Menu Close
Settings Close

Language and Page Formatting Options

4.2. 使用 Cryptographic Policies 系统角色设置自定义加密策略

您可以使用 Cryptographic Policies 系统角色配置大量受管节点,从单一控制节点一致。

先决条件

  • 对一个或多个 受管节点 的访问和权限,受管节点是您要使用加密策略系统角色配置的系统。
  • 对控制节点的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。

    在控制节点上:

    • ansible-corerhel-system-roles 软件包已安装 。
重要

RHEL 8.0-8.5 提供对一个独立的 Ansible 存储库的访问权限,该存储库包含基于 Ansible 的自动化 Ansible Engine 2.9。Ansible Engine 包含命令行实用程序,如 ansibleansible-playbook、连接器(如 dockerpodman )以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考 如何下载并安装 Red Hat Ansible Engine 知识库文章。

RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core 软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围

  • 列出受管节点的清单文件。

流程

  1. 使用以下内容创建一个新的 playbook.yml 文件:

    ---
    - hosts: all
      tasks:
      - name: Configure crypto policies
        include_role:
          name: rhel-system-roles.crypto_policies
        vars:
          - crypto_policies_policy: FUTURE
          - crypto_policies_reboot_ok: true

    您可以将 FUTURE 值替换为您首选的加密策略,例如:DEFAULTLEGACYFIPS:OSPP.

    crypto_policies_reboot_ok: true 变量会导致系统在系统角色更改加密策略后重启系统。

    如需了解更多详细信息,请参阅 加密策略系统角色变量和事实

  2. 可选:验证 playbook 语法。

    # ansible-playbook --syntax-check playbook.yml
  3. 在清单文件上运行 playbook:

    # ansible-playbook -i inventory_file playbook.yml

验证

  1. 在控制节点上,创建另一个 playbook,例如,名为 verify_playbook.yml:

    - hosts: all
      tasks:
     - name: Verify active crypto policy
       include_role:
         name: rhel-system-roles.crypto_policies
    
     - debug:
         var: crypto_policies_active

    此 playbook 不更改系统上的任何配置,只报告受管节点上的活动策略。

  2. 运行同一个清单文件上的 playbook:

    # ansible-playbook -i inventory_file verify_playbook.yml
    
    TASK [debug] **************************
    ok: [host] => {
        "crypto_policies_active": "FUTURE"
    }

    "crypto_policies_active": 变量显示受管节点上的活动策略。