Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 54. Uso de Ansible para gestionar los almacenes de usuarios de IdM: almacenamiento y recuperación de secretos
Este capítulo describe cómo gestionar los almacenes de usuarios en Identity Management mediante el módulo Ansible vault
. En concreto, se describe cómo un usuario puede utilizar los libros de juego de Ansible para realizar las siguientes tres acciones consecutivas:
El usuario puede realizar el almacenamiento y la recuperación desde dos clientes IdM diferentes.
Requisitos previos
- El componente del sistema de certificados de la Autoridad de recuperación de claves (KRA) se ha instalado en uno o varios servidores de su dominio de IdM. Para obtener más información, consulte Instalación de la Autoridad de recuperación de claves en IdM.
54.1. Garantizar la presencia de un almacén de usuarios estándar en IdM mediante Ansible
Esta sección muestra cómo un usuario de Gestión de Identidades (IdM) puede utilizar un libro de jugadas de Ansible para crear un contenedor de bóveda con una o más bóvedas privadas para almacenar de forma segura información sensible. En el ejemplo utilizado en el procedimiento siguiente, el usuario de idm_user crea un almacén de tipo estándar denominado my_vault. El tipo de bóveda estándar garantiza que idm_user no tendrá que autenticarse cuando acceda al archivo. idm_user podrá recuperar el archivo desde cualquier cliente IdM en el que el usuario haya iniciado sesión.
Requisitos previos
- Ha instalado el paquete ansible-freeipa en el controlador de Ansible, que es el host en el que ejecuta los pasos del procedimiento.
- Ya conoces la contraseña de idm_user.
Procedimiento
Navegue hasta el directorio
/usr/share/doc/ansible-freeipa/playbooks/vault
:$ cd /usr/share/doc/ansible-freeipa/playbooks/vault
Cree un archivo de inventario, por ejemplo inventory.file:
$ touch inventory.file
Abra inventory.file y defina el servidor IdM que desea configurar en la sección
[ipaserver]
. Por ejemplo, para indicar a Ansible que configure server.idm.example.com, introduzca:[ipaserver] server.idm.example.com
Haga una copia del archivo de playbook de Ansible ensure-standard-vault-is-present.yml. Por ejemplo:
$ cp ensure-standard-vault-is-present.yml ensure-standard-vault-is-present-copy.yml
- Abra el archivo ensure-standard-vault-is-present-copy.yml para editarlo.
Adapte el archivo estableciendo las siguientes variables en la sección de tareas
ipavault
:-
Establezca la variable
ipaadmin_principal
en idm_user. -
Establezca la variable
ipaadmin_password
con la contraseña de idm_user. -
Establezca la variable
user
en idm_user. -
Establezca la variable
name
en my_vault. Establezca la variable
vault_type
en standard.Este es el archivo de Ansible playbook modificado para el ejemplo actual:
--- - name: Tests hosts: ipaserver become: true gather_facts: false tasks: - ipavault: ipaadmin_principal: idm_user ipaadmin_password: idm_user_password user: idm_user name: my_vault vault_type: standard
-
Establezca la variable
- Guarda el archivo.
Ejecuta el libro de jugadas:
$ ansible-playbook -v -i inventory.file ensure-standard-vault-is-present-copy.yml