ホーム
製品
Red Hat Enterprise Linux
9
Using Ansible to install and manage Identity Management
37.3. Ansible を使用して、Web コンソールで SSH ログイン用のスマートカード認証を設定する

37.3. Ansible を使用して、Web コンソールで SSH ログイン用のスマートカード認証を設定する

RHEL Web コンソールでユーザーアカウントにログインした後、SSH プロトコルを使用してリモートマシンに接続できます。servicedelegationrule および servicedelegationtarget Ansible モジュールを使用して、制約付き委任機能用に Web コンソールを設定できます。これにより、再度認証を求められることなく SSH 接続が可能になります。

この手順例では、Web コンソールセッションが myhost.idm.example.com ホストで実行され、認証されたユーザーの代わりに SSH を使用して remote.idm.example.com ホストにアクセスするように設定します。

前提条件

myhost.idm.example.com で IdM admin Ticket-Granting Ticket (TGT) を取得した。
remote.idm.example.com への root アクセス権がある
Web コンソールを実行するホストは、IdM ドメインのメンバーです。
次の要件を満たすように Ansible コントロールノードを設定した。
- ansible-freeipa パッケージがインストールされている。
- Ansible バージョン 2.14 以降を使用している。
- この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルが作成されていると想定しています。
- この例では、secret.yml Ansible Vault で管理者パスワードが ipaadmin_password 変数に格納されていことを前提としています。
ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

Terminal ページで、Web コンソールがユーザーセッション内に Service for User to Proxy (S4U2proxy) Kerberos チケットを作成したことを確認します。
```
$ klist
…
Valid starting     Expires            Service principal
05/20/25 09:19:06 05/21/25 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
…
```
~/MyPlaybooks/ ディレクトリーに移動します。
```
$ cd ~/MyPlaybooks/
```

以下の内容で web-console-smart-card-ssh.yml Playbook を作成します。

委任対象の存在を確認するタスクを作成します。

---
- name: Playbook to create a constrained delegation target
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure servicedelegationtarget web-console-delegation-target is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target

対象ホストを委任ターゲットに追加するタスクを追加します。

  - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
    ipaservicedelegationtarget:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-target
      principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
      action: member

委任ルールの存在を確認するタスクを追加します。

  - name: Ensure servicedelegationrule delegation-rule is present
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule

Web コンソールクライアントサービスの Kerberos プリンシパルが制約付き委任ルールのメンバーであることを確認するタスクを追加します。

  - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      principal: HTTP/myhost.idm.example.com
      action: member

制約付き委任ルールが web-console-delegation-target 委任対象と関連付けられることを確認するタスクを追加します。

  - name: Ensure a constrained delegation rule is associated with a specific delegation target
    ipaservicedelegationrule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: web-console-delegation-rule
      target: web-console-delegation-target
      action: member

ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml
```
remote.idm.example.com で Kerberos 認証を有効にします。
1. root として、SSH 経由で remote.idm.example.com に接続します。
2. /etc/ssh/sshd_config ファイルに GSSAPIAuthentication yes の 設定を追加してください。
変更をすぐに有効にするには、remote.idm.example.com で sshd サービスを再起動します。
```
$ systemctl try-restart sshd.service
```

37.3. Ansible を使用して、Web コンソールで SSH ログイン用のスマートカード認証を設定する

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links