Red Hat Training

A Red Hat training course is available for RHEL 8

27.7. 使用 Ansible 确保缺少 IdM RBAC 角色

作为管理身份管理(IdM)中基于角色的访问控制(RBAC)的系统管理员,您可能希望确保没有过时的角色,以便任何管理员不会意外将它分配给任何用户。

以下流程描述了如何使用 Ansible playbook 来确保缺少角色。以下示例描述了如何确保 IdM 中不存在自定义 user_and_host_administrator 角色。

先决条件

  • 您知道 IdM 管理员密码。
  • 您已在 Ansible 控制节点上安装了 ansible-freeipa 软件包。
  • 您已创建了一个 Ansible 清单文件,其中包含要在其上配置 IdM 服务器的完全限定域名(FQDN)。
  • 您的 Ansible 清单文件位于 ~/<MyPlaybooks>/ 目录中。

流程

  1. 进入 ~/<MyPlaybooks>/ 目录:

    $ cd ~/<MyPlaybooks>/
  2. 制作位于 /usr/share/doc/ansible -freeipa/playbooks/role/ 目录的 role- is-absent.yml 文件的副本:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-is-absent.yml role-is-absent-copy.yml
  3. 打开 role-is-absent-copy.yml Ansible playbook 文件以进行编辑。
  4. 通过在 iparole 任务部分设置以下变量来调整文件:

    • ipaadmin_password 变量设置为 IdM 管理员的密码。
    • name 变量设置为角色的名称。
    • 确保 state 变量设置为 absent

    这是当前示例修改的 Ansible playbook 文件:

    ---
    - name: Playbook to manage IPA role with members.
      hosts: ipaserver
      become: yes
      gather_facts: no
    
      tasks:
      - iparole:
          ipaadmin_password: Secret123
          name: user_and_host_administrator
          state: absent
  5. 保存该文件。
  6. 运行指定 playbook 文件和清单文件的 Ansible playbook:

    $ ansible-playbook -v -i ~/<MyPlaybooks>/inventory role-is-absent-copy.yml

其它资源