主页
产品
Red Hat Enterprise Linux
10
使用 Ansible 在 RHEL 中安装和管理身份管理
14.4. 使用 Ansible 确保 IdM RBAC 特权不包括权限

14.4. 使用 Ansible 确保 IdM RBAC 特权不包括权限

作为身份管理系统管理员 (IdM)，您可以自定义 IdM 基于角色的访问控制。

以下流程描述了如何使用 Ansible playbook 从特权中删除权限。示例描述了如何从默认 Certificate Administrators 特权中删除 Request Certificates ignoring CA ACLs 权限，例如，管理员认为它存在安全风险。

先决条件

在控制节点上：
- 您在使用 Ansible 版本 2.15 或更高版本。
- 已安装 freeipa.ansible_freeipa 集合。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password，并且您可以访问存储了保护 secret.yml 文件的密码的文件。
目标节点（这是执行 freeipa.ansible_freeipa 模块的节点）是作为 IdM 客户端、服务器或副本的 IdM 域的一部分。

流程

进入 ~/MyPlaybooks/ 目录：
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

制作位于 /usr/share/ansible/collections/ansible_collections/ansible_freeipa/playbooks/privilege/ 目录中的 privilege -member-present.yml 文件的副本：

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

Copy to Clipboard

Toggle word wrap

打开 privilege-member-absent-copy.yml Ansible playbook 文件以进行编辑。

通过在 freeipa.ansible_freeipa.ipaprivilege 任务部分设置以下变量来调整文件：

调整任务的 name，使其与您的用例对应。
表示 ipaadmin_password 变量的值已在 secret.yml Ansible vault 文件中定义。
将 name 变量设置为特权的名称。
将 permission 列表设置为您要从特权中删除的权限名称。
确保 action 变量设置为 member。
确保 state 变量设置为 absent。

这是当前示例修改的 Ansible playbook 文件：

---
- name: Privilege absent example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
    freeipa.ansible_freeipa.ipaprivilege:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: Certificate Administrators
      permission:
      - "Request Certificate ignoring CA ACLs"
      action: member
      state: absent

---
- name: Privilege absent example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
    freeipa.ansible_freeipa.ipaprivilege:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: Certificate Administrators
      permission:
      - "Request Certificate ignoring CA ACLs"
      action: member
      state: absent

Copy to Clipboard

Toggle word wrap

保存该文件。

运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml

$ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml

Copy to Clipboard

Toggle word wrap

返回顶部

14.4. 使用 Ansible 确保 IdM RBAC 特权不包括权限

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links