37.2. Assegurar a presença de uma regra HBAC na IdM usando um livro de jogo possível
Esta seção descreve como garantir a presença de uma regra de controle de acesso baseada em host (HBAC) na Gestão de Identidade (IdM) usando um livro de exercícios possível.
Pré-requisitos
- O pacote ansible-freeipa é instalado no controlador Ansible.
- Você sabe a senha do administrador da IdM.
- Os usuários e grupos de usuários que você deseja usar para sua regra HBAC existem na IdM. Consulte Gerenciando contas de usuários usando Livros de Jogadas Ansíveis e Garantindo a presença de grupos e membros de grupos IdM usando Livros de Jogadas Ansíveis para maiores detalhes.
- Os anfitriões e grupos anfitriões para os quais você deseja aplicar sua regra HBAC existem na IdM. Veja Gerenciamento de anfitriões usando Livros didáticos Ansíveis e Gerenciamento de grupos anfitriões usando Livros didáticos Ansíveis para maiores detalhes.
Procedimento
Criar um arquivo de inventário, por exemplo
inventory.file
, e definiripaserver
no mesmo:[ipaserver] server.idm.example.com
Crie seu arquivo de Livro de Jogadas Possível que define a política do HBAC cuja presença você quer garantir. Para simplificar esta etapa, você pode copiar e modificar o exemplo no arquivo
/usr/share/doc/ansible-freeipa/playbooks/hbacrule/ensure-hbacrule-allhosts-present.yml
:--- - name: Playbook to handle hbacrules hosts: ipaserver become: true tasks: # Ensure idm_user can access client.idm.example.com via the sshd service - ipahbacrule: ipaadmin_password: MySecret123 name: login user: idm_user host: client.idm.example.com hbacsvc: - sshd state: present
Execute o livro de brincadeiras:
$ ansible-playbook -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml
Etapas de verificação
- Entrar na IDM Web UI como administrador.
-
Navegue para Policy
Host-Based-Access-Control HBAC Test. - Na aba Who, selecione idm_user.
- Na guia Accessing, selecione client.idm.example.com.
- Na guia Via service, selecione sshd.
- Na aba Rules, selecione login.
- Na aba Run test, clique no botão Run test. Se você vir ACESSO CONCEDIDO, a regra HBAC é implementada com sucesso.
Recursos adicionais
-
Para mais detalhes e exemplos sobre a configuração de serviços HBAC, grupos de serviços e regras usando Ansible, veja os arquivos README-hbacsvc.md, README-hbacsvcgroup.md e README-hbacrule.md Markdown. Estes arquivos estão disponíveis no diretório
/usr/share/doc/ansible-freeipa
. Veja também os playbooks disponíveis nos subdiretórios relevantes do diretório/usr/share/doc/ansible-freeipa/playbooks
.