16.2. Définition d'une politique cryptographique personnalisée à l'aide du rôle de système crypto_policies
Vous pouvez utiliser le rôle de système crypto_policies pour configurer un grand nombre de nœuds gérés de manière cohérente à partir d'un seul nœud de contrôle.
Conditions préalables
-
Accès et autorisations à un ou plusieurs managed nodes, qui sont des systèmes que vous souhaitez configurer avec le rôle de système
crypto_policies. Accès et autorisations à un nœud de contrôle, qui est un système à partir duquel Red Hat Ansible Core configure d'autres systèmes.
Sur le nœud de contrôle :
-
Les paquets
ansible-coreetrhel-system-rolessont installés.
-
Les paquets
RHEL 8.0-8.5 donne accès à un dépôt Ansible distinct qui contient Ansible Engine 2.9 pour l'automatisation basée sur Ansible. Ansible Engine contient des utilitaires de ligne de commande tels que ansible, ansible-playbook, des connecteurs tels que docker et podman, ainsi que de nombreux plugins et modules. Pour plus d'informations sur la manière d'obtenir et d'installer Ansible Engine, consultez l'article de la base de connaissances Comment télécharger et installer Red Hat Ansible Engine.
RHEL 8.6 et 9.0 ont introduit Ansible Core (fourni en tant que paquetage ansible-core ), qui contient les utilitaires de ligne de commande Ansible, les commandes et un petit ensemble de plugins Ansible intégrés. RHEL fournit ce paquetage par l'intermédiaire du dépôt AppStream, et sa prise en charge est limitée. Pour plus d'informations, consultez l'article de la base de connaissances intitulé Scope of support for the Ansible Core package included in the RHEL 9 and RHEL 8.6 and later AppStream repositories (Portée de la prise en charge du package Ansible Core inclus dans les dépôts AppStream RHEL 9 et RHEL 8.6 et versions ultérieures ).
- Un fichier d'inventaire qui répertorie les nœuds gérés.
Procédure
Créez un nouveau fichier
playbook.ymlavec le contenu suivant :--- - hosts: all tasks: - name: Configure crypto policies include_role: name: rhel-system-roles.crypto_policies vars: - crypto_policies_policy: FUTURE - crypto_policies_reboot_ok: trueVous pouvez remplacer la valeur FUTURE par votre politique cryptographique préférée, par exemple :
DEFAULT,LEGACY, etFIPS:OSPP.La variable
crypto_policies_reboot_ok: trueprovoque le redémarrage du système après que le rôle système a modifié la stratégie cryptographique.Pour plus de détails, voir crypto_policies Variables et faits relatifs au rôle du système.
Facultatif : Vérifier la syntaxe du playbook.
# ansible-playbook --syntax-check playbook.ymlExécutez le playbook sur votre fichier d'inventaire :
# ansible-playbook -i inventory_file playbook.yml
Vérification
Sur le nœud de contrôle, créez un autre playbook nommé, par exemple,
verify_playbook.yml:- hosts: all tasks: - name: Verify active crypto policy include_role: name: rhel-system-roles.crypto_policies - debug: var: crypto_policies_activeCe playbook ne modifie aucune configuration sur le système, mais signale uniquement la politique active sur les nœuds gérés.
Exécutez le playbook sur le même fichier d'inventaire :
# ansible-playbook -i inventory_file verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
La variable
"crypto_policies_active":indique la politique active sur le nœud géré.
