Início
Produtos
Red Hat Enterprise Linux
8
Configuração e gerenciamento da Gestão de Identidade
37.2. Assegurar a presença de uma regra HBAC na IdM usando um livro de jogo possível

37.2. Assegurar a presença de uma regra HBAC na IdM usando um livro de jogo possível

Esta seção descreve como garantir a presença de uma regra de controle de acesso baseada em host (HBAC) na Gestão de Identidade (IdM) usando um livro de exercícios possível.

Pré-requisitos

O pacote ansible-freeipa é instalado no controlador Ansible.
Você sabe a senha do administrador da IdM.
Os usuários e grupos de usuários que você deseja usar para sua regra HBAC existem na IdM. Consulte Gerenciando contas de usuários usando Livros de Jogadas Ansíveis e Garantindo a presença de grupos e membros de grupos IdM usando Livros de Jogadas Ansíveis para maiores detalhes.
Os anfitriões e grupos anfitriões para os quais você deseja aplicar sua regra HBAC existem na IdM. Veja Gerenciamento de anfitriões usando Livros didáticos Ansíveis e Gerenciamento de grupos anfitriões usando Livros didáticos Ansíveis para maiores detalhes.

Procedimento

Criar um arquivo de inventário, por exemplo inventory.file, e definir ipaserver no mesmo:
```
[ipaserver]
server.idm.example.com
```
```
[ipaserver]
server.idm.example.com
```
Copy to Clipboard Toggle word wrap

Crie seu arquivo de Livro de Jogadas Possível que define a política do HBAC cuja presença você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo /usr/share/doc/ansible-freeipa/playbooks/hbacrule/ensure-hbacrule-allhosts-present.yml:

---
- name: Playbook to handle hbacrules
  hosts: ipaserver
  become: true

  tasks:
  # Ensure idm_user can access client.idm.example.com via the sshd service
  - ipahbacrule:
      ipaadmin_password: MySecret123
      name: login
      user: idm_user
      host: client.idm.example.com
      hbacsvc:
      - sshd
      state: present

---
- name: Playbook to handle hbacrules
  hosts: ipaserver
  become: true

  tasks:
  # Ensure idm_user can access client.idm.example.com via the sshd service
  - ipahbacrule:
      ipaadmin_password: MySecret123
      name: login
      user: idm_user
      host: client.idm.example.com
      hbacsvc:
      - sshd
      state: present

Copy to Clipboard

Toggle word wrap

Execute o livro de brincadeiras:

ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml

$ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml

Copy to Clipboard

Toggle word wrap

Etapas de verificação

Entrar na IDM Web UI como administrador.
Navegue para Policy Host-Based-Access-Control HBAC Test.
Na aba Who, selecione idm_user.
Na guia Accessing, selecione client.idm.example.com.
Na guia Via service, selecione sshd.
Na aba Rules, selecione login.
Na aba Run test, clique no botão Run test. Se você vir ACESSO CONCEDIDO, a regra HBAC é implementada com sucesso.

Recursos adicionais

Para mais detalhes e exemplos sobre a configuração de serviços HBAC, grupos de serviços e regras usando Ansible, veja os arquivos README-hbacsvc.md, README-hbacsvcgroup.md e README-hbacrule.md Markdown. Estes arquivos estão disponíveis no diretório /usr/share/doc/ansible-freeipa. Veja também os playbooks disponíveis nos subdiretórios relevantes do diretório /usr/share/doc/ansible-freeipa/playbooks.

Voltar ao topo

37.2. Assegurar a presença de uma regra HBAC na IdM usando um livro de jogo possível

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Tornando o open source mais inclusivo

Sobre a Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links