17.3. Ansible Playbook を使用して IdM にパスワードポリシーが存在することを確認する

本セクションでは、Ansible Playbook を使用して、Identity Management (IdM) にパスワードポリシーが存在することを確認する方法を説明します。

IdM におけるデフォルトの global_policy パスワードポリシーでは、パスワード内の異なる文字クラスの数は 0 に設定されます。履歴サイズも 0 に設定されます。

以下の手順に従って、Ansible Playbook を使用して、IdM グループにより強力なパスワードポリシーを適用します。

注記

IdM グループのパスワードポリシーのみを定義できます。個々のユーザーのパスワードポリシーを定義することはできません。

前提条件

  • Ansible コントローラーに ansible-freeipa パッケージがインストールされている。
  • IdM 管理者パスワードが分かっている。
  • IdM にパスワードポリシーが存在することを確認するグループ。

手順

  1. inventory.file などのインベントリーファイルを作成し、[ipaserver] セクションに IdM サーバーの FQDN を定義します。

    [ipaserver]
    server.idm.example.com
  2. 存在するパスワードポリシーを定義する Ansible Playbook ファイルを作成します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/playbooks/pwpolicy/pwpolicy_present.yml ファイルの例をコピーして変更します。

    ---
    - name: Tests
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure presence of pwpolicy for group ops
        ipapwpolicy:
          ipaadmin_password: MySecret123
          name: ops
          minlife: 7
          maxlife: 49
          history: 5
          priority: 1
          lockouttime: 300
          minlength: 8
          minclasses: 4
          maxfail: 3
          failinterval: 5

    個別の変数の意味は、「パスワードポリシーの属性」を参照してください。

  3. Playbook を実行します。

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory_/new_pwpolicy_present.yml

Ansible Playbook を使用して、ops グループのパスワードポリシーが IdM に存在することを確認している。

重要

ops パスワードポリシーの優先度は 1に設定され、global_policy パスワードポリシーには優先度が設定されません。このため、ops ポリシーは ops グループの global_policy に自動的に置き換えられ、即座に実施されます。

global_policy は、ユーザーにポリシーが設定されていないとフォールバックポリシーとして機能し、そのポリシーよりも優先することはできません。

関連情報

  • Ansible を使用して IdM でパスワードポリシーを定義する方法および Playbook 変数の詳細は、/usr/share/doc/ansible-freeipa/ ディレクトリーにある README-pwpolicy.md Markdown ファイルを参照してください。
  • IdM でパスワードポリシーの優先度がどのように機能するかの詳細は、RHEL 7 ドキュメントの「パスワードポリシーの優先度」を参照してください。