主页
产品
Red Hat Enterprise Linux
9
安全强化
7.6. 使用 RHEL 系统角色部署 Keylime 服务器

7.6. 使用 RHEL 系统角色部署 Keylime 服务器

您可以使用 keylime_server RHEL 系统角色设置验证器和注册器，它们是 Keylime 服务器组件。keylime_server 角色在每个节点上安装和配置 verifier 和 registrar 组件。

在 Ansible 控制节点上执行此步骤。

有关 Keylime 的更多信息，请参阅 8.1。Keylime 是如何工作的。

前提条件

您已准备好控制节点和受管节点
以可在受管主机上运行 playbook 的用户登录到控制节点。
用于连接到受管节点的帐户具有 sudo 权限。
要在其上运行此 playbook 的受管节点或受管节点组列在 Ansible 清单文件中。

流程

创建定义所需角色的 playbook:

创建新 YAML 文件，并在文本编辑器中打开，例如：
```
vi keylime-playbook.yml
```
```
# vi keylime-playbook.yml
```
Copy to Clipboard Toggle word wrap

插入以下内容：

---
- name: Manage keylime servers
  hosts: all
  vars:
    keylime_server_verifier_ip: "{{ ansible_host }}"
    keylime_server_registrar_ip: "{{ ansible_host }}"
    keylime_server_verifier_tls_dir: <ver_tls_directory>
    keylime_server_verifier_server_cert: <ver_server_certfile>
    keylime_server_verifier_server_key: <ver_server_key>
    keylime_server_verifier_server_key_passphrase: <ver_server_key_passphrase>
    keylime_server_verifier_trusted_client_ca: <ver_trusted_client_ca_list>
    keylime_server_verifier_client_cert: <ver_client_certfile>
    keylime_server_verifier_client_key: <ver_client_key>
    keylime_server_verifier_client_key_passphrase: <ver_client_key_passphrase>
    keylime_server_verifier_trusted_server_ca: <ver_trusted_server_ca_list>
    keylime_server_registrar_tls_dir: <reg_tls_directory>
    keylime_server_registrar_server_cert: <reg_server_certfile>
    keylime_server_registrar_server_key: <reg_server_key>
    keylime_server_registrar_server_key_passphrase: <reg_server_key_passphrase>
    keylime_server_registrar_trusted_client_ca: <reg_trusted_client_ca_list>
  roles:
    - rhel-system-roles.keylime_server

---
- name: Manage keylime servers
  hosts: all
  vars:
    keylime_server_verifier_ip: "{{ ansible_host }}"
    keylime_server_registrar_ip: "{{ ansible_host }}"
    keylime_server_verifier_tls_dir: <ver_tls_directory>
    keylime_server_verifier_server_cert: <ver_server_certfile>
    keylime_server_verifier_server_key: <ver_server_key>
    keylime_server_verifier_server_key_passphrase: <ver_server_key_passphrase>
    keylime_server_verifier_trusted_client_ca: <ver_trusted_client_ca_list>
    keylime_server_verifier_client_cert: <ver_client_certfile>
    keylime_server_verifier_client_key: <ver_client_key>
    keylime_server_verifier_client_key_passphrase: <ver_client_key_passphrase>
    keylime_server_verifier_trusted_server_ca: <ver_trusted_server_ca_list>
    keylime_server_registrar_tls_dir: <reg_tls_directory>
    keylime_server_registrar_server_cert: <reg_server_certfile>
    keylime_server_registrar_server_key: <reg_server_key>
    keylime_server_registrar_server_key_passphrase: <reg_server_key_passphrase>
    keylime_server_registrar_trusted_client_ca: <reg_trusted_client_ca_list>
  roles:
    - rhel-system-roles.keylime_server

Copy to Clipboard

Toggle word wrap

您可以在 keylime_server RHEL 系统角色的变量中找到更多有关变量的信息。

运行 playbook：

ansible-playbook <keylime-playbook.yml>

$ ansible-playbook <keylime-playbook.yml>

Copy to Clipboard

Toggle word wrap

验证

检查 keylime_verifier 服务是否活跃并在受管主机上运行：

systemctl status keylime_verifier

# systemctl status keylime_verifier
● keylime_verifier.service - The Keylime verifier
     Loaded: loaded (/usr/lib/systemd/system/keylime_verifier.service; disabled; vendor preset: disabled)
     Active: active (running) since Wed 2022-11-09 10:10:08 EST; 1min 45s ago

Copy to Clipboard

Toggle word wrap

检查 keylime_registrar 服务是否活跃且在运行：

systemctl status keylime_registrar

# systemctl status keylime_registrar
● keylime_registrar.service - The Keylime registrar service
     Loaded: loaded (/usr/lib/systemd/system/keylime_registrar.service; disabled; vendor preset: disabled)
     Active: active (running) since Wed 2022-11-09 10:10:17 EST; 1min 42s ago
...

Copy to Clipboard

Toggle word wrap

后续步骤

第 7.8 节 “从软件包部署 Keylime 租户”

返回顶部

7.6. 使用 RHEL 系统角色部署 Keylime 服务器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links