ホーム
製品
Red Hat Enterprise Linux
9
Ansible を使用した Identity Management のインストールと管理
13.3. Ansible を使用して IdM RBAC 特権にパーミッションが含まれないようにする手順

13.3. Ansible を使用して IdM RBAC 特権にパーミッションが含まれないようにする手順

Identity Management (IdM) のシステム管理者は、IdM のロールベースアクセス制御をカスタマイズできます。

以下の手順では、Ansible Playbook を使用して、特権からパーミッションを削除する方法を説明します。この例では、管理者がセキュリティー上のリスクを考慮するため、デフォルトの Certificate Administrators 特権から Request Certificates ignoring CA ACLs を削除する方法を説明します。

前提条件

コントロールノードでは、
- Ansible バージョン 2.14 以降を使用している。
- ansible-freeipa パッケージがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成している (この例の場合)。
- この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

/usr/share/doc/ansible-freeipa/playbooks/privilege/ にある privilege-member-present.yml ファイルのコピーを作成します。

cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

Copy to Clipboard

Toggle word wrap

Ansible Playbook ファイル (privilege-member-absent-copy.yml) を開きます。

ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

使用しているユースケースに合わせて、タスクの 名前 を調節します。
ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
name 変数は、特権の名前に設定します。
permission のリストは、特権から削除するパーミッションの名前に設定します。
action 変数が member に設定されていることを確認します。
state 変数は absent に設定されていることを確認します。

以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

---
- name: Privilege absent example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
    ipaprivilege:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: Certificate Administrators
      permission:
      - "Request Certificate ignoring CA ACLs"
      action: member
      state: absent

---
- name: Privilege absent example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
    ipaprivilege:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: Certificate Administrators
      permission:
      - "Request Certificate ignoring CA ACLs"
      action: member
      state: absent

Copy to Clipboard

Toggle word wrap

ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml
```
Copy to Clipboard Toggle word wrap

13.3. Ansible を使用して IdM RBAC 特権にパーミッションが含まれないようにする手順

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links