Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

21장. Ansible 플레이북을 사용하여 sudo 액세스 관리

Ansible 플레이북을 사용하여 RHEL Identity Management에서 사용자의 sudo 액세스 관리에 대해 자세히 알아보십시오. RHEL Identity Management의 사용자에게 sudo 액세스 권한을 부여하는 방법에 대한 자세한 내용은 IdM 클라이언트의 IdM 사용자에게 sudo 액세스 권한 부여를 참조하십시오.

21.1. Ansible 플레이북을 사용하여 IdM 클라이언트의 IdM 사용자에 대한 sudo 액세스 권한 확인

RHEL IdM(Identity Management)에서는 특정 IdM 호스트의 IdM 사용자 계정에 특정 명령에 대한 sudo 액세스 권한이 부여되었는지 확인할 수 있습니다.

idm_user_reboot 라는 sudo 규칙이 있는지 확인하려면 이 절차를 완료합니다. 이 규칙은 idmclient 시스템에서 /usr/sbin/reboot 명령을 실행할 수 있는 권한을 idm_user 에게 부여합니다.

사전 요구 사항

  • 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.

    • Ansible 버전 2.15 이상을 사용하고 있습니다.
    • freeipa.ansible_freeipa 컬렉션을 설치했습니다.
    • 이 예제에서는 ~/MyPlaybooks/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
    • 이 예제에서는 secret.yml Ansible vault가 ipaadmin_password 를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
  • freeipa.ansible_freeipa 모듈이 실행되는 대상 노드인 대상 노드는 IdM 도메인의 일부입니다. IdM 클라이언트, 서버 또는 복제본입니다.
  • IdM에 idm_user 사용자 계정이 있는지 확인하고 사용자의 암호를 생성하여 계정 잠금을 해제했습니다. 명령줄을 사용하여 새 IdM 사용자를 추가하는 방법에 대한 자세한 내용은 명령줄 을 사용하여 사용자 추가를 참조하십시오.
  • idmclient 에 로컬 idm_user 계정이 없습니다. idm_user 사용자는 idmclient/etc/passwd 파일에 나열되지 않습니다.

프로세스

  1. 하나 이상의 sudo 명령을 추가합니다.

    1. sudo 명령의 IdM 데이터베이스에 /usr/sbin/reboot 명령이 있는지 확인하는 ensure-reboot-sudocmd-is-present.yml Ansible 플레이북을 만듭니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/sudocmd/ensure-sudocmd-is-present.yml 파일에서 예제를 복사하고 수정할 수 있습니다. 

      ---
- name: Playbook to manage sudo command
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  # Ensure sudo command is present
  - freeipa.ansible_freeipa.ipasudocmd:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: /usr/sbin/reboot
      state: present
      Copy to Clipboard

    2. Playbook을 실행합니다. 

      $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-reboot-sudocmd-is-present.yml
      Copy to Clipboard

  2. 명령을 참조하는 sudo 규칙을 생성합니다.

    1. sudo 명령 항목을 사용하여 sudo 규칙이 있는지 확인하는 ensure-sudorule-for-idmuser-on-idmclient-is-present.yml Ansible 플레이북을 만듭니다. sudo 규칙을 사용하면 idm_useridmclient 시스템을 재부팅할 수 있습니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/sudorule/ensure-sudorule-is-present.yml 파일에서 예제를 복사하고 수정할 수 있습니다. 

      ---
- name: Tests
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  # Ensure a sudorule is present granting idm_user the permission to run /usr/sbin/reboot on idmclient
  - freeipa.ansible_freeipa.ipasudorule:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: idm_user_reboot
      description: A test sudo rule.
      allow_sudocmd: /usr/sbin/reboot
      host: idmclient.idm.example.com
      user: idm_user
      state: present
      Copy to Clipboard

    2. Playbook을 실행합니다. 

      $ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-sudorule-for-idmuser-on-idmclient-is-present.yml
      Copy to Clipboard

검증

idm_usersudo 를 사용하여 idmclient 를 재부팅할 수 있는지 확인하여 IdM 서버에서 확인 중인 sudo 규칙이 idmclient 에서 작동하는지 테스트합니다. 서버 변경 사항을 클라이언트에 적용하는 데 몇 분이 걸릴 수 있습니다.

  1. idmclientidm_user 로 로그인합니다.

  2. sudo 를 사용하여 시스템을 재부팅합니다. 메시지가 표시되면 idm_user 의 암호를 입력합니다. 

    $ sudo /usr/sbin/reboot
[sudo] password for idm_user:
    Copy to Clipboard

sudo 가 올바르게 구성된 경우 시스템이 재부팅됩니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat