Red Hat Training
A Red Hat training course is available for RHEL 8
57.7. Garantizar la presencia de un alias principal de Kerberos de un servicio utilizando un libro de jugadas de Ansible
En algunos escenarios, es beneficioso para el administrador de IdM permitir que los usuarios, hosts o servicios de IdM se autentiquen contra las aplicaciones de Kerberos utilizando un alias de entidad de seguridad de Kerberos. Estos escenarios incluyen:
- El nombre de usuario ha cambiado, pero el usuario debería poder entrar en el sistema utilizando tanto el nombre de usuario anterior como el nuevo.
- El usuario debe iniciar la sesión con la dirección de correo electrónico, incluso si el dominio de IdM Kerberos es diferente del dominio de correo electrónico.
Esta sección describe cómo crear el alias principal de HTTP/mycompany.idm.example.com para el servicio HTTP que se ejecuta en client.idm.example.com.
Requisitos previos
- Conoce la contraseña del administrador de IdM.
- Ha instalado el paquete ansible-freeipa en el controlador de Ansible.
- Ha configurado un servicio HTTP en su host.
- Ha inscrito el servicio HTTP en IdM.
- El host en el que has configurado HTTP es un cliente IdM.
Procedimiento
Cree un archivo de inventario, por ejemplo
inventory.file
:$ touch inventory.file
Abra la página
inventory.file
y defina el servidor IdM que desea configurar en la sección[ipaserver]
. Por ejemplo, para indicar a Ansible que configure server.idm.example.com, introduzca:[ipaserver] server.idm.example.com
Haga una copia del archivo de playbook de Ansible
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml
. Por ejemplo:$ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
-
Abra el archivo
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
Ansible playbook para editarlo. Adapte el archivo cambiando lo siguiente:
-
La contraseña del administrador de IdM especificada por la variable
ipaadmin_password
. -
El nombre del servicio especificado por la variable
name
. Es el nombre principal canónico del servicio. En el ejemplo actual, es HTTP/client.idm.example.com. -
El alias de director de Kerberos especificado por la variable
principal
. Este es el alias que quiere añadir al servicio definido por la variablename
. En el ejemplo actual, es host/mycompany.idm.example.com. El nombre de la tarea especificada por la variable
name
en la seccióntasks
.Una vez adaptado para el ejemplo actual, el archivo copiado tiene el siguiente aspecto:
--- - name: Service member principal present hosts: ipaserver become: true tasks: - name: Service HTTP/client.idm.example.com member principals host/mycompany.idm.exmaple.com present ipaservice: ipaadmin_password: Secret123 name: HTTP/client.idm.example.com principal: - host/mycompany.idm.example.com action: member
-
La contraseña del administrador de IdM especificada por la variable
- Guarda el archivo.
Ejecute el playbook de Ansible especificando el archivo del playbook y el archivo de inventario:
$ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
Si la ejecución del libro de jugadas da como resultado 0 tareas inalcanzables y 0 fallidas, ha creado con éxito la entidad de seguridad Kerberos host/mycompany.idm.example.com para el servicio HTTP/client.idm.example.com.
Recursos adicionales
- Para obtener más información sobre los alias de entidades de seguridad de Kerberos y su gestión sin Ansible, consulte Gestión de alias de entidades de seguridad de Kerberos para usuarios, hosts y servicios.