第12章 制御された環境での Identity Management のデプロイ: 概念実証

手順

1. ISO イメージを使用して、controller システム用の新しい仮想マシンをインストールします。詳細は、インストールメディアからの RHEL の対話型インストール を参照してください。インストールの際は、次の点に注意してください。

   1. Virtual Machine Manager (VMM) を使用して仮想マシンをインストールする場合は、controller、server、replica、および client のホストに名前を付けて、VMM UI 内の名前を CLI 上のホストの名前と一致させます。
   2. IdM サーバーとレプリカをインストールする仮想マシン用に、少なくとも 4 GB の RAM を確保します。クライアントシステム用には 1 GB あれば十分です。
   3. IdM サーバー、レプリカ、クライアントのストレージ用に 30 GB を確保します。
   4. Test and Install ではなく、Install を選択します。
   5. インストール中に controller 上にローカルの ansible_user ユーザーを作成します。
   6. ansible_user ユーザーに覚えやすいパスワード (例: 12345) を設定します。
   7. Root password セクションで、覚えやすいパスワード (例: 1234) を入力します。
   8. Allow root SSH login with password チェックボックスをオンにします。

2. インストールが完了したら、controller 仮想マシンのホスト名を設定します。

   1. controller 仮想マシンの CLI で、nmtui と入力します。
   2. 下矢印キーを使用して、Set system hostname を選択します。

   3. 新しく開いたウィンドウに、controller.idm.example.com と入力します。

      ホスト名は、controller.idm.example.com などの完全修飾ドメイン名である必要があります。詳細は、Identity Management のインストール の IdM の DNS ホスト名および DNS の要件への対応 を参照してください。

   4. 下矢印キーと右矢印キーを使用して、OK を選択します。
   5. もう一度 OK をクリックして、新しいホスト名を確定します。
   6. 上位のインターフェイスで、下矢印キーと右矢印キーを使用して OK と Quit を選択します。

   7. [オプション] ホスト名を検証するために、システム上の hostname ユーティリティーを使用します。

      $ hostname

      controller.idm.example.com

      hostname の出力は、localhost または localhost6 以外である必要があります。

3. 他のすべての仮想マシン (server、replica、client) についても上記の手順を繰り返します。

4. すべての仮想マシン上で ansible_user に sudo 特権を設定します。

   1. controller に root として SSH 接続します。

      your-physical-system]$ ssh root@controller

   2. /etc/sudoers.d/ansible_user ファイルを作成して、ansible_user にパスワードなしの sudo を設定します。

      # echo "ansible_user ALL=(ALL) NOPASSWD: ALL" | tee /etc/sudoers.d/ansible_user

   3. 管理対象のすべてのノード、server、replica、および client でこの手順を繰り返します。
   注記

   この章全体を通して、コントローラーに ansible_user としてログインしている場合、root 特権を必要とするコマンドを実行する前に sudo を使用する必要があります。

5. IP アドレスの代わりにホスト名を使用して、個々のシステムへ相互にログインできるように設定します。

   1. controller の CLI で次のように入力します。

      $ ip a

      1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
          link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
          inet 127.0.0.1/8 scope host lo
             valid_lft forever preferred_lft forever
          inet6 ::1/128 scope host
             valid_lft forever preferred_lft forever
      2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
          link/ether 52:54:00:b7:e6:ac brd ff:ff:ff:ff:ff:ff
          inet 192.168.122.86/24 brd 192.168.122.255 scope global dynamic noprefixroute enp1s0
             valid_lft 3106sec preferred_lft 3106sec
          inet6 fe80::5054:ff:feb7:e6ac/64 scope link noprefixroute
             valid_lft forever preferred_lft forever

      192.168.X.X. で始まる IP アドレスをメモします。

   2. 他のすべての仮想ホストでも同じことを行います。

   3. controller で、sudo を使用して、すべての仮想システムのホスト名と IP アドレスを /etc/hosts ファイルに追加します。ファイルは次のようになります。

      127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
      ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
      192.168.122.86 controller.idm.example.com controller
      192.168.122.42 server.idm.example.com server
      192.168.122.103 replica.idm.example.com replica
      192.168.122.200 client.idm.example.com client

   4. 物理システムの /etc/hosts ファイルも同様に更新します。

6. controller のオペレーティングシステムが最新であることを確認します。

   1. ローカルシステムから controller 上の ansible_user アカウントに SSH 接続します。

      your-physical-system]$ ssh ansible_user@controller

   2. controller 仮想マシンを Red Hat のサブスクリプション管理サービスに登録します。

      $ sudo subscription-manager register --username <your_user_name> --password <your_password>

   3. 最新のパッケージを使用していることを確認します。

      $ sudo yum update

   4. 他のすべての仮想マシンについても上記の手順を繰り返します。

手順

1. コントローラーシステム上で、ansible_user としてログインし、SSH 公開鍵および秘密鍵を作成します。

   [ansible_user@controller]$ ssh-keygen

   Generating public/private rsa key pair.
   Enter file in which to save the key (/home/ansible_user/.ssh/id_rsa):
   Enter passphrase (empty for no passphrase): [Enter]
   Enter same passphrase again: [Enter]
   ...

   鍵ファイルの保存場所として、推奨されているデフォルトの場所を使用してください。これは PoC 環境であるため、パスフレーズは空のままにしておきます。

2. ~/.ansible.cfg ファイルを次の内容で作成します。

   [defaults]
   inventory = /home/ansible_user/inventory
   remote_user = ansible_user
   
   [privilege_escalation]
   become = True
   become_method = sudo
   become_user = root

   注記

   ~/.ansible.cfg ファイルの設定は優先度が高く、グローバルな /etc/ansible/ansible.cfg ファイルの設定をオーバーライドします。

   これらの設定を使用して、Ansible は次のアクションを実行します。

   • 指定されたインベントリーファイルでホストを管理します。
   • 管理対象ノードへの SSH 接続を確立するときに、remote_user パラメーターで設定されたアカウントを使用します。
   • 権限昇格が必要なタスクを実行する際に、sudo を使用して root 特権に昇格します。ansible_user はパスワードなしの sudo (NOPASSWD) で設定されているため、Ansible はパスワードの入力を求めません。

3. 管理対象ホストのホスト名と必要なインストール変数の値をリストした、INI または YAML 形式の ~/inventory ファイルを作成します。

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=True
   ipaserver_auto_forwarders=True
   ipaadmin_password=Secret123
   ipadm_password=Secret123
   
   [ipareplicas]
   replica.idm.example.com
   
   [ipareplicas:vars]
   ipareplica_setup_dns=true
   ipareplica_auto_forwarders=true
   ipaadmin_password=Secret123
   ipareplica_servers=server.idm.example.com
   
   [ipaclients]
   client.idm.example.com
   
   [ipaclients:vars]
   ipaadmin_password=Secret123
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.122.1
   ipaclient_servers=server.idm.example.com

4. 次の内容を含む install-cluster.yml ファイルを作成します。

   ---
   - name: Play to configure IPA server
     hosts: ipaserver
     become: true
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present
   
   - name: Play to configure IPA clients with username/password
     hosts: ipaclients
     become: true
     roles:
     - role: freeipa.ansible_freeipa.ipaclient
       state: present
   
   - name: Play to configure IPA replicas
     hosts: ipareplicas
     serial: 1
     become: true
     roles:
     - role: freeipa.ansible_freeipa.ipareplica
       state: present

   この Playbook には 3 つのプレイが含まれています。

   • 最初のプレイはプライマリー IdM サーバーをインストールします。
   • 2 番目のプレイは IdM クライアントをインストールします。
   • 3 番目のプレイは IdM レプリカをインストールします。serial: 1 ディレクティブは、同じ IdM サーバーに対して一度に 1 つのレプリカのみをデプロイするように Ansible に指示するものです。

5. sudo 特権を使用して、ansible-freeipa コレクションをインストールします。

   [ansible_user@controller]$ sudo dnf install ansible-freeipa

   [...]
   Transaction Summary
   ========================================================================================================================================================================
   Install  11 Packages
   Total download size: 9.8 M
   Installed size: 42 M
   Is this ok [y/N]: y
   [...]

手順

1. 管理対象ノード server 上の ansible_user アカウントに、ansible_user ユーザーの SSH 公開鍵をインストールします。

   1. コントロールノードに ansible_user としてログインし、SSH 公開鍵を server 上の ansible_user アカウントにコピーします。

      [ansible_user@controller]$ ssh-copy-id ansible_user@server.idm.example.com

      /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/ansible_user/.ssh/id_rsa.pub"
      The authenticity of host 'server.idm.example.com (192.168.122.42)' can't be established.
      ECDSA key fingerprint is SHA256:9bZ33GJNODK3zbNhybokN/6Mq7hu3vpBXDrCxe7NAvo.

   2. プロンプトが表示されたら、yes と入力して接続します。

      Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

      /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
      /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

   3. プロンプトが表示されたら、server 上の ansible_user のパスワードを入力します。

      ansible_user@server.idm.example.com's password: 12345

      Number of key(s) added: 1
      Now try logging into the machine, with:   "ssh 'ansible_user@server.idm.example.com'"
      and check to make sure that only the key(s) you wanted were added.

   4. server 上でコマンドをリモートで実行して SSH 接続を確認します。

      [ansible_user@controller]$ ssh ansible_user@server.idm.example.com whoami

      ansible_user

2. 他のすべての管理対象ノード (replica、client) についても、この手順を繰り返します。

3. 各管理対象ノードで、ansible_user 用の sudo 設定を作成します。

   1. 各管理対象ノード (server、replica、client) で、root ユーザーとしてログインし (sudo アクセス権を持つ別のユーザーがいる場合は sudo を使用)、visudo コマンドを使用して /etc/sudoers.d/ansible_user ファイルを作成および編集します。

      # visudo /etc/sudoers.d/ansible_user

      通常のエディターではなく visudo を使用する利点は、このユーティリティーがファイルをインストールする前に解析エラーなどの基本的なチェックを提供する点にあります。

   2. /etc/sudoers.d/ansible_user ファイルで sudoers ポリシーを設定します。

      ansible_user ALL=(ALL) NOPASSWD: ALL

      これにより、ansible_user のパスワードを入力することなく、このホスト上で root (またはその他の任意のユーザー) としてすべてのコマンドを実行する権限が ansible_user に付与されます。コントローラーの Ansible 設定で become_user = root が指定されているため、Ansible は、昇格された権限を必要とするタスクを実行する際に、この sudo 特権を使用して root 権限に昇格します。

検証

1. すべての管理対象ノード上のコントロールノードからコマンドを実行できることを確認します。

   [ansible_user@controller]$ ansible all -m ping

   BECOME password:
   client.idm.example.com | SUCCESS => {
       "ansible_facts": {
           "discovered_interpreter_python": "/usr/bin/python3"
       },
       "changed": false,
       "ping": "pong"
   }
   server.idm.example.com | SUCCESS => {
       "ansible_facts": {
           "discovered_interpreter_python": "/usr/bin/python3"
       },
       "changed": false,
       "ping": "pong"
   }
   replica.idm.example.com | SUCCESS => {
       "ansible_facts": {
           "discovered_interpreter_python": "/usr/bin/python3"
       },
       "changed": false,
       "ping": "pong"
   }

   ハードコーディングされたすべてのホストグループには、インベントリーファイルにリストされているすべてのホストが動的に含まれます。

2. 特権昇格が正しく機能することを確認します。Ansible の command モジュールと become を使用して、すべての管理対象ノードで whoami ユーティリティーを実行します。

   [ansible_user@controller]$ ansible all -m command -a whoami --become

   BECOME password: <password>
   client.idm.example.com | CHANGED | rc=0 >>
   root
   server.idm.example.com | CHANGED | rc=0 >>
   root
   replica.idm.example.com | CHANGED | rc=0 >>
   root

   コマンドが root を返した場合、管理対象ノード上で sudo が正しく設定されています。--become は、Ansible に sudo を使用して特権を昇格するように指示するフラグです。