Red Hat Training

A Red Hat training course is available for RHEL 8

67.6. 使用 Ansible playbook 来允许 IdM 用户、组、主机或主机组检索服务的 keytab

keytab 是一个包含 Kerberos 主体和加密密钥对的文件。keytab 文件通常用于允许脚本使用 Kerberos 自动进行身份验证,无需人工交互或访问存储在纯文本文件中的密码。然后,脚本可以使用获取的凭据来访问存储在远程系统上的文件。

作为 IdM 管理员,您可以允许其他用户为 IdM 中运行的服务检索甚至创建 keytab。

本节论述了如何允许特定的 IdM 用户、用户组、主机和主机组检索在 IdM 客户端上运行的 HTTP 服务的 keytab。具体来说,它描述了如何允许 user01 IdM 用户检索 client.idm.example.com 上运行的 HTTP 服务的 keytab。

先决条件

  • 您知道 IdM 管理员密码。
  • 您已在 Ansible 控制器上安装了 ansible-freeipa 软件包。
  • 您已将 HTTP 服务注册到 IdM。
  • IdM 中已存在您要允许检索 keytab 的 IdM 用户和用户组。
  • IdM 中已存在您要允许检索 keytab 的 IdM 主机和主机组。

流程

  1. 创建一个清单文件,如 inventory.file

    $ touch inventory.file
  2. 打开 inventory.file,并在 [ipaserver] 部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:

    [ipaserver]
    server.idm.example.com
  3. 生成 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml Ansible playbook 文件的副本。例如:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml
  4. 打开复制的文件 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml 以进行编辑:
  5. 调整文件:

    • ipaadmin_password 变量设置为 IdM 管理员密码。
    • ipaservice 任务的 name 变量设置为 HTTP 服务的主体。在当前示例中,它是 HTTP/client.idm.example.com
    • allow_retrieve_keytab_group: 部分中指定 IdM 用户的名称。在当前示例中,是 user01
    • allow_retrieve_keytab_group: 部分中指定 IdM 用户组的名称。
    • allow_retrieve_keytab_group: 部分中指定 IdM 主机的名称。
    • allow_retrieve_keytab_group: 部分中指定 IdM 主机组的名称。
    • 使用 tasks 部分中的 name 变量指定 任务的名称。

      在适应当前示例后,复制的文件类似如下:

    ---
    - name: Service member allow_retrieve_keytab present
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Service HTTP/client.idm.example.com members allow_retrieve_keytab present for user01
        ipaservice:
          ipaadmin_password: Secret123
          name: HTTP/client.idm.example.com
          allow_retrieve_keytab_user:
          - user01
          action: member
  6. 保存该文件。
  7. 运行指定 playbook 文件和清单文件的 Ansible playbook:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml

验证步骤

  1. 以 IdM 用户身份 SSH 到 IdM 服务器,并具有权限检索 HTTP 服务的 keytab:

    $ ssh user01@server.idm.example.com
    Password:
  2. 使用 ipa-getkeytab 命令和 -r 选项来检索 keytab:

    $ ipa-getkeytab -r -s server.idm.example.com -p HTTP/client.idm.example.com -k /etc/httpd/conf/krb5.keytab

    s 选项指定 您要从中检索 keytab 的密钥分发中心(KDC)服务器。

    p 选项指定 您要检索的 keytab 主体。

    k 选项指定 您要将检索到的密钥附加到的 keytab 文件。如果文件不存在,则会创建此文件。

如果命令不产生错误,您以 user01 身份成功检索了 HTTP/client.idm.example.com 的 keytab。