openEulerクライアントの登録

Table of Contents

1. ソフトウェアチャンネルの追加
2. 同期ステータスの確認
3. アクティベーションキーの作成
4. クライアントでGPGキーを信頼する
5. クライアントでGPGキーを信頼する
- 5.1. ユーザ定義のGPGキー
- 5.2. ブートストラップスクリプトのGPGキー
6. クライアントの登録

このセクションでは、openEulerオペレーティングシステムを実行しているクライアントの登録について説明します。

AWSで作成する場合、openEulerインスタンスには、/etc/machine-idで常に同じmachine-id IDが割り当てられます。インスタンスを作成した後に、必ずmachine-idを再生成してください。詳細については、クローンクライアントの登録のトラブルシューティングを参照してください。

1. ソフトウェアチャンネルの追加

openEulerクライアントをSUSE Managerサーバに登録する前に、必要なソフトウェアチャンネルを追加して同期する必要があります。

現在サポートされているアーキテクチャは、「 x86_64」と「 aarch64」です。サポートされている製品およびアーキテクチャの完全な一覧については、サポートされているクライアントと機能を参照してください。

次のセクションでは、x86_64アーキテクチャに基づく説明が多いです。必要に応じて他のアーキテクチャに置き換えてください。

2. 同期ステータスの確認

プロシージャ: コマンドプロンプトから同期の進捗状況を確認する

SUSE Managerサーバのコマンドプロンプトで、rootとして、tailコマンドを使用して同期ログファイルを確認します。
```
tail -f /var/log/rhn/reposync/<channel-label>.log
```
それぞれの子チャンネルは、同期の進捗中にそれぞれのログを生成します。同期が完了したことを確認するには、ベースチャンネルと子チャンネルのログファイルをすべて確認する必要があります。

3. アクティベーションキーの作成

openEulerチャンネルと関連付けられているアクティベーションキーを作成する必要があります。

アクティベーションキーの詳細については、アクティベーションキーを参照してください。

オペレーティングシステムは、独自のGPGキーを直接信頼するか、少なくとも最小限のシステムでインストールされて出荷されます。ただし、別のGPGキーで署名されたサードパーティのパッケージは手動で処理する必要があります。クライアントは、GPGキーを信頼していなくても正常にブートストラップできます。ただし、キーが信頼されるまで、新しいクライアントツールパッケージをインストールしたり、更新したりできません。

クライアントは、ソフトウェアチャンネルに入力されたGPGキーの情報を使用して信頼済みのキーを管理するようになります。GPGキーの情報が含まれるソフトウェアチャンネルをクライアントに割り当てると、チャンネルを更新したとき、またはこのチャンネルから最初のパッケージをインストールしたときに、そのキーが信頼されます。

ソフトウェアチャンネルページのGPGキーのURLには、「空白」で区切られた複数のキーのURLを含めることができます。ファイルURLの場合は、ソフトウェアチャンネルを使用する前に、GPGキーファイルをクライアントに配備する必要があります。

Red Hatベースのクライアントのクライアントツールチャンネル用GPG キーは、クライアントの/etc/pki/rpm-gpg/に配備され、ファイルURLで参照できます。

SUSE Liberty LinuxクライアントのGPGキーの場合も同様です。

ソフトウェアチャンネルがクライアントに割り当てられている場合にのみ、システムによってインポートされて信頼されます。

Debianベースのシステムはメタデータのみに署名するため、単一チャンネルに追加のキーを指定する必要はありません。リポジトリメタデータの署名の「独自のGPGキーを使用する」で説明されているように、ユーザが独自のGPGキーを設定してメタデータに署名すると、そのキーの配備と信頼が自動的に実行されます。

5.1. ユーザ定義のGPGキー

ユーザは、クライアントに配備するカスタムのGPGキーを定義できます。

いくつかのpillarデータを提供し、SaltファイルシステムにGPGキーファイルを提供することで、自動的にクライアントに配備されます。

これらのキーは、RPMベースのオペレーティングシステムでは/etc/pki/rpm-gpg/に、Debianシステムでは/usr/share/keyrings/に配備されます。

キーを配備するクライアントのpillarキーcustom_gpgkeysを定義し、キーファイルの名前を一覧にします。

cat /srv/pillar/mypillar.sls
custom_gpgkeys:
  - my_first_gpg.key
  - my_second_gpgkey.gpg

さらに、Saltファイルシステムでは、gpgという名前のディレクトリを作成し、custom_gpgkeys pillarデータで指定された名前のGPGキーファイルを保存します。

ls -la /srv/salt/gpg/
/srv/salt/gpg/my_first_gpg.key
/srv/salt/gpg/my_second_gpgkey.gpg

キーは/etc/pki/rpm-gpg/my_first_gpg.keyおよび/etc/pki/rpm-gpg/my_second_gpgkey.gpgでクライアントに配備されます。

最後のステップでは、ソフトウェアチャンネルのGPGキーのURLフィールドにURLを追加します。 ソフトウェア 管理 チャンネルに移動し、変更するチャンネルを選択します。［GPGキーのURL］に値file:///etc/pki/rpm-gpg/my_first_gpg.keyを追加します。

5.2. ブートストラップスクリプトのGPGキー

プロシージャ: ブートストラップスクリプトを使用してクライアントでGPGキーを信頼する

SUSE Managerサーバのコマンドプロンプトで、/srv/www/htdocs/pub/ディレクトリの内容を確認します。このディレクトリには、使用できるすべての公開鍵が含まれています。登録クライアントに割り当てるチャンネルに適用するキーをメモします。
関連するブートストラップスクリプトを開き、ORG_GPG_KEY=パラメータを見つけて、必要なキーを追加します。次に例を示します。
```
uyuni-gpg-pubkey-0d20833e.key
```
以前保存したキーを削除する必要はありません。

クライアントのセキュリティにとってGPGキーを信頼することは重要です。必要かつ信頼できるキーを決定するのは管理者のタスクです。 GPGキーが信頼されていない場合、ソフトウェアチャンネルをクライアントに割り当てることはできません。

6. クライアントの登録

openEulerクライアントは、その他すべてのクライアントと同じ方法で登録されます。詳細については、クライアントの登録を参照してください。