Red Hat Training

A Red Hat training course is available for RHEL 8

第 29 章 使用 Ansible playbook 在 IdM 中管理 RBAC 权限

基于角色的访问控制(RBAC)是一种基于角色、特权和权限定义的策略中立访问控制机制。尤其是在大型公司,使用 RBAC 可以帮助创建具有各个职责领域的管理员分层系统。

本章介绍了使用 Ansible playbook 管理身份管理(IdM)中 RBAC 权限时执行的以下操作:

29.1. 使用 Ansible 确保存在 RBAC 权限

作为身份管理系统管理员(IdM),您可以自定义 IdM 基于角色的访问控制(RBAC)。

以下流程描述了如何使用 Ansible playbook 确保 IdM 中存在权限,以便它可以添加到特权中。这个示例描述了如何确保以下目标状态:

  • MyPermission 权限存在。
  • MyPermission 权限只能应用到主机。
  • 授予了包含权限的用户可以对条目执行以下所有可能的操作:

    • 搜索
    • 比较
    • 添加
    • 删除

先决条件

流程

  1. 进入 ~/MyPlaybooks/ 目录:

    $ cd ~/MyPlaybooks/
  2. 制作位于 /usr/share/doc/ansible -freeipa/playbooks/permission/ 目录中的 permission- present.yml 文件的副本:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml
  3. 打开 permission-present-copy.yml Ansible playbook 文件进行编辑。
  4. 通过在 ipapermission 任务部分中设置以下变量来调整文件:

    • 调整任务 的名称,使其与您的用例对应。
    • ipaadmin_password 变量设置为 IdM 管理员的密码。
    • name 变量设置为权限的名称。
    • object_type 变量设置为 host
    • 正确的 变量设置为 all

    这是当前示例修改的 Ansible playbook 文件:

    ---
    - name: Permission present example
      hosts: ipaserver
      become: true
    
      tasks:
      - name: Ensure that the "MyPermission" permission is present
        ipapermission:
          ipaadmin_password: Secret123
          name: MyPermission
          object_type: host
          right: all
  5. 保存该文件。
  6. 运行指定 playbook 文件和清单文件的 Ansible playbook:

    $ ansible-playbook -v -i inventory permission-present-copy.yml