26.7. 使用 Ansible playbook 来允许 IdM 用户、组、主机或主机组检索服务的 keytab
keytab 是一个包含 Kerberos 主体和加密密钥对的文件。keytab 文件通常用于允许脚本使用 Kerberos 自动进行身份验证,无需人工交互或访问存储在纯文本文件中的密码。然后,脚本可以使用获取的凭据来访问存储在远程系统上的文件。
作为 IdM 管理员,您可以允许其他用户为运行在 IdM 中的服务检索甚至创建 keytab。
按照以下流程,允许特定的 IdM 用户、用户组、主机和主机组为在 IdM 客户端上运行的 HTTP 服务检索 keytab。具体来说,它描述了如何允许 user01 IdM 用户检索运行在 client.idm.example.com 上的 HTTP 服务的 keytab。
先决条件
- 您知道 IdM 管理员密码。
您已配置了 Ansible 控制节点以满足以下要求:
- 您使用 Ansible 版本 2.14 或更高版本。
-
您已在 Ansible 控制器上安装了
ansible-freeipa软件包。 - 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
-
示例假定 secret.yml Ansible vault 存储了
ipaadmin_password。
-
目标节点(这是执行
ansible-freeipa模块的节点)是 IdM 域的一部分,作为 IdM 客户端、服务器或副本的一部分。 - 您 已将 HTTP 服务注册到 IdM。
- 您要允许检索 keytab 的 IdM 用户和用户组已在 IdM 中存在。
- 您要允许检索 keytab 的 IdM 主机和主机组已在 IdM 中存在。
流程
创建一个清单文件,如
inventory.file:$ touch inventory.file打开
inventory.file,并在[ipaserver]部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:[ipaserver] server.idm.example.com
生成
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.ymlAnsible playbook 文件的一个副本。例如:$ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml-
打开复制的文件
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml进行编辑: 修改文件:
-
将
ipaadmin_password变量设置为 IdM 管理员密码。 -
将
ipaservice任务的name变量设为 HTTP 服务的主体。在当前示例中,它是 HTTP/client.idm.example.com -
在
allow_retrieve_keytab_group:部分中指定 IdM 用户的名称。在当前示例中,它是 user01。 -
在
allow_retrieve_keytab_group:部分中指定 IdM 用户组的名称。 -
在
allow_retrieve_keytab_group:部分中指定 IdM 主机的名称。 -
在
allow_retrieve_keytab_group:部分中指定 IdM 主机组的名称。 使用
tasks部分中的name变量指定任务的名称。在对当前示例修改后,复制的文件类似如下:
--- - name: Service member allow_retrieve_keytab present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Service HTTP/client.idm.example.com members allow_retrieve_keytab present for user01 ipaservice: ipaadmin_password: "{{ ipaadmin_password }}" name: HTTP/client.idm.example.com allow_retrieve_keytab_user: - user01 action: member-
将
- 保存该文件。
运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml
验证步骤
以具有特权的 IdM 用户的身份 SSH 到 IdM 服务器来检索 HTTP 服务的 keytab:
$ ssh user01@server.idm.example.com Password:使用带有
-r选项的ipa-getkeytab命令来检索 keytab:$ ipa-getkeytab -r -s server.idm.example.com -p HTTP/client.idm.example.com -k /etc/httpd/conf/krb5.keytab-s选项指定您要从中检索 keytab 的密钥分发中心(KDC)服务器。-p选项指定您要检索其 keytab 的主体。-k选项指定您要附加给其检索到的密钥的 keytab 文件。如果文件不存在,则会创建此文件。
如果命令不产生错误,则您以 user01 的身份成功检索了 HTTP/client.idm.example.com 的 keytab。
