Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

70장. Ansible을 사용하여 IdM 서비스 자격 증명 모음 관리: 시크릿 저장 및 검색

이 섹션에서는 관리자가 ansible-freeipa vault 모듈을 사용하여 서비스 시크릿을 중앙 집중식 위치에 안전하게 저장하는 방법을 보여줍니다. 예제에서 사용되는 자격 증명 모음 은 비대칭입니다. 즉, 관리자가 다음 단계를 수행해야 함을 의미합니다.

  1. 예를 들어 openssl 유틸리티를 사용하여 개인 키를 생성합니다.
  2. 개인 키를 기반으로 공개 키를 생성합니다.

서비스 비밀은 관리자가 자격 증명 모음에 보관할 때 공개 키로 암호화됩니다. 이후 도메인의 특정 시스템에서 호스팅되는 서비스 인스턴스는 개인 키를 사용하여 비밀을 검색합니다. 서비스와 관리자만 비밀에 액세스할 수 있습니다.

보안이 손상되면 관리자는 서비스 자격 증명 모음에서 암호를 교체한 다음 손상되지 않은 개별 서비스 인스턴스에 재배포할 수 있습니다.

사전 요구 사항

  • IdM 도메인에 있는 하나 이상의 서버에 KRA(Key Recovery Authority) 인증 시스템 구성 요소가 설치되었습니다. 자세한 내용은 IdM에 키 복구 권한 설치를 참조하십시오.

이 섹션에는 다음 절차가 포함됩니다.

절차에서 다음을 수행합니다.

  • admin 은 서비스 암호를 관리하는 관리자입니다.
  • private-key-to-an-externally-signed-certificate.pem 은 서비스 비밀을 포함하는 파일입니다(이 경우 외부 서명 인증서에 대한 개인 키). 자격 증명 모음에서 비밀을 검색하는 데 사용되는 개인 키와 이 개인 키를 혼동하지 마십시오.
  • secret_vault 는 서비스 시크릿을 저장하기 위해 생성된 자격 증명 모음입니다.
  • HTTP/webserver1.idm.example.com 은 자격 증명 모음의 소유자인 서비스입니다.
  • HTTP/webserver2.idm.example.comHTTP/webserver3.idm.example.com 은 자격 증명 모음 멤버 서비스입니다.
  • service-public.pem 은 password _vault 에 저장된 암호를 암호화하는 데 사용되는 서비스 공개 키입니다.
  • service-private.pemsecret_vault 에 저장된 암호를 해독하는 데 사용되는 서비스 개인 키입니다.

70.1. Ansible을 사용하여 IdM에 비대칭 서비스 자격 증명 모음이 있는지 확인

이 섹션에서는 IdM(Identity Management) 관리자가 Ansible 플레이북을 사용하여 하나 이상의 개인 자격 증명 모음 컨테이너를 사용하여 중요한 정보를 안전하게 저장하는 방법을 보여줍니다. 아래 절차에서 사용된 예제에서 관리자는 secret_vault 라는 비대칭 자격 증명 모음을 생성합니다. 이렇게 하면 자격 증명 모음에서 비밀을 검색하기 위해 자격 증명 모음 멤버가 개인 키를 사용하여 인증해야 합니다. 자격 증명 모음 멤버는 IdM 클라이언트에서 파일을 검색할 수 있습니다.

사전 요구 사항

  • Ansible 컨트롤러에 ansible-freeipa 패키지를 설치했습니다. 이는 절차의 단계를 실행하는 호스트입니다.
  • IdM 관리자 암호를 알고 있습니다.

절차

  1. /usr/share/doc/ansible-freeipa/playbooks/vault 디렉터리로 이동합니다.

    $ cd /usr/share/doc/ansible-freeipa/playbooks/vault
  2. 서비스 인스턴스의 공개 키를 가져옵니다. 예를 들어 openssl 유틸리티를 사용합니다.

    1. service-private.pem 개인 키를 생성합니다.

      $ openssl genrsa -out service-private.pem 2048
      Generating RSA private key, 2048 bit long modulus
      .+++
      ...........................................+++
      e is 65537 (0x10001)
    2. 개인 키를 기반으로 service-public.pem 공개 키를 생성합니다.

      $ openssl rsa -in service-private.pem -out service-public.pem -pubout
      writing RSA key
  3. 선택 사항: 인벤토리 파일이 없는 경우(예: inventory.file)를 생성합니다.

    $ touch inventory.file
  4. 인벤토리 파일을 열고 [ipaserver] 섹션에서 구성할 IdM 서버를 정의합니다. 예를 들어 server.idm.example.com을 구성하도록 Ansible에 지시하려면 다음을 입력합니다.

    [ipaserver]
    server.idm.example.com
  5. ensure-asymmetric-vault-is-present.yml Ansible 플레이북 파일의 사본을 만듭니다. 예를 들면 다음과 같습니다.

    $ cp ensure-asymmetric-vault-is-present.yml ensure-asymmetric-service-vault-is-present-copy.yml
  6. 편집을 위해 ensure-asymmetric-vault-is-present-copy.yml 파일을 엽니다.
  7. service-public.pem 공개 키를 Ansible 컨트롤러에서 server. idm.example.com 서버로 복사하는 작업을 추가합니다.
  8. ipavault 작업 섹션에서 다음 변수를 설정하여 나머지 파일을 수정합니다.

    • ipaadmin_password 변수를 IdM 관리자 암호로 설정합니다.
    • name 변수를 사용하여 자격 증명 모음의 이름을 정의합니다(예: secret_vault ).
    • vault_type 변수를 비대칭 으로 설정합니다.
    • 서비스 변수를 자격 증명 모음을 소유하는 서비스의 주체(예: HTTP/webserver1.idm.example.com )로 설정합니다.
    • public_key_file 을 공개 키의 위치로 설정합니다.

      이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.

    ---
    - name: Tests
      hosts: ipaserver
      become: true
      gather_facts: false
      tasks:
      - name: Copy public key to ipaserver.
        copy:
          src: /path/to/service-public.pem
          dest: /usr/share/doc/ansible-freeipa/playbooks/vault/service-public.pem
          mode: 0600
      - name: Add data to vault, from a LOCAL file.
        ipavault:
          ipaadmin_password: Secret123
          name: secret_vault
          vault_type: asymmetric
          service: HTTP/webserver1.idm.example.com
          public_key_file: /usr/share/doc/ansible-freeipa/playbooks/vault/service-public.pem
  9. 파일을 저장합니다.
  10. 플레이북을 실행합니다.

    $ ansible-playbook -v -i inventory.file ensure-asymmetric-service-vault-is-present-copy.yml