Ubuntu 20.04、22.04、および24.04クライアントの登録

Table of Contents

1. ソフトウェアチャンネルの追加
2. Ubuntu ESMパッケージのミラーリング
- 2.1. GPGキーとベアラートークンの抽出
- 2.2. Ubuntu ESMリポジトリの設定
3. 同期ステータスの確認
4. GPGキーの管理
5. rootアクセス
6. クライアントの登録

このセクションでは、Ubuntu 20.04 LTS、22.04 LTSおよび24.04 LTSオペレーティングシステムを実行しているクライアントの登録について説明します。

Ubuntu 20.04、22.04、および24.04リポジトリのURLはSUSE Customer Centerで使用できます。
パッケージおよびメタデータはSUSEではなくUbuntuから提供されます。
サポートされている製品については、サポートテーブルとリリースノートを参照してください。

SUSE Managerは、Saltを使用するUbuntu 20.04 LTS、22.04 LTSおよび24.04 LTSクライアントをサポートしています。

ブートストラップは、リポジトリの設定やプロファイルの更新の実行など、Ubuntuクライアントの起動および初期状態の実行のためにサポートされています。ただし、Ubuntuのrootユーザはデフォルトで無効になっているため、ブートストラップを使用するには、Pythonのsudo特権がある既存ユーザが必要です。

Canonicalは、SUSE Managerを保証またはサポートしていません。

1. ソフトウェアチャンネルの追加

UbuntuクライアントをSUSE Managerサーバに登録する前に、必要なソフトウェアチャンネルを追加して同期する必要があります。

次のセクションでは、x86_64アーキテクチャに基づく説明が多いです。必要に応じて他のアーキテクチャに置き換えてください。

このプロシージャで必要な製品は次のとおりです。

Table 1. Ubuntu製品 - WebUI
OSバージョン	製品名
Ubuntu 24.04	Ubuntu 24.04
Ubuntu 22.04	Ubuntu 22.04
Ubuntu 20.04	Ubuntu 20.04

プロシージャ: ソフトウェアチャンネルの追加

SUSE ManagerのWeb UIで、管理 セットアップウィザード 製品に移動します。
検索バーを使用してクライアントのオペレーティングシステムおよびアーキテクチャに適切な製品を探し、適切な製品にチェックを付けます。こうすることによって、すべての必須チャンネルに自動的にチェックが付きます。また、include recommendedトグルがオンになっている場合、すべての推奨チャンネルにもチェックが付きます。矢印をクリックして関連製品の一覧を表示し、必要な追加製品にチェックが付いていることを確認します。
製品の追加をクリックし、製品の同期が完了するまで待機します。

または、コマンドプロンプトでチャンネルを追加できます。このプロシージャで必要なチャンネルは次のとおりです。

Table 2. Ubuntuチャンネル - CLI
OSバージョン	ベースチャンネル
Ubuntu 24.04	ubuntu-2404-amd64-main-amd64
Ubuntu 22.04	ubuntu-2204-amd64-main-amd64
Ubuntu 20.04	ubuntu-2004-amd64-main-amd64

プロシージャ: コマンドプロンプトからのソフトウェアチャンネルの追加

SUSE Manager サーバのコマンドプロンプトで root になり、mgr-sync コマンドを特定のチャンネルに対して実行します:
```
mgr-sync add channel <channel_label_1>
mgr-sync add channel <channel_label_2>
mgr-sync add channel <channel_label_n>
```
同期は自動的に開始されます。チャンネルを手動で同期する場合、次のコマンドを使用します。
```
mgr-sync sync --with-children <channel_name>
```
続行前に、同期が完了していることを確認してください。

2. Ubuntu ESMパッケージのミラーリング

Canonicalは、Ubuntu Proのユーザと顧客向けにExpanded Security Maintenance (ESM)パッケージを提供しています。これらのパッケージは、複数のオペレーティングシステムコンポーネントと選択したアプリケーションを対象として、より長期のメンテナンス(10～12 年) を提供します。

これらのリポジトリは、Ubuntu Proに登録されているシステムから必要なGPGキーと個人用ベアラートークンを抽出すれば、SUSE Manager内でも同期できます。

2.1. GPGキーとベアラートークンの抽出

UbuntuホストをUbuntu Proに登録します。個人用登録トークンは、Ubuntu Proダッシュボードで確認できます。このためにはUbuntu Oneアカウントが必要です。

sudo apt-get install ubuntu-advantage-tools
sudo pro attach <perosnal_token>

登録後、ファイル/etc/apt/auth.conf.d/90ubuntu-advantageでベアラートークンを確認できます。

machine esm.ubuntu.com/apps/ubuntu/ login bearer password <token>  # ubuntu-pro-client
machine esm.ubuntu.com/infra/ubuntu/ login bearer password <token>  # ubuntu-pro-client

リポジトリごとに1つの専用のベアラートークンが使用されます。

SUSE Manager内で次のリポジトリを設定します。

2.2. Ubuntu ESMリポジトリの設定

リポジトリを作成するには、次のURLを使用します。

Table 3. Ubuntu ESMリポジトリ
URL	説明
https://bearer:<token>@esm.ubuntu.com/infra/ubuntu/dists/<release>-infra-updates/main/binary-<arch>/	オペレーティングシステムの機能更新
https://bearer:<token>@esm.ubuntu.com/infra/ubuntu/dists/<release>-infra-security/main/binary-<arch>/	オペレーティングシステムのセキュリティ更新
https://bearer:<token>@esm.ubuntu.com/apps/ubuntu/dists/<release>-apps-updates/main/binary-<arch>/	アプリケーションの機能更新
https://bearer:<token>@esm.ubuntu.com/apps/ubuntu/dists/<release>-apps-security/main/binary-<arch>/	アプリケーションのセキュリティ更新

<token>は個人用ベアラートークンに置き換えてください。また、archおよびreleaseも次のいずれかの値に置き換える必要があります。

Table 4. Ubuntu ESMのアーキテクチャとリリース
アーキテクチャ	リリース
`amd64`、`arm64`、`armel`、`armhf`、`i386`、`powerpc`、`ppc64el`、`s390x`	`bionic`、`focal`、`jammy`、`noble`、`trusty`、`xenial`

SUSE Managerでリポジトリを同期するには、対応するGPGキー(ubuntu-advantage-esm-infra-trusty.gpg、ubuntu-advantage-esm-apps.gpg)をインポートする必要があります。これらのキーは、Ubuntu Proに登録されているシステムの/etc/apt/trusted.gpg.dにあります。これらのファイルをコピーしてSUSE Managerシステムにコピーし、次のようにインポートします。

mgradm gpg add /path/to/gpg.key

すでに同期済みのUbuntu親チャンネルの下に適切な子チャンネルを作成します。その後、リポジトリを同期できます。

ここで説明する手順を使用するとサブスクリプションの制限を回避できますが、これはサービス利用規約に違反し、法的な結果を招く場合があります。常に、使用するシステムの数に対して十分な数のサブスクリプションが存在する必要があります。

3. 同期ステータスの確認

プロシージャ: Web UIからの同期の進捗状況の確認

SUSE ManagerのWeb UIで、管理 セットアップウィザードに移動し、［製品］タブを選択します。このダイアログには、同期中の各製品の完了バーが表示されます。
代わりに、ソフトウェア 管理 チャンネルに移動し、リポジトリに関連付けられているチャンネルをクリックします。［リポジトリ］タブに移動し、［同期］をクリックし、［同期状態］をクリックします。

プロシージャ: コマンドプロンプトから同期の進捗状況を確認する

SUSE Managerサーバのコマンドプロンプトで、rootとして、tailコマンドを使用して同期ログファイルを確認します。
```
tail -f /var/log/rhn/reposync/<channel-label>.log
```
それぞれの子チャンネルは、同期の進捗中にそれぞれのログを生成します。同期が完了したことを確認するには、ベースチャンネルと子チャンネルのログファイルをすべて確認する必要があります。

Ubuntuチャンネルは非常に大きいことがあります。同期に数時間かかる場合があります。

4. GPGキーの管理

クライアントではGPGキーを使用して、ソフトウェアパッケージをインストールする前にパッケージ認証の確認が行われます。信頼されているソフトウェアのみクライアントにインストールできます。

クライアントのセキュリティにとってGPGキーを信頼することは重要です。必要かつ信頼できるキーを決定するのは管理者のタスクです。 GPGキーが信頼されていない場合、ソフトウェアチャンネルは使用できないため、クライアントにチャンネルを割り当てるかどうかは、キーを信頼するかどうかによって決まります。

GPGキーの詳細については、GPGキーを参照してください。

5. rootアクセス

UbuntuのrootユーザはデフォルトでSSHアクセスが無効になっています。

標準ユーザを使用してオンボードできるようにするには、sudoersファイルを編集する必要があります。

この問題は、自己インストールされたバージョンのUbuntuで発生します。インストール時にデフォルトのユーザが管理特権を付与されている場合、sudoを使用して特権エスカレーションを実行するにはパスワードが必要です。クラウドインスタンスでは、cloud-initが/etc/sudoers.dの下にファイルを自動的に作成し、パスワードを必要とせずにsudoを介して特権エスカレーションを付与するため、この問題は発生しません。

プロシージャ: rootユーザアクセスの許可

クライアントで、sudoersファイルを編集します。
```
sudo visudo
```
この行をsudoersファイルの末尾に追加してsudoアクセス権をユーザに付与します。 Web UIでクライアントをブートストラップしているユーザの名前で<user>を置き換えます。
```
<user>  ALL=NOPASSWD: /usr/bin/python, /usr/bin/python2, /usr/bin/python3, /var/tmp/venv-salt-minion/bin/python
```

このプロシージャによりrootアクセス権が付与されます。クライアントの登録に必要なパスワードは不要です。クライアントは正常にインストールされると、root特権で実行されるため、アクセス権は不要です。クライアントを正しくインストールした後、sudoersファイルからこの行を削除することをお勧めします。

6. クライアントの登録

クライアントを登録するには、ブートストラップリポジトリが必要です。デフォルトでは、ブートストラップリポジトリは自動的に作成され、すべての同期製品に対して毎日再生成されます。次のコマンドを使用して、コマンドプロンプトからブートストラップリポジトリを手動で作成できます。

mgr-create-bootstrap-repo

クライアントの登録については、クライアントの登録を参照してください。