35.10. Ansible을 사용하여 IdM 클라이언트에서 SSH 키 로그인을 활성화하는 ID 뷰 구성


idoverrideuser ansible-freeipa 모듈을 사용하여 IdM 사용자가 특정 SSH 키를 사용하여 특정 IdM 클라이언트에 로그인할 수 있는지 확인하려면 다음 절차를 완료합니다. 이 절차에서는 idm_user 라는 IdM 사용자가 SSH 키를 사용하여 host1.idm.example.com 이라는 IdM 클라이언트에 로그인할 수 있는 ID 보기 예제를 사용합니다.

참고

이 ID 보기를 사용하여 특정 HBAC 규칙을 강화할 수 있습니다.

사전 요구 사항

  • 제어 노드에서 다음을 수행합니다.

    • Ansible 버전 2.14 이상을 사용하고 있습니다.
    • ansible-freeipa 패키지가 설치되어 있습니다.
    • ~/MyPlaybook/ 디렉터리에 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했습니다.
    • RHEL 8.10 이상을 사용하고 있습니다.
    • ipaadmin_passwordsecret.yml Ansible 자격 증명에 저장했습니다.
  • idm_user의 SSH 공개 키에 액세스할 수 있습니다.
  • idview_for_host1 ID 뷰가 있습니다.
  • ansible-freeipa 모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.

절차

  1. 다음 콘텐츠를 사용하여 Ansible 플레이북 파일 ensure-idoverrideuser-can-login-with-sshkey.yml 을 생성합니다.

    ---
    - name: Playbook to manage idoverrideuser
      hosts: ipaserver
      become: false
      gather_facts: false
      vars_files:
      - /home/user_name/MyPlaybooks/secret.yml
    
      tasks:
      - name: Ensure test user idm_user is present in idview idview_for_host1 with sshpubkey
        ipaidoverrideuser:
          ipaadmin_password: ”{{ ipaadmin_password }}"
          idview: idview_for_host1
          anchor: idm_user
          sshpubkey:
          - ssh-rsa AAAAB3NzaC1yc2EAAADAQABAAABgQCqmVDpEX5gnSjKuv97Ay ...
      - name: Ensure idview_for_host1 is applied to host1.idm.example.com
        ipaidview:
          ipaadmin_password:  ”{{ ipaadmin_password }}"
          name: idview_for_host1
          host: host1.idm.example.com
          action: member
  2. 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.

    $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/ensure-idoverrideuser-can-login-with-sshkey.yml
  3. [선택 사항] 루트 인증 정보가 있는 경우 새 구성을 host1.idm.example.com 시스템에 즉시 적용할 수 있습니다.

    1. root 로 시스템에 SSH를 실행하십시오.

      $ ssh root@host1
      Password:
    2. SSSD 캐시를 지웁니다.

      root@host1 ~]# sss_cache -E
    3. SSSD 데몬을 다시 시작합니다.

      root@host1 ~]# systemctl restart sssd

검증

  • 공개 키를 사용하여 host1SSH 를 사용하십시오.

    [root@r8server ~]# ssh -i ~/.ssh/id_rsa.pub idm_user@host1.idm.example.com
    
    Last login: Sun Jun 21 22:34:25 2023 from 192.168.122.229
    [idm_user@host1 ~]$

출력은 사용자가 성공적으로 로그인했음을 확인합니다.

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.