Red Hat Training
A Red Hat training course is available for RHEL 8
4.2. 使用 crypto_policies 系统角色设置自定义加密策略
您可以使用 crypto_policies
系统角色从单个控制节点配置大量的受管节点。
先决条件
- 您已准备好控制节点和受管节点
- 以可在受管主机上运行 playbook 的用户登录到控制节点。
-
用于连接到受管节点的帐户具有
sudo
权限。 - 要在其上运行此 playbook 的受管节点或受管节点组列在 Ansible 清单文件中。
流程
创建一个包含以下内容的 playbook 文件,如
~/crypto-playbook.yml
:--- - hosts: all tasks: - name: Configure crypto policies include_role: name: rhel-system-roles.crypto_policies vars: - crypto_policies_policy: FUTURE - crypto_policies_reboot_ok: true
您可以将 FUTURE 值替换为您喜欢的加密策略,例如:
DEFAULT
、LEGACY
和FIPS:OSPP
。crypto_policies_reboot_ok: true
变量会导致系统在系统角色更改加密策略后重启系统。如需了解更多详细信息,请参阅 crypto_policies 系统角色变量和事实。
验证 playbook 语法:
# ansible-playbook ~/crypto-playbook.yml --syntax-check
请注意,这个命令只验证语法,不会防止错误但有效的配置。
在清单文件上运行 playbook:
# ansible-playbook ~/crypto-playbook.yml
验证
在控制节点上,创建另一个 playbook,例如
verify_playbook.yml
:- hosts: all tasks: - name: Verify active crypto policy include_role: name: rhel-system-roles.crypto_policies - debug: var: crypto_policies_active
此 playbook 不更改系统上的任何配置,只报告受管节点上的活动策略。
运行同一个清单文件上的 playbook:
# ansible-playbook verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
"crypto_policies_active":
变量显示受管节点上的活动策略。