6.5. S'assurer que les utilisateurs et les groupes IdM ont des SID en utilisant Ansible
Le serveur de gestion des identités (IdM) peut attribuer des identifiants de sécurité uniques (SID) aux utilisateurs et aux groupes IdM en interne, sur la base des données des plages d'ID du domaine local. Les SID sont stockés dans les objets utilisateurs et groupes.
L'objectif de s'assurer que les utilisateurs et les groupes de l'IdM ont des SID est de permettre la génération du certificat d'attributs privilégiés (PAC), qui est la première étape vers la confiance entre l'IdM et l'IdM. Si les utilisateurs et les groupes de l'IdM ont des SID, l'IdM est en mesure d'émettre des tickets Kerberos avec des données PAC.
Cette section décrit comment atteindre les objectifs suivants :
- Générer des SID pour les utilisateurs et les groupes d'utilisateurs IdM déjà existants.
- Activer la génération de SID pour les nouveaux utilisateurs et groupes IdM.
Conditions préalables
Vous avez configuré votre nœud de contrôle Ansible pour qu'il réponde aux exigences suivantes :
- Vous utilisez la version 2.8 ou ultérieure d'Ansible.
-
Le paquet
ansible-freeipa
est installé.
Hypothèses
- L'exemple suppose que dans le répertoire ~/MyPlaybooks/ vous avez créé un fichier d'inventaire Ansible avec le nom de domaine complet (FQDN) du serveur IdM.
-
L'exemple suppose que le coffre-fort Ansible secret.yml stocke votre
ipaadmin_password
et que vous connaissez le mot de passe du fichier du coffre-fort.
Procédure
Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :
$ cd ~/MyPlaybooks/
- Créer un fichier sids-for-users-and-groups-present.yml Ansible playbook.
Ajoutez le contenu suivant au fichier :
--- - name: Playbook to ensure SIDs are enabled and users and groups have SIDs hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Enable SID and generate users and groups SIDS ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" enable_sid: true add_sids: true
La variable
enable_sid
permet de générer des SID pour les futurs utilisateurs et groupes IdM. La variableadd_sids
génère des SID pour les utilisateurs et groupes IdM existants.NoteLorsque vous utilisez
add_sids: true
, vous devez également attribuer la valeurtrue
à la variableenable_sid
.- Enregistrer le fichier.
Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :
$ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml
Lorsque vous y êtes invité, indiquez le mot de passe du fichier de l'espace de stockage.
Ressources supplémentaires