ホーム
製品
Red Hat Enterprise Linux
8
Ansible を使用した Identity Management のインストールと管理
19.8. Ansible Playbook を使用して追加のパスワードポリシーオプションを IdM グループに適用する

19.8. Ansible Playbook を使用して追加のパスワードポリシーオプションを IdM グループに適用する

Ansible Playbook を使用して追加のパスワードポリシーオプションを適用し、特定の IdM グループのパスワードポリシー要件を強化できます。この目的には、maxrepeat、maxsequence、dictcheck、および usercheck パスワードポリシーオプションを使用できます。この例では、managers グループに次の要件を設定する方法を説明します。

ユーザーの新しいパスワードに、ユーザーのそれぞれのユーザー名が含まれていない。
パスワードに含まれる連続する同一の文字が 2 文字以下である。
パスワードに含まれる単調な文字列が 3 文字以内である。これは、システムが 1234 や abcd などの文字列を含むパスワードを受け入れないことを意味します。

前提条件

次の要件を満たすように Ansible コントロールノードを設定した。
- Ansible バージョン 2.13 以降を使用している。
- Ansible コントローラーに ansible-freeipa パッケージがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成した。
- secret.yml Ansible vault に ipaadmin_password が保存されている。
IdM にパスワードポリシーが存在することを確認するグループ。

手順

Ansible Playbook ファイル manager_pwpolicy_present.yml を作成して、存在させるパスワードポリシーを定義します。この手順を簡素化するには、次の例をコピーして変更します。

Copy to Clipboard Toggle word wrap

---
- name: Tests
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure presence of usercheck and maxrepeat pwpolicy for group managers
    ipapwpolicy:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: managers
      usercheck: True
      maxrepeat: 2
      maxsequence: 3

---
- name: Tests
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure presence of usercheck and maxrepeat pwpolicy for group managers
    ipapwpolicy:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: managers
      usercheck: True
      maxrepeat: 2
      maxsequence: 3

Playbook を実行します。

Copy to Clipboard Toggle word wrap

ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory_/manager_pwpolicy_present.yml

$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory_/manager_pwpolicy_present.yml

検証

test_user という名前のテストユーザーを追加します。

Copy to Clipboard Toggle word wrap

ipa user-add test_user

$ ipa user-add test_user
First name: test
Last name: user
----------------------------
Added user "test_user"
----------------------------

テストユーザーを マネージャー グループに追加します。
1. IdM Web UI で、Identity>Groups>User Groups をクリックします。
2. managers をクリックします。
3. Add をクリックします。
4. Add users into user group 'managers' ページで、test_user のチェックボックスをオンにします。
5. > 矢印をクリックして、ユーザーを Prospective 列に移動します。
6. Add をクリックします。
テストユーザーのパスワードをリセットします。
1. Identity>Users に移動します。
2. test_user をクリックします。
3. Actions メニューで、Reset Password をクリックします。
4. ユーザーの一時パスワードを入力します。

test_user の Kerberos Ticket-Granting Ticket (TGT) の取得を試みます。

コマンドラインで次のコマンドを入力します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
kinit test_user
```
```
$ kinit test_user
```
一時パスワードを入力します。

パスワードを変更する必要があることがシステムから通知されます。test_user のユーザー名を含むパスワードを入力します。

Copy to Clipboard Toggle word wrap

Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Password expired. You must change it now.
Enter new password:
Enter it again:
Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

入力したパスワードが拒否されたことがシステムから通知されます。連続して 3 文字以上の同一文字を含むパスワードを入力します。

Copy to Clipboard Toggle word wrap

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

入力したパスワードが拒否されたことがシステムから通知されます。3 文字を超える単調な文字列を含むパスワードを入力します。たとえば、1234 や fedc などの文字列です。

Copy to Clipboard Toggle word wrap

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

入力したパスワードが拒否されたことがシステムから通知されます。マネージャー パスワードポリシーの基準を満たすパスワードを入力します。

Copy to Clipboard Toggle word wrap

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

Password change rejected: Password not changed.
Unspecified password quality failure while trying to change password.
Please try again.

Enter new password:
Enter it again:

TGT を取得したことを確認します。これは、有効なパスワードを入力した後にのみ可能です。

Copy to Clipboard Toggle word wrap

klist

$ klist
Ticket cache: KCM:0:33945
Default principal: test_user@IDM.EXAMPLE.COM

Valid starting       Expires              Service principal
07/07/2021 12:44:44  07/08/2021 12:44:44  krbtgt@IDM.EXAMPLE.COM@IDM.EXAMPLE.COM

関連情報

IdM での追加のパスワードポリシー
/usr/share/doc/ansible-freeipa/README-pwpolicy.md
/usr/share/doc/ansible-freeipa/playbooks/pwpolicy

トップに戻る

19.8. Ansible Playbook を使用して追加のパスワードポリシーオプションを IdM グループに適用する

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links