122.3. Ansible을 사용하여 스마트 카드로 인증된 사용자가 다시 인증할 필요 없이 원격 호스트에 SSH로 인증할 수 있도록 웹 콘솔을 구성합니다.

절차

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

   Copy to Clipboard Toggle word wrap

2. 다음 콘텐츠를 사용하여 web-console-smart-card-ssh.yml 플레이북을 생성합니다.

   1. 위임 대상을 확인하는 작업을 생성합니다.

      ---
      - name: Playbook to create a constrained delegation target
        hosts: ipaserver
      
        vars_files:
        - /home/user_name/MyPlaybooks/secret.yml
        tasks:
        - name: Ensure servicedelegationtarget web-console-delegation-target is present
          ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: web-console-delegation-target

      Copy to Clipboard Toggle word wrap

   2. 위임 대상에 대상 호스트를 추가하는 작업을 추가합니다.

        - name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present
          ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: web-console-delegation-target
            principal: host/remote.idm.example.com@IDM.EXAMPLE.COM
            action: member

      Copy to Clipboard Toggle word wrap

   3. 위임 규칙이 있는지 확인하는 작업을 추가합니다.

        - name: Ensure servicedelegationrule delegation-rule is present
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: web-console-delegation-rule

      Copy to Clipboard Toggle word wrap

   4. 웹 콘솔 클라이언트 서비스의 Kerberos 주체가 제한된 위임 규칙의 멤버인지 확인하는 작업을 추가합니다.

        - name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: web-console-delegation-rule
            principal: HTTP/myhost.idm.example.com
            action: member

      Copy to Clipboard Toggle word wrap

   5. 제한된 위임 규칙이 web-console-delegation-target 위임 대상과 연결되어 있는지 확인하는 작업을 추가합니다.

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: web-console-delegation-rule
            target: web-console-delegation-target
            action: member

      Copy to Clipboard Toggle word wrap
3. 파일을 저장합니다.

4. Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-ssh.yml

   Copy to Clipboard Toggle word wrap

5. remote.idm.example.com 에서 Kerberos 인증을 활성화합니다.

   1. SSH 는 root 로 remote.idm.example.com 에 로그인합니다.
   2. 편집할 /etc/ssh/sshd_config 파일을 엽니다.
   3. GSSAPIAuthentication no 행의 주석을 제거하고 GSSAPIAuthentication yes 로 교체하여 GSSAPIAuthentication을 활성화합니다.