Red Hat Training

A Red Hat training course is available for RHEL 8

82.3. Ansible을 사용하여 IdM의 표준 사용자 자격 증명 모음에서 시크릿 검색

Ansible 플레이북을 사용하여 사용자 개인 자격 증명 모음에서 시크릿을 검색하려면 다음 절차를 따르십시오. 아래 절차에서 사용된 예제에서 idm_user 사용자는 Ansible이 설치된 IdM 클라이언트에 my_vault 라는 표준 유형의 자격 증명 모음에서 중요한 데이터가 있는 파일을 검색합니다 . idm_user 는 파일에 액세스할 때 인증할 필요가 없습니다. idm_user 는 Ansible을 사용하여 Ansible이 설치된 IdM 클라이언트에서 파일을 검색할 수 있습니다.

사전 요구 사항

  • 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.

    • Ansible 버전 2.14 이상을 사용하고 있습니다.
    • Ansible 컨트롤러에 ansible-freeipa 패키지가 설치되어 있습니다.
    • 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
    • 이 예제에서는 secret.yml Ansible 자격 증명 모음이 ipaadmin_password 를 저장하는 것으로 가정합니다.
  • ansible-freeipa 모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
  • idm_user 의 암호를 알고 있습니다.
  • idm_usermy_vault 의 소유자입니다.
  • idm_user 가 시크릿을 my_vault에 저장했습니다.
  • Ansible은 비밀을 검색할 IdM 호스트의 디렉터리에 쓸 수 있습니다.
  • idm_user 는 IdM 호스트의 디렉터리에서 시크릿을 검색할 수 있습니다.

절차

  1. /usr/share/doc/ansible-freeipa/playbooks/vault 디렉터리로 이동합니다. 

    $ cd /usr/share/doc/ansible-freeipa/playbooks/vault

  2. 인벤토리 파일을 열고 명확하게 정의된 섹션에서 시크릿을 검색하려는 IdM 클라이언트를 언급합니다. 예를 들어 host01.idm.example.com에서 비밀을 검색하도록 Ansible에 지시하려면 다음을 입력합니다. 

    [ipahost]
host01.idm.example.com

  3. retrive-data-symmetric-vault.yml Ansible 플레이북 파일의 복사본을 만듭니다. "대칭"을 "표준"으로 바꿉니다. 예를 들면 다음과 같습니다. 

    $ cp retrive-data-symmetric-vault.yml retrieve-data-standard-vault.yml-copy.yml
  4. 편집을 위해 retrieve-data-standard-vault.yml-copy.yml 파일을 엽니다.
  5. hosts 변수를 ipahost 로 설정하여 파일을 조정합니다.

  6. ipavault 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

    • ipaadmin_principal 변수를 idm_user 로 설정합니다.
    • ipaadmin_password 변수를 idm_user 의 암호로 설정합니다.
    • 사용자 변수를 idm_user 로 설정합니다.
    • name 변수를 my_vault 로 설정합니다.
    • 보안을 내보낼 파일의 전체 경로로 out 변수를 설정합니다.

    • state 변수를 불러오도록 설정합니다.

      이 파일은 현재 예제에 맞게 수정된 Ansible 플레이북 파일입니다. 

    ---
- name: Tests
  hosts: ipahost
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_principal: idm_user
      ipaadmin_password: idm_user_password
      user: idm_user
      name: my_vault
      out: /tmp/password_exported.txt
      state: retrieved
  7. 파일을 저장합니다.

  8. 플레이북을 실행합니다. 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file retrieve-data-standard-vault.yml-copy.yml

검증 단계

  1. user01로 host01SSH 로 : 

    $ ssh user01@host01.idm.example.com

  2. Ansible 플레이북 파일에서 out 변수로 지정한 파일을 확인합니다. 

    $ vim /tmp/password_exported.txt

이제 내보낸 보안이 표시됩니다.

  • Ansible을 사용하여 IdM 자격 증명 모음 및 사용자 시크릿 및 플레이북 변수에 대한 자세한 내용은 /usr/share/doc/ansible-freeipa/ 디렉터리에 사용 가능한 README-vault.md Markdown 파일과 /usr/ share/doc/ansible-freeipa/playbooks/vault/ 디렉터리에 있는 샘플 플레이북을 참조하십시오.