d '; /usr/sbin/rhn-satellite start } &> /dev/null 1. m ove-files.sh という名前の新しいファイルを作成し、 以下のスクリプトを含ませます。 この スクリプトを使ってバックアップファイルを格納先のディレクトリに rsync で移動します。 #!/bin/bash rsync -avz /tmp/db-backup-$(date "+%F") [destination] &> /dev/null [destination] の部分には、 バックアップディレクトリへのパスを入れます。 代わりに、以下のスクリプトのように scp を使用しても同じことができます。 #!/bin/bash scp -r /tmp/db-backup-$(date "+%F") [destination] &> /dev/null 13 Red Hat Network Satellite 5.5 ユーザーガイド 2. root ユーザーに切り替え、テキストエディタで crontab を開きます。 crontab -e 注記 デフォルトでは crontab は vi で開かれます。 この動作を変更するには EDIT OR の変数を 希望のテキストエディタ名に変更します。 3. crontab で、最初の 5 つのフィールド (分、時、日、月、曜日) を使用してバックアップスクリプ トを実行するスケジュールを設定します。 0 3 * * * backup-db.sh 0 6 * * * move-files.sh この crontab のエントリの場合、 バックアップは 03:00、 そのバックアップファイルの転送が 06:00 にそれぞれ実行されます。 その他のオプションも必要に応じて追加することができます。 ま た、 古いバックアップディレクトリを削除してバックアップストレージが満杯にならないようにす るクリーンアップスクリプトを含ませることもできます。 4. テキストエディタを終了するだけで crontab は保存されます。 追加した新しい cron ルールは直 ちに反映されます。 14 第4章 マシンのクローンを作成する 第 4章 マシンのクローンを作成する spacewalk-clone-by-date コマンドを使用すると、 Red Hat Enterprise Linux に対してエラータが利 用可能になった日付でカスタムな Red Hat Enterprise Linux チャンネルのクローンを作成することができ るようになります。 4.1. 特 長 spacewalk-clone-by-date で利用できる主な機能を以下に示します。 特定の日付のチャンネルの状態をクローン作成する スクリプトとテンプレートファイルでクローン作成を自動化する チャンネルのパッケージを削除する、またはチャンネルのパッケージをブロックする 親チャンネルと子チャンネル内のパッケージ依存の関係を解決する フィルターをかけて特定のエラータのみをクローン作成し他のエラータは無視する (たとえば、 セ キュリティエラータのみ作成しバグ修正や機能強化は無視) 注記 spacewalk-clone-by-date コマンドは root ユーザー で実行する必要があります。 また、 usernam e は組織管理者かチャンネル管理者のいずれかにしてください。 4.2. コ マ ン ド ラ イ ン の オ プ シ ョ ン 15 Red Hat Network Satellite 5.5 ユーザーガイド 表 4 .1 利用できるコマンドラインのオプション オプション 定義 -h, --help ヘルプのファイルを表示します。 -c CONFIG, --config=CONFIG すべてのオプションを指定した設定ファイ ルを与えることができるようになります。 コマンドラインで実行できるオプションは すべてこの設定ファイルに指定することが できます。 クローンを作成したいチャンネ ルの一覧が複雑になる場合、 その一覧を用 意して後日使用できるよう正確なコマンド で保存しておくことができます。 -u USERNAME, --username=USERNAME Satellite のログインに使用するユーザー名 を指定します。 -p PASSWORD, --password=PASSWORD ユーザー名のパスワードを指定します。 -s SERVER, --server=SERVER API 接続に使用するサーバーの URL です。 デフォルトでは https://localhost/rpc/api に 設定されます。 -l CHANNELS, --channels=CHANNELS クローン作成するチャンネルを指定しま す。 オリジナルチャンネル名とクローン チャンネル名を組み合わせてチャンネルラ ベルを指定しなければなりません。 オリジ ナルチャンネル名とクローンチャンネル名 の間は必ず空白入れて区切ります。 また、 複数のチャンネルを追加することもできま す。 その都度 --channels オプションを使用 します。 -b BLACKLIST , --blacklist=BLACKLIST クローンのエラータから除外するパッケー ジ名 (または正規表現) をコンマで区切った 一覧です (考慮されるのは追加されたパッ ケージのみです)。 -r REMOVELIST , --removelist=REMOVELIST コピー先チャンネルから削除するパッケー ジ名 (または正規表現) をコンマで区切った 一覧です (すべてのパッケージが削除可能で す)。 -d T O_DAT E, --to_date=T O_DAT E 指定した日付に対してエラータのクローン を作成します (YYYY-MM-DD)。 オリジナル のパッケージとオリジナルのチャンネル作 成日から指定した T O_DAT E パラメータま での間にリリースされたエラータのクロー ンを作成することができます。 指定した T O_DAT E 期間内の時間ベースのチャンネル スナップショットを取得することができま す。 -y, --assumeyes 入力を求めるプロンプトに対しすべて自動 的に「yes」にします。 ユーザー介入を必 要としないクローン作成に使用できます。 -m, --sample-config サンプルの設定ファイルを出力して終了し ます。 -k, --skip_depsolve すべての依存関係の解決を省略します (非推 16 第4章 マシンのクローンを作成する 奨)。 -v, --validate 指定したリポジトリセットで repoclosure を実行します。 -g, --background バックグラウンドでエラータのクローン作 成を行います。クローン作成が終了するま でのプロンプトの返りが早くなります。 -o, --security_only セキュリティ関連のエラータ (およびその依 存パッケージ) のみをクローン作成します。 このコマンドを --to_date コマンドと併 用すると、 指定日または指定日より前にリ リースされたセキュリティ関連のエラータ のみをクローン作成することができます。 4.3. 使 用 例 以下の例では、 2012年1月1日時点の rhel-i386-server-5 チャンネルを my-clone-RHEL-5 という名 前のチャンネルにクローン作成します。 # spacewalk-clone-by-date --username=your_username --password=your_password -server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 -to_date=2012-01-01 以下の例では、 2012年1月1日またはそれ以前にリリースされたセキュリティ関連のエラータのみをク ローン作成し、 カーネルの更新や vim 拡張パッケージについてはすべて無視します。 また、 このコマン ドは Satellite 上でバックグラウンドでクローン作成プロセスを実行します。 # spacewalk-clone-by-date --username=your_username --password=your_password -server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 -to_date=2012-01-01 --security_only --background --blacklist=kernel,vim-extended -assumeyes 17 Red Hat Network Satellite 5.5 ユーザーガイド 第 5章 モニタリング Red Hat Network Satellite サーバーには異なるコンポーネントが数多く含まれ、 それらの多くがモニタリ ング可能です。 本章では、 システムのさまざまな領域でモニタリング操作を行う方法について簡単に説 明していきます。 手順 5.1 表領域をモニタリングする 1. Oracle データベースでは、 表領域に十分な空き容量があるかどうかを定期的に点検することが重要 になります。 まず、 Oracle ユーザーに切り替えてから、 db-control report コマンドを発行 します。 su - oracle db-control report Tablespace Size Used DATA_TBS 4.8G 3.9G SYSTEM 250M 116M TOOLS 128M 3M UNDO_TBS 1000M 61M USERS 128M 64K Avail 996M 133M 124M 938M 127M Use% 80% 46% 2% 6% 0% 2. 表領域が満杯になった場合は、 db-control extend コマンドに拡張する表領域の名前を付けて 使用すると拡張を行うことができます。 db-control extend tablespace 手順 5.2 Red Hat Network Satellite サーバーのプロセスをモニタリングする Satellite プロセスが正しく動作しているか確認する場合は、 rhn-satellite status のコマンドを 使用します。 rhn-satellite status 18 第6章 OpenSCAP 第 6章 OpenSCAP SCAP とは、 企業レベルの Linux インフラストラクチャを対象としたソリューションのチェックを行う標 準コンプライアンスを指します。 NIST (National Institute of Standards and T echnology) によって管理さ れている企業向けシステムのシステムセキュリティ保守に関する一連の規格になります。 Red Hat Network Satellite Server 5.5 では、 SCAP が OpenSCAP アプリケーションによって実装されま す。 OpenSCAP は XCCDF (Extensible Configuration Checklist Description Format) を利用する監査 ツールになります。 XCCDF はチェックリストの内容を表す標準的な方法で、 セキュリティチェックリス トを定義します。 また、 CPE、 CCE、 OVAL などの他種類の規格を組み合わせて、 SCAP 検証された製 品で処理が可能な SCAP 表現のチェックリストも作成します。 6.1. OpenSCAP の 特 長 OpenSCAP では Red Hat セキュリティレスポンスチーム (SRT ) が提供するコンテンツを使ってパッチの 有無を確認し、 システムのセキュリティ構成の設定をチェック、 標準や規格に基づいたルールでセキュ リティ侵害の兆候がないかを検査します。 OpenSCAP を効率的に使用するための要件が 2 つあります。 システム検証ツールが標準であること Red Hat Network Satellite サーバーは 5.5 版から OpenSCAP を監査機能として統合しています。 これ により Web インタフェースを使ったシステムのコンプライアンススキャンをスケジュールして表示さ せることが可能になります。 SCAP のコンテンツ SCAP のコンテンツは、 少なくとも XCCDF か OVAL を理解していればゼロから作成することができ ます。 代わりに別のオプションもあります。 XCCDF のコンテンツはオープンソースライセンスで頻 繁にオンライン公開されるため、 ニーズに合わせてこのコンテンツをカスタマイズすることもできま す。 注記 Red Hat ではテンプレートを使用したシステム評価に対応しています。 ただし、 こうしたテン プレートのカスタムなコンテンツオーサリングについては対応していません。 こうしたグループの例をいくつか示します。 T he United States Government Configuration Baseline (USGCB) - RHEL5 デスクトップ向け — っ米国連邦機関内のデスクトップ向け公式 SCAP コンテンツです。 OVAL を使用し、 Red Hat, Inc および国防総省 (DoD) との協同のもと NIST で開発されました。 コミュニティ提供によるコンテンツ SCAP Security Guide - RHEL6 向け — アクティブなコミュニティにより運営されるコンテン ツで、 USGCB 要件や広く認められているポリシーをソースとし、 デスクトップやサーバー、 FT P サーバーなどのプロファイルが含まれています。 OpenSCAP コンテンツ - RHEL6 向け — Red Hat Enterprise Linux 6 のオプションチャンネル から取得できる openscap-content パッケージでは、 テンプレートを使った Red Hat Enterprise Linux 6 システム向けのデフォルトコンテンツのガイダンスを提供しています。 SCAP はシステムセキュリティの保守を目的として作成されたため、 使用される標準はコミュニティや企 業ビジネスなどのニーズに対応するため継続的に変化していきます。 整合性があり繰り返しが可能なリビ ジョンのワークフローを提供するため、 新しい規格は NIST の SCAP リリースサイクル で管理されてい ます。 19 Red Hat Network Satellite 5.5 ユーザーガイド 6.2. Red Hat Network Satellite 内 の OpenSCAP 6.2.1. 前提条件 パッケージに関する要件 SCAP には次のようなパッケージが必要です。 サーバー用: Red Hat Network Satellite 5.5 クライアント用: spacewalk-oscap パッケージ (RHN T ools 子チャンネルから取得可) エンタイトルメントに関する要件 スキャンのスケジュールに Management エンタイトルメントが必要です。 その他の要件 クライアント用: XCCDF コンテンツのクライアントマシン群への配信 クライアントのマシンへの XCCDF コンテンツの配信は次の方法で行うことができます。 従来の方法 (CD、 USB、 nfs、 scp、 ftp) Satellite のスクリプト RPM SCAP コンテンツを他のマシンに配信する場合はカスタムの RPM を使用する方法を推奨します。 RPM パッケージはその完全性を保証するために署名を行い、 検証させることができます。 RPM のイ ンストール、 削除、 検証はユーザーインターフェースで管理することができます。 6.2.2. 監査スキャンを行う Red Hat Network Satellite サーバーでの OpenSCAP の統合により、 クライアントシステム上で監査ス キャンを行うことができるようになります。 このセクションでは 2 種類の方法について説明していま す。 手順 6.1 Web インターフェースを使ったスキャン Satellite Web インターフェースを使ってスキャンを行う場合 1. Satellite Web インターフェースにログインします。 2. システム → 目的のシステム の順でクリックします。 3. 監査 → スケジュール の順でクリックします。 4. 新規の XCCDF スキャンをスケジュール のフォームを入力します。 コマンドラインの引数: このフィールドには oscap ツール用に引数を追加することができます。 使用できる引数は以下の 2 種類のみです。 --profile PROFILE — XCCDF ドキュメントから特定のプロファイルを選択します。 プロ ファイルは XCCDF の xml ファイルで確定され、 Profile id タグを使ってチェックできま す。 例を示します。 Profile id="RHEL6-Default" 20 第6章 OpenSCAP 注記 OpenSCAP には --profile コマンドライン引数を付けないとスキャンが失敗してしまう バージョンがあります。 --skip-valid — 入力や出力のファイルの検証を行いません。 XCCDF コンテンツが適切な形 式で構成されていない場合はこの引数を選ぶとファイル検証のプロセスを回避することができま す。 コマンドライン引数を何も渡さないとデフォルトのプロファイルが使用されます。 XCCDF ドキュメントへのパス: 必須フィールドになります。 path パラメータでクライアントシ ステム上のコンテンツの場所をポイントします。 たとえば、 /usr/local/scap/dist_rhel6_scap-rhel6-oval.xm l などです。 警告 xccdf コンテンツは検証が行われたあと、 リモートシステムで実行されます。 無効な引 数を指定すると spacewalk-oscap による検証や実行が失敗する可能性があります。 セ キュリティ対策上、 「osccap xccdf eval」コマンドが受け取るのは限られたパラメータ セットのみになります。 5. rhn_check を実行して、 クライアントシステムで動作が正しく拾われるか確認します。 rhn_check -vv 注記 代わりに、 rhnsd や osad がクライアントシステムで実行している場合には、動作はこれ らのサービスによって拾われます。 これらのサービスが実行しているか確認します。 service rhnsd start または service osad start スキャンの結果を表示させる方法については 「SCAP の結果を表示させる方法」 を参照してください。 21 Red Hat Network Satellite 5.5 ユーザーガイド 図 6.1 Web UI を使ってスキャンをスケジュールする 手順 6.2 API を使ったスキャン API を使った監査スキャンを実行する場合 1. 既存するスクリプトを選択するか、 フロントエンドの API system .scap.scheduleXccdfScan を使ってシステムスキャンのスケジュールを行うスクリプトを作成します。 スクリプトの例 #!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline') 場所: 1000010001 は system ID (sid) です。 /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xm l はパスのパラメータで す。 クライアントシステム上のコンテンツの場所をポイントします。 この場合、 /usr/local/share/scap ディレクトリ内の USGSB コンテンツと仮定しています。 --profile united_states_governm ent_configuration_baseline は oscap ツー ルの追加引数を表します。 この場合、 USCFGB を使用しています。 2. いずれかのシステムのコマンドラインインターフェースでスクリプトを実行します。 このシステム には適切な python ライブラリと xmlrpc ライブラリをインストールしておく必要があります。 3. rhn_check を実行して、 クライアントシステムで動作が正しく拾われるか確認します。 rhn_check -vv 22 第6章 OpenSCAP 注記 代わりに、 rhnsd や osad がクライアントシステムで実行している場合には、動作はこれ らのサービスによって拾われます。 これらのサービスが実行しているか確認します。 service rhnsd start または service osad start 6.2.3. SCAP の結果を表示させる方法 終了したスキャンの結果を表示させる方法は 3 通りあります。 Web インタフェースを使う方法、 スキャンを実行するとその結果はシステムの 監査 タブに表示され るはずです。 このページについては 「OpenSCAP Satellite のページ」 で説明しています。 ハンドラーの system .scap で API 関数を使う方法 Satellite の spacewalk-reports ツールを使う方法、 次のコマンドを実行します。 # /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results 6.2.4. OpenSCAP Satellite のページ 次のセクションでは、 OpenSCAP を含む Red Hat Network Satellite Web UI 内のタブについて説明してい きます。 6.2.4 .1. 監査 上部ナビゲーションバーの 監査 タブは Red Hat Network Satellite Server 5.5 の OpenSCAP 機能に関す る包括的なページになります。 このタブをクリックすると、 完了した OpenSCAP のスキャンの表示、 検索、 そして比較などを行うことができます。 監査 → 全スキャン 全スキャン は、 監査 タブを選択すると表示されるデフォルトのページです。 このページで は、 操作しているユーザーが表示できるパーミッションを有している OpenSCAP スキャンで完 了したスキャンをすべて表示します。 スキャンのパーミッションはシステムのパーミッションか らきています。 23 Red Hat Network Satellite 5.5 ユーザーガイド 図 6.2 監査 ⇒ 全スキャン 各スキャンに対して次の情報が表示されます。 システム スキャンの対象システム XCCDF プロファイル 評価を行ったプロファイル 完了 完了した時間 合格 合格したルール数 (評価の結果が合格または修正済みになる場合そのルールは合格とみ なされます) 不合格 不合格になったルール数 ( 評価の結果が失敗になる場合そのルールは不合格とみなされ ます) 不明 評価に失敗したルール数 (評価の結果がエラー、 または不明、 チェックされていません などになる場合そのルールは不明とみなされます) また、 XCCDF ルールの評価では 情報 、 適用できません 、 選択されていません のような状態 も返します。 このような場合、 ルールはこのページの統計には含まれません。 詳細については 24 第6章 OpenSCAP システムの詳細 → 監査 をご覧ください。 監査 → XCCDF 差分 XCCDF 差分は、 2 つの XCCDF スキャンの比較を視覚化するアプリケーションです。 2 つのス キャンのメタデータの他、 結果の一覧を表示します。 図 6.3 監査 ⇒ XCCDF 差分 スキャンの一覧 ページでアイコンをクリックすると同じようなスキャンの 差分 に直接アクセ スできます。 また、 ID を指定して任意のスキャンの 差分 を取得することもできます。 比較スキャンのいずれか一つにしか表示されないアイテムは「変動」しているとみなされます。 変動アイテムは常にベージュ色で強調表示されます。 比較モードは 3 種類あります。 完全比較 は全スキャンアイテムを表示します。 変更された項目のみ は変更があったアイテムを表示しま す。 変更がない項目のみ は変更がないまたは同じアイテムを表示します。 監査 → 高度な検索 以下のように、 検索ページでは指定した基準に沿ってスキャンの検索を行うことができます。 ルールの結果 対象マシン スキャンの時間枠 25 Red Hat Network Satellite 5.5 ユーザーガイド 図 6.4 監査 ⇒ 高度な検索 検索で返されるのは結果内に含まれるスキャン一覧または結果一覧のいずれかです。 6.2.4 .2. システム → システムの詳細 → Audit このタブとサブタブでは、 システムのコンプライアンススキャンをスケジュールしたり表示させたりする ことができます。 スキャンは NIST 標準の SCAP (Security Content Automation Protocol) を実装する SCAP ツールで行います。 システムのスキャンを行う場合は、 SCAP コンテンツの準備が整い、 「前提 条件」 に記載されている要件がすべて満たされていることを確認してください。 システム → システムの詳細 → 監査 → スキャンの一覧 26 第6章 OpenSCAP 図 6.5 システム ⇒ システムの詳細 ⇒ 監査 ⇒ スキャンの一覧のスキャン結果 このサブタブにはシステム上で完了した全スキャンの要約が表示されます。 コラムの詳細は以下 の通りです。 27 Red Hat Network Satellite 5.5 ユーザーガイド 表 6.1 OpenSCAP スキャンのラベル コラムのラベル 定義 Xccdf のテスト結果 スキャンの結果詳細へのリンクになって いるスキャンテストの結果の名前 完了 スキャンが終了した正確な時間 コンプライアンス 標準的な使用に基づくコンプライアンス の加重のない合格/不合格の配分 P 合格のチェック数 F 不合格のチェック数 E スキャン中に発生したエラー数 U 不明 N このマシンには適用不可 K チェックされていない S 選択されていない I 情報 X 修正済み 合計 チェック合計数 各行の先頭には、 前回行った同様のスキャンと比較した結果を示すアイコンが表示されていま す。 アイコンで示す最新スキャンの結果は以下のいずれかになります。 — 前回のスキャンと比較して違いなし — 偶然による違い — 深刻な違い、 前回のスキャンに比べ不合格が増加しているまたは合格が少ない — 比較できるスキャンが見つからなかったため、 比較は行われなかった システム → システムの詳細 → 監査 → スキャンの詳細 このページには単一スキャンの結果が表示され、 2 セクションに別れています。 XCCDF スキャンの詳細 次のような項目が表示されます。 ファイルパスの全般情報 使用されたコマンドラインの引数 スケジュールを行ったユーザー ベンチマークの識別子とバージョン プロファイルの識別子 プロファイルのタイトル 開始と完了の時間 エラー出力 XCCDF ルールの結果 ルールの結果では、 XCCDF ルール識別子の全一覧が表示され、 各ルール結果のタグと結果 を確認することができます。 この一覧は特定の結果でフィルターをかけることができます。 システム → システムの詳細 → 監査 → スケジュール 28 第6章 OpenSCAP このサブタブで新規のスキャンをスケジュールすることができます。 スキャンを行うシステム上 の XCCDF ドキュメントへのパスと共に追加のコマンドライン引数を与えることができます。 「これ以降にスケジュールする 」のパラメータに応じて、 次にスケジュールされている Satellite サーバーとのチェックインでスキャンが行われます。 Satellite web インターフェースを 使ってスケジュールを行う方法については、 本章の 手順6.1「Web インターフェースを使ったス キャン」 のセクションを参照してください。 29 Red Hat Network Satellite 5.5 ユーザーガイド 第 7章 PAM 認証 Red Hat Network Satellite サーバー は、Pluggable Authentication Modules (PAM) を使用したネットワー クベースの認証システムに対応しています。 PAM とは複数のライブラリのセットで、 システム管理者が Red Hat Network Satellite サーバー に集中型の認証メカニズムを統合する際に利用されます。 PAM を 使った統合により複数のパスワードを覚えておく必要がなくなります。 LDAP、 Kerberos、 Directory Server、 その他のネットワークベースの認証システムなどで PAM を使用 することができます。 本章では、 企業の認証インフラストラクチャで PAM を動作させるための設定方法 について簡単に説明していきます。 手順 7.1 PAM 認証を設定する 1. selinux-policy-targeted パッケージの最新バージョンが手元にあることを確認してくださ い。 # yum update selinux-policy-targeted 2. 以下のように、 allow_httpd_m od_auth_pam の SELinux boolean をセットします。 # setsebool -P allow_httpd_mod_auth_pam 1 3. テキストエディタで /etc/rhn/rhn.conf ファイルを開いて以下の行を追加します。 /etc/pam .d/rhn-satellite に PAM サービスのファイルが作成されます。 pam_auth_service = rhn-satellite 4. 認証を設定するには、 テキストエディタで /etc/pam .d/rhn-satellite サービスファイルを 開いて適切なルールを追加します。 PAM の設定についての詳細は、 Red Hat Enterprise Linux 導入 ガイド の Pluggable Authentication Modules (PAM) の章を参照してください。 注記 Red Hat Network Satellite サーバーで PAM の使用を開始する前に、 まず PAM 認証が正しく動作 することを確認します。 30 第7章 PAM 認証 例 7.1 Red Hat Enterprise Linux 5 i386 システム上の Kerberos で PAM を使用する この例では、 Red Hat Enterprise Linux 5 i386 システムの Kerberos 認証 で PAM を有効にしていま す。 テキストエディタで /etc/pam .d/rhn-satellite サービスファイルを開いて以下のルールを追加 します。 #%PAM-1.0 auth auth auth account required sufficient required required pam_env.so pam_krb5.so no_user_check pam_deny.so pam_krb5.so no_user_check Kerberos 認証しているユーザーの場合は kpasswd でパスワードの変更を行います。 Red Hat Network web サイトでパスワードの変更は行わないでください。 この方法は Satellite サーバー上の ローカルのパスワードの変更を行うだけです。 ユーザーに対して PAM が有効になっているとローカル のパスワードは使用されません。 例 7.2 LDAP で PAM を使用する この例では、 LDAP 認証で PAM を有効にしています。 テキストエディタで /etc/pam .d/rhn-satellite サービスファイルを開いて以下のルールを追加 します。 #%PAM-1.0 auth auth auth account required sufficient required required pam_env.so pam_ldap.so no_user_check pam_deny.so pam_ldap.so no_user_check 31 Red Hat Network Satellite 5.5 ユーザーガイド 第 8章 RPM 自動インストールの一環として、 管理者はバックアップやモニタリングのソフトウェアなど Red Hat で は提供していないカスタムのアプリケーションを導入することがよくあります。 これを行うためには、 ソフトウェアが RPM としてパッケージ化されていなければなりません。 RPM をビルドする環境は Red Hat Enterprise Linux を稼働しているシステム上に設定することができます。 ビルドを行うシステムに は、 目的とするシステム内で使用するパッケージと同じバージョンのパッケージを持たせる必要があるの で注意してください。 つまり、 Red Hat Enterprise Linux 5 ベースのシステム用に RPM をビルドする場 合は、 ビルドを行うシステムにも Red Hat Enterprise Linux 5 を使用する必要があるということです。 同 様に、 Red Hat Enterprise Linux 6 用に RPM をビルドするなら、 ビルドを行うシステムには Red Hat Enterprise Linux 6 を使用しなければなりません。 最低条件として、 ビルドシステムには rpm -build パッケージをインストールしておく必要がありま す。 コンパイラやライブラリなどその他のパッケージも必要となる場合があります。 実稼働環境対応の RPM パッケージは GPG キーで署名してください。 ユーザーがパッケージの出所や完 全性を確認することができるようになります。 RPM の署名に使用する GPG キーのパスフレーズは信頼 できる管理者グループ以外にはわからないようにしてください。 手順 8.1 GPG キーを作成する 重要 以下のコマンドで GPG キーの作成が開始され、 クライアントシステムへの配布に適した形式での キーのエクスポートが行われます。 作成されたキーは安全な場所に保管し、 バックアップをとっ ておいてください。 1. キーを作成するためのディレクトリを作成します。 mkdir -p ~/.gnupg 2. キーペアを生成します。 gpg --gen-key キーの種類、サイズ、有効期間を選択する必要があります (デフォルト値を利用する場合は enter を押す)。 また、 名前、 コメント、 電子メールアドレスも指定する必要があります。 Real name: rpmbuild Email address: [email protected] Comment: this is a comment You selected this USER-ID: "rpmbuild (this is a comment) <[email protected]>" Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O キーを押して詳細を承認し続行します。 3. すべてのキーとそのフィンガープリントを表示させます。 gpg --list-keys --fingerprint 4. キーのエクスポート 32 第8章 RPM gpg --export --armor "rpmbuild <[email protected]>" > EXAMPLE-RPM-GPGKEY 5. root として gpg --im port のコマンドを全システムで実行すると、 RPM データベースにこの キーがインポートされ、 RPM の出所と完全性の確認が行えるようになります。 rpm --import EXAMPLE-RPM-GPG-KEY これはクライアントのインストール中に自動的に行われるため、 手動で実行する必要はないはずで す。 6. RPM の作成が完了したら、 GPG キーで署名して該当チャンネルにアップロードします。 rpm --resign package.rpm rhnpush --server=http[s]://satellite.server/APP package.rpm -channel=custom-channel-name 7. RPM パッケージを検証するには、 パッケージが格納されているディレクトリに行き以下のコマン ドを実行します。 rpm –qip package.rpm rpm -K package.rpm 手順 8.2 RPM をビルドする 1. パッケージをビルドするために rpm build という名前の特権のないユーザーアカウントを作成し ます。 これにより、 複数の管理者がビルド環境と GPG キーを共有できるようになります。 2. rpm build ユーザーのホームディレクトリとなる /hom e/rpm build 内に .rpm m acros という 名前のファイルを作成します。 touch /home/rpmbuild/.rpmmacros 3. テキストエディタで .rpm m acros のファイルを開いて以下の行を追加します。 _gpg_name は RPM の署名に使用した GPG キー名と一致する必要があります。 %_topdir %_signature %_gpg_name %(echo $HOME)/rpmbuild %gpg rpmbuild <[email protected]> 定義した最上位のディレクトリのレイアウトは (上記の例では /hom e/rpm build/rpm build)、 /usr/src/redhat 配下のディレクトリレイアウトと同じでなければなりません。 33 Red Hat Network Satellite 5.5 ユーザーガイド 例 8.1 RPM spec ファイル 以下は、 RPM spec ファイルの基本的な一例です。 ビルドを行う際、 このファイルはユーザーの .rpm m acros ファイル内で定義されているように _topdir 下の SPECS ディレクトリ内になければ なりません。 また対応するソースファイルとパッチファイルは SOURCES ディレクトリ内になければ なりません。 Name: foo Summary: The foo package does foo Version: 1.0 Release: 1 License: GPL Group: Applications/Internet URL: http://www.example.org/ Source0 : foo-1.0.tar.gz Buildroot: %{_tmppath}/%{name}-%{version}-%{release}-root Requires: pam BuildPrereq: coreutils %description This package performs the foo operation. %prep %setup -q %build %install mkdir -p %{buildroot}/%{_datadir}/%{name} cp -p foo.spec %{buildroot}/%{_datadir}/%{name} %clean rm -fr %{buildroot} %pre # Add user/group here if needed %post /sbin/chkconfig --add food %preun if [ $1 = 0 ]; then # package is being erased, not upgraded /sbin/service food stop > /dev/null 2>&1 /sbin/chkconfig --del food fi %postun if [ $1 = 0 ]; then # package is being erased # Any needed actions here on uninstalls else # Upgrade /sbin/service food condrestart > /dev/null 2>&1 fi %files %defattr(-,root,root) %{_datadir}/%{name} %changelog * Mon Jun 16 2003 Some One <[email protected]> - fixed the broken frobber (#86434) 34 第9章 ブートデバイス 第 9章 ブートデバイス 自動インストール (または キックスタート) は効率的なシステムのプロビジョニングに欠かせません。 本 章では、 クライアントのキックスタートに使用する様々なタイプのブートメディアを作成する方法につい て説明します。 プロビジョニングにキックスタートを使用する方法については Red Hat Network Satellite サーバーのス タートガイド を参照してください。 Red Hat Enterprise Linux CD のブートイメージとなる boot.iso はブートデバイスの作成に必須の要件 です。 このイメージがシステムのどこにあるのかを確認して、 その場所を書き留めておきます。 手順 9.1 CD のブートメディア 注記 以下で使用するバックスラッシュ「\」はコマンドが一行で構成されているためシェルプロンプト でも改行せず一行として入力するという意味です。 1. ブートイメージ用の作業ディレクトリを作成します。 mkdir -p temp cd/isolinux 2. ブートイメージを tem p ディレクトリにマウントします。 mount -o loop boot.iso temp 3. CD ブートメディアデバイスに必要なファイルを上記で作成したディレクトリにコピーします。 cp -aP temp/isolinux/* cd/isolinux/ 4. tem p ディレクトリをアンマウントし、 cd ディレクトリのパーミッションをユーザーに対して読 み取りと書き込みに変更します。 umount temp chmod -R u+rw cd 5. ./cd ディレクトリに移動します。 cd ./cd 6. /usr/lib/syslinux/m enu.c32 ファイルを CD にコピーします。 cp -p /usr/lib/syslinux/menu.c32 isolinux 7. テキストエディタで isolinux/isolinux.cfg ファイルを開いて以下の行を追加します。 mkisofs -o ./custom-boot.iso -b isolinux/isolinux.bin -c isolinux/boot.cat no-emul-boot \ -boot-load-size 4 -boot-info-table -J -l -r -T -v -V "Custom RHEL Boot" . 8. 必要に応じて、 CD による起動用に isolinux.cfg 内のブートパラメータとターゲットをカスタ マイズします。 35 Red Hat Network Satellite 5.5 ユーザーガイド 9. 詳細を CD に焼き付けたら手順は終了です。 手順 9.2 PXE ブート 1. ブートイメージ用の作業ディレクトリを作成します。 mkdir -p temp pxe/pxelinux.cfg 2. ブートイメージを tem p ディレクトリにマウントします。 mount -o loop boot.iso temp 3. PXE ブートデバイスに必要なファイルを上記で作成したディレクトリにコピーします。 cp -aP temp/isolinux/* pxe/ 4. tem p ディレクトリをアンマウントし、 cd ディレクトリのパーミッションをユーザーに対して読 み取りと書き込みに変更します。 umount temp chmod -R u+rw pxe 5. /pxe ディレクトリに移動します。 cd ./pxe 6. /usr/lib/syslinux/m enu.c32 ファイルを /pxe ディレクトリにコピーします。 cp -p /usr/lib/syslinux/menu.c32 . 7. isolinux.cfg ファイルを pxelinux.cfg/default に移動します。 mv isolinux.cfg pxelinux.cfg/default 8. 一時ファイルを削除します。 rm -f isolinux.bin TRANS.TBL 9. /usr/lib/syslinux/pxelinux.0 ファイルを /pxe ディレクトリにコピーします。 cp -p /usr/lib/syslinux/pxelinux.0 . 10. テキストエディタで pxelinux.cfg/default ファイルを開いて PXE ブートに必要なブートパラ メータやターゲットをカスタマイズします。 手順 9.3 USB ブートメディア 36 第9章 ブートデバイス 警告 root としてこれらのコマンドを実行する際には (最も重要な部分で必要とされます)、極めて慎重に 行ってください。これらのコマンドは、デバイスファイルにアクセスするため、システムが回復不 可能なダメージを受ける可能性があります。以下の例では、マウントに /dev/loop0 を使用して います。losetup -f のコマンドを使用すると、どれが正しいデバイスかを確認することができ ます。 1. ブートイメージ用の作業ディレクトリを作成します。 mkdir -p temp usb/extlinux 2. ブートイメージを tem p ディレクトリにマウントします。 mount -o loop boot.iso temp 3. USB メディアブートデバイスに必要なファイルを上記で作成したディレクトリにコピーします。 cp -aP temp/isolinux/* usb/extlinux/ 4. tem p ディレクトリをアンマウントし、 cd ディレクトリのパーミッションをユーザーに対して読 み取りと書き込みに変更します。 umount temp chmod -R u+rw usb 5. /usb ディレクトリに移動します。 cd ./usb 6. /usr/lib/syslinux/m enu.c32 ファイルを extlinux/ ディレクトリにコピーします。 cp -p /usr/lib/syslinux/menu.c32 extlinux/ 7. extlinux/isolinux.cfg ファイルを extlinux/extlinux.conf に移動します。 mv extlinux/isolinux.cfg extlinux/extlinux.conf 8. 一時ファイルを削除します。 rm -f extlinux/isolinux.bin extlinux/TRANS.TBL 9. custom -boot.im g ファイルを変換して、コピーします。 dd if=/dev/zero of=./custom-boot.img bs=1024 count=30000 10. ループバックデバイスをマウントするための正しい場所を確認します。 losetup -f /dev/loop0 37 Red Hat Network Satellite 5.5 ユーザーガイド ブートイメージを使用して、ループバックデバイスを設定します。 losetup /dev/loop0 ./custom-boot.img 11. fdisk ユーティリティを開きます。 fdisk /dev/loop0 デバイス上にブート可能なプライマリパーティションをひとつ作成します。 次のキーの組み合わせ を押すと作成することができます。 n p 1 Enter Enter a 1 p w 12. マスターブートレコード (MBR) をループバックデバイスにコピーします。 dd if=/usr/lib/syslinux/mbr.bin of=/dev/loop0 13. ループバックデバイスにパーティションマップを追加します。 kpartx -av /dev/loop0 14. ファイルシステムを作成します。 mkfs.ext2 -m 0 -L "Custom RHEL Boot" /dev/mapper/loop0p1 15. デバイスをマウントします。 mount /dev/mapper/loop0p1 temp 16. 一時的なファイル群を削除します。 rm -rf temp/lost+found 17. extlinux/ ディレクトリを一時ディレクトリにコピーします。 cp -a extlinux/* temp/ 18. ブートローダを一時ディレクトリにインストールします。 extlinux temp 19. 一時ディレクトリをアンマウントします。 umount temp 20. ループバックデバイス上のパーティションマップを削除します。 kpartx -dv /dev/loop0 21. ループバックデバイスを削除します。 losetup -d /dev/loop0 ファイルシステムの変更を同期します。 sync 38 第9章 ブートデバイス 22. テキストエディタで extlinux.conf ファイルを開いて USB ブートに必要なブートパラメータと ターゲットをカスタマイズします。 23. イメージを USB デバイスに移動したら手順は完了です。 デバイスを挿入して、 dm esg のコマン ドを実行しマウントの場所を確認します。 この例では /dev/sdb になります。 USB デバイスをアンマウントします。 umount /dev/sdb イメージを USB デバイスにコピーします。 dd if=./custom-boot.img of=/dev/sdb 39 Red Hat Network Satellite 5.5 ユーザーガイド 第 10章 組織 各配備を系統別に準備した入れ物に区分することができます。 この入れ物 (つまり 組織) を活用してシス テムの用途や所有権、 配備されているコンテンツ別に分けて保守を行うことができます。 Red Hat Network Satellite ひとつで複数の 組織 の作成そして管理に対応しています。 異なるグループの システム群、 コンテンツ、 サブスクリプションなどを区分することができます 本章では、 複数の組織の 作成と管理に関する基本的な概念および作業について要約しています。 組織 の Web インターフェースでは、 管理者による複数の Satellite 組織の表示、 作成、 管理が可能で す。 Satellite の管理者は異なる組織を横断してソフトウェアやシステムのエンタイトルメントを割り当て ることができます。 また、 任意の組織によるシステム管理作業へのアクセス権を制御することもできま す。 新しい組織を作成してその組織用の管理者やエンタイトルメントの割り当てを行うのが Satellite 管理者で す。 担当する組織のグループ、 システム、 およびユーザーの割り当てを行うのが組織の管理者です。 こ うした分担を行うことにより、 組織単位の管理作業は他の組織に影響を与えることなくその組織の管理者 で行うことができるようになります。 図 10.1 管理 組織 のページには、Satellite 全体での組織一覧が表示され、 各組織に割り当てられたユーザー数とシス テム数も表示されます。 組織 のページには、 組織間で確立している「信頼」がある場合には 信頼 の ページも備わっています。 40 第10章 組織 10.1. 組 織 を 作 成 す る 手順 10.1 組織を作成する 1. 新規の組織を作成する場合は、 管理 メニューを開いて 組織 => 新規の組織を作成 の順で選択し ます。 図 10.2 新規の組織を作成 2. 所定のテキストボックスに、組織名を入力します。この名前は、3 〜 128 文字にしてください。 3. 以下のような情報を入力して組織の管理者を作成します。 組織管理者用の 希望のログイン を 3 〜 128 文字の長さで入力します。 組織管理者のアカウン ト名にはその組織の管理ログイン名と一致する、 わかりやすい名前にすることをお勧めしま す。 希望のパスワード を作成し、そのパスワードを 確認 します。 組織管理者の Em ail アドレスを入力します。 組織管理者の ファーストネーム (名前 ) と ラストネーム (苗字 ) を入力します。 4. 組織の作成 のボタンをクリックして、プロセスを完了します。 新規組織の作成が完了すると、組織 のページの一覧に新規組織が表示されます。 Satellite 管理者の方には、 organization 1 の組織管理者アカウントを Satellite 管理用に確保しておく ことをお勧めします。 必要が生じた場合、 組織へのログインが可能になります。 41 Red Hat Network Satellite 5.5 ユーザーガイド 重要 Red Hat Network Satellite に PAM 認証が設定されている場合は、 新しい組織の Satellite 管理用の 組織管理者アカウントに PAM アカウントを使用するのは避けてください。 代わりに、 組織管理者 用に Satellite ローカルのアカウントを作成し、 Satellite ログイン用の PAM 認証アカウントは別途 あまり特権を持たせずに確保します。 間違った操作を行ってしまう可能性が高いため、 この方法 によりユーザーが上位の権限持ったアカウントで Red Hat Network Satellite にログインしないよう にします。 10.2. 複 数 の エ ン タ イ ト ル メ ン ト を 管 理 す る 新規の組織を作成したら、 その組織へのエンタイトルメントの割り当てが重要な作業となります。 Management や Provisioning といったシステムエンタイトルメントが各システムに必要になります。 ま た、 カスタムチャンネル以外のチャンネルを使用するシステムには rhel-server や rhn-tools など のチャンネルエンタイトルメントも必要になります。 Management エンタイトルメントは組織が正しく機 能するための基本要件です。 組織に割り当てられる Management エンタイトルメントの数は、 Red Hat Network Satellite 上でその組織に登録できるシステムの最大数と同じであり、 使用可能な Software エン タイトルメント数には関係ありません。 例えば、 Red Hat Enterprise Linux の Client エンタイトルメント は合計で 100 個あるけれど組織で使用できる Management エンタイトルメントは 50 個しかない場合、 その組織に登録できるシステム数は 50 システムのみになります。 また、 Red Hat Network T ools ソフトウェアチャンネルのエンタイトルメントも各組織に付与する必要が あります。 Red Hat Network T ools チャンネルには、 Satellite の機能拡張に必要な各種のクライアントソ フトウェアが含まれています。 これには、 設定管理やキックスタートのサポートに必要なクライアント ソフトウェアの他、 Xen や KVM の仮想化ゲストのエンタイトルメント数が正しくカウントされるために 必要な rhn-virtualization パッケージなども含まれます。 サブスクリプション のインターフェースにアクセスするには、 管理 メニューを開いて 組織 を選択しま す。一覧から組織を一つ選択して、サブスクリプション タブを選択します。 サブスクリプション インターフェースで、ソフトウェアチャンネルエンタイトルメント のタブを開 き、すべての組織のエンタイトルメントと使用状況を確認します。 Satellite 管理者は、 ソフトウェアチャンネルのエンタイトルメント タブ内の 組織 のタブで各組織が 利用できるソフトウェアチャンネル数を調整することができます。 適切な数を (可能な値 に記載されて いる範囲内で) 入力して、 組織の更新 ボタンをクリックしこの値を変更します。 チャンネルエンタイトルメントは、通常 または Flex のいずれかになります。 Regular のエンタイトルメ ントはどのシステムにでも使用できます。 Flex のエンタイトルメントはサポートされている仮想化タイプ のゲストとして検出されたシステムにのみ使用することができます。 注記 カスタムチャンネルを使用できるのは、 そのチャンネルを作成した組織管理者のみで、 使用でき るのは組織内に限られます。 ただし、 チャンネルを共有させる予定のある複数の組織間で「組織 の信頼」が確立されている場合を除きます。 組織の信頼については 「組織の信頼」 を参照してく ださい。 組織 のタブには サブスクリプション +システムのエンタイトルメント のセクションもあり、以下のよ うな情報が表示されます。 42 第10章 組織 合計 : Satellite 用のチャンネルエンタイトルメントの合計数 利用可能数量 : 現在割り当てが可能なエンタイトルメントの数 使用 : すべての組織で現在使用されているエンタイトルメントの数と割り当てられているエンタイトル メントの数との対比 例えば、合計 のコラムが 100 で、利用可能数量 のコラムが 70 の場合、30 のエンタイトルメントが組 織に割り当てられていることになります。使用 のコラムには、これらの 30 の割り当て済みエンタイトル メントの中で、ベース組織以外の組織が現在使用しているエンタイトルメントの数が表示されます。使用 のコラムに 24 of 30 (80%) と表示されている場合、合計で 30 割り当てられているうち、24 のチャン ネルエンタイトルメントが Satellite 組織 (organization 1 以外) に分配されていることになります。 サブスクリプション のインターフェースで、ソフトウェアチャンネルエンタイトルメント のタブを 選択し、すべての組織のエンタイトルメントと使用状況を確認します。その中の一つの組織をクリックし て、その組織についての詳しい情報を提供する 詳細 のページを表示します。 アクティブなユーザー : 組織内のユーザー数 システム : 組織にサブスクライブしているシステムの数 システムグループ : 組織にサブスクライブしているグループの数 アクティベーションキー : 組織が利用可能なアクティベーションキーの数 キックスタートプロファイル : 組織が利用可能なキックスタートプロファイルの数 設定チャンネル : 組織が利用可能な設定チャンネルの数 このページから、組織の削除 のリンクをクリックすると、組織を削除することができます。 10.3. 単 一 の 組 織 内 で の シ ス テ ム の 設 定 組織の作成が完了し、必要なエンタイトルメントを割り当てたら、次に、システムを割り当てることがで きます。 特定の組織にシステムを登録するには、以下のような 2 つの基本的な方法があります。 ユーザーネームとパスワードを使用した登録 指定の組織用に作成されたユーザー名とパスワードを入力すると、 システムがその組織に登録さ れます。 例えば、 user-123 が Satellite 上の Central IT 組織のメンバーである場合、 任意 のシステム上で以下のコマンドを実行するとそのシステムは Satellite 上の Central IT 組織に 登録されます。 rhnreg_ks --username=user-123 --password=foobar 注記 rhnreg_ks 内の --orgid パラメータは、 Satellite の登録や Red Hat Network Satellite の複数組織のサポートとは 関係ありません。 アクティベーションキーを使用した登録 組織のアクティベーションキーを使用してもシステムを登録することができます。 アクティベー ションキーが作成された組織にシステムを登録します。 ユーザーにシステムの組織への登録を行 わせる際にその組織へのログインアクセスは与えないようにしたい場合、 アクティベーション 43 Red Hat Network Satellite 5.5 ユーザーガイド キーを使った登録方法が便利です。 rhnreg_ks --activationkey=21-myactivationkey 組織間でシステムを移行したい場合には、アクティベーションキーを使用したスクリプトで移行 作業を自動化することもできます。 注記 アクティベーションキーの先頭部分の文字は、 キーを所有する組織の ID 番号を示すのに 使用されています。 10.4. 組 織 の ユ ー ザ ー ユーザー のページには、 Satellite 上の全組織の全ユーザーの一覧が表示されます。 ユーザー のページには、組織に割り当てられたユーザーが一覧表示され、各ユーザーの本名、Email アド レス、ユーザーが組織の管理者であることを示すチェックマークが表示されます。 組織管理者である場合は、ユーザー名をクリックして、そのユーザーの ユーザーの詳細 のページを開く ことができます。 注記 組織のユーザー詳細を編集する場合は、 組織管理者としてログインしている必要があります。 Satellite 管理者のロールでは組織のユーザー詳細の編集は許可されていません。 Satellite 管理者の ロールで行えるのは、 Satellite 内の他のユーザーに Satellite 管理者のロールを割り当てることのみ です。 10.5. 組 織 の 信 頼 組織は、組織の信頼関係を確立することによって、リソースを相互に共有することができます。組織の信 頼は、Satellite 管理者によって定義され、組織管理者によって実装されます。複数の組織間で信頼が確立 すると、各組織の組織管理者は必要最大限もしくは最小限のリソースを自由に共有することができるよう になります。どのリソースを共有の対象とするか、信頼関係にある他の組織からの共有リソースの中でど れを使用するかは、各組織管理者が決定します。 各信頼関係は、他の組織の信頼関係とは異なり、一意的かつ相互排他的です。例えば、経理組織が財務組 織を信頼し、かつ財務組織が施設組織を信頼する場合でも、経理組織と施設組織の間で別の信頼関係が定 義されていない限りは、経理組織は施設組織を信頼することにはなりません。 44 第10章 組織 図 10.3 組織の信頼 手順 10.2 組織の信頼の確立 Satellite 管理者は、次の手順に従って、複数の組織間の信頼を作成することができます。 1. 管理 のメインページのメニューの 組織 のリンクをクリックします。 2. 組織名を1 つクリックし、詳細 のページ内の 信頼 のタブをクリックします。 3. 信頼 のタブには、 Red Hat Network Satellite 上にあるその他すべての信頼できる組織の一覧が表示 されます。 組織が多すぎて一覧が見づらい場合は 組織別にフィルター のテキストボックスを使用 して分類します。 4. 現在の組織との組織の信頼に入れたい組織名の横のチェックボックスをクリックします。 5. 信頼の変更 のボタンをクリックして、信頼を作成します。 組織の信頼が確立すると、組織は、信頼関係にある別の組織とカスタムソフトウェアチャンネルを共有で きるようになります。チャンネル共有には 3 つのレベルがあり、これらを各チャンネルに適用してチャン ネルアクセスを制限することができます。 プライベート オーナー組織以外はチャンネルにアクセスできないようにします。 保護 自分で選択した特定の信頼する組織にチャンネルへのアクセスを許可します。 公開 信頼関係内にある全組織にカスタムチャンネルへのアクセスを許可します。 45 Red Hat Network Satellite 5.5 ユーザーガイド 信頼関係内にある全組織にカスタムチャンネルへのアクセスを許可します。 保護または公開のアクセスモードでコンテンツにアクセスすることを許可されている「信頼できる組織」 は、 その組織のクライアントシステムが共有チャンネルからパッケージをインストールまたは更新できる ようにすることができます。 以下のいずれかの状況が発生した場合には、サブスクリプションアクセスを 失う場合があります。 Satellite 管理者が信頼関係を削除した場合 組織管理者がチャンネルアクセスをプライベートに変更した場合 組織管理者がチャンネルアクセスをプライベートに変更したが、保護されたチャンネルの一覧内にサ ブスクライブしているシステムの組織を追加していない場合 組織管理者が共有チャンネルを直接削除した場合 組織管理者が共有している子チャンネルの親チャンネルを削除した場合 注記 Red Hat ソフトウェアチャンネルはすべてエンタイトルメントによって管理されています。 Red Hat チャンネルは、 そのチャンネルのエンタイトルメントを持つすべての組織で利用できるため、 組織管理者は Red Hat チャンネルを共有することはできません。 各組織に対してRed Hat ソフト ウェアチャンネルのエンタイトルメントを割り当てるのは Satellite 管理者の役割になります。 手順 10.3 システムを移行する 信頼関係にある組織は、ソフトウェアを共有できるのに加えて、m igrate-system -profile という ユーティリティを使用して、他の信頼できる組織にシステムを移行することもできます。このユーティリ ティはコマンドラインで実行され、systemID と orgID を使用して移行対象のシステムと移行先の組織を 指定します。Satellite 管理者は、信頼できる任意の組織から、信頼関係にある任意の別組織にシステムを 移行することができますが、組織管理者の場合は、自分の組織から、信頼関係にある別組織にしかシステ ムを移行できません。 m igrate-system -profile のコマンドを実行するには、 spacewalk-utils のパッケージをインス トールしておく必要があります。 spacewalk-utils は通常、 Red Hat Network Satellite ではデフォル トでインストールされます。 組織で m igrate-system -profile のコマンドを使用し任意のシステム の移行を行う場合、 移行元の組織のエンタイトルメントやチャンネルサブスクリプションは引き継がれま せん。 ただし、 システムの履歴は保持されるので、 新たな組織管理者はその履歴にアクセスして、 ベー スチャンネルのサブスクライブやエンタイトルメントの付与といった残りの移行プロセスを簡素化するこ とができます。 1. 以下の形式を用いて、コマンドを実行します。 migrate-system-profile --satellite SATELLITE HOSTNAME OR IP -systemId=SYSTEM ID --to-org-id=DESTINATION ORGANIZATION ID 例えば、 財務部門 (OrgID 2 で Red Hat Network Satellite 内の組織として作成) ではワークステー ション (SystemID 10001020) をエンジニアリング部門から移行したいが、 財務部門の管理者 には Red Hat Network Satellite サーバーへのシェルアクセスがないとします。 Red Hat Network Satellite のホスト名は satserver.exam ple.com です。 この場合、 財務部門の組織管理者は シェルプロンプトから以下のように入力します。 migrate-system-profile --satellite satserver.example.com --systemId=10001020 --to-org-id=2 46 第10章 組織 このユーティリティは、次にユーザー名とパスワードを求めるプロンプトを表示します。 2. これでRed Hat Network Satellite Web インターフェースにログインすると、システム のページで このシステムを確認することができるようになります。 イベント タブにあるシステムの 履歴 ペー ジに記載され組織に登録されている別のシステムのクライアントにベースチャンネルを割り当てし エンタイトルメントを付与すると移行プロセスが完了します。 図 10.4 システムの履歴 3. Satellite 管理者が複数のシステムを一度に移行する必要がある場合には、m igrate-system profile の --csv のオプションを使用し移行対象のシステムをコンマで区切って並べプロセスを 自動化することができます。 CSV ファイルには、 以下のような形式で移行対象のシステムの ID と移行先の組織 ID が一行に記載 されるはずです。 systemId,to-org-id 例えば、systemId が 1000010000 で to-org-id が 3 なら、 CSV ファイルは以下のような記載 になります。 1000010000,3 1000010020,1 1000010010,4 47 Red Hat Network Satellite 5.5 ユーザーガイド 改訂履歴 改訂 3-5.2.4 00 2013-10-31 Landmann Rüdiger [FAMILY Given] Fri Nov 30 2012 Mizumoto Noriko [FAMILY Given] Rebuild with publican 4.0.0 改訂 3-5.2 翻訳更新 5.5版 改訂 3-5.1 Sun Nov 4 2012 翻訳ファイルをXMLソース3-5と同期 Chuang T erry [FAMILY Given] 改訂 3-5 Wed Sept 19 2012 Macpherson Dan [FAMILY Given] Fri Aug 31 2012 Chan Athene [FAMILY Given] 改訂 3-3 Fri Aug 24 2012 BZ #839798 第 4.3 章の例を標準の形式に変更 Chan Athene [FAMILY Given] 改訂 3-3 Fri Aug 24 2012 BZ #839798 第 4.3 章の例を標準の形式に変更 Chan Athene [FAMILY Given] 改訂 3-2 Fri Aug 24 2012 BZ #826501 QA レビューによる変更を適用 BZ #884313 QA レビューによる変更を適用 Chan Athene [FAMILY Given] 5.5 用の最終パッケージ 改訂 3-4 BZ #839798 若干の編集 改訂 3-1 Fri Aug 17 2012 Chan Athene [FAMILY Given] BZ #848313 OpenSCAP の章「SCAP の結果を表示する方法」を追加 改訂 3-0 T hu Aug 9 2012 レビューのたためステージング公開 Chan Athene [FAMILY Given] 改訂 2-5 Wed Aug 1 2012 BZ #839798 「spacewalk-clone-by-date」の章を追加 BZ #826501 OpenSCAP に関する新しい記載を追加 Chan Athene [FAMILY Given] 改訂 2-0 Fri Jul 6 2012 RHN Satellite 5.5 リリース用に準備 BZ #826501 OpenSCAP の章を追加 OpenSCAP のスクリーンショットを追加 Chan Athene [FAMILY Given] 改訂 1-5 Mon Aug 15 2011 z-stream リリースの変更を y-stream に適用 Brindley Lana [FAMILY Given] 改訂 1-4 Brindley Lana [FAMILY Given] 48 Mon Jun 20 2011 改訂履歴 BZ #701900 - PAM 認証 改訂 1-3 Mon Jun 20 2011 BZ #714029 - イメージの色調を修正 Brindley Lana [FAMILY Given] 改訂 1-2 発行の準備 Brindley Lana [FAMILY Given] Wed Jun 15 2011 改訂 1-1 Fri May 27 2011 翻訳者のフィードバックに基づいた更新 Brindley Lana [FAMILY Given] 改訂 1-0 翻訳の準備 Fri May 6, 2011 Brindley Lana [FAMILY Given] 改訂 0-15 BZ #701818 - QE レビュー T hu May 5, 2011 Brindley Lana [FAMILY Given] 改訂 0-14 BZ #248465 - QE レビュー Mon May 2, 2011 Brindley Lana [FAMILY Given] 改訂 0-13 BZ #692295 - QE レビュー Fri Apr 29, 2011 Brindley Lana [FAMILY Given] 改訂 0-12 BZ #691985 - 画像の更新 Mon Apr 18, 2011 Brindley Lana [FAMILY Given] 改訂 0-11 BZ #691990 - QE レビュー Mon Apr 18, 2011 Brindley Lana [FAMILY Given] 改訂 0-10 BZ #691985 - QE レビュー Mon Apr 18, 2011 Brindley Lana [FAMILY Given] 改訂 0-9 T hu Apr 14 , 2011 テクニカルレビューのフィードバック Brindley Lana [FAMILY Given] 改訂 0-8 BZ #692314 BZ #692294 BZ #692291 BZ #692290 BZ #691988 BZ #691986 BZ #691981 Wed Apr 13, 2011 Brindley Lana [FAMILY Given] 改訂 0-7 テクニカルレビューの準備 Wed Mar 23, 2011 Brindley Lana [FAMILY Given] 改訂 0-6 RPM ブートデバイス Mon Feb 19, 2011 Brindley Lana [FAMILY Given] - QE レビュー - QE レビュー - QE レビュー - QE レビュー - QE レビュー - QE レビュー - QE レビュー 49 Red Hat Network Satellite 5.5 ユーザーガイド 組織 改訂 0-5 モニタリング PAM 認証 Fri Feb 18, 2011 Brindley Lana [FAMILY Given] 改訂 0-4 バックアップと復元 Mon Jan 10, 2011 Brindley Lana [FAMILY Given] 改訂 0-3 ユーザーの管理 前書き 自動同期 Fri Jan 7, 2011 Brindley Lana [FAMILY Given] 改訂 0-2 ユーザーの管理 Wed Jan 5, 2011 Brindley Lana [FAMILY Given] 改訂 0-1 新たな章構成を完了 T ue Jan 4 , 2011 Brindley Lana [FAMILY Given] 改訂 0-0 T ue Dec 21, 2010 Brindley Lana [FAMILY Given] Red Hat Network Satellite デプロイメントガイドの原版から新規ドキュメントを作成 索引 シンボル パスワード - 変更する, ユーザーの管理 マシンのクローンを作成する - spacewalk-clone-by-date, マシンのクローンを作成する ユーザー , ユーザーの管理 - Email アドレスを変更する, ユーザーの管理 - パスワードを変更する, ユーザーの管理 - ロール, ユーザーの管理 - 停止, ユーザーアカウントの追加/停止/削除 - 削除 (Red Hat Network Satellite サーバーのみ), ユーザーアカウントの追加/停止/削除 - 追加, ユーザーアカウントの追加/停止/削除 ユーザーのロール , ユーザーの管理 停止 - ユーザー, ユーザーアカウントの追加/停止/削除 削除 - ユーザー (Red Hat Network Satellite サーバーのみ), ユーザーアカウントの追加/停止/削 50 索引 除 前提条件 - OpenSCAP, 前提条件 特長 , OpenSCAP の特長 監査する - OpenSCAP, OpenSCAP 監査スキャン , 監査スキャンを行う - OpenSCAP, 監査スキャンを行う 追加 - ユーザー, ユーザーアカウントの追加/停止/削除 A API - 監査スキャン, 監査スキャンを行う E Email アドレス - 変更する, ユーザーの管理 O OpenSCAP, OpenSCAP, OpenSCAP の特長 , 前提条件 , 監査スキャンを行う P PAM 認証 - 実装, PAM 認証 S Satellite 管理者 , ユーザーの管理 spacewalk-clone-by-date, マシンのクローンを作成する W Web UI - 監査スキャン, 監査スキャンを行う 51 Red Hat Network Satellite 5.5 ユーザーガイド Web サイト - ユーザー, ユーザーの管理 52