24.3. 使用 Ansible 从 IdM 中的标准用户库检索 secret

按照以下流程,使用 Ansible playbook 从用户个人 vault 中检索 secret。在以下步骤中使用的示例中,idm_user 用户从名为 my_vault 的标准类型库检索包含敏感数据的文件,并检索名为 host01 的 IdM 客户端。idm_user 在访问该文件时不必进行身份验证。idm_user 可以使用 Ansible 从安装 Ansible 的任何 IdM 客户端检索 文件。

先决条件

  • 您已配置了 Ansible 控制节点以满足以下要求:

    • 您使用 Ansible 版本 2.14 或更高版本。
    • 您已在 Ansible 控制器上安装了 ansible-freeipa 软件包。
    • 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件
    • 示例假定 secret.yml Ansible vault 存储了 ipaadmin_password
  • 目标节点(这是执行 ansible-freeipa 模块的节点)是 IdM 域的一部分,作为 IdM 客户端、服务器或副本的一部分。
  • 您知道 idm_user 的密码。
  • idm_usermy_vault 的所有者。
  • idm_user 已将 secret 存储在 my_vault 中。
  • Ansible 可以写入要检索该 secret 的 IdM 主机上的 目录。
  • idm_user 可以从要检索 secret 的 IdM 主机上的 目录读取。

流程

  1. 导航到 /usr/share/doc/ansible-freeipa/playbooks/vault 目录: 

    $ cd /usr/share/doc/ansible-freeipa/playbooks/vault

  2. 打开清单文件,并在一个明确定义的部分中提到您要检索该 secret 的 IdM 客户端。例如,要指示 Ansible 在 host01.idm.example.com 上检索 secret,请输入: 

    [ipahost]
host01.idm.example.com

  3. 生成 retrive-data-symmetric-vault.yml Ansible playbook 文件的副本。将 "symmetric" 替换为 "standard"。例如: 

    $ cp retrive-data-symmetric-vault.yml retrieve-data-standard-vault.yml-copy.yml
  4. 打开 retrieve-data-standard-vault.yml-copy.yml 文件进行编辑。
  5. 通过将 hosts 变量设置为 ipahost 来调整 文件。

  6. 通过在 ipavault 任务部分设置以下变量来调整文件:

    • ipaadmin_principal 变量设置为 idm_user
    • ipaadmin_password 变量设置为 idm_user 密码。
    • user 变量设置为 idm_user
    • name 变量设置为 my_vault
    • out 变量设置为您要将 secret 导出到的文件的完整路径。

    • state 变量设置为 retrieve

      对于当前示例为修改过的 Ansible playbook 文件: 

    ---
- name: Tests
  hosts: ipahost
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - ipavault:
      ipaadmin_principal: idm_user
      ipaadmin_password: idm_user_password
      user: idm_user
      name: my_vault
      out: /tmp/password_exported.txt
      state: retrieved
  7. 保存该文件。

  8. 运行 playbook: 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory.file retrieve-data-standard-vault.yml-copy.yml

验证步骤

  1. user01 身份通过 SSH 连接到 host01

    $ ssh user01@host01.idm.example.com

  2. 查看 Ansible playbook 文件中 out 变量指定的文件: 

    $ vim /tmp/password_exported.txt

现在,您可以看到导出的 secret。

  • 有关使用 Ansible 管理 IdM vaults 和用户 secret 以及 playbook 变量的更多信息,请参阅 /usr/share/doc/ansible-freeipa/ 目录中的 README-vault.md Markdown 文件,和 /usr/share/doc/ansible-freeipa/playbooks/vault/ 目录中的示例 playbook。