26.4. Ansible を使用した IdM サービスのサービスシークレットの取得

手順

1. ~/MyPlaybooks/ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

2. インベントリーファイルを開きます。

   • webservers セクションで、シークレットを取得するホストを定義します。たとえば Ansible に対して webserver1.idm.example.com、webserver2.idm.example.com および webserver3.idm.example.com にシークレットを取得するように指示するには以下を実行します。

   [ipaserver]
   server.idm.example.com
   
   [webservers]
   webserver1.idm.example.com
   webserver2.idm.example.com
   webserver3.idm.example.com

   Copy to Clipboard Toggle word wrap

3. 該当するコレクションのディレクトリーから、retrieve-data-asymmetric-vault.yml Ansible Playbook ファイルのコピーを作成します。以下に例を示します。

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/vault/retrieve-data-asymmetric-vault.yml retrieve-data-asymmetric-vault-copy.yml

   Copy to Clipboard Toggle word wrap
4. retrieve-data-asymmetric-vault-copy.yml ファイルを編集のために開きます。

5. freeipa.ansible_freeipa.ipavault タスクセクションで次の変数を設定して、ファイルを変更します。

   • ipaadmin_password 変数の値が secret.yml Ansible vault ファイルで定義されていることを示します。
   • name 変数は Vault の名前 (例: secret_vault) に設定します。
   • service 変数は Vault のサービス所有者に設定します (例: HTTP/webserver1.idm.example.com)。
   • private_key_file 変数は、サービス Vault のシークレットの取得に使用する秘密鍵の場所に設定します。
   • out 変数は、現在の作業ディレクトリーなど、private-key-to-an-externally-signed-certificate.pem シークレットの取得先となる IdM サーバーの場所に設定します。

   • action 変数は member に設定します。

     今回の例で使用するように変更した Ansible Playbook ファイル:

   ---
   - name: Retrieve data from vault
     hosts: ipaserver
     become: no
     gather_facts: false
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Retrieve data from the service vault
       freeipa.ansible_freeipa.ipavault:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: secret_vault
         service: HTTP/webserver1.idm.example.com
         vault_type: asymmetric
         private_key: "{{ lookup('file', 'service-private.pem') | b64encode }}"
         out: private-key-to-an-externally-signed-certificate.pem
         state: retrieved

   Copy to Clipboard Toggle word wrap

6. Playbook に、IdM サーバーから Ansible コントローラーにデータファイルを取得するセクションを追加します。

   ---
   - name: Retrieve data from vault
     hosts: ipaserver
     become: no
     gather_facts: false
     tasks:
   [...]
     - name: Retrieve data file
       fetch:
         src: private-key-to-an-externally-signed-certificate.pem
         dest: ./
         flat: true
         mode: 0600

   Copy to Clipboard Toggle word wrap

7. インベントリーファイルの webservers セクションに記載されている Web サーバーに、Ansible コントローラーから取得した private-key-to-an-externally-signed-certificate.pem ファイルを転送するセクションを Playbook に追加します。

   ---
   - name: Send data file to webservers
     become: no
     gather_facts: no
     hosts: webservers
     tasks:
     - name: Send data to webservers
       copy:
         src: private-key-to-an-externally-signed-certificate.pem
         dest: /etc/pki/tls/private/httpd.key
         mode: 0444

   Copy to Clipboard Toggle word wrap
8. ファイルを保存します。

9. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory.file retrieve-data-asymmetric-vault-copy.yml

   Copy to Clipboard Toggle word wrap