10.5. Ansible을 사용하여 IdM 사용자 및 그룹에 CloudEvent가 있는지 확인
IdM(Identity Management) 서버는 로컬 도메인의 ID 범위에 있는 데이터에 따라 내부적으로 IdM(보안 식별자)을 IdM 사용자 및 그룹에 할당할 수 있습니다. STS는 사용자 및 그룹 개체에 저장됩니다.
IdM 사용자 및 그룹에LoadBalancer가 포함되도록 하는 목표는 IdM-IdM 신뢰를 위한 첫 번째 단계인 PAM(Privileged Attribute Certificate) 생성을 허용하는 것입니다. IdM 사용자 및 그룹에 CloudEvents가 있는 경우 IdM은 PAC 데이터로 Kerberos 티켓을 발행할 수 있습니다.
다음 목표를 달성하려면 다음 절차를 따르십시오.
- 기존 IdM 사용자 및 사용자 그룹에 대한 dotnets를 생성합니다.
- IdM의 새 사용자 및 그룹을 위한 skopeo 생성을 활성화합니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
ansible-freeipa
패키지가 설치됩니다.
가정
- 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하고 자격 증명 모음 파일 암호를 알고 있다고 가정합니다.
절차
~/MyPlaybooks/ 디렉터리로 이동합니다.
$ cd ~/MyPlaybooks/
- sids-for-users-and-groups-present.yml Ansible 플레이북 파일을 생성합니다.
파일에 다음 내용을 추가합니다.
--- - name: Playbook to ensure SIDs are enabled and users and groups have SIDs hosts: ipaserver become: no gather_facts: no vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Enable SID and generate users and groups SIDS ipaconfig: ipaadmin_password: "{{ ipaadmin_password }}" enable_sid: true add_sids: true
enable_sid
변수를 사용하면 향후 IdM 사용자 및 그룹에 대해 CloudEvent 생성을 활성화합니다.add_sids
변수는 기존 IdM 사용자 및 그룹에 대한 dotnets를 생성합니다.참고add_sids: true
를 사용하는 경우enable_sid
변수를true
로 설정해야 합니다.- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml
메시지가 표시되면 자격 증명 모음 파일 암호를 입력합니다.
추가 리소스