Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 54. Usando Ansible to manage IdM user vaults: armazenando e recuperando segredos

Este capítulo descreve como gerenciar os cofres dos usuários em Gerenciamento de Identidade usando o módulo vault. Especificamente, ele descreve como um usuário pode usar os livros de exercícios Ansible para realizar as três seguintes ações consecutivas:

O usuário pode fazer o armazenamento e a recuperação a partir de dois clientes diferentes da IdM.

Pré-requisitos

54.1. Garantindo a presença de um cofre de usuário padrão na IdM usando Ansible

Esta seção mostra como um usuário de Gerenciamento de Identidade (IdM) pode usar um Livro de Jogadas Ansioso para criar um container com um ou mais cofres privados para armazenar informações sensíveis com segurança. No exemplo utilizado no procedimento abaixo, o usuário idm_user cria um cofre do tipo padrão chamado my_vault. O tipo de cofre padrão garante que idm_user não será necessário autenticar ao acessar o arquivo. idm_user será capaz de recuperar o arquivo de qualquer cliente IdM no qual o usuário esteja logado.

Pré-requisitos

  • Você instalou o pacote ansible-freeipa no controlador Ansible, ou seja, o host no qual você executa as etapas do procedimento.
  • Você sabe a senha do site idm_user.

Procedimento

  1. Navegue até o diretório /usr/share/doc/ansible-freeipa/playbooks/vault:

    $ cd /usr/share/doc/ansible-freeipa/playbooks/vault
  2. Criar um arquivo de inventário, por exemplo inventory.file:

    $ touch inventory.file
  3. Abra inventory.file e defina o servidor IdM que você deseja configurar na seção [ipaserver]. Por exemplo, para instruir a Ansible a configurar server.idm.example.com, entre:

    [ipaserver]
    server.idm.example.com
  4. Faça uma cópia do arquivo do livro de jogo ensure-standard-vault-is-present.yml. Por exemplo:

    $ cp ensure-standard-vault-is-present.yml ensure-standard-vault-is-present-copy.yml
  5. Abra o arquivo ensure-standard-vault-is-present-copy.yml para edição.
  6. Adapte o arquivo definindo as seguintes variáveis na seção de tarefas ipavault:

    • Defina a variável ipaadmin_principal para idm_user.
    • Defina a variável ipaadmin_password com a senha de idm_user.
    • Defina a variável user para idm_user.
    • Defina a variável name para my_vault.
    • Defina a variável vault_type para standard.

      Este é o arquivo Ansible playbook modificado para o exemplo atual:

    ---
    - name: Tests
      hosts: ipaserver
      become: true
      gather_facts: false
    
      tasks:
      - ipavault:
          ipaadmin_principal: idm_user
          ipaadmin_password: idm_user_password
          user: idm_user
          name: my_vault
          vault_type: standard
  7. Salvar o arquivo.
  8. Execute o livro de brincadeiras:

    $ ansible-playbook -v -i inventory.file ensure-standard-vault-is-present-copy.yml