Ansible을 사용하여 ID 관리 설치 및 관리
Ansible을 사용하여 IdM 환경 유지 관리
초록
ansible-freeipa
패키지를 제공합니다. 플레이북을 사용하여 IdM을 설치하고 사용자, 그룹, 호스트, 액세스 제어 및 구성 설정을 관리할 수 있습니다.
Red Hat 문서에 관한 피드백 제공
문서에 대한 피드백에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.
Jira를 통해 피드백 제출 (등록 필요)
- Jira 웹 사이트에 로그인합니다.
- 상단 탐색 모음에서 생성 을 클릭합니다.
- Summary (요약) 필드에 설명 제목을 입력합니다.
- Description (설명) 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
- 대화 상자 하단에서 생성 을 클릭합니다.
1장. Ansible 용어
이 제목의 장에서는 공식 Ansible 용어를 사용합니다. 용어에 익숙하지 않은 경우 다음 섹션을 진행하기 전에 공식 Ansible 업스트림 설명서 를 읽어 보십시오.
- Ansible의 기본 개념은 Ansible에서 가장 일반적으로 사용되는 개념에 대한 개요를 제공합니다.
- 사용자 가이드는 명령줄 사용, 인벤토리 작업, 데이터 상호 작용, 작업, 플레이북 실행 등 Ansible을 시작할 때 가장 일반적인 상황과 질문을 간략하게 설명합니다.
- 인벤토리를 구축하는 방법은 재고 설계에 대한 팁을 제공합니다. 인벤토리는 Ansible이 인프라의 여러 관리 노드 또는 호스트에 대해 작업하는 데 사용하는 목록 또는 목록 그룹입니다.
- 플레이북 소개 에서는 구성 관리, 시스템 배포, 복잡한 애플리케이션 배포를 위한 반복 가능하고 재사용 가능한 시스템으로 Ansible 플레이북의 개념을 소개합니다.
- Ansible roles 섹션에서는 알려진 파일 구조를 기반으로 변수, 작업 및 핸들러 로드를 자동화하는 방법을 설명합니다.
- Glossary 는 Ansible 설명서의 다른 곳에서 사용되는 용어를 설명합니다.
2장. Ansible 플레이북을 사용하여 Identity 관리 서버 설치
Ansible 을 사용하여 시스템을 IdM 서버로 구성하는 방법에 대해 자세히 알아보십시오. 시스템을 IdM 서버로 구성하면 IdM 도메인을 설정하고 시스템이 IdM 클라이언트에 IdM 서비스를 제공할 수 있습니다. ipaserver
Ansible 역할을 사용하여 배포를 관리할 수 있습니다.
사전 요구 사항
- 일반적인 Ansible 및 IdM 개념을 이해하고 있습니다.
2.1. Ansible 및 IdM 설치의 이점
Ansible은 시스템을 구성하고, 소프트웨어를 배포하고, 롤링 업데이트를 수행하는 데 사용되는 자동화 도구입니다. Ansible에는 IdM(Identity Management) 지원이 포함되어 있으며 Ansible 모듈을 사용하여 IdM 서버, 복제본, 클라이언트 또는 전체 IdM 토폴로지 설정과 같은 설치 작업을 자동화할 수 있습니다.
Ansible을 사용하여 IdM 설치의 이점
다음 목록은 수동 설치와 달리 Ansible을 사용하여 Identity Management를 설치하는 경우의 장점을 보여줍니다.
- 관리 노드에 로그인할 필요가 없습니다.
- 개별적으로 배포되도록 각 호스트에서 설정을 구성할 필요는 없습니다. 대신 하나의 인벤토리 파일을 사용하여 전체 클러스터를 배포할 수 있습니다.
- 나중에 관리 작업에 대해 인벤토리 파일을 재사용할 수 있습니다(예: 사용자 및 호스트 추가). 등의 작업을 위해 IdM과 관련이 없는 경우에도 인벤토리 파일을 재사용할 수 있습니다.
2.2. ansible-freeipa 패키지 설치
IdM(Identity Management)을 설치하고 관리하기 위한 Ansible 역할 및 모듈을 제공하는 ansible-freeipa
패키지를 설치하려면 다음 절차를 따르십시오.
사전 요구 사항
- 컨트롤러가 유효한 서브스크립션이 있는 Red Hat Enterprise Linux 시스템인지 확인합니다. 그렇지 않은 경우 대체 설치 지침은 공식 Ansible 설명서 설치 가이드를 참조하십시오.
-
컨트롤러의
SSH
프로토콜을 통해 관리 노드에 연결할 수 있는지 확인합니다. 관리 노드가 컨트롤러의/root/.ssh/known_hosts
파일에 나열되어 있는지 확인합니다.
절차
Ansible 컨트롤러에서 다음 절차를 사용합니다.
시스템이 RHEL 8.5 및 이전 버전에서 실행중인 경우 필요한 리포지토리를 활성화합니다.
# subscription-manager repos --enable ansible-2.8-for-rhel-8-x86_64-rpms
시스템이 RHEL 8.5 이하에서 실행 중인 경우
ansible
패키지를 설치합니다.# yum install ansible
ansible-freeipa
패키지를 설치합니다.# yum install ansible-freeipa
역할 및 모듈은
/usr/share/ansible/roles/
및/usr/share/ansible/plugins/modules
디렉터리에 설치됩니다.
2.3. 파일 시스템의 Ansible 역할 위치
기본적으로 ansible-freeipa
역할은 /usr/share/ansible/roles/
디렉터리에 설치됩니다. ansible-freeipa
패키지의 구조는 다음과 같습니다.
/usr/share/ansible/roles/
디렉터리는 Ansible 컨트롤러에
역할을 저장합니다. 각 역할 디렉터리는ipaserver
,ipareplica
및 ipaclientREADME.md
마크다운 파일에서 역할에 대한 예제, 기본 개요, 라이센스 및 문서를 저장합니다.[root@server]# ls -1 /usr/share/ansible/roles/ ipaclient ipareplica ipaserver
/usr/share/doc/ansible-freeipa/
디렉터리는README.md
마크다운 파일에 개별 역할 및 토폴로지에 대한 문서를 저장합니다. 또한playbooks/
하위 디렉터리를 저장합니다.[root@server]# ls -1 /usr/share/doc/ansible-freeipa/ playbooks README-client.md README.md README-replica.md README-server.md README-topology.md
/usr/share/doc/ansible-freeipa/playbooks/
디렉터리에 예제 플레이북이 저장됩니다.[root@server]# ls -1 /usr/share/doc/ansible-freeipa/playbooks/ install-client.yml install-cluster.yml install-replica.yml install-server.yml uninstall-client.yml uninstall-cluster.yml uninstall-replica.yml uninstall-server.yml
2.4. 통합 DNS를 사용한 배포 매개 변수 및 통합 CA를 루트 CA로 설정
IdM 통합 DNS 솔루션을 사용하는 환경에서 통합 CA를 root CA로 사용하여 IdM 서버를 설치하기 위한 인벤토리 파일을 구성하려면 다음 절차를 완료합니다.
이 절차의 인벤토리에는 INI
형식을 사용합니다. 또는 YAML
또는 JSON
형식을 사용할 수 있습니다.
절차
~/MyPlaybooks/
디렉터리를 생성합니다.$ mkdir MyPlaybooks
-
~/MyPlaybooks/inventory
파일을 만듭니다. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의
FQDN
(정규화된 도메인 이름)을 지정합니다.FQDN
이 다음 기준을 충족하는지 확인합니다.- 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
- 호스트 이름은 모두 소문자여야 합니다.
- IdM 도메인 및 영역 정보를 지정합니다.
다음 옵션을 추가하여 통합 DNS를 사용하도록 지정합니다.
ipaserver_setup_dns=true
DNS 전달 설정을 지정합니다. 다음 옵션 중 하나를 선택합니다.
-
설치 프로그램이
/etc/resolv.conf
파일에서 전달자를 사용하려면ipaserver_auto_forwarders=true
옵션을 사용합니다./etc/resolv.conf
파일에 지정된 이름 서버가 localhost 127.0.0.1 주소이거나 가상 프라이빗 네트워크에 있고 사용 중인 DNS 서버는 일반적으로 공용 인터넷에서 연결할 수 없는 경우 이 옵션을 사용하지 마십시오. -
ipaserver_forwarders
옵션을 사용하여 전달자를 수동으로 지정합니다. 설치 프로세스에서는 설치된 IdM 서버의/etc/named.conf
파일에 전달자 IP 주소를 추가합니다. ipaserver_no_forwarders=true
옵션을 사용하여 대신 사용할 루트 DNS 서버를 구성합니다.참고DNS 전달자가 없으면 환경이 분리되어 있으며 인프라의 다른 DNS 도메인의 이름은 확인되지 않습니다.
-
설치 프로그램이
DNS 역방향 레코드 및 영역 설정을 지정합니다. 다음 옵션 중에서 선택합니다.
-
ipaserver_allow_zone_overlap=true
옵션을 사용하여 영역이 이미 확인 가능한 경우에도 (반복) 영역을 생성할 수 있습니다. -
ipaserver_reverse_zones
옵션을 사용하여 역방향 영역을 수동으로 지정합니다. 설치 프로그램이 역방향 DNS 영역을 생성하지 않으려면
ipaserver_no_reverse=true
옵션을 사용합니다.참고IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 사용할 수 있습니다.
-
-
admin
및Directory Manager
의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조합니다. 또는 인벤토리 파일에서 직접 암호를 지정합니다. 선택 사항: IdM 서버에서 사용할 사용자 지정
firewalld
영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM이 해당 서비스를 기본firewalld
영역에 추가합니다. 사전 정의된 기본 영역은public
입니다.중요지정된
firewalld
영역이 있어야 하며 영구적이어야 합니다.필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true [...]
필요한 서버 정보가 있는 인벤토리 파일의 예(암호 포함)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 [...]
사용자 지정
firewalld
영역을 사용하는 인벤토리 파일의 예[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 ipaserver_firewalld_zone=custom zone
Ansible Vault 파일에 저장된 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 예제 플레이북
--- - name: Playbook to configure IPA server hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaserver state: present
인벤토리 파일에서 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 예제
--- - name: Playbook to configure IPA server hosts: ipaserver become: true roles: - role: ipaserver state: present
추가 리소스
-
man
ipa-server-install(1)
-
/usr/share/doc/ansible-freeipa/README-server.md
2.5. 외부 DNS를 사용한 배포 매개 변수와 통합 CA를 루트 CA로 설정
통합 CA를 사용하여 외부 DNS 솔루션을 사용하는 환경의 루트 CA로 IdM 서버를 설치하기 위한 인벤토리 파일을 구성하려면 다음 절차를 완료합니다.
이 절차의 인벤토리 파일은 INI
형식을 사용합니다. 또는 YAML
또는 JSON
형식을 사용할 수 있습니다.
절차
~/MyPlaybooks/
디렉터리를 생성합니다.$ mkdir MyPlaybooks
-
~/MyPlaybooks/inventory
파일을 만듭니다. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의
FQDN
(정규화된 도메인 이름)을 지정합니다.FQDN
이 다음 기준을 충족하는지 확인합니다.- 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
- 호스트 이름은 모두 소문자여야 합니다.
- IdM 도메인 및 영역 정보를 지정합니다.
-
ipaserver_setup_dns
옵션이no
로 설정되어 있는지 확인합니다. -
admin
및Directory Manager
의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조합니다. 또는 인벤토리 파일에서 직접 암호를 지정합니다. 선택 사항: IdM 서버에서 사용할 사용자 지정
firewalld
영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM이 해당 서비스를 기본firewalld
영역에 추가합니다. 사전 정의된 기본 영역은public
입니다.중요지정된
firewalld
영역이 있어야 하며 영구적이어야 합니다.필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no [...]
필요한 서버 정보가 있는 인벤토리 파일의 예(암호 포함)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 [...]
사용자 지정
firewalld
영역을 사용하는 인벤토리 파일의 예[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 ipaserver_firewalld_zone=custom zone
Ansible Vault 파일에 저장된 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 예제 플레이북
--- - name: Playbook to configure IPA server hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaserver state: present
인벤토리 파일에서 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 예제
--- - name: Playbook to configure IPA server hosts: ipaserver become: true roles: - role: ipaserver state: present
추가 리소스
-
man
ipa-server-install(1)
-
/usr/share/doc/ansible-freeipa/README-server.md
2.6. Ansible 플레이북을 사용하여 통합 CA를 루트 CA로 사용하여 IdM 서버 배포
Ansible 플레이북을 사용하여 CA(통합 인증 기관)를 루트 CA로 사용하여 IdM 서버를 배포하려면 이 절차를 완료합니다.
사전 요구 사항
- 관리형 노드는 고정 IP 주소와 작업 패키지 관리자가 있는 Red Hat Enterprise Linux 8 시스템입니다.
다음 절차 중 하나를 선택하여 시나리오에 해당하는 매개변수를 설정했습니다.
절차
Ansible Playbook을 실행합니다.
$ ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server.yml
다음 옵션 중 하나를 선택합니다.
IdM 배포에서 외부 DNS를 사용하는 경우:
/tmp/ipa.system. recordss.UFRPto.db
파일에 포함된 DNS 리소스 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
중요기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
IdM 배포에서 통합 DNS를 사용하는 경우:
상위 도메인의 DNS 위임을 IdM DNS 도메인에 추가합니다. 예를 들어 IdM DNS 도메인이
idm.example.com
이면example.com
상위 도메인에 이름 서버(NS) 레코드를 추가합니다.중요IdM DNS 서버를 설치한 후 매번 이 단계를 반복합니다.
-
시간 서버의
_ntp._udp
서비스(SRV) 레코드를 IdM DNS에 추가합니다. IdM DNS에 새로 설치한 IdM 서버의 시간 서버에 대한 SRV 레코드가 있으면 향후 복제본 및 클라이언트 설치가 이 기본 IdM 서버에서 사용하는 시간 서버와 동기화되도록 자동으로 구성됩니다.
2.7. 통합 DNS를 사용한 배포의 매개 변수 및 외부 CA를 루트 CA로 설정
IdM 통합 DNS 솔루션을 사용하는 환경에서 외부 CA를 루트 CA로 설치하기 위한 인벤토리 파일을 구성하려면 다음 절차를 완료합니다.
이 절차의 인벤토리 파일은 INI
형식을 사용합니다. 또는 YAML
또는 JSON
형식을 사용할 수 있습니다.
절차
~/MyPlaybooks/
디렉터리를 생성합니다.$ mkdir MyPlaybooks
-
~/MyPlaybooks/inventory
파일을 만듭니다. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의
FQDN
(정규화된 도메인 이름)을 지정합니다.FQDN
이 다음 기준을 충족하는지 확인합니다.- 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
- 호스트 이름은 모두 소문자여야 합니다.
- IdM 도메인 및 영역 정보를 지정합니다.
다음 옵션을 추가하여 통합 DNS를 사용하도록 지정합니다.
ipaserver_setup_dns=true
DNS 전달 설정을 지정합니다. 다음 옵션 중 하나를 선택합니다.
-
설치 프로세스에서
/etc/resolv.conf
파일의 전달자를 사용하려면ipaserver_auto_forwarders=true
옵션을 사용합니다./etc/resolv.conf
파일에 지정된 이름 서버가 localhost 127.0.0.1 주소이거나 가상 사설 네트워크에 있고 사용 중인 DNS 서버는 일반적으로 공용 인터넷에서 연결할 수 없는 경우 이 옵션을 사용하지 않는 것이 좋습니다. -
ipaserver_forwarders
옵션을 사용하여 전달자를 수동으로 지정합니다. 설치 프로세스에서는 설치된 IdM 서버의/etc/named.conf
파일에 전달자 IP 주소를 추가합니다. ipaserver_no_forwarders=true
옵션을 사용하여 대신 사용할 루트 DNS 서버를 구성합니다.참고DNS 전달자가 없으면 환경이 분리되어 있으며 인프라의 다른 DNS 도메인의 이름은 확인되지 않습니다.
-
설치 프로세스에서
DNS 역방향 레코드 및 영역 설정을 지정합니다. 다음 옵션 중에서 선택합니다.
-
ipaserver_allow_zone_overlap=true
옵션을 사용하여 영역이 이미 확인 가능한 경우에도 (반복) 영역을 생성할 수 있습니다. -
ipaserver_reverse_zones
옵션을 사용하여 역방향 영역을 수동으로 지정합니다. 설치 프로세스에서 역방향 DNS 영역을 생성하지 않으려면
ipaserver_no_reverse=true
옵션을 사용합니다.참고IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 사용할 수 있습니다.
-
-
admin
및Directory Manager
의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조합니다. 또는 인벤토리 파일에서 직접 암호를 지정합니다. 선택 사항: IdM 서버에서 사용할 사용자 지정
firewalld
영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM에서 서비스를 기본firewalld
영역에 추가합니다. 사전 정의된 기본 영역은public
입니다.중요지정된
firewalld
영역이 있어야 하며 영구적이어야 합니다.필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true [...]
필요한 서버 정보가 있는 인벤토리 파일의 예(암호 포함)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 [...]
사용자 지정
firewalld
영역을 사용하는 인벤토리 파일의 예[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=true ipaserver_auto_forwarders=true ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 ipaserver_firewalld_zone=custom zone [...]
설치 첫 번째 단계에 대한 플레이북을 만듭니다. CSR(인증서 서명 요청)을 생성하고 컨트롤러에서 관리 노드로 복사하기 위한 지침을 입력합니다.
--- - name: Playbook to configure IPA server Step 1 hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml vars: ipaserver_external_ca: true roles: - role: ipaserver state: present post_tasks: - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}" fetch: src: /root/ipa.csr dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}" flat: true
설치의 마지막 단계에 대해 다른 플레이북을 생성합니다.
--- - name: Playbook to configure IPA server Step 2 hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml vars: ipaserver_external_cert_files: - "/root/servercert20240601.pem" - "/root/cacert.pem" pre_tasks: - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node ansible.builtin.copy: src: "{{ groups.ipaserver[0] }}-{{ item }}" dest: "/root/{{ item }}" force: true with_items: - servercert20240601.pem - cacert.pem roles: - role: ipaserver state: present
추가 리소스
-
man
ipa-server-install(1)
-
/usr/share/doc/ansible-freeipa/README-server.md
2.8. 외부 DNS를 사용한 배포 매개 변수와 외부 CA를 루트 CA로 설정
외부 DNS 솔루션을 사용하는 환경에서 외부 CA를 루트 CA로 설치하도록 IdM 서버를 설치하기 위한 인벤토리 파일을 구성하려면 다음 절차를 완료합니다.
이 절차의 인벤토리 파일은 INI
형식을 사용합니다. 또는 YAML
또는 JSON
형식을 사용할 수 있습니다.
절차
~/MyPlaybooks/
디렉터리를 생성합니다.$ mkdir MyPlaybooks
-
~/MyPlaybooks/inventory
파일을 만듭니다. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의
FQDN
(정규화된 도메인 이름)을 지정합니다.FQDN
이 다음 기준을 충족하는지 확인합니다.- 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
- 호스트 이름은 모두 소문자여야 합니다.
- IdM 도메인 및 영역 정보를 지정합니다.
-
ipaserver_setup_dns
옵션이no
로 설정되어 있는지 확인합니다. -
admin
및Directory Manager
의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조합니다. 또는 인벤토리 파일에서 직접 암호를 지정합니다. 선택 사항: IdM 서버에서 사용할 사용자 지정
firewalld
영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM이 해당 서비스를 기본firewalld
영역에 추가합니다. 사전 정의된 기본 영역은public
입니다.중요지정된
firewalld
영역이 있어야 하며 영구적이어야 합니다.필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no [...]
필요한 서버 정보가 있는 인벤토리 파일의 예(암호 포함)
[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 [...]
사용자 지정
firewalld
영역을 사용하는 인벤토리 파일의 예[ipaserver] server.idm.example.com [ipaserver:vars] ipaserver_domain=idm.example.com ipaserver_realm=IDM.EXAMPLE.COM ipaserver_setup_dns=no ipaadmin_password=MySecretPassword123 ipadm_password=MySecretPassword234 ipaserver_firewalld_zone=custom zone [...]
설치 첫 번째 단계에 대한 플레이북을 만듭니다. CSR(인증서 서명 요청)을 생성하고 컨트롤러에서 관리 노드로 복사하기 위한 지침을 입력합니다.
--- - name: Playbook to configure IPA server Step 1 hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml vars: ipaserver_external_ca: true roles: - role: ipaserver state: present post_tasks: - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}" fetch: src: /root/ipa.csr dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}" flat: true
설치의 마지막 단계에 대해 다른 플레이북을 생성합니다.
--- - name: Playbook to configure IPA server Step 2 hosts: ipaserver become: true vars_files: - playbook_sensitive_data.yml vars: ipaserver_external_cert_files: - "/root/servercert20240601.pem" - "/root/cacert.pem" pre_tasks: - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node ansible.builtin.copy: src: "{{ groups.ipaserver[0] }}-{{ item }}" dest: "/root/{{ item }}" force: true with_items: - servercert20240601.pem - cacert.pem roles: - role: ipaserver state: present
추가 리소스
- IdM 서버 설치: 통합 DNS 없이 루트 CA로 외부 CA를 사용
-
man
ipa-server-install(1)
-
/usr/share/doc/ansible-freeipa/README-server.md
2.9. Ansible 플레이북을 사용하여 외부 CA가 루트 CA로 있는 IdM 서버 배포
Ansible 플레이북을 사용하여 외부 CA(인증 기관)를 루트 CA로 사용하여 IdM 서버를 배포하려면 이 절차를 완료합니다.
사전 요구 사항
- 관리형 노드는 고정 IP 주소와 작업 패키지 관리자가 있는 Red Hat Enterprise Linux 8 시스템입니다.
다음 절차 중 하나를 선택하여 시나리오에 해당하는 매개변수를 설정했습니다.
절차
설치의 첫 번째 단계에 대한 지침을 사용하여 Ansible 플레이북을 실행합니다(예:
install-server-step1.yml
):$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml
-
컨트롤러에서
ipa.csr
인증서 서명 요청 파일을 찾아 외부 CA에 제출합니다. - 외부 CA에서 서명한 IdM CA 인증서를 컨트롤러 파일 시스템에 배치하여 다음 단계의 플레이북에서 찾을 수 있도록 합니다.
설치의 최종 단계에 대한 지침을 사용하여 Ansible 플레이북을 실행합니다(예:
install-server-step2.yml
):$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml
다음 옵션 중 하나를 선택합니다.
IdM 배포에서 외부 DNS를 사용하는 경우:
/tmp/ipa.system. recordss.UFRPto.db
파일에 포함된 DNS 리소스 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.... Restarting the KDC Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db Restarting the web server ...
중요기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.
IdM 배포에서 통합 DNS를 사용하는 경우:
상위 도메인의 DNS 위임을 IdM DNS 도메인에 추가합니다. 예를 들어 IdM DNS 도메인이
idm.example.com
이면example.com
상위 도메인에 이름 서버(NS) 레코드를 추가합니다.중요IdM DNS 서버를 설치한 후 매번 이 단계를 반복합니다.
-
시간 서버의
_ntp._udp
서비스(SRV) 레코드를 IdM DNS에 추가합니다. IdM DNS에 새로 설치한 IdM 서버의 시간 서버에 대한 SRV 레코드가 있으면 향후 복제본 및 클라이언트 설치가 이 기본 IdM 서버에서 사용하는 시간 서버와 동기화되도록 자동으로 구성됩니다.
2.10. Ansible 플레이북을 사용하여 IdM 서버 설치 제거
기존 IdM(Identity Management) 배포에서 복제본 과 서버는 서로 바꿔 사용할 수 있습니다.
Ansible 플레이북을 사용하여 IdM 복제본을 제거하려면 다음 절차를 완료합니다. 이 예제에서는 다음을 수행합니다.
- server123.idm.example.com 에서 IdM 구성이 제거됩니다.
- server123.idm.example.com 및 관련 호스트 항목이 IdM 토폴로지에서 제거됩니다.
사전 요구 사항
제어 노드에서 다음을 수행합니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
ansible-freeipa
패키지가 설치되어 있습니다. - ~/MyPlaybook/ 디렉터리에 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했습니다. 이 예에서 FQDN은 server123.idm.example.com 입니다.
-
ipaadmin_password
를 secret.yml Ansible 자격 증명에 저장했습니다. -
ipaserver_remove_from_topology
옵션이 작동하려면 RHEL 8.9 이상에서 시스템을 실행해야 합니다.
관리 노드에서 다음을 수행합니다.
- 시스템은 RHEL 8에서 실행되고 있습니다.
절차
다음 콘텐츠를 사용하여 Ansible 플레이북 파일 uninstall-server.yml 을 생성합니다.
--- - name: Playbook to uninstall an IdM replica hosts: ipaserver become: true roles: - role: ipaserver ipaserver_remove_from_domain: true state: absent
ipaserver_remove_from_domain
옵션은 IdM 토폴로지에서 호스트를 등록 해제합니다.참고server123.idm.example.com을 제거해도 연결이 끊긴 토폴로지가 발생하면 제거가 중단됩니다. 자세한 내용은 연결이 끊긴 토폴로지로 이어지는 경우에도 Ansible 플레이북을 사용하여 IdM 서버 설치 제거를 참조하십시오.
복제본을 제거합니다.
$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/uninstall-server.yml
- server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다. IdM에서 DNS 레코드를 삭제하는 방법에 대한 자세한 내용은 IdM CLI에서 DNS 레코드 삭제를 참조하십시오.
2.11. Ansible 플레이북을 사용하여 연결이 끊긴 토폴로지로 이어지는 경우에도 IdM 서버를 설치 제거
기존 IdM(Identity Management) 배포에서 복제본 과 서버는 서로 바꿔 사용할 수 있습니다.
연결이 끊긴 IdM 토폴로지가 발생하는 경우에도 Ansible 플레이북을 사용하여 IdM 복제본을 제거하려면 다음 절차를 완료합니다. 예제에서 server456.idm.example.com 은 토폴로지에서 server123.idm.example.com 의 FQDN이 있는 복제본 및 관련 호스트 항목을 제거하여 특정 복제본의 server456.idm.example.com 과 나머지 토폴로지의 연결이 끊어진 상태로 유지됩니다.
remove_server_from_domain
만 사용하여 토폴로지에서 복제본을 제거하면 연결이 끊긴 토폴로지가 발생하지 않으며 다른 옵션은 필요하지 않습니다. 결과가 연결 해제된 토폴로지인 경우 보존할 도메인의 일부를 지정해야 합니다. 이 경우 다음을 수행해야 합니다.
-
ipaserver_remove_on_server
값을 지정합니다. -
ipaserver_ignore_topology_disconnect
를 True로 설정합니다.
사전 요구 사항
제어 노드에서 다음을 수행합니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
- 시스템이 RHEL 8.9 이상에서 실행되고 있습니다.
-
ansible-freeipa
패키지가 설치되어 있습니다. - ~/MyPlaybook/ 디렉터리에 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했습니다. 이 예에서 FQDN은 server123.idm.example.com 입니다.
-
ipaadmin_password
를 secret.yml Ansible 자격 증명에 저장했습니다.
관리 노드에서 다음을 수행합니다.
- 시스템이 8 이상에서 실행되고 있습니다.
절차
다음 콘텐츠를 사용하여 Ansible 플레이북 파일 uninstall-server.yml 을 생성합니다.
--- - name: Playbook to uninstall an IdM replica hosts: ipaserver become: true roles: - role: ipaserver ipaserver_remove_from_domain: true ipaserver_remove_on_server: server456.idm.example.com ipaserver_ignore_topology_disconnect: true state: absent
참고일반적인 상황에서 server123을 제거하면 연결이 끊긴 토폴로지가 발생하지 않습니다.
ipaserver_remove_on_server
의 값이 설정되지 않은 경우 server123이 제거된 복제본은 server123의 복제 계약을 사용하여 자동으로 결정됩니다.복제본을 제거합니다.
$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/uninstall-server.yml
- server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다. IdM에서 DNS 레코드를 삭제하는 방법에 대한 자세한 내용은 IdM CLI에서 DNS 레코드 삭제를 참조하십시오.
2.12. 추가 리소스
3장. Ansible 플레이북을 사용하여 Identity Management 복제본 설치
Ansible 을 사용하여 시스템을 IdM 복제본으로 구성하여 IdM 도메인에 등록하고, 시스템이 도메인의 IdM 서버에서 IdM 서비스를 사용할 수 있도록 합니다.
배포는 ipareplica
Ansible 역할로 관리합니다. 역할은 자동 검색 모드를 사용하여 IdM 서버, 도메인 및 기타 설정을 식별할 수 있습니다. 그러나 계층과 같은 모델에 여러 복제본을 배포하는 경우 다른 복제본 그룹이 다른 시간에 배포되는 경우 각 그룹의 특정 서버 또는 복제본을 정의해야 합니다.
사전 요구 사항
- Ansible 제어 노드에 ansible-freeipa 패키지를 설치했습니다.
- 일반적인 Ansible 및 IdM 개념을 이해하고 있습니다.
- 배포에서 복제본 토폴로지를 계획했습니다.
3.1. IdM 복제본 설치를 위한 기본, 서버 및 클라이언트 변수 지정
IdM 복제본을 설치하기 위한 인벤토리 파일을 구성하려면 다음 절차를 완료합니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다.
절차
편집할 인벤토리 파일을 엽니다. IdM 복제본이 될 호스트의 FQDN(정규화된 도메인 이름)을 지정합니다. FQDN은 유효한 DNS 이름이어야 합니다.
-
숫자, 영문자 및 하이픈(
-
)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다. 호스트 이름은 모두 소문자여야 합니다.
복제본의 FQDN만 정의된 간단한 인벤토리 호스트 파일의 예
[ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...]
IdM 서버가 이미 배포되어 있고 SRV 레코드가 IdM DNS 영역에 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.
-
숫자, 영문자 및 하이픈(
선택 사항: 토폴로지를 설계하는 방법에 따라 인벤토리 파일에 추가 정보를 제공합니다.
- 시나리오 1
자동 검색을 방지하고
[ipareplicas]
섹션에 모든 복제본이 나열된 경우 특정 IdM 서버를 사용하는 경우 인벤토리 파일의[ipaservers]
섹션에 서버를 설정합니다.IdM 서버 및 복제본의 FQDN이 정의된 인벤토리 호스트 파일 예
[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...]
- 시나리오 2
또는 자동 검색을 피하지만 특정 서버에 특정 복제본을 배포하려는 경우 인벤토리 파일의
[ipareplicas]
섹션에서 특정 복제본의 서버를 개별적으로 설정합니다.특정 복제본에 대해 정의된 특정 IdM 서버가 있는 인벤토리 파일의 예
[ipaservers] server.idm.example.com replica1.idm.example.com [ipareplicas] replica2.idm.example.com replica3.idm.example.com ipareplica_servers=replica1.idm.example.com
위의 예에서
replica3.idm.example.com
은 이미 배포된replica1.idm.example.com
을 복제 소스로 사용합니다.- 시나리오 3
여러 복제본을 한 배치에 배포하고 있으며 시간이 중요한 경우 다계층 복제본 배포가 유용할 수 있습니다. 인벤토리 파일에 특정 복제본 그룹(예:
[ipareplicas_tier1]
및[ipareplicas_tier2]
을 정의하고install-replica.yml
플레이북에서 각 그룹에 대해 별도의 플레이를 설계합니다.복제본 계층이 정의된 인벤토리 파일의 예
[ipaservers] server.idm.example.com [ipareplicas_tier1] replica1.idm.example.com [ipareplicas_tier2] replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com
ipareplica_servers
의 첫 번째 항목이 사용됩니다. 두 번째 항목은 대체 옵션으로 사용됩니다. IdM 복제본을 배포하는 데 여러 계층을 사용하는 경우, 먼저 tier1에서 복제본을 배포하기 위해 플레이북에 별도의 작업이 있어야 하고 tier2에서 복제본을 배포해야 합니다.다른 복제본 그룹에 대해 다른 플레이가 있는 플레이북 파일의 예
--- - name: Playbook to configure IPA replicas (tier1) hosts: ipareplicas_tier1 become: true roles: - role: ipareplica state: present - name: Playbook to configure IPA replicas (tier2) hosts: ipareplicas_tier2 become: true roles: - role: ipareplica state: present
선택 사항:
firewalld
및 DNS에 대한 추가 정보를 제공합니다.- 시나리오 1
복제본에서 지정된
firewalld
영역을 사용하도록 하려면(예: 내부) 인벤토리 파일에서 지정할 수 있습니다. 사용자 지정 영역을 설정하지 않으면 IdM이 해당 서비스를 기본firewalld
영역에 추가합니다. 사전 정의된 기본 영역은public
입니다.중요지정된
firewalld
영역이 있어야 하며 영구적이어야 합니다.사용자 지정
firewalld
영역을 사용하는 간단한 인벤토리 호스트 파일 예[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...] [ipareplicas:vars] ipareplica_firewalld_zone=custom zone
- 시나리오 2
복제본에서 IdM DNS 서비스를 호스팅하려면 ipareplica_setup_dns=true 행을
[ipareplicas:vars]
섹션에 추가합니다. 또한 서버당 DNS 전달자를 사용하려는 경우 다음을 지정합니다.-
서버별 전달자를 구성하려면
ipareplica_forwarders
변수와 문자열 목록을[ipareplicas:vars]
섹션에 추가하십시오(예: ipareplica_forwarders=192.0.2.1,192.0.2.2 -
서버별 전달자를 구성하지 않으려면
[ipareplicas:vars]
섹션에 다음 행을 추가합니다. ipareplica_no_forwarders=true. -
복제본의
/etc/resolv.conf
파일에 나열된 전달자를 기반으로 서버별 전달자를 구성하려면ipareplica_auto_forwarders
변수를[ipareplicas:vars]
섹션에 추가합니다.
복제본에 DNS 및 서버 전달자를 설정하는 지침이 포함된 인벤토리 파일의 예
[ipaservers] server.idm.example.com [ipareplicas] replica1.idm.example.com replica2.idm.example.com replica3.idm.example.com [...] [ipareplicas:vars] ipareplica_setup_dns=true ipareplica_forwarders=192.0.2.1,192.0.2.2
-
서버별 전달자를 구성하려면
- 시나리오 3
ipaclient_configure_dns_resolve
및ipaclient_dns_servers
옵션(사용 가능한 경우)을 사용하여 클러스터 배포를 단순화하여 DNS 확인 프로그램을 지정합니다. IdM 배포가 통합된 DNS를 사용하는 경우 특히 유용합니다.DNS 확인자를 지정하는 인벤토리 파일 스니펫:
[...] [ipaclient:vars] ipaclient_configure_dns_resolver=true ipaclient_dns_servers=192.168.100.1
참고ipaclient_dns_servers
목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.
추가 리소스
-
/usr/share/ansible/roles/ipareplica/README.md
3.2. Ansible Playbook을 사용하여 IdM 복제본을 설치하기 위한 자격 증명 지정
IdM 복제본 설치를 위한 권한 부여를 구성하려면 다음 절차를 완료합니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다.
절차
복제본을 배포하도록 인증된 사용자의 암호를 지정합니다(예: IdM
관리자
).Red Hat은 Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조하는 것이 좋습니다(예:
install-replica.yml
).Ansible Vault 파일의 인벤토리 파일 및 암호를 사용하는 플레이북 파일의 예
- name: Playbook to configure IPA replicas hosts: ipareplicas become: true vars_files: -
playbook_sensitive_data.yml
roles: - role: ipareplica state: presentAnsible Vault를 사용하는 방법에 대한 자세한 내용은 공식 Ansible Vault 설명서를 참조하십시오.
덜 안전하게, 인벤토리 파일에서 직접
admin
의 자격 증명을 제공합니다. 인벤토리 파일의[ipareplicas:vars]
섹션에ipaadmin_password
옵션을 사용합니다. 그런 다음 인벤토리 파일과install-replica.yml
플레이북 파일은 다음과 같이 표시됩니다.인벤토리 hosts.replica 파일 예
[...] [ipareplicas:vars] ipaadmin_password=Secret123
인벤토리 파일에서 주체 및 암호를 사용하는 플레이북의 예
- name: Playbook to configure IPA replicas hosts: ipareplicas become: true roles: - role: ipareplica state: present
또는 인벤토리 파일에 직접 복제본을 배포할 권한이 있는 다른 사용자의 자격 증명을 제공합니다. 권한 있는 다른 사용자를 지정하려면 사용자 이름에
ipaadmin_principal
옵션과 암호에ipaadmin_password
옵션을 사용합니다. 그런 다음 인벤토리 파일과install-replica.yml
플레이북 파일은 다음과 같이 표시됩니다.인벤토리 hosts.replica 파일 예
[...] [ipareplicas:vars] ipaadmin_principal=my_admin ipaadmin_password=my_admin_secret123
인벤토리 파일에서 주체 및 암호를 사용하는 플레이북의 예
- name: Playbook to configure IPA replicas hosts: ipareplicas become: true roles: - role: ipareplica state: present
추가 리소스
-
/usr/share/ansible/roles/ipareplica/README.md
3.3. Ansible 플레이북을 사용하여 IdM 복제본 배포
Ansible 플레이북을 사용하여 IdM 복제본을 배포하려면 다음 절차를 완료합니다.
사전 요구 사항
- 관리형 노드는 고정 IP 주소와 작업 패키지 관리자가 있는 Red Hat Enterprise Linux 8 시스템입니다.
- IdM 복제본을 설치하기 위해 인벤토리 파일을 구성했습니다.
- IdM 복제본 설치를 위한 권한 부여를 구성했습니다.
절차
Ansible Playbook을 실행합니다.
$ ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-replica.yml
3.4. Ansible 플레이북을 사용하여 IdM 복제본 설치 제거
기존 IdM(Identity Management) 배포에서 복제본 과 서버는 서로 바꿔 사용할 수 있습니다. IdM 서버를 제거하는 방법에 대한 자세한 내용은 Ansible 플레이북을 사용하여 IdM 서버 설치 제거 또는 Ansible 플레이북 을 사용하여 연결이 끊긴 토폴로지로 이어지는 경우에도 IdM 서버를 설치 제거합니다.
추가 리소스
4장. Ansible 플레이북을 사용하여 Identity Management 클라이언트 설치
Ansible 을 사용하여 IdM(Identity Management) 클라이언트로 시스템을 구성하는 방법에 대해 자세히 알아보십시오. 시스템을 IdM 클라이언트로 구성하여 IdM 도메인에 등록하고 시스템이 도메인의 IdM 서버에서 IdM 서비스를 사용할 수 있도록 합니다.
배포는 ipaclient
Ansible 역할에서 관리합니다. 기본적으로 이 역할은 IdM 서버, 도메인 및 기타 설정을 식별하기 위해 자동 검색 모드를 사용합니다. Ansible 플레이북에서 지정된 설정을 사용하도록 역할을 수정할 수 있습니다(예: 인벤토리 파일).
사전 요구 사항
- Ansible 제어 노드에 ansible-freeipa 패키지를 설치했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
- 일반적인 Ansible 및 IdM 개념을 이해하고 있습니다.
4.1. 자동 검색 클라이언트 설치 모드에 대한 인벤토리 파일의 매개 변수 설정
Ansible 플레이북을 사용하여 IdM(Identity Management) 클라이언트를 설치하려면 인벤토리 파일에서 대상 호스트 매개변수를 구성합니다. 예를 들면 다음과 같습니다.
- 호스트에 대한 정보
- 작업 권한 부여
인벤토리 파일은 보유한 인벤토리 플러그인에 따라 다양한 형식 중 하나에 있을 수 있습니다. INI와 유사한
형식은 Ansible의 기본값 중 하나이며 아래 예제에서 사용됩니다.
RHEL에서 그래픽 사용자 인터페이스에서 스마트 카드를 사용하려면 Ansible 플레이북에 ipaclient_mkhomedir
변수를 포함해야 합니다.
절차
-
편집을 위해
인벤토리
파일을 엽니다. IdM 클라이언트가 될 호스트의 정규화된 호스트 이름(FQDN)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.
-
숫자, 영문자 및 하이픈(
-
)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다. - 호스트 이름은 모두 소문자여야 합니다. 대문자는 허용되지 않습니다.
SRV 레코드가 IdM DNS 영역에 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.
정의된 클라이언트 FQDN만 있는 간단한 인벤토리 호스트 파일의 예
[ipaclients] client.idm.example.com [...]
-
숫자, 영문자 및 하이픈(
클라이언트 등록에 필요한 자격 증명을 지정합니다. 다음과 같은 인증 방법을 사용할 수 있습니다.
고객 등록에 승인된 사용자의 암호입니다. 기본 옵션입니다.
Red Hat은 Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조하는 것이 좋습니다(예:
install-client.yml
).Ansible Vault 파일의 인벤토리 파일 및 암호를 사용하는 플레이북 파일의 예
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present
덜 안전하게,
inventory/hosts
파일의[ipaclients:vars]
섹션에서ipaadmin_password
옵션을 사용하여admin
의 자격 증명을 제공합니다. 또는 권한 있는 다른 사용자를 지정하려면 사용자 이름에ipaadmin_principal
옵션을 사용하고 암호에ipaadmin_password
옵션을 사용합니다.inventory/hosts
인벤토리 파일과install-client.yml
플레이북 파일은 다음과 같이 표시될 수 있습니다.인벤토리 호스트 파일 예
[...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
인벤토리 파일에서 주체 및 암호를 사용하는 플레이북의 예
- name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
이전 등록의 클라이언트 키탭 이 계속 사용 가능한 경우.
이 옵션은 이전에 시스템이 ID 관리 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면
#ipaclient_keytab
옵션의 주석을 제거하고 keytab을 저장하는 파일의 경로를 지정합니다(예:inventory/hosts
의[ipaclient:vars]
섹션).등록 중에 생성되는 임의의 OTP(one-time password )입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서
ipaclient_use_otp=true
옵션을 사용합니다. 예를 들어inventory/hosts
파일의[ipaclients:vars]
섹션에서ipaclient_use_otp=true
옵션의 주석을 해제할 수 있습니다. OTP에서는 다음 옵션 중 하나를 지정해야 합니다.-
예를 들어
inventory/hosts
파일의[ipaclients:vars]
섹션에ipaadmin_password
값을 제공하여 클라이언트를 등록하도록 인증된 사용자의 암호입니다. -
예를 들어 admin keytab (예: 인벤토리/호스트의
[ipaclients:vars]
섹션에ipaadmin_keytab
값을 제공하여).
-
예를 들어
선택 사항:
ipaclient_configure_dns_resolve
및ipaclient_dns_servers
옵션(사용 가능한 경우)을 사용하여 클러스터 배포를 단순화하여 DNS 확인 프로그램을 지정합니다. IdM 배포가 통합된 DNS를 사용하는 경우 특히 유용합니다.DNS 확인자를 지정하는 인벤토리 파일 스니펫:
[...] [ipaclients:vars] ipaadmin_password: "{{ ipaadmin_password }}" ipaclient_domain=idm.example.com ipaclient_configure_dns_resolver=true ipaclient_dns_servers=192.168.100.1
참고ipaclient_dns_servers
목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.-
RHEL 8.9부터
ipaclient_subid: true
옵션을 지정하여 IdM 수준에서 IdM 사용자에 대해 하위 범위를 구성할 수도 있습니다.
추가 리소스
-
/usr/share/ansible/roles/ipaclient/README.md
- 수동으로 subID 범위 관리
4.2. 클라이언트 설치 중에 자동 검색을 수행할 수 없는 경우 인벤토리 파일의 매개 변수 설정
Ansible 플레이북을 사용하여 Identity Management 클라이언트를 설치하려면 인벤토리 파일에서 대상 호스트 매개 변수를 구성합니다(예: inventory/hosts
).
- 호스트, IdM 서버, IdM 도메인 또는 IdM 영역에 대한 정보
- 작업 권한 부여
인벤토리 파일은 보유한 인벤토리 플러그인에 따라 다양한 형식 중 하나에 있을 수 있습니다. INI와 유사한
형식은 Ansible의 기본값 중 하나이며 아래 예제에서 사용됩니다.
RHEL에서 그래픽 사용자 인터페이스에서 스마트 카드를 사용하려면 Ansible 플레이북에 ipaclient_mkhomedir
변수를 포함해야 합니다.
절차
IdM 클라이언트가 될 호스트의 정규화된 호스트 이름(FQDN)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.
-
숫자, 영문자 및 하이픈(
-
)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다. - 호스트 이름은 모두 소문자여야 합니다. 대문자는 허용되지 않습니다.
-
숫자, 영문자 및 하이픈(
inventory/hosts
파일의 관련 섹션에 다른 옵션을 지정합니다.-
클라이언트가 등록할 IdM 서버를 나타내는
[ipaservers]
섹션에 있는 서버의 FQDN 다음 두 옵션 중 하나입니다.
-
클라이언트가 등록할 IdM 서버의 DNS 도메인 이름을 나타내는
[ipaclients:vars]
섹션의ipaclient_domain
옵션 IdM 서버에서 제어하는 Kerberos 영역의 이름을 나타내는
[ipaclients:vars]
섹션의ipaclient_realm
옵션클라이언트 FQDN, 서버 FQDN 및 정의된 도메인이 있는 인벤토리 호스트 파일의 예
[ipaclients] client.idm.example.com [ipaservers] server.idm.example.com [ipaclients:vars] ipaclient_domain=idm.example.com [...]
-
클라이언트가 등록할 IdM 서버의 DNS 도메인 이름을 나타내는
-
클라이언트가 등록할 IdM 서버를 나타내는
클라이언트 등록에 필요한 자격 증명을 지정합니다. 다음과 같은 인증 방법을 사용할 수 있습니다.
고객 등록에 승인된 사용자의 암호입니다. 기본 옵션입니다.
Red Hat은 Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일에서 Vault 파일을 참조하는 것이 좋습니다(예:
install-client.yml
).Ansible Vault 파일의 인벤토리 파일 및 암호를 사용하는 플레이북 파일의 예
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present
덜 안전하게,
inventory/hosts
파일의[
옵션을 사용하여 제공할 관리자의 자격 증명입니다. 또는 권한 있는 다른 사용자를 지정하려면 사용자 이름에ipaclients:vars]
섹션에서 ipaadmin
_passwordipaadmin_principal
옵션을 사용하고 암호에ipaadmin_password
옵션을 사용합니다.install-client.yml
플레이북 파일은 다음과 같이 표시됩니다.인벤토리 호스트 파일 예
[...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
인벤토리 파일에서 주체 및 암호를 사용하는 플레이북의 예
- name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
이전 등록에서 계속 사용할 수 있는 경우 client keytab 입니다.
이 옵션은 이전에 시스템이 ID 관리 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면
ipaclient_keytab
옵션의 주석을 제거하고 keytab을 저장하는 파일의 경로를 지정합니다(예:inventory/hosts
의[ipaclient:vars]
섹션).등록 중에 생성되는 임의의 OTP(one-time password )입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서
ipaclient_use_otp=true
옵션을 사용합니다. 예를 들어inventory/hosts
파일의[ipaclients:vars]
섹션에서#ipaclient_use_otp=true
옵션의 주석을 해제할 수 있습니다. OTP에서는 다음 옵션 중 하나를 지정해야 합니다.-
예를 들어
inventory/hosts
파일의[ipaclients:vars]
섹션에ipaadmin_password
값을 제공하여 클라이언트를 등록하도록 인증된 사용자의 암호입니다. -
예를 들어 admin keytab (예: 인벤토리/호스트의
[ipaclients:vars]
섹션에ipaadmin_keytab
값을 제공하여).
-
예를 들어
-
RHEL 8.9부터
ipaclient_subid: true
옵션을 지정하여 IdM 수준에서 IdM 사용자에 대해 하위 범위를 구성할 수도 있습니다.
추가 리소스
-
/usr/share/ansible/roles/ipaclient/README.md
- 수동으로 subID 범위 관리
4.3. Ansible Playbook을 사용하여 IdM 클라이언트 등록에 대한 권한 부여 옵션
다음 방법을 사용하여 IdM 클라이언트 등록을 승인할 수 있습니다.
- 임의의 일회성 암호(OTP) + 관리자 암호
- 임의의 일회성 암호(OTP) + 관리자 키탭
- 이전 등록의 클라이언트 키탭
-
인벤토리 파일에 저장된 클라이언트(
관리자
)를 등록할 수 있는 사용자의 암호 -
Ansible 자격 증명 모음에 저장된 클라이언트(
관리자
)를 등록할 수 있는 사용자의 암호
IdM 클라이언트 설치 전에 IdM 관리자가 OTP를 생성할 수 있습니다. 이 경우 OTP 자체 이외의 설치에 대한 인증 정보가 필요하지 않습니다.
다음은 이러한 방법에 대한 샘플 인벤토리 파일입니다.
권한 부여 옵션 | 인벤토리 파일 |
---|---|
임의의 일회성 암호(OTP) + 관리자 암호 |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
임의의 일회성 암호(OTP) |
[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
이 시나리오에서는 설치 전에 IdM |
임의의 일회성 암호(OTP) + 관리자 키탭 |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
이전 등록의 클라이언트 키탭 |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
인벤토리 파일에 저장된 |
[ipaclients:vars] ipaadmin_password=Secret123 |
Ansible 자격 증명 모음 파일에 저장된 |
[ipaclients:vars] [...] |
Ansible Vault 파일에 저장된 admin
사용자의 암호를 사용하는 경우 해당 플레이북 파일에 추가 vars_files
지시문이 있어야 합니다.
인벤토리 파일 | 플레이북 파일 |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present |
위에서 설명한 다른 모든 권한 부여 시나리오에서는 기본 플레이북 파일은 다음과 같을 수 있습니다.
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
RHEL 8.8에서 위에서 설명한 두 개의 OTP 인증 시나리오에서 kinit
명령을 사용하여 관리자의 TGT 요청은 첫 번째 지정 또는 검색된 IdM 서버에서 실행됩니다. 따라서 Ansible 제어 노드를 추가로 수정할 필요가 없습니다. RHEL 8.8 이전에는 제어 노드에 krb5-workstation
패키지가 필요했습니다.
4.4. Ansible 플레이북을 사용하여 IdM 클라이언트 배포
Ansible 플레이북을 사용하여 IdM 환경에 IdM 클라이언트를 배포하려면 이 절차를 완료합니다.
사전 요구 사항
- 관리형 노드는 고정 IP 주소와 작업 패키지 관리자가 있는 Red Hat Enterprise Linux 8 시스템입니다.
IdM 클라이언트 배포의 매개변수가 배포 시나리오에 일치하도록 설정되어 있습니다.
절차
Ansible Playbook을 실행합니다.
$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-client.yml
4.5. Ansible에서 일회성 암호 방법을 사용하여 IdM 클라이언트 설치
IdM(Identity Management)의 새 호스트에 대해 일회성 암호(OTP)를 생성하고 이를 사용하여 IdM 도메인에 시스템을 등록할 수 있습니다. 다음 절차에서는 다른 IdM 호스트에서 OTP를 생성한 후 Ansible을 사용하여 IdM 클라이언트를 설치하는 방법을 설명합니다.
조직에 다른 권한이 있는 두 시스템 관리자가 있는 경우 IdM 클라이언트를 설치하는 이 방법을 사용할 수 있습니다.
- IdM 관리자의 인증 정보가 있는 사람입니다.
-
IdM 클라이언트가 되기 위해 호스트에 대한
root
액세스 권한을 포함하여 필요한 Ansible 자격 증명이 있는 또 다른 방법입니다.
IdM 관리자는 OTP 암호가 생성되는 절차의 첫 번째 부분을 수행합니다. Ansible 관리자는 OTP가 IdM 클라이언트를 설치하는 데 사용되는 절차의 나머지 부분을 수행합니다.
사전 요구 사항
-
IdM
관리자
인증 정보 또는 최소한호스트 등록
권한과 IdM에 DNS 레코드를 추가할 수 있는 권한이 있습니다. - IdM 클라이언트를 설치할 수 있도록 Ansible 관리 노드에 사용자 에스컬레이션 방법을 구성했습니다.
- Ansible 제어 노드가 RHEL 8.7 또는 이전 버전에서 실행 중인 경우 Ansible 제어 노드에 패키지를 설치할 수 있어야 합니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했습니다.
- 관리형 노드는 고정 IP 주소와 작업 패키지 관리자가 있는 Red Hat Enterprise Linux 8 시스템입니다.
절차
호스트 등록
권한이 있고 DNS 레코드를 추가할 수 있는 권한이 있는 역할을 사용하여 IdM 사용자로 IdM 호스트에SSH
를 실행하십시오.$ ssh admin@server.idm.example.com
새 클라이언트에 대한 OTP를 생성합니다.
[admin@server ~]$ ipa host-add client.idm.example.com --ip-address=172.25.250.11 --random -------------------------------------------------- Added host "client.idm.example.com" -------------------------------------------------- Host name: client.idm.example.com Random password: W5YpARl=7M.n Password: True Keytab: False Managed by: server.idm.example.com
--ip-address= <your_host_ip_address > 옵션은 지정된 IP 주소를 사용하여 IdM DNS에 호스트를 추가합니다.
IdM 호스트를 종료합니다.
$ exit logout Connection to server.idm.example.com closed.
ansible 컨트롤러에서 임의의 암호를 포함하도록 인벤토리 파일을 업데이트합니다.
[...] [ipaclients] client.idm.example.com [ipaclients:vars] ipaclient_domain=idm.example.com ipaclient_otp=W5YpARl=7M.n [...]
ansible 컨트롤러가 RHEL 8.7 또는 이전 버전을 실행하는 경우
krb5-workstation
패키지에서 제공하는kinit
유틸리티를 설치합니다.$ sudo dnf install krb5-workstation
플레이북을 실행하여 클라이언트를 설치합니다.
$ ansible-playbook -i inventory install-client.yml
4.6. Ansible 설치 후 Identity Management 클라이언트 테스트
CLI(명령줄 인터페이스)는 ansible-playbook
명령이 성공했지만 자체 테스트를 수행할 수도 있음을 알려줍니다.
ID 관리 클라이언트가 서버에 정의된 사용자에 대한 정보를 가져올 수 있는지 테스트하려면 서버에 정의된 사용자를 확인할 수 있는지 확인합니다. 예를 들어 기본 admin
사용자를 확인하려면 다음을 수행합니다.
[user@client1 ~]$ id admin
uid=1254400000(admin) gid=1254400000(admins) groups=1254400000(admins)
인증이 올바르게 작동하는지 테스트하려면 su -
다른 기존 IdM 사용자로 다음을 수행합니다.
[user@client1 ~]$ su - idm_user
Last login: Thu Oct 18 18:39:11 CEST 2018 from 192.168.122.1 on pts/0
[idm_user@client1 ~]$
4.7. Ansible 플레이북을 사용하여 IdM 클라이언트 설치 제거
Ansible 플레이북을 사용하여 호스트를 IdM 클라이언트로 제거하려면 다음 절차를 완료합니다.
사전 요구 사항
- IdM 관리자 자격 증명.
- 관리형 노드는 고정 IP 주소가 있는 Red Hat Enterprise Linux 8 시스템입니다.
절차
지침을 사용하여 Ansible 플레이북을 실행하여 클라이언트를 설치 제거합니다(예:
uninstall-client.yml
:)$ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/uninstall-client.yml
클라이언트를 제거하면 호스트에서 기본 IdM 구성만 제거되지만 클라이언트를 다시 설치하기로 결정한 경우 호스트에 구성 파일이 남아 있습니다. 또한 설치 제거에는 다음과 같은 제한 사항이 있습니다.
- IdM LDAP 서버에서 클라이언트 호스트 항목을 제거하지 않습니다. 설치 제거만 호스트에 대한 등록을 취소합니다.
- IdM에서 클라이언트에 상주하는 서비스는 제거되지 않습니다.
- IdM 서버에서 클라이언트의 DNS 항목을 제거하지 않습니다.
-
/etc/krb5.keytab 이외의 keytab
의 이전 주체는 제거하지 않습니다.
설치 제거는 IdM CA에서 호스트에 대해 발급한 모든 인증서가 제거됩니다.
추가 리소스
5장. Ansible 플레이북을 사용하여 IdM을 관리하기 위한 환경 준비
IdM(Identity Management)을 관리하는 시스템 관리자로서 Red Hat Ansible Engine을 사용하여 작업할 때 다음을 수행하는 것이 좋습니다.
- 홈 디렉터리에 있는 Ansible 플레이북 전용 하위 디렉터리를 유지합니다(예: ~/MyPlaybooks ).
-
/usr
/share/doc/ansible-freeipa/* 및
디렉터리 및 하위 디렉터리에서 ~/MyPlaybooks 디렉터리에 샘플 Ansible 플레이북을 복사 및 조정합니다./usr/share/doc
/rhel-system-roles/* - 인벤토리 파일을 ~/MyPlaybooks 디렉터리에 포함합니다.
이 방법을 사용하면 한 곳에서 모든 플레이북을 찾을 수 있습니다.
관리 노드에서 root
권한을 호출하지 않고 ansible-freeipa
플레이북을 실행할 수 있습니다. 예외적으로 ipaserver
,ipareplica
, ipaclient ,ipaclient
,ipasmartcard_server
,ipasmartcard_client
및 ipabackup
ansible-freeipa
역할을 사용하는 플레이북이 있습니다. 이러한 역할을 수행하려면 디렉터리 및 dnf
소프트웨어 패키지 관리자에 대한 액세스 권한이 필요합니다.
Red Hat Enterprise Linux IdM 문서의 플레이북은 다음과 같은 보안 구성 을 가정합니다.
-
IdM
관리자는
관리 노드의 원격 Ansible 사용자입니다. -
암호화된 IdM
관리자
암호를 Ansible 자격 증명 모음에 저장합니다. - 암호 파일에서 Ansible 자격 증명 모음을 보호하는 암호를 저장했습니다.
- 로컬 ansible 사용자를 제외한 모든 사용자에 대해 vault 암호 파일에 대한 액세스를 차단합니다.
- 자격 증명 모음 암호 파일을 정기적으로 제거하고 다시 만듭니다.
대체 보안 구성도 고려하십시오.
5.1. Ansible 플레이북을 사용하여 IdM 관리를 위한 제어 노드 및 관리형 노드 준비
Ansible 플레이북을 저장하고 실행하는 데 사용할 수 있도록 ~/MyPlaybooks 디렉터리를 생성하고 구성하려면 다음 절차를 따르십시오.
사전 요구 사항
- 관리형 노드인 server.idm.example .com 및 replica.idm.example.com에 IdM 서버를 설치했습니다.
- 제어 노드에서 직접 관리형 노드인 server.idm.example.com 및 replica.idm.example.com 에 로그인할 수 있도록 DNS 및 네트워킹을 구성했습니다.
-
IdM
관리자
암호를 알고 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 변경합니다.
$ cd ~/MyPlaybooks
다음 콘텐츠를 사용하여 ~/Myplaybooks/ansible.cfg 파일을 만듭니다.
[defaults] inventory = /home/your_username/MyPlaybooks/inventory remote_user = admin
다음 콘텐츠를 사용하여 ~/Myplaybooks/inventory 파일을 만듭니다.
[eu] server.idm.example.com [us] replica.idm.example.com [ipaserver:children] eu us
이 구성은 이러한 위치에 있는 호스트에 대한 두 개의 호스트 그룹인 eu 와 us 를 정의합니다. 또한 이 구성은 eu 및 us 그룹의 모든 호스트를 포함하는 ipaserver 호스트 그룹을 정의합니다.
선택 사항: SSH 공개 및 개인 키를 만듭니다. 테스트 환경에서 액세스를 간소화하려면 개인 키에 암호를 설정하지 마십시오.
$ ssh-keygen
SSH 공개 키를 각 관리 노드의 IdM
admin
계정에 복사합니다.$ ssh-copy-id admin@server.idm.example.com $ ssh-copy-id admin@replica.idm.example.com
이러한 명령을 사용하려면 IdM
관리자
암호를 입력해야 합니다.vault 암호가 포함된 password_file 파일을 생성합니다.
redhat
파일을 수정하려면 권한을 변경합니다.
$ chmod 0600 password_file
IdM
관리자
암호를 저장할 secret.yml Ansible 자격 증명 모음을 생성합니다.vault 암호를 저장하도록 password_file 을 구성합니다.
$ ansible-vault create --vault-password-file=password_file secret.yml
메시지가 표시되면 secret.yml 파일의 내용을 입력합니다.
ipaadmin_password: Secret123
플레이북에서 암호화된 ipaadmin_password
를 사용하려면 vars_file
지시문을 사용해야 합니다. 예를 들어 IdM 사용자를 삭제하는 간단한 플레이북은 다음과 같습니다.
--- - name: Playbook to handle users hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Delete user robot ipauser: ipaadmin_password: "{{ ipaadmin_password }}" name: robot state: absent
플레이북을 실행하는 경우 --vault-password-file=password_file옵션을 추가하여 Ansible에서 Vault 암호를 사용하여
의 암호를 해독하도록 지시합니다. 예를 들면 다음과 같습니다.
ipaadmin_password
ansible-playbook -i inventory --vault-password-file=password_file del-user.yml
보안상의 이유로 각 세션 종료 시 vault 암호 파일을 제거하고 각 새 세션이 시작될 때 6-8단계를 반복합니다.
5.2. ansible-freeipa 플레이북에 필요한 자격 증명을 제공하는 다양한 방법
ansible-freeipa
역할 및 모듈을 사용하는 플레이북 실행에 필요한 자격 증명을 제공하는 다양한 방법에는 장단점이 있습니다.
플레이북의 일반 텍스트에 암호 저장
이점:
- 플레이북을 실행할 때마다 프롬프트가 표시되지 않습니다.
- 쉽게 구현할 수 있습니다.
제품 상세 정보:
- 파일에 대한 액세스 권한이 있는 모든 사용자가 암호를 읽을 수 있습니다. 잘못된 권한을 설정하고 파일을 공유(예: 내부 또는 외부 리포지토리)로 설정하면 보안이 손상될 수 있습니다.
- 높은 유지 관리 작업: 암호가 변경되면 모든 플레이북에서 암호를 변경해야 합니다.
플레이북을 실행할 때 대화형 암호 입력
이점:
- 어느 쪽도 비밀번호를 스테이크할 수 없습니다. 어디에도 저장되지 않기 때문입니다.
- 비밀번호를 쉽게 업데이트할 수 있습니다.
- 쉽게 구현할 수 있습니다.
제품 상세 정보:
- 스크립트에서 Ansible 플레이북을 사용하는 경우 암호를 대화식으로 입력해야 하는 요구 사항은 불편할 수 있습니다.
파일의 Ansible 자격 증명 모음 및 자격 증명 모음 암호에 암호 저장:
이점:
- 사용자 암호는 암호화되어 저장됩니다.
- 새 Ansible 자격 증명 모음을 생성하여 사용자 암호를 쉽게 업데이트할 수 있습니다.
-
ansible-vault rekey --new-vault-password-file=NEW_VAULT_PASSWORD_FILE secret.yml
명령을 사용하여 ansible 자격 증명 모음을 쉽게 보호하는 암호 파일을 업데이트할 수 있습니다. - 스크립트에서 Ansible 플레이북을 사용하는 경우 Ansible 자격 증명 모음을 보호하는 암호를 입력하지 않아도 되는 것이 편리합니다.
제품 상세 정보:
- 중요한 일반 텍스트 암호가 포함된 파일은 파일 권한 및 기타 보안 조치를 통해 보호하는 것이 중요합니다.
Ansible 자격 증명 모음에 암호 저장 및 자격 증명 모음 암호 입력
이점:
- 사용자 암호는 암호화되어 저장됩니다.
- 어느 쪽도 볼트 암호를 스틸 수 없습니다. 어디에도 저장되지 않습니다.
- 새 Ansible 자격 증명 모음을 생성하여 사용자 암호를 쉽게 업데이트할 수 있습니다.
-
ansible-vault rekey file_name
명령을 사용하여 vault 암호를 쉽게 업데이트할 수 있습니다.
제품 상세 정보:
- 스크립트에서 Ansible 플레이북을 사용하는 경우 자격 증명 모음 암호를 대화형으로 입력해야 하는 경우 불편할 수 있습니다.
6장. Ansible 플레이북을 사용하여 글로벌 IdM 설정 구성
Ansible config
모듈을 사용하면 IdM(Identity Management)에 대한 글로벌 구성 매개 변수를 검색하고 설정할 수 있습니다.
6.1. Ansible 플레이북을 사용하여 IdM 구성 검색
다음 절차에서는 Ansible 플레이북을 사용하여 현재 글로벌 IdM 구성에 대한 정보를 검색하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
편집을 위해
/usr/share/doc/ansible-freeipa/playbooks/config/retmasterve-config.yml
Ansible 플레이북 파일을 엽니다.--- - name: Playbook to handle global IdM configuration hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Query IPA global configuration ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" register: serverconfig - debug: msg: "{{ serverconfig }}"
다음을 변경하여 파일을 조정합니다.
- IdM 관리자의 암호입니다.
- 필요한 경우 기타 값입니다.
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml [...] TASK [debug] ok: [server.idm.example.com] => { "msg": { "ansible_facts": { "discovered_interpreter_ }, "changed": false, "config": { "ca_renewal_master_server": "server.idm.example.com", "configstring": [ "AllowNThash", "KDC:Disable Last Success" ], "defaultgroup": "ipausers", "defaultshell": "/bin/bash", "emaildomain": "idm.example.com", "enable_migration": false, "groupsearch": [ "cn", "description" ], "homedirectory": "/home", "maxhostname": "64", "maxusername": "64", "pac_type": [ "MS-PAC", "nfs:NONE" ], "pwdexpnotify": "4", "searchrecordslimit": "100", "searchtimelimit": "2", "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023", "selinuxusermaporder": [ "guest_u:s0$xguest_u:s0$user_ ], "usersearch": [ "uid", "givenname", "sn", "telephonenumber", "ou", "title" ] }, "failed": false } }
6.2. Ansible 플레이북을 사용하여 IdM CA 갱신 서버 구성
임베디드 CA(인증 기관)를 사용하는 IdM(Identity Management) 배포에서 CA 갱신 서버는 IdM 시스템 인증서를 유지 관리하고 갱신합니다. 강력한 IdM 배포를 보장합니다.
IdM CA 갱신 서버의 역할에 대한 자세한 내용은 IdM CA 갱신 서버 사용을 참조하십시오.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM CA 갱신 서버를 구성하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
선택 사항: 현재 IdM CA 갱신 서버를 식별합니다.
$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
편집을 위해
/usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml
Ansible 플레이북 파일을 엽니다.--- - name: Playbook to handle global DNS configuration hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: set ca_renewal_master_server ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" ca_renewal_master_server: carenewal.idm.example.com
다음과 같이 변경하여 파일을 조정합니다.
-
ipaadmin_password
변수로 설정한 IdM 관리자의 암호입니다. -
ca_renewal_master_server
변수에서 설정한 CA 갱신 서버의 이름입니다.
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml
검증
CA 갱신 서버가 변경되었는지 확인할 수 있습니다.
IdM 관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
IdM CA 갱신 서버의 ID를 요청합니다.
$ ipa config-show | grep ‘CA renewal’ IPA CA renewal master: carenewal.idm.example.com
출력에 carenewal.idm.example.com 서버가 새 CA 갱신 서버임을 보여줍니다.
6.3. Ansible 플레이북을 사용하여 IdM 사용자에 대한 기본 쉘 구성
쉘은 명령을 수락하고 해석하는 프로그램입니다. bash
,sh
,ksh
,zsh
등의 RHEL(Red Hat Enterprise Linux)에서 몇 가지 쉘을
사용할 수 있습니다. Bash
또는 /bin/bash
는 대부분의 Linux 시스템에서 널리 사용되는 쉘이며, 일반적으로 RHEL의 사용자 계정의 기본 쉘입니다.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM 사용자의 기본 쉘로 대체 쉘인 sh
를 구성하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
-
선택 사항:
retrieve-config.yml
Ansible 플레이북을 사용하여 IdM 사용자의 현재 쉘을 식별합니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 구성 검색에서 참조하십시오. 인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
편집을 위해
/usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml
Ansible 플레이북 파일을 엽니다.--- - name: Playbook to ensure some config options are set hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Set defaultlogin and maxusername - ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" defaultshell: /bin/bash maxusername: 64
다음을 변경하여 파일을 조정합니다.
-
ipaadmin_password
변수로 설정한 IdM 관리자의 암호입니다. -
default
shell 변수로 설정한 IdM 사용자의 기본
쉘은/bin/sh
에 있습니다.
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml
검증
IdM에서 새 세션을 시작하여 기본 사용자 쉘이 변경되었는지 확인할 수 있습니다.
IdM 관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
현재 쉘을 표시합니다.
[admin@server /]$ echo "$SHELL" /bin/sh
로그인한 사용자는
sh
쉘을 사용하고 있습니다.
6.4. Ansible을 사용하여 IdM 도메인의 name 구성
skopeo 이름은 Microsoft Windows (SMB) 유형의 공유 및 메시징에 사용됩니다. skopeo 이름을 사용하여 드라이브를 매핑하거나 프린터에 연결할 수 있습니다.
Ansible 플레이북을 사용하여 IdM(Identity Management) 도메인의 NetBIOS 이름을 구성하려면 다음 절차를 따르십시오.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
ansible-freeipa
패키지가 설치됩니다.
가정
- 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하고 자격 증명 모음 파일 암호를 알고 있다고 가정합니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
- netbios-domain-name-present.yml Ansible 플레이북 파일을 생성합니다.
파일에 다음 내용을 추가합니다.
--- - name: Playbook to change IdM domain netbios name hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Set IdM domain netbios name ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" netbios_name: IPADOM
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory netbios-domain-name-present.yml
메시지가 표시되면 자격 증명 모음 파일 암호를 입력합니다.
추가 리소스
6.5. Ansible을 사용하여 IdM 사용자 및 그룹에 CloudEvent가 있는지 확인
IdM(Identity Management) 서버는 로컬 도메인의 ID 범위에 있는 데이터에 따라 내부적으로 IdM(보안 식별자)을 IdM 사용자 및 그룹에 할당할 수 있습니다. CloudEvents는 사용자 및 그룹 오브젝트에 저장됩니다.
IdM 사용자 및 그룹에LoadBalancer가 포함되도록 하는 목표는 IdM-IdM 신뢰를 위한 첫 번째 단계인 PAM(Privileged Attribute Certificate) 생성을 허용하는 것입니다. IdM 사용자 및 그룹에 CloudEvents가 있는 경우 IdM은 PAC 데이터로 Kerberos 티켓을 발행할 수 있습니다.
다음 목표를 달성하려면 다음 절차를 따르십시오.
- 기존 IdM 사용자 및 사용자 그룹에 대한 dotnets를 생성합니다.
- IdM의 새 사용자 및 그룹을 위한 skopeo 생성을 활성화합니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
ansible-freeipa
패키지가 설치됩니다.
가정
- 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하고 자격 증명 모음 파일 암호를 알고 있다고 가정합니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
- sids-for-users-and-groups-present.yml Ansible 플레이북 파일을 생성합니다.
파일에 다음 내용을 추가합니다.
--- - name: Playbook to ensure SIDs are enabled and users and groups have SIDs hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Enable SID and generate users and groups SIDS ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" enable_sid: true add_sids: true
enable_sid
변수를 사용하면 향후 IdM 사용자 및 그룹에 대해 CloudEvent 생성을 활성화합니다.add_sids
변수는 기존 IdM 사용자 및 그룹에 대한 dotnets를 생성합니다.참고add_sids: true
를 사용하는 경우enable_sid
변수를true
로 설정해야 합니다.- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml
메시지가 표시되면 자격 증명 모음 파일 암호를 입력합니다.
추가 리소스
6.6. 추가 리소스
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-config.md
를 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/config
디렉터리에서 샘플 플레이북을 참조하십시오.
7장. Ansible 플레이북을 사용하여 사용자 계정 관리
Ansible 플레이북을 사용하여 IdM에서 사용자를 관리할 수 있습니다. 사용자 라이프사이클 을 제공한 후 이 장에서는 다음 작업에 Ansible 플레이북을 사용하는 방법을 설명합니다.
7.1. 사용자 라이프 사이클
IdM(Identity Management)은 세 가지 사용자 계정 상태를 지원합니다.
- 스테이징 사용자는 인증이 허용되지 않습니다. 초기 상태입니다. 활성 사용자에게 필요한 일부 사용자 계정 속성은 예를 들어 그룹 멤버십을 설정할 수 없습니다.
- 활성 사용자는 인증을 허용합니다. 필요한 모든 사용자 계정 속성은 이 상태에서 설정해야 합니다.
- 보존된 사용자는 비활성으로 간주되고 IdM에 인증할 수 없는 이전 활성 사용자입니다. 보존된 사용자는 활성 사용자로 보유한 계정 속성의 대부분을 유지하지만 사용자 그룹의 일부가 아닙니다.
IdM 데이터베이스에서 영구적으로 사용자 항목을 삭제할 수 있습니다.
삭제된 사용자 계정은 복원할 수 없습니다. 사용자 계정을 삭제하면 계정과 연결된 모든 정보가 영구적으로 손실됩니다.
새 관리자는 기본 admin 사용자와 같은 관리자 권한이 있는 사용자만 만들 수 있습니다. 모든 관리자 계정을 실수로 삭제한 경우 Directory Manager에서 Directory Server에서 새 관리자를 수동으로 생성해야 합니다.
admin
사용자를 삭제하지 마십시오. admin
은 IdM에 필요한 사전 정의된 사용자이므로 이 작업으로 인해 특정 명령에서 문제가 발생합니다. 대체 admin 사용자를 정의하고 사용하려는 경우 하나 이상의 다른 사용자에게 admin
권한을 부여한 후 ipa 사용자 비활성화
admin으로 사전 정의된 admin 사용자를 비활성화합니다.
IdM에 로컬 사용자를 추가하지 마십시오. NSS(Name Service Switch)는 로컬 사용자 및 그룹을 확인하기 전에 항상 IdM 사용자 및 그룹을 확인합니다. 즉, IdM 그룹 멤버십은 로컬 사용자에게 작동하지 않습니다.
7.2. Ansible 플레이북을 사용하여 IdM 사용자가 있는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 IdM에 사용자가 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
IdM에 있는 사용자의 데이터를 사용하여 Ansible 플레이북 파일을 생성합니다. 이 단계를 간소화하기 위해
/usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml
파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 idm_user 라는 사용자를 생성하고 Password123 을 사용자 암호로 추가하려면 다음을 수행합니다.--- - name: Playbook to handle users hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Create user idm_user ipauser: ipaadmin_password: "{{ ipaadmin_password }}" name: idm_user first: Alice last: Acme uid: 1000111 gid: 10011 phone: "+555123457" email: idm_user@acme.com passwordexpiration: "2023-01-19 23:59:59" password: "Password123" update_password: on_create
사용자를 추가하려면 다음 옵션을 사용해야 합니다.
- name: 로그인 이름
- first: 첫 번째 이름 문자열
- last: 성 문자열
사용 가능한 사용자 옵션의 전체 목록은
/usr/share/doc/ansible-freeipa/README-user.md
Markdown 파일을 참조하십시오.참고update_password: on_create
옵션을 사용하는 경우 Ansible은 사용자를 생성할 때만 사용자 암호를 생성합니다. 사용자가 이미 암호를 사용하여 생성된 경우 Ansible에서 새 암호를 생성하지 않습니다.플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml
검증
ipa user-show
명령을 사용하여 새 사용자 계정이 IdM에 있는지 확인할 수 있습니다.admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
관리자용 Kerberos 티켓을 요청합니다.
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
idm_user 에 대한 정보를 요청합니다.
$ ipa user-show idm_user User login: idm_user First name: Alice Last name: Acme ....
이름이 idm_user 인 사용자는 IdM에 있습니다.
7.3. Ansible Playbook을 사용하여 여러 IdM 사용자가 있는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 IdM에 여러 사용자가 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
IdM에서 확인할 사용자의 데이터로 Ansible 플레이북 파일을 생성합니다. 이 단계를 간소화하기 위해
/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml
파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 idm_user_1, idm_user _2 및 idm_user _3 사용자를 생성하고, Password123 을 idm_user_1 의 암호로 추가하려면 다음을 수행합니다.--- - name: Playbook to handle users hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Create user idm_users ipauser: ipaadmin_password: "{{ ipaadmin_password }}" users: - name: idm_user_1 first: Alice last: Acme uid: 10001 gid: 10011 phone: "+555123457" email: idm_user@acme.com passwordexpiration: "2023-01-19 23:59:59" password: "Password123" - name: idm_user_2 first: Bob last: Acme uid: 100011 gid: 10011 - name: idm_user_3 first: Eve last: Acme uid: 1000111 gid: 10011
참고update_password: on_create 옵션을 지정하지 않으면 Ansible은 플레이북을 실행할 때마다 사용자 암호를 다시 설정합니다. 플레이북이 마지막으로 실행된 이후 사용자가 암호를 변경한 경우 Ansible은 암호를 다시 설정합니다.
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml
검증
ipa user-show
명령을 사용하여 사용자 계정이 IdM에 있는지 확인할 수 있습니다.관리자로
ipaserver
에 로그인합니다.$ ssh administrator@server.idm.example.com Password: [admin@server /]$
idm_user_1 에 대한 정보 표시:
$ ipa user-show idm_user_1 User login: idm_user_1 First name: Alice Last name: Acme Password: True ....
IdM에 idm_user_1 이라는 사용자가 있습니다.
7.4. Ansible 플레이북을 사용하여 JSON 파일에서 여러 IdM 사용자가 있는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 IdM에 여러 사용자가 있는지 확인하는 방법을 설명합니다. 사용자는 JSON
파일에 저장됩니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 작업을 사용하여 Ansible 플레이북 파일을 생성합니다. 확인하고자 하는 사용자의 데이터로
JSON
파일을 참조합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Ensure users' presence hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Include users.json include_vars: file: users.json - name: Users present ipauser: ipaadmin_password: "{{ ipaadmin_password }}" users: "{{ users }}"
users.json
파일을 생성하고 IdM 사용자를 추가합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/user/users.json
파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 idm_user_1, idm_user _2 및 idm_user _3 사용자를 생성하고, Password123 을 idm_user_1 의 암호로 추가하려면 다음을 수행합니다.{ "users": [ { "name": "idm_user_1", "first": "Alice", "last": "Acme", "password": "Password123" }, { "name": "idm_user_2", "first": "Bob", "last": "Acme" }, { "name": "idm_user_3", "first": "Eve", "last": "Acme" } ] }
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml
검증
ipa user-show
명령을 사용하여 사용자 계정이 IdM에 있는지 확인할 수 있습니다.관리자로
ipaserver
에 로그인합니다.$ ssh administrator@server.idm.example.com Password: [admin@server /]$
idm_user_1 에 대한 정보 표시:
$ ipa user-show idm_user_1 User login: idm_user_1 First name: Alice Last name: Acme Password: True ....
IdM에 idm_user_1 이라는 사용자가 있습니다.
7.5. Ansible 플레이북을 사용하여 사용자가 없는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 특정 사용자가 IdM에 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
IdM에 없는 사용자로 Ansible 플레이북 파일을 생성합니다. 이 단계를 간소화하기 위해
/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml
파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 idm_user_1, idm_user _2 및 idm_user _3 사용자를 삭제하려면 다음을 수행합니다.--- - name: Playbook to handle users hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Delete users idm_user_1, idm_user_2, idm_user_3 ipauser: ipaadmin_password: "{{ ipaadmin_password }}" users: - name: idm_user_1 - name: idm_user_2 - name: idm_user_3 state: absent
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml
검증
ipa user-show
명령을 사용하여 사용자 계정이 IdM에 없는지 확인할 수 있습니다.
관리자로
ipaserver
에 로그인합니다.$ ssh administrator@server.idm.example.com Password: [admin@server /]$
idm_user_1 에 대한 정보를 요청합니다.
$ ipa user-show idm_user_1 ipa: ERROR: idm_user_1: user not found
이름이 idm_user_1 인 사용자는 IdM에 없습니다.
7.6. 추가 리소스
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-user.md
마크다운 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/user
디렉터리에서 샘플 Ansible 플레이북을 참조하십시오.
8장. Ansible 플레이북을 사용하여 사용자 그룹 관리
이 섹션에서는 Ansible 플레이북을 사용한 사용자 그룹 관리에 대해 소개합니다.
사용자 그룹은 공통 권한, 암호 정책 및 기타 특성을 가진 사용자 집합입니다.
IdM(Identity Management)의 사용자 그룹은 다음을 포함할 수 있습니다.
- IdM 사용자
- 기타 IdM 사용자 그룹
- 외부 사용자 - IdM 외부에 존재하는 사용자
섹션에는 다음 주제가 포함됩니다.
8.1. IdM의 다양한 그룹 유형
IdM은 다음과 같은 유형의 그룹을 지원합니다.
- POSIX 그룹(기본값)
POSIX 그룹은 구성원에 대해 Linux POSIX 특성을 지원합니다. Active Directory와 상호 작용하는 그룹은 POSIX 특성을 사용할 수 없습니다.
POSIX 속성은 사용자를 별도의 엔터티로 식별합니다. 사용자와 관련된 POSIX 속성의 예로는 사용자 번호(UID)인
uidNumber
와 그룹 번호(GID)인gidNumber
가 있습니다.- postIX 이외의 그룹
POST 이외의 그룹은 POSIX 특성을 지원하지 않습니다. 예를 들어, 이러한 그룹에는 GID가 정의되어 있지 않습니다.
이 유형의 그룹의 모든 멤버는 IdM 도메인에 속해야 합니다.
- 외부 그룹
외부 그룹을 사용하여 IdM 도메인 외부의 ID 저장소에 있는 그룹 구성원을 추가합니다(예:).
- 로컬 시스템
- Active Directory 도메인
- 디렉터리 서비스
외부 그룹은 POSIX 특성을 지원하지 않습니다. 예를 들어, 이러한 그룹에는 GID가 정의되어 있지 않습니다.
그룹 이름 | 기본 그룹 멤버 |
---|---|
| 모든 IdM 사용자 |
|
기본 |
| 이는 더 이상 특수 권한이 없는 레거시 그룹입니다. |
| Active Directory 신뢰 관리를 위한 권한이 있는 사용자 |
사용자를 사용자 그룹에 추가하면 사용자에게 그룹과 관련된 권한 및 정책이 부여됩니다. 예를 들어 사용자에게 관리 권한을 부여하려면 사용자를 admins
그룹에 추가합니다.
admins
그룹을 삭제하지 마십시오. admins
는 IdM에 필요한 사전 정의된 그룹이므로 이 작업으로 인해 특정 명령에 문제가 발생합니다.
또한 IdM에서 새 사용자가 생성될 때마다 IdM은 기본적으로 사용자 개인 그룹을 생성합니다. 개인 그룹에 대한 자세한 내용은 개인 그룹이 없는 사용자 추가를 참조하십시오.
8.2. 직접 및 간접 그룹 구성원
IdM의 사용자 그룹 속성은 직접 및 간접 구성원 모두에 적용됩니다. B 그룹이 A 그룹의 구성원이면 B 그룹의 모든 사용자는 A 그룹의 간접 구성원으로 간주됩니다.
예를 들어 다음 다이어그램에서 다음을 수행합니다.
- User 1 및 User 2는 A 그룹의 직접 구성원입니다.
- User 3, User 4 및 User 5는 A 그룹의 간접 구성원입니다.
그림 8.1. 직접 및 간접 그룹 멤버십
사용자 그룹 A에 대한 암호 정책을 설정하면 이 정책은 사용자 그룹 B의 모든 사용자에게도 적용됩니다.
8.3. Ansible Playbook을 사용하여 IdM 그룹 및 그룹 구성원이 있는지 확인
다음 절차에서는 사용자 및 사용자 그룹 모두 Ansible 플레이북을 사용하여 IdM 그룹 및 그룹 구성원이 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - Ansible 플레이북에서 참조하려는 사용자는 IdM에 있습니다. Ansible을 사용하여 사용자가 있는지 확인하는 방법에 대한 자세한 내용은 Ansible 플레이북을 사용하여 사용자 계정 관리를 참조하십시오.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 사용자 및 그룹 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
--- - name: Playbook to handle groups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Create group ops with gid 1234 ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: ops gidnumber: 1234 - name: Create group sysops ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: sysops user: - idm_user - name: Create group appops ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: appops - name: Add group members sysops and appops to group ops ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: ops group: - sysops - appops
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml
검증
ipa group-show
명령을 사용하여 ops 그룹에 sysops 및 appops 가 직접 멤버로 포함되고 idm_user 가 간접 구성원으로 포함되어 있는지 확인할 수 있습니다.
관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
ops 에 대한 정보를 표시합니다 :
ipaserver]$ ipa group-show ops Group name: ops GID: 1234 Member groups: sysops, appops Indirect Member users: idm_user
appops 및 sysops 그룹 - idm_user 사용자를 포함하는 후자는 IdM에 있습니다.
추가 리소스
-
/usr/share/doc/ansible-freeipa/README-group.md
Markdown 파일을 참조하십시오.
8.4. Ansible을 사용하여 단일 작업에 여러 IdM 그룹 추가
ansible-freeipa
ipagroup
모듈을 사용하여 단일 Ansible 작업으로 여러 IdM(Identity Management) 사용자 그룹을 추가, 수정, 삭제할 수 있습니다. 이를 위해 ipagroup
모듈의 groups
옵션을 사용합니다.
groups
옵션을 사용하여 특정 그룹에만 적용되는 그룹 변수를 여러 개 지정할 수도 있습니다. groups
옵션의 유일한 필수 변수인 name
변수로 이 그룹을 정의합니다.
단일 작업에서 IdM에 sysops 및 appops 그룹이 있는지 확인하려면 다음 절차를 완료합니다. sysops 그룹을 비posix 그룹으로 정의하고 appops 그룹을 외부 그룹으로 정의합니다.
사전 요구 사항
제어 노드에서 다음을 수행합니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
ansible-freeipa
패키지가 설치되어 있습니다. - ~/MyPlaybook/ 디렉터리에 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했습니다.
- RHEL 8.9 이상을 사용하고 있습니다.
-
ipaadmin_password
를 secret.yml Ansible 자격 증명에 저장했습니다.
절차
다음 콘텐츠를 사용하여 Ansible 플레이북 파일 add-nonposix-and-external-groups.yml 을 생성합니다.
--- - name: Playbook to add nonposix and external groups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Add nonposix group sysops and external group appops ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" groups: - name: sysops nonposix: true - name: appops external: true
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/add-nonposix-and-external-groups.yml
8.5. Ansible을 사용하여 AD 사용자가 IdM 관리 가능
Ansible 플레이북을 사용하여 사용자 ID 덮어쓰기가 IdM(Identity Management) 그룹에 있는지 확인하려면 다음 절차를 따르십시오. AD에 대한 트러스트를 설정한 후 기본 신뢰 보기에서 만든 AD(Active Directory) 사용자를 재정의합니다. 플레이북을 실행하면 AD 사용자와 같은 AD 사용자가 두 개의 다른 계정과 암호 없이 IdM을 완전히 관리할 수 있습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - AD에 대한 트러스트를 설치했습니다.
-
AD 사용자의 사용자 ID 재정의는 IdM에 이미 있습니다. 그렇지 않은 경우
ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com
명령을 사용하여 생성합니다. - 사용자 ID 재정의를 추가하는 그룹이 IdM에 이미 있습니다.
-
IdM 이상의 4.8.7 버전을 사용하고 있습니다. 서버에 설치된 IdM 버전을 보려면
ipa --version
을 입력합니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
다음 콘텐츠를 사용하여
add-useridoverride-to-group.yml
플레이북을 생성합니다.--- - name: Playbook to ensure presence of users in a group hosts: ipaserver - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group: ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: admins idoverrideuser: - ad_user@ad.example.com
예에서는 다음을 수행합니다.
-
Secret123은 IdM
관리자
암호입니다. -
관리자는
ad_user@ad.example.com ID 덮어쓰기를 추가하는 IdM POSIX 그룹의 이름입니다. 이 그룹의 멤버는 전체 관리자 권한이 있습니다. - ad_user@ad.example.com 은 AD 관리자의 사용자 ID 덮어쓰기입니다. 사용자가 신뢰가 설정된 AD 도메인에 저장됩니다.
-
Secret123은 IdM
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml
추가 리소스
- AD 사용자의 ID 덮어쓰기
- /usr/share/doc/ansible-freeipa/README-group.md
- /usr/share/doc/ansible-freeipa/playbooks/user
- Active Directory 환경에서 ID 보기 사용
- AD 사용자가 IdM을 관리하도록 활성화
8.6. Ansible Playbook을 사용하여 IdM 사용자 그룹에 멤버 관리자가 있는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 사용자 및 사용자 그룹 모두 IdM 멤버 관리자가 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 멤버 관리자로 추가하려는 사용자 또는 그룹의 이름과 관리하려는 그룹의 이름이 있어야 합니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 사용자 및 그룹 구성원 관리 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
--- - name: Playbook to handle membership management hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure user test is present for group_a ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: group_a membermanager_user: test - name: Ensure group_admins is present for group_a ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: group_a membermanager_group: group_admins
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml
검증
ipa group-show
명령을 사용하여 group_a 그룹에 test 가 구성원 관리자로 포함되어 있고 group_admins 가 group_a 의 멤버 관리자인지 확인할 수 있습니다.
관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
managergroup1 에 대한 정보 표시 :
ipaserver]$ ipa group-show group_a Group name: group_a GID: 1133400009 Membership managed by groups: group_admins Membership managed by users: test
추가 리소스
-
ipa host-add-member-manager --help를
참조하십시오. -
ipa
도움말 페이지를 참조하십시오.
8.7. Ansible Playbook을 사용하여 IdM 사용자 그룹에 멤버 관리자가 없는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM 멤버 관리자(사용자 및 사용자 그룹 모두)가 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 제거 중인 기존 멤버 관리자 사용자 또는 그룹의 이름과 관리 중인 그룹의 이름이 있어야 합니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 사용자 및 그룹 구성원 관리 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
--- - name: Playbook to handle membership management hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure member manager user and group members are absent for group_a ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: group_a membermanager_user: test membermanager_group: group_admins action: member state: absent
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml
검증
ipa group-show
명령을 사용하여 group_a 그룹에 test 가 구성원 관리자로 포함되어 있지 않은지, group_admins 가 group_a 의 멤버 관리자로 포함되어 있지 않은지 확인할 수 있습니다.
관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
group_a에 대한 정보를 표시합니다.
ipaserver]$ ipa group-show group_a Group name: group_a GID: 1133400009
추가 리소스
-
ipa host-remove-member-manager --help를
참조하십시오. -
ipa
도움말 페이지를 참조하십시오.
9장. Ansible을 사용하여 IdM의 그룹 멤버십 자동화
자동 그룹 멤버십을 사용하면 해당 속성에 따라 사용자 및 호스트 사용자 그룹 및 호스트 그룹을 자동으로 할당할 수 있습니다. 예를 들면 다음을 수행할 수 있습니다.
-
직원의 사용자 항목을 직원의 관리자, 위치, 위치 또는 기타 속성에 따라 그룹으로 나눕니다. 명령줄에
ipa user-add --help
를 입력하여 모든 속성을 나열할 수 있습니다. -
클래스, 위치 또는 기타 특성을 기반으로 호스트를 그룹으로 나눕니다. 명령줄에서
ipa host-add --help
를 입력하여 모든 속성을 나열할 수 있습니다. - 모든 사용자 또는 모든 호스트를 단일 글로벌 그룹에 추가합니다.
Red Hat Ansible Engine을 사용하여 IdM(Identity Management)의 자동 그룹 멤버십 관리를 자동화할 수 있습니다.
이 섹션에서는 다음 주제를 다룹니다.
9.1. Ansible을 사용하여 IdM 사용자 그룹에 대한 automember 규칙이 있는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM(Identity Management) 그룹에 대한 자동 구성원
규칙이 있는지 확인하는 방법을 설명합니다. 이 예에서 automember
규칙의 존재는 testing_group 사용자 그룹에 대해 확인합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - testing_group 사용자 그룹이 IdM에 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/automember/
디렉터리에 있는automember-group-present.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-group-present.yml automember-group-present-copy.yml
-
편집할
automember-group-present-copy.yml
파일을 엽니다. ipaautomember
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 testing_group 로 설정합니다. -
automember_type
변수를 그룹 으로 설정합니다. -
state
변수가present로 설정되어 있는지 확인합니다
.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Automember group present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure group automember rule admins is present ipaautomember: ipaadmin_password: "{{ ipaadmin_password }}" name: testing_group automember_type: group state: present
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-present-copy.yml
9.2. Ansible을 사용하여 IdM 사용자 그룹 자동 구성원 규칙에 지정된 조건이 있는지 확인합니다.
추가 리소스
다음 절차에서는 Ansible 플레이북을 사용하여 IdM(Identity Management) 그룹에 대한 자동 구성원
규칙에 지정된 조건이 있는지 확인하는 방법을 설명합니다. 이 예에서 automember
규칙에 UID 관련 조건이 있으면 testing_group 그룹에 대해 확인합니다. .* 조건을 지정하면 향후 모든 IdM 사용자가 자동으로 testing_group 의 멤버가 되도록 합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - testing_group 사용자 그룹 및 automember 사용자 그룹 규칙은 IdM에 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/automember/
디렉터리에 있는automember-hostgroup-rule-present.yml
Ansible 플레이북 파일을 복사하고 이름을 automember-usergroup-rule-rule-present.yml이라고 합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-usergroup-rule-present.yml
-
편집할
automember-usergroup-rule-present.yml
파일을 엽니다. 다음 매개 변수를 수정하여 파일을 조정합니다.
- 다음과 같이 사용 사례에 맞게 플레이북 이름을 변경합니다. automember user group rule member present.
- 사용 사례에 대응하도록 작업의 이름을 변경합니다. 예를 들면 다음과 같습니다. 사용자 그룹의 automember 조건이 있는지 확인합니다.
ipaautomember
작업 섹션에서 다음 변수를 설정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 testing_group 로 설정합니다. -
automember_type
변수를그룹
으로 설정합니다. -
state
변수가present로 설정되어 있는지 확인합니다
. -
action
변수가member
로 설정되어 있는지 확인합니다. -
포함
키
변수를UID
로 설정합니다. -
포함
표현식
변수를 . *로 설정합니다 .*
-
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Automember user group rule member present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure an automember condition for a user group is present ipaautomember: ipaadmin_password: "{{ ipaadmin_password }}" name: testing_group automember_type: group state: present action: member inclusive: - key: UID expression: .*
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory automember-usergroup-rule-present.yml
검증
IdM 관리자로 로그인합니다.
$ kinit admin
사용자를 추가합니다. 예를 들면 다음과 같습니다.
$ ipa user-add user101 --first user --last 101 ----------------------- Added user "user101" ----------------------- User login: user101 First name: user Last name: 101 ... Member of groups: ipausers, testing_group ...
9.3. Ansible을 사용하여 IdM 사용자 그룹 자동 멤버십 규칙의 조건이 없는지 확인합니다.
추가 리소스
다음 절차에서는 Ansible 플레이북을 사용하여 IdM(Identity Management) 그룹에 대한 automember
규칙의 조건이 없는지 확인하는 방법을 설명합니다. 이 예에서 automember
규칙에서 조건이 없으면 초기인 사용자가 dp 를 포함해야 함을 지정합니다. automember 규칙은 testing_group 그룹에 적용됩니다. 조건을 적용하면 초기인 IdM 사용자가 testing_group 의 멤버가 되지 않도록 합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - testing_group 사용자 그룹 및 automember 사용자 그룹 규칙은 IdM에 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/automember/
디렉터리에 있는automember-hostgroup-rule-absent.yml
Ansible 플레이북 파일을 복사하고 이름을 automember-usergroup-rule-absent.yml 로 지정합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-hostgroup-rule-absent.yml automember-usergroup-rule-absent.yml
-
편집할
automember-usergroup-rule-absent.yml
파일을 엽니다. 다음 매개 변수를 수정하여 파일을 조정합니다.
- 다음과 같이 사용 사례에 맞게 플레이북 이름을 변경합니다. automember user group rule member absent.
- 사용 사례에 대응하도록 작업의 이름을 변경합니다. 예를 들면 다음과 같습니다. 사용자 그룹의 automember 조건이 없는지 확인합니다.
ipaautomember
작업 섹션에서 다음 변수를 설정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 testing_group 로 설정합니다. -
automember_type
변수를 그룹 으로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다. -
action
변수가member
로 설정되어 있는지 확인합니다. -
포함
키
변수를initials
로 설정합니다. -
포함
표현식
변수를 dp 로 설정합니다.
-
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Automember user group rule member absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure an automember condition for a user group is absent ipaautomember: ipaadmin_password: "{{ ipaadmin_password }}" name: testing_group automember_type: group state: absent action: member inclusive: - key: initials expression: dp
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory automember-usergroup-rule-absent.yml
검증
IdM 관리자로 로그인합니다.
$ kinit admin
automember 그룹을 확인합니다.
$ ipa automember-show --type=group testing_group Automember Rule: testing_group
출력에 Inclusive Regex: initials=dp
항목이 없으면 testing_group automember 규칙에 지정된 조건이 포함되어 있지 않습니다.
9.4. Ansible을 사용하여 IdM 사용자 그룹에 대한 automember 규칙이 없는지 확인합니다.
추가 리소스
다음 절차에서는 Ansible 플레이북을 사용하여 IdM(Identity Management) 그룹에 automember
규칙이 없는지 확인하는 방법을 설명합니다. 이 예제에서는 automember
규칙의 부재는 testing_group 그룹에 대해 확인합니다.
자동 구성원 규칙을 삭제하면 규칙과 연결된 모든 조건도 삭제됩니다. 규칙에서 특정 조건만 제거하려면 Ansible 사용을 참조하여 IdM 사용자 그룹 자동 구성원 규칙에 조건이 없는지 확인하십시오.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/automember/
디렉터리에 있는automember-group-absent.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-group-absent.yml automember-group-absent-copy.yml
-
편집할
automember-group-absent-copy.yml
파일을 엽니다. ipaautomember
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 testing_group 로 설정합니다. -
automember_type
변수를 그룹 으로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Automember group absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure group automember rule admins is absent ipaautomember: ipaadmin_password: "{{ ipaadmin_password }}" name: testing_group automember_type: group state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-absent.yml
추가 리소스
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-automember.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/automember
디렉토리를 참조하십시오.
9.5. Ansible을 사용하여 IdM 호스트 그룹 자동 구성원 규칙에 조건이 있는지 확인합니다.
Ansible을 사용하여 IdM 호스트 그룹 automember 규칙에 조건이 있는지 확인합니다. 이 예제에서는 FQDN
이 .*.idm.example.com 인 호스트가 primary_dns_domain_hosts 호스트 그룹의 멤버이고 FQDN
이 .*.example.org 인 호스트가 primary_dns_domain_hosts 호스트 그룹의 멤버가 아닌지 확인하는 방법을 설명합니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - primary_dns_domain_hosts 호스트 그룹과 호스트 그룹 규칙이 IdM에 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/automember/
디렉터리에 있는automember-hostgroup-rule-present.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-hostgroup-rule-present-copy.yml
-
편집할
automember-hostgroup-rule-copy.yml
파일을 엽니다. ipaautomember
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 primary_dns_domain_hosts 로 설정합니다. -
automember_type
변수를 hostgroup 로 설정합니다. -
state
변수가present로 설정되어 있는지 확인합니다
. -
action
변수가member
로 설정되어 있는지 확인합니다. -
inclusive
key
변수가fqdn
;으로 설정되어 있는지 확인합니다. -
해당
포함
표현식
변수를 .*.idm.example.com 으로 설정합니다. -
전용
키
변수를fqdn
;으로 설정합니다. -
해당
배타적
표현식
변수를 .*.example.org 로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Automember user group rule member present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure an automember condition for a user group is present ipaautomember: ipaadmin_password: "{{ ipaadmin_password }}" name: primary_dns_domain_hosts automember_type: hostgroup state: present action: member inclusive: - key: fqdn expression: .*.idm.example.com exclusive: - key: fqdn expression: .*.example.org
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory automember-hostgroup-rule-present-copy.yml
추가 리소스
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-automember.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/automember
디렉토리를 참조하십시오.
10장. Ansible 플레이북을 사용하여 IdM에서 셀프 서비스 규칙 관리
이 섹션에서는 IdM(Identity Management)의 셀프 서비스 규칙을 소개하고 Ansible 플레이북을 사용하여 셀프 서비스 액세스 규칙을 생성하고 편집하는 방법을 설명합니다. 셀프 서비스 액세스 제어 규칙을 사용하면 IdM 엔터티에서 IdM 디렉터리 서버 항목에서 지정된 작업을 수행할 수 있습니다.
10.1. IdM의 셀프 서비스 액세스 제어
셀프 서비스 액세스 제어 규칙은 IdM(Identity Management) 엔터티가 IdM Directory Server 항목에서 수행할 수 있는 작업을 정의합니다. 예를 들어 IdM 사용자는 자신의 암호를 업데이트할 수 있습니다.
이 제어 방법을 사용하면 인증된 IdM 엔터티에서 LDAP 항목 내에서 특정 속성을 편집할 수 있지만 전체 항목에서 작업을 추가하거나
삭제할
수는 없습니다.
셀프 서비스 액세스 제어 규칙으로 작업할 때 주의하십시오. 액세스 제어 규칙을 부적절하게 구성하면 엔터티의 권한을 의도치 않게 높일 수 있습니다.
10.2. Ansible을 사용하여 셀프 서비스 규칙이 있는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 셀프 서비스 규칙을 정의하고 IdM(Identity Management) 서버에 있는지 확인하는 방법을 설명합니다. 이 예에서 새 사용자는 자신의 이름 세부 정보 규칙을 관리할 수 있으며 사용자에게 자신의 지정된 이름,
디스플레이 이름,
제목
및 초기 속성을 변경할 수 있습니다
. 이를 통해 원하는 경우 표시 이름 또는 초기값을 변경할 수 있습니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-present.yml selfservice-present-copy.yml
-
편집할
selfservice-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipaselfservice
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 새 셀프 서비스 규칙의 이름으로 설정합니다. -
권한
변수를 쉼표로 구분된 권한 목록(읽기
및쓰기
)으로 설정합니다. -
attribute
변수를givenname,
,displayname
title
,initials
등 사용자가 자체적으로 관리할 수 있는 속성 목록으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Self-service present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure self-service rule "Users can manage their own name details" is present ipaselfservice: ipaadmin_password: "{{ ipaadmin_password }}" name: "Users can manage their own name details" permission: read, write attribute: - givenname - displayname - title - initials
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-present-copy.yml
추가 리소스
- IdM의 셀프 서비스 액세스 제어를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서README-selfservice.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/selfservice
디렉토리를 참조하십시오.
10.3. Ansible을 사용하여 셀프 서비스 규칙이 없는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM 구성에 지정된 셀프 서비스 규칙이 없는지 확인하는 방법을 설명합니다. 아래 예제에서는 IdM에 사용자가 자체 이름 세부 정보 셀프 서비스 규칙이 없는지 확인하는 방법을 설명합니다. 이렇게 하면 사용자가 예를 들어 자체 표시 이름 또는 초기값을 변경할 수 없습니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-absent.yml selfservice-absent-copy.yml
-
selfservice-absent-copy.yml
Ansible 플레이북 파일을 편집하여 편집합니다. ipaselfservice
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 셀프 서비스 규칙의 이름으로 설정합니다. -
state
변수를absent
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Self-service absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure self-service rule "Users can manage their own name details" is absent ipaselfservice: ipaadmin_password: "{{ ipaadmin_password }}" name: "Users can manage their own name details" state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-absent-copy.yml
추가 리소스
- IdM의 셀프 서비스 액세스 제어를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서README-selfservice.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/selfservice
디렉터리에서 샘플 플레이북을 참조하십시오.
10.4. Ansible을 사용하여 셀프 서비스 규칙에 특정 특성이 있는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 기존 셀프 서비스 규칙에 특정 설정이 있는지 확인하는 방법을 설명합니다. 이 예제에서는 사용자가 자신의 이름 세부 정보 셀프 서비스 규칙에 성
멤버 속성도 관리할 수 있는지 확인합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 사용자는 IdM에 있는 고유한 이름 세부 정보 셀프 서비스 규칙을 관리할 수 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-
member-present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-present.yml selfservice-member-present-copy.yml
-
selfservice-member-present-copy.yml
Ansible 플레이북 파일을 편집하여 편집합니다. ipaselfservice
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 수정할 셀프 서비스 규칙의 이름으로 설정합니다. -
특성
변수를 성으로설정합니다
. -
action
변수를member
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Self-service member present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure selfservice "Users can manage their own name details" member attribute surname is present ipaselfservice: ipaadmin_password: "{{ ipaadmin_password }}" name: "Users can manage their own name details" attribute: - surname action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-present-copy.yml
추가 리소스
- IdM의 셀프 서비스 액세스 제어를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서 사용 가능한README-selfservice.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/selfservice
디렉터리에서 샘플 플레이북을 참조하십시오.
10.5. Ansible을 사용하여 셀프 서비스 규칙에 특정 속성이 없는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 셀프 서비스 규칙에 특정 설정이 없는지 확인하는 방법을 설명합니다. 이 플레이북을 사용하여 셀프 서비스 규칙이 바람직하지 않은 액세스 권한을 부여하지 않도록 할 수 있습니다. 이 예에서 사용자는 이름 세부 정보 셀프 서비스 규칙에 지정된 이름과
성
멤버 속성이 없는지 확인합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 사용자는 IdM에 있는 고유한 이름 세부 정보 셀프 서비스 규칙을 관리할 수 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-member-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-absent.yml selfservice-member-absent-copy.yml
-
selfservice-member-absent-copy.yml
Ansible 플레이북 파일을 편집하여 편집합니다. ipaselfservice
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 수정할 셀프 서비스 규칙의 이름으로 설정합니다. -
특성
변수를주어진
설정합니다.이름
및 성으로 -
action
변수를member
로 설정합니다. -
state
변수를absent
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Self-service member absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure selfservice "Users can manage their own name details" member attributes givenname and surname are absent ipaselfservice: ipaadmin_password: "{{ ipaadmin_password }}" name: "Users can manage their own name details" attribute: - givenname - surname action: member state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-absent-copy.yml
추가 리소스
- IdM의 셀프 서비스 액세스 제어를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서README-selfservice.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/selfservice
디렉터리에서 샘플 플레이북을 참조하십시오.
11장. Ansible 플레이북을 사용하여 사용자를 관리하기 위해 사용자 그룹에 권한을 위임
위임은 IdM의 액세스 제어 방법 중 하나로 셀프 서비스 규칙 및 역할 기반 액세스 제어(RBAC)와 함께 사용됩니다. 위임을 사용하여 한 사용자 그룹에 권한을 할당하여 다른 사용자 그룹의 항목을 관리할 수 있습니다.
이 섹션에서는 다음 주제를 다룹니다.
11.1. 위임 규칙
위임 규칙을 만들어 사용자 그룹에 권한을 위임하여 사용자를 관리할 수 있습니다.
위임 규칙을 사용하면 특정 사용자 그룹이 다른 사용자 그룹의 특정 속성에 대한 쓰기(편집) 작업을 수행할 수 있습니다. 이 형태의 액세스 제어 규칙은 위임 규칙에서 지정한 속성의 값 편집으로 제한됩니다. 전체 항목을 추가 또는 제거하는 기능을 부여하지 않습니다. 지정되지 않은 속성에 대해 전체 항목을 추가하거나 제어하는 기능을 부여하지 않습니다.
위임 규칙은 IdM의 기존 사용자 그룹에 권한을 부여합니다. 예를 들어 위임을 사용하여 managers
사용자 그룹이 employees
사용자 그룹에서 선택한 사용자 속성을 관리할 수 있습니다.
11.2. IdM용 Ansible 인벤토리 파일 생성
Ansible을 사용하는 경우 홈 디렉터리에서 /usr/share/doc/ ansible-freeipa/* 및 /usr/share/doc
하위 디렉터리를 복사하고 적응하는 Ansible 플레이북 전용 하위 디렉터리를 생성하는 것이 좋습니다. 이 연습에는 다음과 같은 이점이 있습니다.
-roles/*
- 모든 플레이북을 한 곳에서 찾을 수 있습니다.
-
루트
권한을 호출하지 않고 플레이북을 실행할 수 있습니다.
절차
홈 디렉터리에서 Ansible 구성 및 플레이북의 디렉터리를 생성합니다.
$ mkdir ~/MyPlaybooks/
~/MyPlaybooks/ 디렉터리로 변경합니다.
$ cd ~/MyPlaybooks
다음 콘텐츠를 사용하여 ~/Myplaybooks/ansible.cfg 파일을 만듭니다.
[defaults] inventory = /home/<username>/MyPlaybooks/inventory [privilege_escalation] become=True
다음 콘텐츠를 사용하여 ~/Myplaybooks/inventory 파일을 만듭니다.
[eu] server.idm.example.com [us] replica.idm.example.com [ipaserver:children] eu us
이 구성은 이러한 위치에 있는 호스트에 대한 두 개의 호스트 그룹인 eu 와 us 를 정의합니다. 또한 이 구성은 eu 및 us 그룹의 모든 호스트를 포함하는 ipaserver 호스트 그룹을 정의합니다.
11.3. Ansible을 사용하여 위임 규칙이 있는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 새 IdM 위임 규칙에 대한 권한을 정의하고 해당 규칙이 있는지 확인하는 방법을 설명합니다. 이 예제에서 새 기본 관리자 속성 위임 규칙은 managers
그룹에 employees
그룹 구성원에 대해 다음 속성을 읽고 쓸 수 있는 기능을 부여합니다.
-
businesscategory
-
departmentnumber
-
employeenumber
-
employeetype
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/delegation/ 디렉토리에 있는 delegation-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-present-copy.yml
-
편집
할 delegation-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipadelegation
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 새 위임 규칙의 이름으로 설정합니다. -
권한
변수를 쉼표로 구분된 권한 목록(읽기
및쓰기
)으로 설정합니다. -
속성
변수를 위임된 사용자 그룹이 관리할 수 있는 속성 목록(businesscategory
,departmentnumber, employeenumber
,employeetype
) -
그룹
변수를 특성 보기 또는 수정에 대한 액세스 권한이 부여되는 그룹의 이름으로 설정합니다. -
membergroup
변수를 속성을 보거나 수정할 수 있는 그룹의 이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage a delegation rule hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure delegation "basic manager attributes" is present ipadelegation: ipaadmin_password: "{{ ipaadmin_password }}" name: "basic manager attributes" permission: read, write attribute: - businesscategory - departmentnumber - employeenumber - employeetype group: managers membergroup: employees
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-present-copy.yml
추가 리소스
- 위임 규칙을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉터리의README-delegation.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipadelegation
디렉터리에서 샘플 플레이북을 참조하십시오.
11.4. Ansible을 사용하여 위임 규칙이 없는지 확인합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 IdM 구성에 지정된 위임 규칙이 없는지 확인하는 방법을 설명합니다. 아래 예제에서는 사용자 지정 기본 관리자 속성 위임 규칙이 IdM에 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/delegation/ 디렉토리에 있는 delegation-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-absent-copy.yml
-
편집
할 delegation-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipadelegation
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 위임 규칙의 이름으로 설정합니다. -
state
변수를absent
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Delegation absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure delegation "basic manager attributes" is absent ipadelegation: ipaadmin_password: "{{ ipaadmin_password }}" name: "basic manager attributes" state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-absent-copy.yml
추가 리소스
- 위임 규칙을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉터리의README-delegation.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipadelegation
디렉터리에서 샘플 플레이북을 참조하십시오.
11.5. 위임 규칙에 특정 속성이 있는지 확인하려면 Ansible을 사용합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 위임 규칙에 특정 설정이 있는지 확인하는 방법을 설명합니다. 이 플레이북을 사용하여 이전에 만든 위임 역할을 수정할 수 있습니다. 이 예제에서는 기본 관리자 속성 위임 규칙에 departmentnumber
멤버 속성만 있는지 확인합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 기본 관리자 속성 위임 규칙은 IdM에 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/delegation/ 디렉터리에 있는 delegation-
member-present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-present.yml delegation-member-present-copy.yml
-
편집
할 delegation-member-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipadelegation
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 위임 규칙의 이름으로 설정하여 수정합니다. -
특성
변수를departmentnumber
로 설정합니다. -
action
변수를member
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Delegation member present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure delegation "basic manager attributes" member attribute departmentnumber is present ipadelegation: ipaadmin_password: "{{ ipaadmin_password }}" name: "basic manager attributes" attribute: - departmentnumber action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-present-copy.yml
추가 리소스
- 위임 규칙을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉터리의README-delegation.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipadelegation
디렉터리에서 샘플 플레이북을 참조하십시오.
11.6. 위임 규칙에 특정 속성이 없는지 확인하려면 Ansible을 사용합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 위임 규칙에 특정 설정이 없는지 확인하는 방법을 설명합니다. 이 플레이북을 사용하여 위임 역할이 바람직하지 않은 액세스 권한을 부여하지 않도록 할 수 있습니다. 이 예제에서는 기본 관리자 속성 위임 규칙에 employeenumber 및 employee
type
멤버 속성이 없는지 확인합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 기본 관리자 속성 위임 규칙은 IdM에 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/delegation/ 디렉토리에 있는 delegation-
member-absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-absent.yml delegation-member-absent-copy.yml
-
편집
할 delegation-member-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipadelegation
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 위임 규칙의 이름으로 설정하여 수정합니다. -
특성
변수를employeenumber 및 employee
type
으로 설정합니다. -
action
변수를member
로 설정합니다. -
state
변수를absent
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Delegation member absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure delegation "basic manager attributes" member attributes employeenumber and employeetype are absent ipadelegation: ipaadmin_password: "{{ ipaadmin_password }}" name: "basic manager attributes" attribute: - employeenumber - employeetype action: member state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-absent-copy.yml
추가 리소스
- 위임 규칙을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉터리의README-delegation.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipadelegation
디렉터리에서 샘플 플레이북을 참조하십시오.
12장. Ansible 플레이북을 사용하여 IdM에서 역할 기반 액세스 제어 관리
RBAC(역할 기반 액세스 제어)는 역할 및 권한에 대해 정의된 정책 중립 액세스 제어 메커니즘입니다. IdM(Identity Management)의 RBAC 구성 요소는 역할, 권한 및 권한입니다.
- 권한 은 사용자 추가 또는 삭제, 그룹 수정, 읽기 액세스 활성화와 같은 특정 작업을 수행할 수 있는 권한을 부여합니다.
- 권한은 권한을 결합합니다(예: 새 사용자를 추가하는 데 필요한 모든 권한).
- 역할은 사용자, 사용자 그룹, 호스트 또는 호스트 그룹에 일련의 권한을 부여합니다.
특히 대기업에서는 RBAC를 사용하면 개별 책임을 수행하는 관리자의 계층적 시스템을 만들 수 있습니다.
이 장에서는 Ansible 플레이북을 사용하여 RBAC를 관리할 때 수행되는 다음 작업을 설명합니다.
- Ansible을 사용하여 권한이 있는 IdM RBAC 역할이 있는지 확인합니다.
- Ansible을 사용하여 IdM RBAC 역할이 없는지 확인합니다.
- Ansible을 사용하여 사용자 그룹이 IdM RBAC 역할에 할당되었는지 확인합니다.
- Ansible을 사용하여 특정 사용자가 IdM RBAC 역할에 할당되지 않도록 합니다.
- 서비스가 IdM RBAC 역할의 멤버인지 확인하려면 Ansible을 사용합니다.
- 호스트가 IdM RBAC 역할의 멤버인지 확인하려면 Ansible을 사용합니다.
- Ansible을 사용하여 호스트 그룹이 IdM RBAC 역할의 멤버인지 확인합니다.
12.1. IdM의 권한
권한은 역할 기반 액세스 제어의 최하위 단위이며, 해당 작업이 적용되는 LDAP 항목과 함께 작업을 정의합니다. 구성 요소와 비교했을 때 필요한 수의 권한에 권한을 할당할 수 있습니다.
하나 이상의 권한은 다음을 허용하는 작업을 정의합니다.
-
write
-
read
-
search
-
비교
-
add
-
delete
-
all
이러한 작업은 세 개의 기본 대상에 적용됩니다 :
-
subtree
: 도메인 이름(DN), 이 DN 아래의 하위 트리 -
대상 필터
: LDAP 필터 -
대상
: 항목을 지정하는 데 사용할 수 있는 와일드카드가 있는 DN
또한 다음과 같은 편의성 옵션은 해당 특성을 설정합니다.
-
type
: 유형의 개체 (사용자, 그룹 등)는subtree
및target filter
를 설정합니다. memberOf
: 그룹의 구성원;대상 필터를
설정합니다.참고대상 LDAP 항목에 그룹 멤버십에 대한 참조가 포함되지 않은 경우
memberof
속성 권한을 설정하지 않습니다.-
targetGroup
: 특정 그룹을 수정할 액세스 권한을 부여합니다(예: 그룹 멤버십을 관리할 수 있는 권한 부여).대상을
설정합니다.
IdM 권한을 사용하면 어떤 사용자가 어떤 오브젝트에 대한 액세스 권한이 있는지 그리고 이러한 오브젝트의 속성까지 제어할 수 있습니다. IdM을 사용하면 개별 속성을 허용 또는 차단하거나 사용자, 그룹 또는 sudo와 같은 특정 IdM 기능의 전체 가시성을 모든 익명 사용자, 모든 인증된 사용자 또는 특정 권한 있는 사용자 그룹에 변경할 수 있습니다.
예를 들어 이 접근 방식의 권한의 유연성은 사용자 또는 그룹에 대한 액세스만 제한하려는 관리자에게 유용합니다. 사용자 또는 그룹이 액세스해야 하는 특정 섹션으로만 액세스하고 다른 섹션에 완전히 숨길 수 있도록 합니다.
권한에는 다른 권한이 포함될 수 없습니다.
12.2. 기본 관리 권한
관리 권한은 기본적으로 IdM과 함께 제공되는 권한입니다. 다음과 같은 차이점을 사용하여 사용자가 생성한 다른 권한처럼 작동합니다.
- 해당 파일을 삭제하거나 이름, 위치, 대상 특성을 수정할 수 없습니다.
여기에는 세 가지 속성 세트가 있습니다.
- 기본 속성은 IdM에서 관리하므로 사용자가 수정할 수 없습니다.
- 사용자가 추가한 속성인 포함된 속성
- 사용자가 제거하는 속성인 제외된 속성
관리되는 권한은 기본 및 포함된 특성 세트에 표시되지만 제외된 속성 세트에는 표시되지 않는 모든 속성에 적용됩니다.
관리 권한을 삭제할 수는 없지만 바인딩 유형을 권한으로 설정하고 모든 권한에서 관리 권한을 제거하면 효과적으로 비활성화됩니다.
관리되는 모든 권한의 이름은 시스템:(예:
시스템): Sudo rule
또는 시스템을 추가합니다: Services
를 수정합니다. 이전 버전의 IdM에서는 기본 권한에 다른 체계를 사용했습니다. 예를 들어 사용자는 삭제할 수 없으며 권한에만 할당할 수 있었습니다. 이러한 기본 권한은 대부분 관리 권한으로 설정되었지만 다음 권한은 여전히 이전 체계를 사용합니다.
- Automember Rebuild Membership 작업 추가
- 구성 하위 항목 추가
- 복제 계약 추가
- 인증서 제거 보류
- CA에서 인증서 상태 가져오기
- DNA 범위 읽기
- DNA 범위 수정
- PassSync 관리자 구성 읽기
- PassSync 관리자 구성 수정
- 복제 계약 읽기
- 복제 계약 수정
- 복제 계약 제거
- LDBM 데이터베이스 구성 읽기
- 요청 인증서
- CA ACL을 무시하는 인증서 요청
- 다른 호스트의 인증서 요청
- CA에서 인증서 검색
- 인증서 해지
- IPA 설정 쓰기
명령줄에서 관리 권한을 수정하려고 하면 시스템에서 수정할 수 없는 특성을 변경할 수 없으므로 명령이 실패합니다. 웹 UI에서 관리 권한을 수정하려고 하면 수정할 수 없는 속성이 비활성화됩니다.
12.3. IdM의 권한
권한은 역할에 적용할 수 있는 권한 그룹입니다.
권한은 단일 작업을 수행할 수 있는 권한을 제공하지만 성공하려면 여러 권한이 필요한 특정 IdM 작업이 있습니다. 따라서 권한은 특정 작업을 수행하는 데 필요한 다양한 권한을 결합합니다.
예를 들어 새 IdM 사용자의 계정을 설정하려면 다음과 같은 권한이 필요합니다.
- 새 사용자 항목 생성
- 사용자 암호 재설정
- 새 사용자를 기본 IPA 사용자 그룹에 추가
이러한 세 가지 하위 수준 작업을 이름이 지정된 사용자 지정 권한의 형태로 더 높은 수준의 작업(예: 사용자 추가) 에 결합하면 시스템 관리자가 역할을 쉽게 관리할 수 있습니다. IdM에는 이미 몇 가지 기본 권한이 포함되어 있습니다. 사용자 및 사용자 그룹 외에도 호스트 및 호스트 그룹은 네트워크 서비스에도 권한이 할당됩니다. 이 방법을 사용하면 특정 네트워크 서비스를 사용하는 호스트 집합의 사용자 집합에 의한 작업을 세부적으로 제어할 수 있습니다.
권한에는 다른 권한이 없을 수 있습니다.
12.4. IdM의 역할
역할은 역할에 지정된 사용자가 보유하는 권한 목록입니다.
실제로 권한은 지정된 하위 수준 작업(예: 사용자 항목 생성 및 그룹에 항목을 추가하는 등)을 수행할 수 있는 기능을 부여하며, 권한은 상위 수준 작업(예: 지정된 그룹에서 새 사용자를 만드는 등)에 필요한 이러한 권한 중 하나 이상을 결합합니다. 역할은 필요에 따라 권한을 함께 수집합니다. 예를 들어 사용자 관리자 역할은 사용자를 추가, 수정, 삭제할 수 있습니다.
역할은 허용된 작업을 분류하는 데 사용됩니다. 권한 분리를 구현하거나 권한 에스컬레이션으로부터 보호하는 툴로 사용되지 않습니다.
역할에 다른 역할은 포함할 수 없습니다.
12.5. ID 관리에 사전 정의된 역할
Red Hat Identity Management는 다음과 같은 일련의 사전 정의 역할을 제공합니다.
Role | 권한 | 설명 |
---|---|---|
등록 관리자 | 호스트 등록 | 클라이언트 또는 호스트, 등록 |
helpdesk | 사용자 및 암호 재설정, 그룹 멤버십 수정 | 간단한 사용자 관리 작업 수행 담당 |
IT 보안 전문가 | Netgroups 관리자, HBAC 관리자, Sudo 관리자 | 호스트 기반 액세스 제어와 같은 보안 정책 관리, sudo 규칙 |
IT 전문가 | 호스트 관리자, 호스트 그룹 관리자, 서비스 관리자, 자동 마운트 관리자 | 호스트 관리 담당 |
보안 설계자 | 위임 관리자, 복제 관리자, 쓰기 IPA 구성, 암호 정책 관리자 | Identity Management 환경 관리, 신뢰 생성, 복제 계약 생성 |
사용자 관리자 | 사용자 관리자, 그룹 관리자, 단계 사용자 관리자 | 사용자 및 그룹 생성 담당 |
12.6. Ansible을 사용하여 권한이 있는 IdM RBAC 역할이 있는지 확인합니다.
기본 역할이 제공하는 기본 역할보다 IdM(Identity Management)의 리소스에 대한 역할 기반 액세스(RBAC)를 보다 세밀하게 제어하려면 사용자 지정 역할을 생성합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 새 IdM 사용자 지정 역할에 대한 권한을 정의하고 해당 역할이 있는지 확인하는 방법을 설명합니다. 이 예제에서 새 user_and_host_administrator 역할에는 기본적으로 IdM에 있는 다음 권한의 고유한 조합이 포함되어 있습니다.
-
그룹 관리자
-
사용자 관리자
-
사용자 관리자 단계
-
그룹 관리자
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-user-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-present.yml role-member-user-present-copy.yml
-
편집할
role-member-user-present-copy.yml
Ansible 플레이북 파일을 엽니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 새 역할의 이름으로 설정합니다. -
권한
목록을 새 역할에 포함하려는 IdM 권한의 이름으로 설정합니다. -
또는
user
변수를 새 역할을 부여하려는 사용자 이름으로 설정합니다. -
필요한 경우
group
변수를 새 역할을 부여할 그룹 이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: user_and_host_administrator user: idm_user01 group: idm_group01 privilege: - Group Administrators - User Administrators - Stage User Administrators - Group Administrators
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-present-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.7. Ansible을 사용하여 IdM RBAC 역할이 없는지 확인합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어(RBAC)를 관리하는 시스템 관리자는 실수로 사용자에게 할당하지 않도록 사용되지 않는 역할이 없는지 확인해야 합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 역할이 없는지 확인하는 방법을 설명합니다. 아래 예제에서는 사용자 지정 user_and_host_administrator 역할이 IdM에 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-is-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-is-absent.yml role-is-absent-copy.yml
-
편집할
role-is-absent-copy.yml
Ansible 플레이북 파일을 엽니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 역할의 이름으로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: user_and_host_administrator state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-is-absent-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.8. Ansible을 사용하여 사용자 그룹이 IdM RBAC 역할에 할당되었는지 확인합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어(RBAC)를 관리하는 시스템 관리자는 특정 사용자 그룹(예: 신참 관리자)에 역할을 할당할 수 있습니다.
다음 예제에서는 Ansible 플레이북을 사용하여 기본 제공 IdM RBAC 헬프데스크 역할이 junior_sysadmins 에 할당되도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-group-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-group-present.yml role-member-group-present-copy.yml
-
편집할
role-member-group-present-copy.yml
Ansible 플레이북 파일을 엽니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 할당할 역할의 이름으로 설정합니다. -
그룹 변수를 그룹
이름으로 설정합니다. -
action
변수를member
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: helpdesk group: junior_sysadmins action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-group-present-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.9. Ansible을 사용하여 특정 사용자가 IdM RBAC 역할에 할당되지 않도록 합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어(RBAC)를 관리하는 시스템 관리자는 특정 사용자에게 RBAC 역할이 할당되지 않도록 할 수 있습니다(예: 회사 내 다른 위치로 이동).
다음 절차에서는 Ansible 플레이북을 사용하여 user_01 및 user_ 02 라는 사용자가 helpdesk 역할에 할당되지 않도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-user-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-absent.yml role-member-user-absent-copy.yml
-
편집할
role-member-user-absent-copy.yml
Ansible 플레이북 파일을 엽니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 할당할 역할의 이름으로 설정합니다. -
사용자 목록을 사용자
이름으로 설정합니다. -
action
변수를member
로 설정합니다. -
state
변수를absent
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: helpdesk user - user_01 - user_02 action: member state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-absent-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.10. 서비스가 IdM RBAC 역할의 멤버인지 확인하려면 Ansible을 사용합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어(RBAC)를 관리하는 시스템 관리자는 IdM에 등록된 특정 서비스가 특정 역할의 구성원인지 확인할 수 있습니다. 다음 예제에서는 사용자 지정 web_administrator 역할이 client01.idm.example.com 서버에서 실행 중인 HTTP
서비스를 관리할 수 있도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - web_administrator 역할은 IdM에 있습니다.
- HTTP/client01.idm.example.com@IDM.EXAMPLE.COM 서비스는 IdM에 있습니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-service-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-service-present-absent.yml role-member-service-present-copy.yml
-
role-member-service-present-copy.yml
Ansible 플레이북 파일을 편집하여 편집합니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 할당할 역할의 이름으로 설정합니다. -
서비스 목록을 서비스
이름으로 설정합니다. -
action
변수를member
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: web_administrator service: - HTTP/client01.idm.example.com action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-service-present-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.11. 호스트가 IdM RBAC 역할의 멤버인지 확인하려면 Ansible을 사용합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어를 관리하는 시스템 관리자는 특정 호스트 또는 호스트 그룹이 특정 역할과 연결되어 있는지 확인할 수 있습니다. 다음 예제에서는 사용자 지정 web_administrator 역할이 HTTP
서비스가 실행 중인 client01.idm.example.com IdM 호스트를 관리할 수 있도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - web_administrator 역할은 IdM에 있습니다.
- client01.idm.example.com 호스트는 IdM에 있습니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-host-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-host-present.yml role-member-host-present-copy.yml
-
role-member-host-present-copy.yml
Ansible 플레이북 파일을 편집하여 편집합니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 할당할 역할의 이름으로 설정합니다. -
호스트 목록을 호스트
이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: web_administrator host: - client01.idm.example.com action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-host-present-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
12.12. Ansible을 사용하여 호스트 그룹이 IdM RBAC 역할의 멤버인지 확인합니다.
IdM(Identity Management)에서 역할 기반 액세스 제어를 관리하는 시스템 관리자는 특정 호스트 또는 호스트 그룹이 특정 역할과 연결되어 있는지 확인할 수 있습니다. 다음 예제에서는 사용자 지정 web_administrator 역할이 HTTP
서비스가 실행 중인 IdM 호스트의 web_servers 그룹을 관리할 수 있도록 하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - web_administrator 역할은 IdM에 있습니다.
- web_servers 호스트 그룹은 IdM에 있습니다.
절차
~/<MyPlaybooks>/ 디렉터리로 이동합니다.
$ cd ~/<MyPlaybooks>/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/role/ 디렉터리에 있는 role-member-hostgroup-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-hostgroup-present.yml role-member-hostgroup-present-copy.yml
-
편집할
role-member-hostgroup-present-copy.yml
Ansible 플레이북 파일을 엽니다. iparole
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 할당할 역할의 이름으로 설정합니다. -
hostgroup
목록을 호스트 그룹의 이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to manage IPA role with members. hosts: ipaserver become: true gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - iparole: ipaadmin_password: "{{ ipaadmin_password }}" name: web_administrator hostgroup: - web_servers action: member
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-hostgroup-present-copy.yml
추가 리소스
- Ansible Vault를 사용하여 콘텐츠 암호화 를 참조하십시오.
- IdM의 역할을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-role
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/iparole
디렉터리에서 샘플 플레이북을 참조하십시오.
13장. Ansible 플레이북을 사용하여 RBAC 권한 관리
RBAC(역할 기반 액세스 제어)는 역할, 권한 및 권한에 대해 정의된 정책 중립 액세스 제어 메커니즘입니다. 특히 대기업에서는 RBAC를 사용하면 개별 책임을 수행하는 관리자의 계층적 시스템을 만들 수 있습니다.
이 장에서는 IdM(Identity Management)에서 RBAC 권한을 관리하기 위해 Ansible 플레이북을 사용하는 작업에 대해 설명합니다.
사전 요구 사항
- RBAC의 개념과 원칙을 이해합니다.
13.1. Ansible을 사용하여 사용자 지정 IdM RBAC 권한이 있는지 확인
IdM(Identity Management) 역할 기반 액세스 제어(RBAC)에서 사용자 지정 권한을 완전히 작동하려면 단계를 진행해야 합니다.
- 권한이 연결되지 않고 권한을 생성합니다.
- 선택한 권한을 권한에 추가합니다.
다음 절차에서는 나중에 권한을 추가할 수 있도록 Ansible 플레이북을 사용하여 빈 권한을 생성하는 방법을 설명합니다. 이 예제에서는 호스트 관리와 관련된 모든 IdM 권한을 결합하기 위한 full_host_administration 이라는 권한을 생성하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml privilege-present-copy.yml
-
편집을 위해
privilege-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipaprivilege
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 새 권한인 full_host_administration 의 이름으로 설정합니다. -
선택적으로
description
변수를 사용하여 권한을 설명합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Privilege present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure privilege full_host_administration is present ipaprivilege: ipaadmin_password: "{{ ipaadmin_password }}" name: full_host_administration description: This privilege combines all IdM permissions related to host administration
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-present-copy.yml
13.2. Ansible을 사용하여 멤버 권한이 사용자 지정 IdM RBAC 권한에 있는지 확인
IdM(Identity Management) 역할 기반 액세스 제어(RBAC)에서 사용자 지정 권한을 완전히 작동하려면 단계를 진행해야 합니다.
- 권한이 연결되지 않고 권한을 생성합니다.
- 선택한 권한을 권한에 추가합니다.
다음 절차에서는 Ansible 플레이북을 사용하여 이전 단계에서 만든 권한에 권한을 추가하는 방법을 설명합니다. 이 예제에서는 호스트 관리와 관련된 모든 IdM 권한을 full_host_administration 이라는 권한에 추가하는 방법을 설명합니다. 기본적으로 권한은 Host Enrollment(호스트 등록
), HostAdministrators(호스트 관리자) 및 Host
Group Administrator
(호스트 그룹 관리자) 권한 사이에 배포됩니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - full_host_administration 권한이 있습니다. Ansible을 사용하여 권한을 생성하는 방법에 대한 자세한 내용은 사용자 정의 IdM RBAC 권한이 있는지 확인하기 위해 Ansible 사용을 참조하십시오.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-member-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-present.yml privilege-member-present-copy.yml
-
편집을 위해
privilege-member-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipaprivilege
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한 이름으로 설정합니다. -
권한
목록을 권한에 포함할 권한의 이름으로 설정합니다. -
action
변수가member
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Privilege member present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that permissions are present for the "full_host_administration" privilege ipaprivilege: ipaadmin_password: "{{ ipaadmin_password }}" name: full_host_administration permission: - "System: Add krbPrincipalName to a Host" - "System: Enroll a Host" - "System: Manage Host Certificates" - "System: Manage Host Enrollment Password" - "System: Manage Host Keytab" - "System: Manage Host Principals" - "Retrieve Certificates from the CA" - "Revoke Certificate" - "System: Add Hosts" - "System: Add krbPrincipalName to a Host" - "System: Enroll a Host" - "System: Manage Host Certificates" - "System: Manage Host Enrollment Password" - "System: Manage Host Keytab" - "System: Manage Host Keytab Permissions" - "System: Manage Host Principals" - "System: Manage Host SSH Public Keys" - "System: Manage Service Keytab" - "System: Manage Service Keytab Permissions" - "System: Modify Hosts" - "System: Remove Hosts" - "System: Add Hostgroups" - "System: Modify Hostgroup Membership" - "System: Modify Hostgroups" - "System: Remove Hostgroups"
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-present-copy.yml
13.3. Ansible을 사용하여 IdM RBAC 권한에 권한이 포함되지 않도록 합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 권한에서 권한을 제거하는 방법을 설명합니다. 이 예제에서는 관리자가 보안 위험이라고 간주하기 때문에 기본 Certificate Administrators
권한에서 CA ACL 권한을 무시하는 요청
인증서를 제거하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-member-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml
-
편집을 위해
privilege-member-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipaprivilege
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한 이름으로 설정합니다. -
권한
목록을 권한에서 제거할 권한의 이름으로 설정합니다. -
action
변수가member
로 설정되어 있는지 확인합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Privilege absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege ipaprivilege: ipaadmin_password: "{{ ipaadmin_password }}" name: Certificate Administrators permission: - "Request Certificate ignoring CA ACLs" action: member state: absent
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml
13.4. Ansible을 사용하여 사용자 지정 IdM RBAC 권한 이름 변경
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어를 사용자 지정할 수 있습니다.
다음 절차에서는 권한 이름을 변경하는 방법을 설명합니다. 예를 들어 몇 가지 권한을 제거했기 때문입니다. 결과적으로 권한 이름은 더 이상 정확하지 않습니다. 이 예제에서 관리자는 full_host_administration 권한의 이름을 limited_ host_administration 으로 변경합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - full_host_administration 권한이 있습니다. 권한을 추가하는 방법에 대한 자세한 내용은 Ansible을 사용하여 사용자 정의 IdM RBAC 권한이 있는지 를 참조하십시오.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml rename-privilege.yml
-
편집할
rename-privilege.yml
Ansible 플레이북 파일을 엽니다. ipaprivilege
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 현재 이름으로 설정합니다. -
rename
변수를 추가하고 권한의 새 이름으로 설정합니다. -
state
변수를 추가하고이름을 바꿉니다
.
-
플레이북 자체의 이름을 변경합니다. 예를 들면 다음과 같습니다.
--- - name: Rename a privilege hosts: ipaserver
플레이북의 작업의 이름을 변경합니다. 예를 들면 다음과 같습니다.
[...] tasks: - name: Ensure the full_host_administration privilege is renamed to limited_host_administration ipaprivilege: [...]
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Rename a privilege hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure the full_host_administration privilege is renamed to limited_host_administration ipaprivilege: ipaadmin_password: "{{ ipaadmin_password }}" name: full_host_administration rename: limited_host_administration state: renamed
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory rename-privilege.yml
13.5. Ansible을 사용하여 IdM RBAC 권한이 없는지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어를 사용자 지정할 수 있습니다. 다음 절차에서는 Ansible 플레이북을 사용하여 RBAC 권한이 없는지 확인하는 방법을 설명합니다. 이 예제에서는 CA 관리자
권한이 없는지 확인하는 방법을 설명합니다. 이 절차의 결과로 관리자
관리자는 IdM에서 인증 기관을 관리할 수 있는 유일한 사용자가 됩니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-absent.yml privilege-absent-copy.yml
-
편집을 위해
privilege-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipaprivilege
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 제거할 권한의 이름으로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
-
플레이북의 작업의 이름을 변경합니다. 예를 들면 다음과 같습니다.
[...] tasks: - name: Ensure privilege "CA administrator" is absent ipaprivilege: [...]
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Privilege absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure privilege "CA administrator" is absent ipaprivilege: ipaadmin_password: "{{ ipaadmin_password }}" name: CA administrator state: absent
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-absent-copy.yml
13.6. 추가 리소스
- IdM의 Privileges을 참조하십시오.
- IdM의 권한 참조.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서 사용 가능한README-privilege
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipaprivilege
디렉터리의 샘플 플레이북을 참조하십시오.
14장. Ansible 플레이북을 사용하여 IdM에서 RBAC 권한 관리
RBAC(역할 기반 액세스 제어)는 역할, 권한 및 권한에 대해 정의된 정책 중립 액세스 제어 메커니즘입니다. 특히 대기업에서는 RBAC를 사용하면 개별 책임을 수행하는 관리자의 계층적 시스템을 만들 수 있습니다.
이 장에서는 Ansible 플레이북을 사용하여 IdM(Identity Management)에서 RBAC 권한을 관리할 때 수행되는 다음 작업을 설명합니다.
사전 요구 사항
- RBAC의 개념과 원칙을 이해합니다.
14.1. Ansible을 사용하여 RBAC 권한이 있는지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어(RBAC)를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 권한에 권한을 추가할 수 있도록 IdM에 권한을 제공하는 방법을 설명합니다. 예제에서는 다음 대상 상태를 확인하는 방법을 설명합니다.
-
MyPermission
권한이 있습니다. -
MyPermission
권한은 호스트에만 적용할 수 있습니다. 권한이 포함된 권한이 부여된 사용자는 항목에서 다음과 같은 가능한 작업을 모두 수행할 수 있습니다.
- 쓰기
- 읽기
- 검색
- 비교
- add
- delete
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml
-
편집할
permission-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다. -
object_type
변수를host
로 설정합니다. -
올바른
변수를all
로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that the "MyPermission" permission is present ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission object_type: host right: all
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-copy.yml
14.2. Ansible을 사용하여 속성이 있는 RBAC 권한이 있는지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어(RBAC)를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 권한에 권한을 추가할 수 있도록 IdM에 권한을 제공하는 방법을 설명합니다. 예제에서는 다음 대상 상태를 확인하는 방법을 설명합니다.
- MyPermission 권한이 있습니다.
- MyPermission 권한은 호스트를 추가하는 데만 사용할 수 있습니다.
권한이 포함된 권한이 부여된 사용자는 호스트 항목에서 다음과 같은 모든 작업을 수행할 수 있습니다.
- 쓰기
- 읽기
- 검색
- 비교
- add
- delete
-
MyPermission 권한이 포함된 권한이 부여된 사용자가 생성한 호스트 항목은
description
값을 가질 수 있습니다.
권한을 만들거나 수정할 때 지정할 수 있는 속성 유형은 IdM LDAP 스키마에 의해 제한되지 않습니다. 그러나 object_type이
를 지정하면 나중에 호스트
일 경우 attrs:car_
licenceipa가 됩니다. ERROR: 속성 "car-license" not allowed
error message when you try to a specificcar licence value to a host.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-with-attribute.yml
-
편집을 위해
permission-present-with-attribute.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다. -
object_type
변수를host
로 설정합니다. -
올바른
변수를all
로 설정합니다. -
attrs
변수를description
으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that the "MyPermission" permission is present with an attribute ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission object_type: host right: all attrs: description
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-with-attribute.yml
추가 리소스
- RHEL 7의 Linux 도메인 ID, 인증 및 정책 가이드의 사용자 및 그룹 스키마 를 참조하십시오.
14.3. Ansible을 사용하여 RBAC 권한이 없는지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어(RBAC)를 사용자 지정할 수 있습니다.
다음 절차에서는 권한에 추가할 수 없도록 Ansible 플레이북을 사용하여 IdM에 권한이 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-absent.yml permission-absent-copy.yml
-
편집을 위해
permission-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that the "MyPermission" permission is absent ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission state: absent
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-absent-copy.yml
14.4. Ansible을 사용하여 속성이 IdM RBAC 권한의 멤버인지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어(RBAC)를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 속성이 IdM에서 RBAC 권한의 멤버인지 확인하는 방법을 설명합니다. 결과적으로 권한이 있는 사용자는 특성이 있는 항목을 생성할 수 있습니다.
이 예제에서는 MyPermission 권한을 포함하는 권한이 있는 사용자가 생성한 호스트 항목에 gecos
및 description
값을 가질 수 있도록 하는 방법을 설명합니다.
권한을 만들거나 수정할 때 지정할 수 있는 속성 유형은 IdM LDAP 스키마에 의해 제한되지 않습니다. 그러나 object_type이
를 지정하면 나중에 호스트
일 경우 attrs:car_
licenceipa가 됩니다. ERROR: 속성 "car-license" not allowed
error message when you try to a specificcar licence value to a host.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - MyPermission 권한이 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-member-
present.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-present.yml permission-member-present-copy.yml
-
편집을 위해
permission-member-present-copy.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다. -
attrs
목록을description
및gecos
변수로 설정합니다. -
작업
변수가member
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission member present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that the "gecos" and "description" attributes are present in "MyPermission" ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission attrs: - description - gecos action: member
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-present-copy.yml
14.5. Ansible을 사용하여 속성이 IdM RBAC 권한의 멤버가 아닌지 확인합니다.
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어(RBAC)를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 속성이 IdM에서 RBAC 권한의 멤버가 아닌지 확인하는 방법을 설명합니다. 결과적으로 권한이 있는 사용자가 IdM LDAP에 항목을 생성하면 해당 항목에 특성과 연결된 값이 있을 수 없습니다.
예제에서는 다음 대상 상태를 확인하는 방법을 설명합니다.
- MyPermission 권한이 있습니다.
-
MyPermission 권한이 포함된 권한이 있는 사용자가 생성한 호스트 항목은
description
속성을 가질 수 없습니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - MyPermission 권한이 있습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-member-
absent.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-absent.yml permission-member-absent-copy.yml
-
편집을 위해
permission-member-absent-copy.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다. -
attrs
변수를description
으로 설정합니다. -
action
변수를member
로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure that an attribute is not a member of "MyPermission" ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission attrs: description action: member state: absent
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-absent-copy.yml
14.6. Ansible을 사용하여 IdM RBAC 권한 이름 변경
IdM(Identity Management)의 시스템 관리자는 IdM 역할 기반 액세스 제어를 사용자 지정할 수 있습니다.
다음 절차에서는 Ansible 플레이북을 사용하여 권한의 이름을 변경하는 방법을 설명합니다. 이 예제에서는 MyPermission의 이름을 MyNewPermission 으로 변경하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - MyPermission 은 IdM에 있습니다.
- MyNewPermission 은 IdM에 존재하지 않습니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
파일의 복사본을 만듭니다.-freeipa/playbooks/permission/ 디렉터리에 있는 permission-
renamed.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-renamed.yml permission-renamed-copy.yml
-
편집을 위해
permission-renamed-copy.yml
Ansible 플레이북 파일을 엽니다. ipapermission
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
사용 사례에 대응하도록 작업
이름을
조정합니다. -
ipaadmin_password
변수를 IdM 관리자의 암호로 설정합니다. -
name
변수를 권한의 이름으로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Permission present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Rename the "MyPermission" permission ipapermission: ipaadmin_password: "{{ ipaadmin_password }}" name: MyPermission rename: MyNewPermission state: renamed
-
사용 사례에 대응하도록 작업
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-renamed-copy.yml
14.7. 추가 리소스
- IdM의 권한 참조.
- IdM의 Privileges을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리에서 사용 가능한README-permission
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/ipapermission
디렉터리에서 샘플 플레이북을 참조하십시오.
15장. Ansible을 사용하여 IdM의 복제 토폴로지 관리
여러 IdM(Identity Management) 서버를 유지 관리하고 중복을 위해 서로 복제하여 서버 손실을 완화하거나 방지할 수 있습니다. 예를 들어, 한 서버가 실패하면 다른 서버는 계속 도메인에 서비스를 제공합니다. 나머지 서버 중 하나를 기반으로 새 복제본을 만들어 손실된 서버를 복구할 수도 있습니다.
IdM 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성된 경우 해당 데이터를 공유합니다. 복제된 데이터는 토폴로지 접미사
에 저장됩니다. 두 복제본에 접미사 간 복제 계약이 있는 경우 접미사는 토폴로지 세그먼트
를 형성합니다.
이 장에서는 Ansible을 사용하여 IdM 복제 계약, 토폴로지 세그먼트 및 토폴로지 접미사를 관리하는 방법을 설명합니다.
15.1. Ansible을 사용하여 IdM에 복제 계약이 있는지 확인
IdM(Identity Management) 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성된 경우 데이터를 공유합니다. 복제 계약은 항상 양방향입니다. 데이터는 첫 번째 복제본에서 다른 복제본으로는 물론 다른 복제본으로 복제됩니다.
Ansible 플레이북을 사용하여 server.idm.example.com 과 replica.idm.example.com 사이에 도메인
유형의 복제 계약이 있는지 확인합니다.
사전 요구 사항
- 토폴로지의 IdM 복제본 연결을 위해 지침에 나열된 IdM 토폴로지를 설계하기 위한 권장 사항을 이해해야 합니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는add-topologysegment.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegment.yml add-topologysegment-copy.yml
-
add-topologysegment-copy.yml
파일을 열어 편집합니다. ipatopologysegment
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. -
추가하려는 세그먼트 유형에 따라
접미사
변수를domain
또는ca
로 설정합니다. -
복제 계약의
왼쪽
노드가 되고자 하는 IdM 서버의 이름으로 왼쪽 변수를 설정합니다. -
올바른
변수를 복제 계약의 올바른 노드로 설정하고자 하는 IdM 서버의 이름으로 설정합니다. -
state
변수가present로 설정되어 있는지 확인합니다
.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to handle topologysegment hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Add topology segment ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: domain left: server.idm.example.com right: replica.idm.example.com state: present
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegment-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.2. Ansible을 사용하여 여러 IdM 복제본 간에 복제 계약이 있는지 확인
IdM(Identity Management) 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성된 경우 데이터를 공유합니다. 복제 계약은 항상 양방향입니다. 데이터는 첫 번째 복제본에서 다른 복제본으로는 물론 다른 복제본으로 복제됩니다.
IdM의 여러 복제본 쌍 간에 복제 계약이 있는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- 토폴로지의 복제본 연결에 나열된 IdM 토폴로지를 설계하기 위한 권장 사항을 이해해야 합니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는add-topologysegments.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegments.yml add-topologysegments-copy.yml
-
add-topologysegments-copy.yml
파일을 열어 편집합니다. vars
섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. 모든 토폴로지 세그먼트에 대해
ipatopology_segments
섹션에 행을 추가하고 다음 변수를 설정합니다.-
추가하려는 세그먼트 유형에 따라
접미사
변수를domain
또는ca
로 설정합니다. -
복제 계약의
왼쪽
노드가 되고자 하는 IdM 서버의 이름으로 왼쪽 변수를 설정합니다. -
올바른
변수를 복제 계약의 올바른 노드로 설정하고자 하는 IdM 서버의 이름으로 설정합니다.
-
추가하려는 세그먼트 유형에 따라
-
add-topologysegments-copy.yml
파일의tasks
섹션에서state
변수가present로 설정되어 있는지 확인합니다
.이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Add topology segments hosts: ipaserver gather_facts: false vars: ipaadmin_password: "{{ ipaadmin_password }}" ipatopology_segments: - {suffix: domain, left: replica1.idm.example.com , right: replica2.idm.example.com } - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com } - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com } - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com } vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Add topology segment ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: "{{ item.suffix }}" name: "{{ item.name | default(omit) }}" left: "{{ item.left }}" right: "{{ item.right }}" state: present loop: "{{ ipatopology_segments | default([]) }}"
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegments-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.3. Ansible을 사용하여 두 복제본 간에 복제 계약이 있는지 확인
IdM(Identity Management) 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성된 경우 데이터를 공유합니다. 복제 계약은 항상 양방향입니다. 데이터는 첫 번째 복제본에서 다른 복제본으로는 물론 다른 복제본으로 복제됩니다.
다음 절차에 따라 IdM의 여러 복제본 쌍 간에 복제 계약이 있는지 확인합니다. IdM에 복제 계약이 존재하는지 확인하기 위해 Ansible을 사용하는 것과 달리 이 절차에서는 기존 구성을 수정하지 않습니다.
사전 요구 사항
- 토폴로지의 복제본 연결에 나열된 IdM(Identity Management) 토폴로지를 설계하기 위한 권장 사항을 이해해야 합니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는check-topologysegments.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/check-topologysegments.yml check-topologysegments-copy.yml
-
check-topologysegments-copy.yml
파일을 열어 편집합니다. vars
섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. 모든 토폴로지 세그먼트에 대해
ipatopology_segments
섹션에 행을 추가하고 다음 변수를 설정합니다.-
추가하려는 세그먼트 유형에 따라
접미사
변수를domain
또는ca
로 설정합니다. -
복제 계약의
왼쪽
노드가 되고자 하는 IdM 서버의 이름으로 왼쪽 변수를 설정합니다. -
올바른
변수를 복제 계약의 올바른 노드로 설정하고자 하는 IdM 서버의 이름으로 설정합니다.
-
추가하려는 세그먼트 유형에 따라
-
check-topologysegments-copy.yml
파일의tasks
섹션에서state
변수가present로 설정되어 있는지 확인합니다
.이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Add topology segments hosts: ipaserver gather_facts: false vars: ipaadmin_password: "{{ ipaadmin_password }}" ipatopology_segments: - {suffix: domain, left: replica1.idm.example.com, right: replica2.idm.example.com } - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com } - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com } - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com } vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Check topology segment ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: "{{ item.suffix }}" name: "{{ item.name | default(omit) }}" left: "{{ item.left }}" right: "{{ item.right }}" state: checked loop: "{{ ipatopology_segments | default([]) }}"
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory check-topologysegments-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.4. Ansible을 사용하여 토폴로지 접미사가 IdM에 있는지 확인합니다.
IdM(Identity Management)의 복제 계약 컨텍스트에서 토폴로지 접미사는 복제되는 데이터를 저장합니다. IdM은 두 가지 유형의 토폴로지 접미사인 domain
과 ca
를 지원합니다. 각 접미사는 별도의 백엔드인 별도의 복제 토폴로지를 나타냅니다. 복제 계약이 구성되면 서로 다른 두 서버에서 동일한 유형의 두 토폴로지 접미사를 결합합니다.
domain
접미사에는 사용자, 그룹 및 정책에 대한 데이터와 같은 모든 도메인 관련 데이터가 포함됩니다. ca
접미사에는 Certificate System 구성 요소에 대한 데이터가 포함되어 있습니다. CA(인증 기관)가 설치된 서버에만 존재합니다.
Ansible 플레이북을 사용하여 IdM에 토폴로지 접미사가 있는지 확인하려면 다음 절차를 따르십시오. 이 예제에서는 도메인
접미사가 IdM에 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는verify-topologysuffix.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/ verify-topologysuffix.yml verify-topologysuffix-copy.yml
-
편집을 위해
verify-topologysuffix-copy.yml
Ansible 플레이북 파일을 엽니다. ipatopologysuffix
섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. -
접미사
변수를domain
로 설정합니다.ca 접미사가 있는지 확인하는 경우 변수를 ca
로 설정합니다.
-
state 변수가 verify
로 설정되어 있는지 확인합니다.
다른 옵션은 없습니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to handle topologysuffix hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Verify topology suffix ipatopologysuffix: ipaadmin_password: "{{ ipaadmin_password }}" suffix: domain state: verified
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory verify-topologysuffix-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.5. Ansible을 사용하여 IdM 복제본 다시 초기화
복제본이 장기간 오프라인 상태이거나 데이터베이스가 손상된 경우 다시 초기화할 수 있습니다. 업데이트된 데이터 세트를 사용하여 복제본을 다시 시작합니다. 예를 들어 백업에서 권한 있는 복원이 필요한 경우 다시 초기화할 수 있습니다.
복제 업데이트와 대조적으로 복제본이 변경된 항목만 상호 전송하는 반면 다시 초기화하면 전체 데이터베이스가 새로 고칩니다.
명령을 실행하는 로컬 호스트는 다시 초기화된 복제본입니다. 데이터를 가져오는 복제본을 지정하려면 direction
옵션을 사용합니다.
Ansible 플레이북을 사용하여 server.idm.example.com 의 replica.idm.example.com 에서 도메인
데이터를 다시 초기화하려면 다음 절차를 따르십시오.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는reinitialize-topologysegment.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/reinitialize-topologysegment.yml reinitialize-topologysegment-copy.yml
-
편집을 위해
reinitialize-topologysegment-copy.yml
파일을 엽니다. ipatopologysegment
섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. -
접미사
변수를domain
로 설정합니다.ca 데이터를 다시 초기화하는 경우 변수를 ca
로 설정합니다.
-
왼쪽
변수를 복제 계약의 왼쪽 노드로 설정합니다. -
올바른
변수를 복제 계약의 올바른 노드로 설정합니다. -
방향
변수를 다시 초기화 데이터 방향으로 설정합니다.왼쪽에서 오른쪽
방향으로 데이터를 왼쪽 노드에서 오른쪽 노드로 이동합니다. state
변수가다시 초기화
되도록 설정되어 있는지 확인합니다.이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to handle topologysegment hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Reinitialize topology segment ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: domain left: server.idm.example.com right: replica.idm.example.com direction: left-to-right state: reinitialized
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory reinitialize-topologysegment-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.6. Ansible을 사용하여 IdM에 복제 계약이 없음
IdM(Identity Management) 서버에 저장된 데이터는 복제 계약에 따라 복제됩니다. 두 서버에 복제 계약이 구성된 경우 데이터를 공유합니다. 복제 계약은 항상 양방향입니다. 데이터는 첫 번째 복제본에서 다른 복제본으로는 물론 다른 복제본으로 복제됩니다.
다음 절차에 따라 두 복제본 간의 복제 계약이 IdM에 없는지 확인합니다. 이 예제에서는 replica01.idm.example.com 및 replica02.idm.example.com IdM 서버 사이에 도메인
유형의 복제 계약이 없는지 확인하는 방법을 설명합니다.
사전 요구 사항
- 토폴로지의 복제본 연결에 나열된 IdM 토폴로지를 설계하기 위한 권장 사항은 다음과 같습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible vault가
ipaadmin_password
를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
ansible-freeipa
패키지에서 제공하는delete-topologysegment.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/topology/delete-topologysegment.yml delete-topologysegment-copy.yml
-
편집을 위해
delete-topologysegment-copy.yml
파일을 엽니다. ipatopologysegment
작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.-
ipaadmin_password
변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다. -
접미사
변수를domain
로 설정합니다. 또는 왼쪽 및 오른쪽 노드 간에ca
데이터가 복제되지 않도록 하는 경우 변수를ca
로 설정합니다. -
왼쪽
변수를 복제 계약의 왼쪽 노드인 IdM 서버의 이름으로 설정합니다. -
올바른
변수를 복제 계약의 올바른 노드인 IdM 서버의 이름으로 설정합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Playbook to handle topologysegment hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Delete topology segment ipatopologysegment: ipaadmin_password: "{{ ipaadmin_password }}" suffix: domain left: replica01.idm.example.com right: replica02.idm.example.com: state: absent
-
- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory delete-topologysegment-copy.yml
추가 리소스
- 복제 계약, 토폴로지 Suffixes 및 토폴로지 시나리오 설명
-
/usr/share/doc/ansible-freeipa/README-topology.md
-
/usr/share/doc/ansible-freeipa/playbooks/topology
의 샘플 플레이북
15.7. 추가 리소스
16장. Ansible을 사용하여 IdM 서버 관리
Red Hat Ansible Engine
을 사용하여 IdM(Identity Management) 토폴로지의 서버를 관리할 수 있습니다. ansible-freeipa
패키지에서 server
모듈을 사용하여 IdM 토폴로지에 서버가 있는지 확인할 수 있습니다. 복제본을 숨기거나 복제본을 볼 수도 있습니다.
섹션에는 다음 항목이 포함되어 있습니다.
- Ansible을 사용하여 IdM 서버가 있는지 확인
- Ansible을 사용하여 IdM 서버가 IdM 토폴로지에서 없음을 확인
- 마지막 IdM 서버 역할을 호스팅해도 IdM 서버가 없는지 확인
- IdM 서버가 없음을 확인하지만 다른 IdM 서버와 분리할 필요는 없습니다.
- Ansible 플레이북을 사용하여 기존 IdM 서버가 숨겨져 있는지 확인합니다.
- Ansible 플레이북을 사용하여 기존 IdM 서버가 표시되는지 확인합니다.
- 기존 IdM 서버에 IdM DNS 위치가 할당되어 있는지 확인합니다.
- 기존 IdM 서버에 IdM DNS 위치가 할당되지 않았는지 확인합니다.
16.1. Ansible을 사용하여 IdM 서버가 있는지 확인
Ansible 플레이북에서 ipaserver
ansible-freeipa
모듈을 사용하여 IdM(Identity Management) 서버가 있는지 확인할 수 있습니다.
ipaserver
Ansible 모듈은 IdM 서버를 설치하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-present.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-present.yml server-present-copy.yml
-
편집할
server-present-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 서버의FQDN
으로 설정합니다. 예제 서버의FQDN
은 server123.idm.example.com 입니다.
--- - name: Server present example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server server123.idm.example.com is present ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-present-copy.yml
추가 리소스
- Ansible 플레이북을 사용하여 Identity Management 서버 설치를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.2. Ansible을 사용하여 IdM 서버가 IdM 토폴로지에서 없음을 확인
Ansible 플레이북을 사용하여 IdM(Identity Management) 서버가 호스트로도 IdM 토폴로지에 없는지 확인합니다.
ansible-freeipa
ipaserver
역할과 달리 이 플레이북에서 사용되는 ipaserver
모듈은 서버에서 IdM 서비스를 제거하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-absent.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-absent.yml server-absent-copy.yml
-
편집할
server-absent-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 서버의FQDN
으로 설정합니다. 예제 서버의FQDN
은 server123.idm.example.com 입니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
--- - name: Server absent example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server server123.idm.example.com is absent ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com state: absent
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-absent-copy.yml
- server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다.
추가 리소스
- IdM 서버 제거를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.3. 마지막 IdM 서버 역할을 호스팅해도 IdM 서버가 없는지 확인
Ansible을 사용하여 서버에서 마지막 IdM 서비스 인스턴스가 실행 중인 경우에도 IdM(Identity Management) 서버가 없는지 확인할 수 있습니다. CA(인증 기관), 키 복구 기관(KRA) 또는 DNS 서버는 모두 IdM 서비스의 예입니다.
CA, KRA 또는 DNS 서버로 사용되는 마지막 서버를 제거하면 IdM 기능이 크게 중단됩니다. ipa service-find
명령을 사용하여 어떤 IdM 서버에서 실행 중인지 수동으로 확인할 수 있습니다. CA 서버의 기본 이름은 dogtag/server_name/tektonM_NAME
입니다.
ansible-freeipa
ipaserver
역할과 달리 이 플레이북에서 사용되는 ipaserver
모듈은 서버에서 IdM 서비스를 제거하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible
Ansible 플레이북 파일을 복사합니다.-freeipa/playbooks/server/
디렉터리에 있는 server-absent-ignore-last-role.yml$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-absent-ignore-last-of-role.yml server-absent-ignore-last-of-role-copy.yml
-
편집할
server-absent-ignore-last-role-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 서버의FQDN
으로 설정합니다. 예제 서버의FQDN
은 server123.idm.example.com 입니다. -
ignore_last_of_role
변수가true
로 설정되어 있는지 확인합니다. -
state
변수를absent
로 설정합니다.
--- - name: Server absent with last of role skip example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server “server123.idm.example.com” is absent with last of role skip ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com ignore_last_of_role: true state: absent
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-absent-ignore-last-of-role-copy.yml
- server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다.
추가 리소스
- IdM 서버 제거를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.4. IdM 서버가 없음을 확인하지만 다른 IdM 서버와 분리할 필요는 없습니다.
토폴로지에서 IdM(Identity Management) 서버를 제거하는 경우 Ansible 플레이북을 사용하여 복제 계약을 그대로 유지할 수 있습니다. 또한 이 플레이북은 IdM 서버가 호스트로도 IdM에 존재하지 않도록 합니다.
제거하려는 다른 서버가 제대로 작동하는 경우에만 서버의 복제 계약을 무시하는 것이 좋습니다. 토폴로지의 중앙 지점 역할을 하는 서버를 제거하면 토폴로지를 두 개의 연결이 끊긴 클러스터로 분할할 수 있습니다.
ipa server-del
명령을 사용하여 토폴로지에서 일관성 있는 서버를 제거할 수 있습니다.
CA(인증 기관), 키 복구 기관(KRA) 또는 DNS 서버 역할을 하는 마지막 서버를 제거하면 IdM(Identity Management) 기능이 크게 손상됩니다. 이 문제를 방지하기 위해 플레이북에서는 CA, KRA 또는 DNS 서버 역할을 하는 서버를 제거하기 전에 이러한 서비스가 도메인의 다른 서버에서 실행 중인지 확인합니다.
ansible-freeipa
ipaserver
역할과 달리 이 플레이북에서 사용되는 ipaserver
모듈은 서버에서 IdM 서비스를 제거하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-absent-ignore_topology_disconnect.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-absent-ignore_topology_disconnect.yml server-absent-ignore_topology_disconnect-copy.yml
-
편집할
server-absent-ignore_topology_disconnect-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 서버의FQDN
으로 설정합니다. 예제 서버의FQDN
은 server123.idm.example.com 입니다. -
ignore_topology_disconnect
변수가true
로 설정되어 있는지 확인합니다. -
state
변수가absent
로 설정되어 있는지 확인합니다.
--- - name: Server absent with ignoring topology disconnects example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server “server123.idm.example.com” with ignoring topology disconnects ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com ignore_topology_disconnect: true state: absent
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-absent-ignore_topology_disconnect-copy.yml
- 선택 사항: server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부에 관계없이 적용됩니다.
추가 리소스
- IdM 서버 제거를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.6. Ansible 플레이북을 사용하여 기존 IdM 서버가 표시되는지 확인합니다.
Ansible 플레이북에서 ipaserver
ansible-freeipa
모듈을 사용하여 기존 IdM(Identity Management) 서버가 표시되는지 확인합니다. 이 Playbook은 IdM 서버를 설치하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-not-hidden.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-not-hidden.yml server-not-hidden-copy.yml
-
편집할
server-not-hidden-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 서버의FQDN
으로 설정합니다. 예제 서버의FQDN
은 server123.idm.example.com 입니다. -
숨겨진
변수가no
로 설정되어 있는지 확인합니다.
--- - name: Server not hidden example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server server123.idm.example.com is not hidden ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com hidden: no
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-not-hidden-copy.yml
추가 리소스
- Ansible 플레이북을 사용하여 Identity Management 서버 설치를 참조하십시오.
- 숨겨진 복제본 모드를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.7. 기존 IdM 서버에 IdM DNS 위치가 할당되어 있는지 확인합니다.
Ansible 플레이북에서 ipaserver
ansible-freeipa
모듈을 사용하여 기존 IdM(Identity Management) 서버에 특정 IdM DNS 위치가 할당되었는지 확인합니다.
ipaserver
Ansible 모듈은 IdM 서버를 설치하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. - IdM DNS 위치가 있습니다. 예를 들어 location은 germany 입니다.
-
서버에 대한
루트
액세스 권한이 있어야 합니다. 예제 서버는 server123.idm.example.com 입니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-location.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-location.yml server-location-copy.yml
-
편집할
server-location-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 server123.idm.example.com 으로 설정합니다. -
위치
변수를 germany 로 설정합니다.
이는 현재 예제에 대한 수정된 Ansible 플레이북 파일입니다.
--- - name: Server enabled example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server server123.idm.example.com with location “germany” is present ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com location: germany
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-location-copy.yml
SSH
를 사용하여 server123.idm.example.com 에root
로 연결합니다.ssh root@server123.idm.example.com
업데이트가 즉시 적용되도록 서버에서
named-pkcs11
서비스를 다시 시작하십시오.[root@server123.idm.example.com ~]# systemctl restart named-pkcs11
추가 리소스
- Ansible 플레이북을 사용하여 Identity Management 서버 설치를 참조하십시오.
- IdM 위치가 있는지 확인하려면 Ansible 사용을 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
16.8. 기존 IdM 서버에 IdM DNS 위치가 할당되지 않았는지 확인합니다.
Ansible 플레이북에서 ipaserver
ansible-freeipa
모듈을 사용하여 기존 IdM(Identity Management) 서버에 IdM DNS 위치가 할당되어 있지 않은지 확인합니다. 지리적 위치를 자주 변경하는 서버에 DNS 위치를 할당하지 마십시오. Playbook은 IdM 서버를 설치하지 않습니다.
사전 요구 사항
-
IdM
관리자
암호를 알고 있습니다. -
서버에 대한
루트
액세스 권한이 있어야 합니다. 예제 서버는 server123.idm.example.com 입니다. 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
SSH
연결이 제대로 작동합니다.
-
제어 노드에서 인벤토리 파일에 정의된 IdM 서버로의
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
/usr/share/doc/ansible-freeipa/playbooks/server/
디렉터리에 있는server-no-location.yml
Ansible 플레이북 파일을 복사합니다.$ cp /usr/share/doc/ansible-freeipa/playbooks/server/server-no-location.yml server-no-location-copy.yml
-
편집할
server-no-location-copy.yml
파일을 엽니다. ipaserver
작업 섹션에서 다음 변수를 설정하고 파일을 저장하여 파일을 조정합니다.-
ipaadmin_password
변수를 IdM관리자의
암호로 설정합니다. -
name
변수를 server123.idm.example.com 으로 설정합니다. -
위치
변수가 "" 로 설정되어 있는지 확인합니다.
--- - name: Server no location example hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure server server123.idm.example.com is present with no location ipaserver: ipaadmin_password: "{{ ipaadmin_password }}" name: server123.idm.example.com location: “”
-
Ansible 플레이북을 실행하고 플레이북 파일 및 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory server-no-location-copy.yml
SSH
를 사용하여 server123.idm.example.com 에root
로 연결합니다.ssh root@server123.idm.example.com
업데이트가 즉시 적용되도록 서버에서
named-pkcs11
서비스를 다시 시작하십시오.[root@server123.idm.example.com ~]# systemctl restart named-pkcs11
추가 리소스
- Ansible 플레이북을 사용하여 Identity Management 서버 설치를 참조하십시오.
- Ansible을 사용하여 IdM의 DNS 위치 관리를 참조하십시오.
-
/usr/share/doc/ansible-freeipa/
디렉토리의README-server.md
파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/server
디렉터리에서 샘플 플레이북을 참조하십시오.
17장. Ansible 플레이북을 사용하여 호스트 관리
Ansible은 시스템을 구성하고, 소프트웨어를 배포하고, 롤링 업데이트를 수행하는 데 사용되는 자동화 도구입니다. Ansible에는 IdM(Identity Management) 지원이 포함되어 있으며 Ansible 모듈을 사용하여 호스트 관리를 자동화할 수 있습니다.
Ansible 플레이북을 사용하여 호스트 및 호스트 항목을 관리할 때 다음 개념과 작업이 수행됩니다.
17.1. Ansible Playbook을 사용하여 FQDN과 함께 IdM 호스트 항목이 있는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)에 호스트 항목이 있는지 확인하려면 다음 절차를 따르십시오. 호스트 항목은 FQDN(정규화 된 도메인 이름
)으로만 정의합니다.
다음 조건 중 하나가 적용되는 경우 호스트의 FQDN
이름을 지정하는 것만으로 충분합니다.
- IdM 서버는 DNS를 관리하도록 구성되어 있지 않습니다.
-
호스트에 고정 IP 주소가 없거나 호스트가 구성된 시점에는 IP 주소를 알 수 없습니다.
FQDN
에서만 정의한 호스트를 추가하면 기본적으로 IdM DNS 서비스에 자리 표시자 항목이 생성됩니다. 예를 들어 랩탑은 IdM 클라이언트로 사전 구성될 수 있지만 구성 시 IP 주소는 없습니다. DNS 서비스에서 레코드를 동적으로 업데이트하면 호스트의 현재 IP 주소가 탐지되고 해당 DNS 레코드가 업데이트됩니다.
Ansible이 없으면 ipa host-add 명령을 사용하여 호스트
항목이 IdM에 생성됩니다. IdM에 호스트를 추가한 결과는 IdM에 있는 호스트의 상태입니다. Ansible은 멱등에 의존하므로 Ansible을 사용하여 IdM에 호스트를 추가하려면 호스트 상태를 present: state: present 로 정의하는 플레이북을 생성해야 합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
확인할 IdM에 있는 호스트의
FQDN
으로 Ansible 플레이북 파일을 생성합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/host/add-host.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Host present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Host host01.idm.example.com present ipahost: ipaadmin_password: "{{ ipaadmin_password }}" name: host01.idm.example.com state: present force: true
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-is-present.yml
이 절차에서는 IdM LDAP 서버에 호스트 항목이 생성되지만 호스트를 IdM Kerberos 영역에 등록하지 않습니다. 따라서 호스트를 IdM 클라이언트로 배포해야 합니다. 자세한 내용은 Ansible 플레이북을 사용하여 Identity Management 클라이언트 설치를 참조하십시오.
검증
IdM 서버에 admin으로 로그인합니다.
$ ssh admin@server.idm.example.com Password:
ipa host-show
명령을 입력하고 호스트 이름을 지정합니다.$ ipa host-show host01.idm.example.com Host name: host01.idm.example.com Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM Password: False Keytab: False Managed by: host01.idm.example.com
출력은 host01.idm.example.com 이 IdM에 있는지 확인합니다.
17.2. Ansible Playbook을 사용하여 DNS 정보가 포함된 IdM 호스트 항목이 있는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)에 호스트 항목이 있는지 확인하려면 다음 절차를 따르십시오. 호스트 항목은 FQDN(정규화 된 도메인 이름
) 및 해당 IP 주소로 정의합니다.
Ansible이 없으면 ipa host-add 명령을 사용하여 호스트
항목이 IdM에 생성됩니다. IdM에 호스트를 추가한 결과는 IdM에 있는 호스트의 상태입니다. Ansible은 멱등에 의존하므로 Ansible을 사용하여 IdM에 호스트를 추가하려면 호스트 상태를 present: state: present 로 정의하는 플레이북을 생성해야 합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
확인하고자 하는 IdM에 있는 호스트의
정규화된 도메인 이름
(FQDN)을 사용하여 Ansible 플레이북 파일을 생성합니다. 또한 IdM 서버가 DNS를 관리하고 호스트의 IP 주소를 알고 있는 경우ip_address
매개 변수의 값을 지정합니다. 호스트가 DNS 리소스 레코드에 있으려면 IP 주소가 필요합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/host/host-present.yml
파일에서 예제를 복사하고 수정할 수 있습니다. 다음과 같은 기타 추가 정보를 포함할 수도 있습니다.--- - name: Host present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure host01.idm.example.com is present ipahost: ipaadmin_password: "{{ ipaadmin_password }}" name: host01.idm.example.com description: Example host ip_address: 192.168.0.123 locality: Lab ns_host_location: Lab ns_os_version: CentOS 7 ns_hardware_platform: Lenovo T61 mac_address: - "08:00:27:E3:B1:2D" - "52:54:00:BD:97:1E" state: present
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-is-present.yml
이 절차에서는 IdM LDAP 서버에 호스트 항목이 생성되지만 호스트를 IdM Kerberos 영역에 등록하지 않습니다. 따라서 호스트를 IdM 클라이언트로 배포해야 합니다. 자세한 내용은 Ansible 플레이북을 사용하여 Identity Management 클라이언트 설치를 참조하십시오.
검증
IdM 서버에 admin으로 로그인합니다.
$ ssh admin@server.idm.example.com Password:
ipa host-show
명령을 입력하고 호스트 이름을 지정합니다.$ ipa host-show host01.idm.example.com Host name: host01.idm.example.com Description: Example host Locality: Lab Location: Lab Platform: Lenovo T61 Operating system: CentOS 7 Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM MAC address: 08:00:27:E3:B1:2D, 52:54:00:BD:97:1E Password: False Keytab: False Managed by: host01.idm.example.com
출력은 IdM에 host01.idm.example.com 이 있는지 확인합니다.
17.3. Ansible Playbook을 사용하여 임의의 암호와 함께 여러 IdM 호스트 항목이 있는지 확인
ipahost
모듈을 사용하면 시스템 관리자가 하나의 Ansible 작업만 사용하여 IdM에 여러 호스트 항목이 있는지 확인할 수 있습니다. FQDN( 정규화된 도메인 이름
)에서만 정의한 여러 호스트 항목이 있는지 확인하려면 다음 절차를 따르십시오. Ansible 플레이북을 실행하면 호스트에 대한 임의 암호가 생성됩니다.
Ansible이 없으면 ipa host-add 명령을 사용하여 호스트
항목이 IdM에 생성됩니다. IdM에 호스트를 추가한 결과는 IdM에 있는 호스트의 상태입니다. Ansible은 멱등에 의존하므로 Ansible을 사용하여 IdM에 호스트를 추가하려면 호스트 상태를 present: state: present 로 정의하는 플레이북을 생성해야 합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
확인하려는 IdM에 있는 호스트의
정규화된 도메인 이름
(FQDN)을 사용하여 Ansible 플레이북 파일을 생성합니다. 호스트가 IdM에 이미 존재하고update_password
가on_create
로 제한되는 경우에도 Ansible 플레이북에서 각 호스트에 대한 임의의 암호를 생성하려면random: true
및force: true
옵션을 추가합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/README-host.md Markdown 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Ensure hosts with random password hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Hosts host01.idm.example.com and host02.idm.example.com present with random passwords ipahost: ipaadmin_password: "{{ ipaadmin_password }}" hosts: - name: host01.idm.example.com random: true force: true - name: host02.idm.example.com random: true force: true register: ipahost
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-are-present.yml [...] TASK [Hosts host01.idm.example.com and host02.idm.example.com present with random passwords] changed: [r8server.idm.example.com] => {"changed": true, "host": {"host01.idm.example.com": {"randompassword": "0HoIRvjUdH0Ycbf6uYdWTxH"}, "host02.idm.example.com": {"randompassword": "5VdLgrf3wvojmACdHC3uA3s"}}}
임의의 일회성 암호(one-time passwords)를 사용하여 호스트를 IdM 클라이언트로 배포하려면 Ansible 플레이북 또는 회용 클라이언트를 한 번 사용하여 IdM 클라이언트 등록에 대한 권한 부여 옵션을 참조하십시오. 대화식 설치.
검증
IdM 서버에 admin으로 로그인합니다.
$ ssh admin@server.idm.example.com Password:
ipa host-show
명령을 입력하고 호스트 중 하나의 이름을 지정합니다.$ ipa host-show host01.idm.example.com Host name: host01.idm.example.com Password: True Keytab: False Managed by: host01.idm.example.com
출력은 임의의 암호가 있는 IdM에 host01.idm.example.com 이 있는지 확인합니다.
17.4. Ansible Playbook을 사용하여 여러 IP 주소가 있는 IdM 호스트 항목이 있는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)에 호스트 항목이 있는지 확인하려면 다음 절차를 따르십시오. 호스트 항목은 FQDN(정규화 된 도메인 이름
) 및 여러 IP 주소로 정의합니다.
ipa 호스트
유틸리티와 달리 Ansible ipahost
모듈은 호스트에 대해 여러 개의 IPv4 및 IPv6 주소가 있는지 확인할 수 있습니다. ipa host-mod
명령은 IP 주소를 처리할 수 없습니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
Ansible 플레이북 파일을 생성합니다. 확인하려는 IdM
에
있는 호스트의정규화된 도메인 이름
(FQDN)을ipahost
변수의 이름으로 지정합니다. ip_address 구문을 사용하여 별도의 행에서 여러 IPv4 및 IPv6ip_address
값을 각각 지정합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/host/host-member-ipaddresses-present.yml
파일에서 예제를 복사하고 수정할 수 있습니다. 다음과 같은 추가 정보를 포함할 수도 있습니다.--- - name: Host member IP addresses present hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure host101.example.com IP addresses present ipahost: ipaadmin_password: "{{ ipaadmin_password }}" name: host01.idm.example.com ip_address: - 192.168.0.123 - fe80::20c:29ff:fe02:a1b3 - 192.168.0.124 - fe80::20c:29ff:fe02:a1b4 force: true
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-with-multiple-IP-addreses-is-present.yml
이 절차에서는 IdM LDAP 서버에 호스트 항목을 생성하지만 호스트를 IdM Kerberos 영역에 등록하지 않습니다. 따라서 호스트를 IdM 클라이언트로 배포해야 합니다. 자세한 내용은 Ansible 플레이북을 사용하여 Identity Management 클라이언트 설치를 참조하십시오.
검증
IdM 서버에 admin으로 로그인합니다.
$ ssh admin@server.idm.example.com Password:
ipa host-show
명령을 입력하고 호스트 이름을 지정합니다.$ ipa host-show host01.idm.example.com Principal name: host/host01.idm.example.com@IDM.EXAMPLE.COM Principal alias: host/host01.idm.example.com@IDM.EXAMPLE.COM Password: False Keytab: False Managed by: host01.idm.example.com
출력은 host01.idm.example.com 이 IdM에 있는지 확인합니다.
호스트의 여러 IP 주소가 IdM DNS 레코드에 있는지 확인하려면
ipa dnsrecord-show
명령을 입력하고 다음 정보를 지정합니다.- IdM 도메인의 이름
호스트 이름
$ ipa dnsrecord-show idm.example.com host01 [...] Record name: host01 A record: 192.168.0.123, 192.168.0.124 AAAA record: fe80::20c:29ff:fe02:a1b3, fe80::20c:29ff:fe02:a1b4
출력은 플레이북에 지정된 모든 IPv4 및 IPv6 주소가 host 01.idm.example.com 호스트 항목과 올바르게 연결되어 있는지 확인합니다.
17.5. Ansible 플레이북을 사용하여 IdM 호스트 항목이 없는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)에 호스트 항목이 없는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 관리자 인증 정보
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
확인하려는 IdM에 없는 호스트의
정규화된 도메인 이름
(FQDN)을 사용하여 Ansible 플레이북 파일을 생성합니다. IdM 도메인에 통합 DNS가 있는 경우updatedns: true
옵션을 사용하여 DNS에서 호스트에 대한 모든 종류의 관련 레코드를 제거합니다.이 단계를 간소화하기 위해
/usr/share/doc/ansible-freeipa/playbooks/host/delete-host.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Host absent hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Host host01.idm.example.com absent ipahost: ipaadmin_password: "{{ ipaadmin_password }}" name: host01.idm.example.com updatedns: true state: absent
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-host-absent.yml
절차 결과는 다음과 같습니다.
- IdM Kerberos 영역에 존재하지 않는 호스트.
- 호스트 항목이 IdM LDAP 서버에 존재하지 않습니다.
클라이언트 호스트 자체에서 SSSD(System Security Services Daemon)와 같은 시스템 서비스의 특정 IdM 구성을 제거하려면 클라이언트에서 ipa-client-install --uninstall
명령을 실행해야 합니다. 자세한 내용은 IdM 클라이언트 설치 제거를 참조하십시오.
검증
admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
host01.idm.example.com 에 대한 정보를 표시 :
$ ipa host-show host01.idm.example.com ipa: ERROR: host01.idm.example.com: host not found
출력은 호스트가 IdM에 없는지 확인합니다.
17.6. 추가 리소스
-
/usr/share/doc/ansible-freeipa/README-host.md
Markdown 파일을 참조하십시오. -
/usr/share/doc/ansible-freeipa/playbooks/host
디렉터리에서 추가 플레이북을 참조하십시오.
18장. Ansible 플레이북을 사용하여 호스트 그룹 관리
IdM( Identity Management)의 호스트 그룹과 관련하여 Ansible을 사용하여 IdM(Identity Management)의 호스트 그룹과 관련된 작업을 수행하려면 다음을 참조하십시오.
18.1. IdM의 호스트 그룹
IdM 호스트 그룹은 중요한 관리 작업, 특히 액세스 제어에 대한 제어를 중앙 집중화하는 데 사용할 수 있습니다.
호스트 그룹의 정의
호스트 그룹은 공통 액세스 제어 규칙 및 기타 특성이 있는 IdM 호스트 집합이 포함된 엔터티입니다. 예를 들어 회사 부서, 물리적 위치 또는 액세스 제어 요구 사항을 기반으로 호스트 그룹을 정의할 수 있습니다.
IdM의 호스트 그룹에는 다음이 포함될 수 있습니다.
- IdM 서버 및 클라이언트
- 기타 IdM 호스트 그룹
기본적으로 생성된 호스트 그룹
기본적으로 IdM 서버는 모든 IdM 서버 호스트에 대한 호스트 그룹 ipaservers
를 생성합니다.
직접 및 간접 그룹 구성원
IdM의 그룹 속성은 직접 및 간접 구성원 모두에 적용됩니다. 호스트 그룹 B가 호스트 그룹 A의 구성원이면 호스트 그룹 B의 모든 구성원이 호스트 그룹 A의 간접 구성원으로 간주됩니다.
18.2. Ansible Playbook을 사용하여 IdM 호스트 그룹이 있는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)에 호스트 그룹이 있는지 확인하려면 다음 절차를 따르십시오.
Ansible이 없으면 ipa hostgroup-add 명령을 사용하여 호스트
그룹 항목이 IdM에 생성됩니다. IdM에 호스트 그룹을 추가한 결과는 IdM에 있는 호스트 그룹의 상태입니다. Ansible은 멱등에 의존하므로 Ansible을 사용하여 호스트 그룹을 IdM에 추가하려면 호스트 그룹의 상태를 present: state: present 로 정의하는 플레이북을 생성해야 합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
inventory
.file과 같은 인벤토리
파일을 생성하고 타겟 IdM 서버 목록으로ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 호스트 그룹 정보를 사용하여 Ansible 플레이북 파일을 생성합니다. 예를 들어 database라는 호스트 그룹이 있는지 확인하려면
- ipahostgroup
작업에name: database를
지정합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/user/ensure-hostgroup-is-present.yml
파일에서 예제를 복사하고 수정할 수 있습니다.--- - name: Playbook to handle hostgroups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure host-group databases is present - ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: databases state: present
플레이북에서 state: present 는 이미 존재하지 않는 한 IdM에 호스트 그룹을 추가하라는 요청을 나타냅니다.
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hostgroup-is-present.yml
검증
admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
관리자용 Kerberos 티켓을 요청합니다.
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
확인하고자 하는 IdM에 있는 호스트 그룹에 대한 정보를 표시합니다.
$ ipa hostgroup-show databases Host-group: databases
데이터베이스 호스트 그룹은 IdM에 있습니다.
18.3. Ansible Playbook을 사용하여 IdM 호스트 그룹에 호스트가 있는지 확인
Ansible 플레이북을 사용하여 IdM(Identity Management)의 호스트 그룹에 호스트가 있는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - Ansible 플레이북에서 참조할 호스트는 IdM에 있습니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 호스트 항목이 있는지 확인하십시오.
- Ansible 플레이북 파일에서 참조하는 호스트 그룹이 IdM에 추가되었습니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 호스트 그룹이 있는지 확인합니다.
절차
inventory
.file과 같은 인벤토리
파일을 생성하고 타겟 IdM 서버 목록으로ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 호스트 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
ipahostgroup
변수의name
매개 변수를 사용하여 호스트 그룹의 이름을 지정합니다.ipahostgroup
변수의host
매개 변수를 사용하여 호스트 이름을 지정합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-present-in-hostgroup.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Playbook to handle hostgroups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure host-group databases is present - ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: databases host: - db.idm.example.com action: member
이 플레이북은 db.idm.example.com 호스트를 databases 호스트 그룹에 추가합니다.
action: member
행은 플레이북이 실행될 때 데이터베이스 그룹 자체를 추가하기 위한 시도가 수행되지 않았음을 나타냅니다. 대신 db.idm.example.com 을 데이터베이스에 추가하려는 시도만 수행합니다.플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-present-in-hostgroup.yml
검증
admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
관리자용 Kerberos 티켓을 요청합니다.
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
호스트 그룹에 대한 정보를 표시하여 어떤 호스트가 있는지 확인합니다.
$ ipa hostgroup-show databases Host-group: databases Member hosts: db.idm.example.com
db.idm.example.com 호스트는 데이터베이스 호스트 그룹의 멤버로 있습니다.
18.4. Ansible 플레이북을 사용하여 IdM 호스트 그룹 중첩
Ansible 플레이북을 사용하여 IdM(Identity Management) 호스트 그룹에 중첩된 호스트 그룹이 있는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - Ansible 플레이북 파일에서 참조하는 호스트 그룹은 IdM에 있습니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 호스트 그룹이 있는지 확인합니다.
절차
inventory
.file과 같은 인벤토리
파일을 생성하고 타겟 IdM 서버 목록으로ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 호스트 그룹 정보를 사용하여 Ansible 플레이북 파일을 생성합니다. 중첩된 호스트 그룹 A 가 Ansible 플레이북의 호스트 그룹 B 에 있는지 확인하려면
- ipahostgroup
변수 중 name 변수를 사용하여 호스트 그룹 B 의이름을
지정합니다. hostgroup 변수를 사용하여 중첩 호스트
그룹의 이름을 지정합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-present-in-hostgroup.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Playbook to handle hostgroups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure hosts and hostgroups are present in existing databases hostgroup - ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: databases hostgroup: - mysql-server - oracle-server action: member
이 Ansible 플레이북은 databases 호스트 그룹에 myqsl-server 및 oracle-server 호스트 그룹이 있는지 확인합니다 .
action: member
행은 플레이북이 실행될 때 데이터베이스 그룹 자체를 IdM에 추가하기 위한 시도가 수행되지 않았음을 나타냅니다.플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-present-in-hostgroup.yml
검증
admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
관리자용 Kerberos 티켓을 요청합니다.
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
중첩 호스트 그룹이 있는 호스트 그룹에 대한 정보를 표시합니다.
$ ipa hostgroup-show databases Host-group: databases Member hosts: db.idm.example.com Member host-groups: mysql-server, oracle-server
mysql-server 및 oracle-server 호스트 그룹은 databases 호스트 그룹에 있습니다.
18.5. Ansible 플레이북을 사용하여 IDM 호스트 그룹에 멤버 관리자가 있는지 확인
다음 절차에서는 Ansible 플레이북을 사용하여 IdM 호스트 및 호스트 그룹에 구성원 관리자가 있는지 확인하는 방법을 설명합니다.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - 멤버 관리자로 추가하려는 호스트 또는 호스트 그룹의 이름과 관리할 호스트 그룹의 이름이 있어야 합니다.
절차
인벤토리 파일(예:
inventory.file
)을 생성하고 여기에ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 호스트 및 호스트 그룹 멤버 관리 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
--- - name: Playbook to handle host group membership management hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure member manager user example_member is present for group_name ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: group_name membermanager_user: example_member - name: Ensure member manager group project_admins is present for group_name ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: group_name membermanager_group: project_admins
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-host-groups.yml
검증
ipa group-show
명령을 사용하여 group_name 그룹에 example_member 및 project_admins 가 멤버 관리자로 포함되어 있는지 확인할 수 있습니다.
관리자로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
testhostgroup 에 대한 정보 표시 :
ipaserver]$ ipa hostgroup-show group_name Host-group: group_name Member hosts: server.idm.example.com Member host-groups: testhostgroup2 Membership managed by groups: project_admins Membership managed by users: example_member
추가 리소스
-
ipa hostgroup-add-member-manager --help를
참조하십시오. -
ipa
도움말 페이지를 참조하십시오.
18.6. Ansible 플레이북을 사용하여 IdM 호스트 그룹에서 호스트가 없는지 확인합니다.
Ansible 플레이북을 사용하여 IdM(Identity Management)의 호스트 그룹에서 호스트가 없는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
-
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다. - Ansible 플레이북에서 참조할 호스트는 IdM에 있습니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 호스트 항목이 있는지 확인하십시오.
- Ansible 플레이북 파일에서 참조하는 호스트 그룹은 IdM에 있습니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 호스트 그룹이 있는지 확인합니다.
절차
inventory
.file과 같은 인벤토리
파일을 생성하고 타겟 IdM 서버 목록으로ipaserver
를 정의합니다.[ipaserver] server.idm.example.com
필요한 호스트 및 호스트 그룹 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.
ipahostgroup
변수의name
매개 변수를 사용하여 호스트 그룹의 이름을 지정합니다.ipahostgroup
변수의 host 매개 변수를 사용하여 확인할호스트
그룹에 없는 호스트 이름을 지정합니다. 이 단계를 간소화하기 위해/usr/share/doc/ansible-freeipa/playbooks/hostgroup/ensure-hosts-and-hostgroups-are-absent-in-hostgroup.yml 파일에서 예제를 복사하고 수정할 수 있습니다.
--- - name: Playbook to handle hostgroups hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure host-group databases is absent - ipahostgroup: ipaadmin_password: "{{ ipaadmin_password }}" name: databases host: - db.idm.example.com action: member state: absent
이 플레이북은 databases 호스트 그룹에서 db.idm.example.com 호스트가 없는지 확인합니다. action: member 행은 플레이북이 실행될 때 데이터베이스 그룹 자체를 제거하기 위한 시도가 수행되지 않았음을 나타냅니다.
플레이북을 실행합니다.
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-hosts-or-hostgroups-are-absent-in-hostgroup.yml
검증
admin으로
ipaserver
에 로그인합니다.$ ssh admin@server.idm.example.com Password: [admin@server /]$
관리자용 Kerberos 티켓을 요청합니다.
$ kinit admin Password for admin@IDM.EXAMPLE.COM:
호스트 그룹 및 포함된 호스트에 대한 정보를 표시합니다.
$ ipa hostgroup-show databases Host-group: databases Member host-groups: mysql-server, oracle-server
db.idm.example.com 호스트가 databases 호스트 그룹에 존재하지 않습니다.
18.7. Ansible 플레이북을 사용하여 IdM 호스트 그룹에서 중첩된 호스트 그룹이 없는지 확인합니다.
Ansible 플레이북을 사용하여 IdM(Identity Management)의 외부 호스트 그룹에서 중첩된 호스트 그룹이 없는지 확인하려면 다음 절차를 따르십시오.
사전 요구 사항
- IdM 관리자 암호를 알고 있습니다.
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_pas