21.2. 使用 Ansible playbook 确保在 IdM 中存在 HBAC 规则
本节描述了如何使用 Ansible playbook 确保在 身份管理(IdM)中存在基于主机的访问控制(HBAC)规则。
先决条件
您已配置了 Ansible 控制节点以满足以下要求:
- 您使用 Ansible 版本 2.8 或更高版本。
-
您已在 Ansible 控制器上安装了
ansible-freeipa软件包。 - 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
-
示例假定 secret.yml Ansible vault 存储了
ipaadmin_password。
- IdM 中您要用于 HBAC 规则的用户和用户组已存在。详情请参阅 使用 Ansible playbook 管理用户帐户 和 使用 Ansible playbook 确保 IdM 组和组成员存在。
- IdM 中要对其应用 HBAC 规则的主机和主机组已存在。详情请参阅 使用 Ansible playbook 管理主机 和 使用 Ansible playbook 管理主机组。
流程
创建一个清单文件,如
inventory.file,并在该文件中定义ipaserver:[ipaserver] server.idm.example.com
创建 Ansible playbook 文件,其定义您要确保的 HBAC 策略存在。要简化此步骤,您可以复制并修改
/usr/share/doc/ansible-freeipa/playbooks/hbacrule/ensure-hbacrule-allhosts-present.yml文件中的示例:--- - name: Playbook to handle hbacrules hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure idm_user can access client.idm.example.com via the sshd service - ipahbacrule: ipaadmin_password: "{{ ipaadmin_password }}" name: login user: idm_user host: client.idm.example.com hbacsvc: - sshd state: present运行 playbook:
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml
验证步骤
- 以管理员的身份登录到 IdM Web UI。
- 导航到 Policy → Host-Based-Access-Control → HBAC Test。
- 在 Who 选项卡中选择 idm_user。
- 在 Accessing 选项卡中,选择 client.idm.example.com。
- 在 Via service 选项卡中,选择 sshd。
- 在 Rules 选项卡中,选择 login。
- 在 Run test 选项卡中,单击 Run test 按钮。如果您看到 ACCESS GRANTED,则 HBAC 规则成功实现。
其它资源
-
请参阅
/usr/share/doc/ansible-freeipa目录中的README-hbacsvc.md,README-hbacsvcgroup.md和README-hbacrule.md文件。 -
请参阅
/usr/share/doc/ansible-freeipa/playbooks目录的子目录中的 playbook。