3.2. Archivage d'un secret dans un coffre-fort utilisateur standard dans IdM à l'aide d'Ansible
Cette section montre comment un utilisateur de la gestion des identités (IdM) peut utiliser un playbook Ansible pour stocker des informations sensibles dans un coffre-fort personnel. Dans l'exemple utilisé, l'utilisateur idm_user archive un fichier contenant des informations sensibles nommé password.txt dans un coffre-fort nommé my_vault.
Conditions préalables
- Vous avez installé le paquet ansible-freeipa sur le contrôleur Ansible, c'est-à-dire l'hôte sur lequel vous exécutez les étapes de la procédure.
- Vous connaissez le mot de passe de idm_user.
- idm_user est le propriétaire, ou au moins un membre utilisateur de my_vault.
- Vous avez accès à password.txt, le secret que vous voulez archiver dans my_vault.
Procédure
Naviguez jusqu'au répertoire
/usr/share/doc/ansible-freeipa/playbooks/vault
:$ cd /usr/share/doc/ansible-freeipa/playbooks/vault
Ouvrez votre fichier d'inventaire et assurez-vous que le serveur IdM que vous souhaitez configurer est répertorié dans la section
[ipaserver]
. Par exemple, pour demander à Ansible de configurer server.idm.example.com, entrez :[ipaserver] server.idm.example.com
Faites une copie du fichier data-archive-in-symmetric-vault.yml Ansible playbook, mais remplacez "symmetric" par "standard". Par exemple :
$ cp data-archive-in-symmetric-vault.yml data-archive-in-standard-vault-copy.yml
- Ouvrez le fichier data-archive-in-standard-vault-copy.yml pour le modifier.
Adaptez le fichier en définissant les variables suivantes dans la section
ipavault
task :-
Fixer la variable
ipaadmin_principal
à idm_user. -
Définissez la variable
ipaadmin_password
avec le mot de passe de idm_user. -
Fixer la variable
user
à idm_user. -
Fixer la variable
name
à my_vault. -
Définissez la variable
in
avec le chemin d'accès complet au fichier contenant des informations sensibles. Fixer la variable
action
à member.Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :
--- - name: Tests hosts: ipaserver gather_facts: false vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - ipavault: ipaadmin_principal: idm_user ipaadmin_password: idm_user_password user: idm_user name: my_vault in: /usr/share/doc/ansible-freeipa/playbooks/vault/password.txt action: member
-
Fixer la variable
- Enregistrer le fichier.
Exécutez le manuel de jeu :
$ ansible-playbook --vault-password-file=password_file -v -i inventory.file data-archive-in-standard-vault-copy.yml