36.5. Ansible을 사용하여 스마트 카드로 인증된 사용자가 다시 인증하지 않고 sudo를 실행할 수 있도록 웹 콘솔을 구성

절차

1. Ansible 제어 노드에서 ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

   Copy to Clipboard

2. 다음 콘텐츠를 사용하여 web-console-smart-card-sudo.yml 플레이북을 생성합니다.

   1. 위임 대상의 존재를 확인하는 작업을 생성합니다.

      ---
      - name: Playbook to create a constrained delegation target
        hosts: ipaserver
      
        vars_files:
        - /home/user_name/MyPlaybooks/secret.yml
        tasks:
        - name: Ensure servicedelegationtarget named sudo-web-console-delegation-target is present
          ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-target

      Copy to Clipboard

   2. 위임 대상에 대상 호스트를 추가하는 작업을 추가합니다.

        - name: Ensure that a member principal named host/myhost.idm.example.com@IDM.EXAMPLE.COM is present in a service delegation target named sudo-web-console-delegation-target
          ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-target
            principal: host/myhost.idm.example.com@IDM.EXAMPLE.COM
            action: member

      Copy to Clipboard

   3. 위임 규칙이 있는지 확인하는 작업을 추가합니다.

        - name: Ensure servicedelegationrule named sudo-web-console-delegation-rule is present
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule

      Copy to Clipboard

   4. 웹 콘솔 서비스의 Kerberos 주체가 제한된 위임 규칙의 멤버인지 확인하는 작업을 추가합니다.

        - name: Ensure the Kerberos principal of the web console service is added to the service delegation rule named sudo-web-console-delegation-rule
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule
            principal: HTTP/myhost.idm.example.com
            action: member

      Copy to Clipboard

   5. 제한된 위임 규칙이 sudo-web-console-delegation-target 위임 대상과 연결되어 있는지 확인하는 작업을 추가합니다.

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
          ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule
            target: sudo-web-console-delegation-target
            action: member

      Copy to Clipboard
3. 파일을 저장합니다.

4. Ansible 플레이북을 실행합니다. 플레이북 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-sudo.yml

   Copy to Clipboard

5. SSSD(System Security Services Daemon)와 협력하여 GSSAPI(Generic Security Service Application Program Interface)를 통해 사용자를 인증하는 PAM 모듈인 pam_sss_gs 를 활성화합니다.

   1. 편집할 /etc/sssd/sssd.conf 파일을 엽니다.

   2. pam_sss_gss 가 도메인에서 IdM에서 sudo 및 sudo -i 명령에 대한 인증을 제공할 수 있도록 지정합니다.

      [domain/idm.example.com]
      pam_gssapi_services = sudo, sudo-i

      Copy to Clipboard
   3. 파일을 저장하고 종료합니다.
   4. 편집을 위해 /etc/pam.d/sudo 파일을 엽니다.

   5. sudo 명령에 GSSAPI 인증을 허용하도록 #%PAM-1.0 목록 상단에 다음 행을 삽입합니다.

      auth sufficient pam_sss_gss.so

      Copy to Clipboard
   6. 파일을 저장하고 종료합니다.

6. 위의 변경 사항이 즉시 적용되도록 SSSD 서비스를 다시 시작하십시오.

   $ systemctl restart sssd

   Copy to Clipboard