57.7. Assegurar a presença de um Kerberos principal alias de um serviço usando um livro de jogo possível
Em alguns cenários, é benéfico para o administrador da IdM permitir que usuários, hosts ou serviços da IdM se autentiquem contra as aplicações Kerberos usando um pseudônimo principal Kerberos. Estes cenários incluem:
- O nome do usuário mudou, mas o usuário deve ser capaz de entrar no sistema usando tanto o nome do usuário anterior quanto o do novo usuário.
- O usuário precisa entrar usando o endereço de e-mail, mesmo que o domínio da IdM Kerberos seja diferente do domínio de e-mail.
Esta seção descreve como criar o principal alias de HTTP/mycompany.idm.example.com para o serviço HTTP em execução no site client.idm.example.com.
Pré-requisitos
- Você sabe a senha do administrador da IdM.
- Você instalou o pacote ansible-freeipa no controlador Ansible.
- Você instalou um serviço HTTP em seu host.
- Você cadastrou o serviço HTTP para a IdM.
- O host no qual você configurou o HTTP é um cliente IdM.
Procedimento
Criar um arquivo de inventário, por exemplo
inventory.file
:$ touch inventory.file
Abra o
inventory.file
e defina o servidor IdM que você deseja configurar na seção[ipaserver]
. Por exemplo, para instruir o Ansible a configurar server.idm.example.com, entre:[ipaserver] server.idm.example.com
Faça uma cópia do arquivo do livro de jogo
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml
. Por exemplo:$ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
-
Abrir o arquivo
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
Um possível arquivo de playbook para edição. Adapte o arquivo alterando o seguinte:
-
A senha do administrador da IdM especificada pela variável
ipaadmin_password
. -
O nome do serviço especificado pela variável
name
. Este é o nome principal canônico do serviço. No exemplo atual, é HTTP/client.idm.example.com. -
O Kerberos principal alias especificado pela variável
principal
. Este é o pseudônimo que você deseja adicionar ao serviço definido pela variávelname
. No exemplo atual, é host/mycompany.idm.example.com. O nome da tarefa especificada pela variável
name
na seçãotasks
.Depois de ser adaptado para o exemplo atual, o arquivo copiado tem este aspecto:
--- - name: Service member principal present hosts: ipaserver become: true tasks: - name: Service HTTP/client.idm.example.com member principals host/mycompany.idm.exmaple.com present ipaservice: ipaadmin_password: Secret123 name: HTTP/client.idm.example.com principal: - host/mycompany.idm.example.com action: member
-
A senha do administrador da IdM especificada pela variável
- Salvar o arquivo.
Execute a Pasta de reprodução possível especificando o arquivo da Pasta de reprodução e o arquivo do inventário:
$ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-principal-present-copy.yml
Se a execução do playbook resultar em 0 tarefas inalcançáveis e 0 falhas, você criou com sucesso o host/mycompany.idm.example.com Kerberos principal para o serviço HTTP/client.idm.example.com.
Recursos adicionais
- Para mais informações sobre os pseudônimos principais do Kerberos e sua administração sem Ansible, veja Managing Kerberos principal aliases for users, hosts, and services.