Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

6.2. Configuration du serveur de renouvellement de l'autorité de certification IdM à l'aide d'un carnet de commande Ansible

download PDF

Dans un déploiement de gestion d'identité (IdM) qui utilise une autorité de certification (CA) intégrée, le serveur de renouvellement de la CA maintient et renouvelle les certificats du système IdM. Il garantit la robustesse des déploiements IdM.

Pour plus de détails sur le rôle du serveur de renouvellement de l'autorité de certification IdM, voir Utilisation du serveur de renouvellement de l'autorité de certification IdM.

La procédure suivante décrit comment utiliser un livre de jeu Ansible pour configurer le serveur de renouvellement de l'autorité de certification IdM.

Conditions préalables

  • Vous connaissez le mot de passe de l'administrateur IdM.

  • Vous avez configuré votre nœud de contrôle Ansible pour qu'il réponde aux exigences suivantes :

    • Vous utilisez la version 2.8 ou ultérieure d'Ansible.
    • Vous avez installé le paquetage ansible-freeipa sur le contrôleur Ansible.
    • L'exemple suppose que dans le répertoire ~/MyPlaybooks/ vous avez créé un fichier d'inventaire Ansible avec le nom de domaine complet (FQDN) du serveur IdM.
    • L'exemple suppose que le coffre-fort secret.yml Ansible stocke votre ipaadmin_password.

Procédure

  1. Facultatif : identifiez le serveur de renouvellement de l'autorité de certification IdM : 

    $ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com

  2. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver: 

    [ipaserver]
server.idm.example.com

  3. Ouvrez le fichier /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml Ansible playbook pour l'éditer : 

    ---
- name: Playbook to handle global DNS configuration
  hosts: ipaserver
  become: no
  gather_facts: no
  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml

  tasks:
  - name: set ca_renewal_master_server
    ipaconfig:
      ipaadmin_password: "{{ ipaadmin_password }}"
      ca_renewal_master_server: carenewal.idm.example.com

  4. Adapter le fichier en le modifiant :

    • Le mot de passe de l'administrateur IdM défini par la variable ipaadmin_password.
    • Le nom du serveur de renouvellement de l'autorité de certification défini par la variable ca_renewal_master_server.
  5. Enregistrer le fichier.

  6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire : 

    $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

Verification steps

Vous pouvez vérifier que le serveur de renouvellement de l'autorité de certification a été modifié :

  1. Connectez-vous à ipaserver en tant qu'administrateur IdM : 

    $ ssh admin@server.idm.example.com
Password:
[admin@server /]$

  2. Demander l'identité du serveur de renouvellement de l'autorité de certification IdM : 

    $ ipa config-show | grep ‘CA renewal’
IPA CA renewal master:  carenewal.idm.example.com

    La sortie montre que le serveur carenewal.idm.example.com est le nouveau serveur de renouvellement de l'autorité de certification.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.