Capítulo 54. Usando Ansible to manage IdM user vaults: armazenando e recuperando segredos
Este capítulo descreve como gerenciar os cofres dos usuários em Gerenciamento de Identidade usando o módulo vault
. Especificamente, ele descreve como um usuário pode usar os livros de exercícios Ansible para realizar as três seguintes ações consecutivas:
O usuário pode fazer o armazenamento e a recuperação a partir de dois clientes diferentes da IdM.
Pré-requisitos
- O componente do Sistema de Certificado da Key Recovery Authority (KRA) foi instalado em um ou mais servidores em seu domínio IdM. Para detalhes, consulte Instalando a Autoridade de Recuperação de Chaves no IdM.
54.1. Garantindo a presença de um cofre de usuário padrão na IdM usando Ansible
Esta seção mostra como um usuário de Gerenciamento de Identidade (IdM) pode usar um Livro de Jogadas Ansioso para criar um container com um ou mais cofres privados para armazenar informações sensíveis com segurança. No exemplo utilizado no procedimento abaixo, o usuário idm_user cria um cofre do tipo padrão chamado my_vault. O tipo de cofre padrão garante que idm_user não será necessário autenticar ao acessar o arquivo. idm_user será capaz de recuperar o arquivo de qualquer cliente IdM no qual o usuário esteja logado.
Pré-requisitos
- Você instalou o pacote ansible-freeipa no controlador Ansible, ou seja, o host no qual você executa as etapas do procedimento.
- Você sabe a senha do site idm_user.
Procedimento
Navegue até o diretório
/usr/share/doc/ansible-freeipa/playbooks/vault
:$ cd /usr/share/doc/ansible-freeipa/playbooks/vault
Criar um arquivo de inventário, por exemplo inventory.file:
$ touch inventory.file
Abra inventory.file e defina o servidor IdM que você deseja configurar na seção
[ipaserver]
. Por exemplo, para instruir a Ansible a configurar server.idm.example.com, entre:[ipaserver] server.idm.example.com
Faça uma cópia do arquivo do livro de jogo ensure-standard-vault-is-present.yml. Por exemplo:
$ cp ensure-standard-vault-is-present.yml ensure-standard-vault-is-present-copy.yml
- Abra o arquivo ensure-standard-vault-is-present-copy.yml para edição.
Adapte o arquivo definindo as seguintes variáveis na seção de tarefas
ipavault
:-
Defina a variável
ipaadmin_principal
para idm_user. -
Defina a variável
ipaadmin_password
com a senha de idm_user. -
Defina a variável
user
para idm_user. -
Defina a variável
name
para my_vault. Defina a variável
vault_type
para standard.Este é o arquivo Ansible playbook modificado para o exemplo atual:
--- - name: Tests hosts: ipaserver become: true gather_facts: false tasks: - ipavault: ipaadmin_principal: idm_user ipaadmin_password: idm_user_password user: idm_user name: my_vault vault_type: standard
-
Defina a variável
- Salvar o arquivo.
Execute o livro de brincadeiras:
$ ansible-playbook -v -i inventory.file ensure-standard-vault-is-present-copy.yml