19.2. Ansible Playbook を使用して IdM に HBAC ルールが存在することを確認する

本セクションでは、Ansible Playbook を使用して、Identity Management (IdM) にホストベースのアクセス制御 (HBAC) ルールが存在することを確認する方法を説明します。

前提条件

手順

  1. inventory.file などのインベントリーファイルを作成し、そのファイルに ipaserver を定義します。

    [ipaserver]
    server.idm.example.com
  2. 確認する HBAC ポリシーを定義する Ansible Playbook ファイルを作成します。この手順を単純化するには、/usr/share/doc/ansible-freeipa/playbooks/hbacrule/ensure-hbacrule-allhosts-present.yml ファイルのサンプルをコピーして変更できます。

    ---
    - name: Playbook to handle hbacrules
      hosts: ipaserver
      become: true
    
      tasks:
      # Ensure idm_user can access client.idm.example.com via the sshd service
      - ipahbacrule:
          ipaadmin_password: MySecret123
          name: login
          user: idm_user
          host: client.idm.example.com
          hbacsvc:
          - sshd
          state: present
  3. Playbook を実行します。

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml

検証手順

  1. 管理者として IdM Web UI にログインします。
  2. PolicyHost-Based-Access-ControlHBAC Test と選択します。
  3. Who タブで idm_user を選択します。
  4. Accessing タブで client.idm.example.com を選択します。
  5. Via サービス タブで sshd を選択します。
  6. Rules タブで login を選択します。
  7. Run test タブで Run test ボタンをクリックします。ACCESS GRANTED が表示されると、HBAC ルールが正常に実装されます。

関連情報

  • HBAC サービス、サービスグループ、および Ansible を使用したルールの設定に関する詳細情報および例は、README-hbacsvc.md、README-hbacsvcgroup.md、および README-hbacrule.md Markdown ファイルを参照してください。これらのファイルは、/usr/share/doc/ansible-freeipa ディレクトリーにあります。また、/usr/share/doc/ansible-freeipa/playbooks ディレクトリーの関連サブディレクトリーで利用可能な Playbook も参照してください。