4.2. crypto_policies システムロールを使用したカスタム暗号化ポリシーの設定
crypto_policies
システムロールを使用して、単一のコントロールノードから多数の管理対象ノードを一貫して設定できます。
前提条件
- 制御ノードと管理ノードを準備している
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントには、そのノードに対する
sudo
権限がある。 - この Playbook を実行する管理対象ノードまたは管理対象ノードのグループが、Ansible インベントリーファイルにリストされている。
手順
~/crypto-playbook.yml
などの Playbook ファイルを次の内容で作成します。--- - hosts: all tasks: - name: Configure crypto policies include_role: name: rhel-system-roles.crypto_policies vars: - crypto_policies_policy: FUTURE - crypto_policies_reboot_ok: true
FUTURE の値は、任意の暗号化ポリシー(例:
DEFAULT
、LEGACY
、およびFIPS:OSPP
) に置き換えることができます。crypto_policies_reboot_ok: true
変数を設定すると、システムロールで暗号化ポリシーを変更した後にシステムが再起動されます。詳細は、crypto_policies システムロール変数およびファクト を参照してください。
Playbook の構文を検証します。
# ansible-playbook ~/crypto-playbook.yml --syntax-check
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
インベントリーファイルで Playbook を実行します。
# ansible-playbook ~/crypto-playbook.yml
検証
コントロールノードで、たとえば
verify_playbook.yml
という名前の別の Playbook を作成します。- hosts: all tasks: - name: Verify active crypto policy include_role: name: rhel-system-roles.crypto_policies - debug: var: crypto_policies_active
この Playbook では、システムの設定は変更されず、マネージドノードのアクティブなポリシーだけを報告します。
同じインベントリーファイルで Playbook を実行します。
# ansible-playbook verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
"crypto_policies_active":
変数は、マネージドノードでアクティブなポリシーを表示します。