Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

27.7. 使用 Ansible playbook 来允许 IdM 用户、组、主机或主机组检索服务的 keytab

keytab 是一个包含 Kerberos 主体和加密密钥对的文件。keytab 文件通常用于允许脚本使用 Kerberos 自动进行身份验证,无需人工交互或访问存储在纯文本文件中的密码。然后,脚本可以使用获取的凭据来访问存储在远程系统上的文件。

作为 IdM 管理员,您可以允许其他用户为 IdM 中运行的服务检索甚至创建 keytab。

按照以下流程,允许特定的 IdM 用户、用户组、主机和主机组为在 IdM 客户端上运行的 HTTP 服务检索 keytab。具体来说,它描述了如何允许 user01 IdM 用户检索 client.idm.example.com 上运行的 HTTP 服务的 keytab。

先决条件

  • 在控制节点上:

    • 您在使用 Ansible 版本 2.15 或更高版本。
    • 已安装 freeipa.ansible_freeipa 集合。
    • 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件
    • 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password,并且您可以访问存储了保护 secret.yml 文件的密码的文件。
  • 目标节点(这是执行 freeipa.ansible_freeipa 模块的节点)是作为 IdM 客户端、服务器或副本的 IdM 域的一部分。
  • 您已在 IdM 中注册了 HTTP 服务。
  • IdM 中已存在您要允许检索 keytab 的 IdM 用户和用户组。

流程

  1. 进入 ~/MyPlaybooks/ 目录: 

    $ cd ~/MyPlaybooks/
    Copy to Clipboard Toggle word wrap

  2. 从相关集合目录中生成 service-member-allow_retrieve_keytab-present.yml Ansible playbook 文件的副本。例如: 

    $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml service-member-allow_retrieve_keytab-present-copy.yml
    Copy to Clipboard Toggle word wrap
  3. 打开复制的文件 service-member-allow_retrieve_keytab-present-copy.yml 进行编辑:

  4. 调整文件:

    • 表示 ipaadmin_password 变量的值已在 secret.yml Ansible vault 文件中定义。
    • freeipa.ansible_freeipa.ipaservice 任务的 name 变量设置为 HTTP 服务的主体。在当前示例中,它是 HTTP/client.idm.example.com
    • allow_retrieve_keytab_group: 部分中指定 IdM 用户的名称。在当前示例中,是 user01
    • allow_retrieve_keytab_group: 部分中指定 IdM 用户组的名称。
    • allow_retrieve_keytab_group: 部分中指定 IdM 主机的名称。
    • allow_retrieve_keytab_group: 部分中指定 IdM 主机组的名称。

    • 使用 tasks 部分中的 name 变量指定 任务的名称。

      在适应当前示例后,复制的文件类似如下: 

    ---
- name: Service member allow_retrieve_keytab present
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Service HTTP/client.idm.example.com members allow_retrieve_keytab present for user01
    freeipa.ansible_freeipa.ipaservice:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: HTTP/client.idm.example.com
      allow_retrieve_keytab_user:
      - user01
      action: member
    Copy to Clipboard Toggle word wrap
  5. 保存该文件。

  6. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件: 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory service-member-allow_retrieve_keytab-present-copy.yml
    Copy to Clipboard Toggle word wrap

验证

  1. 以 IdM 用户身份 SSH 到 IdM 服务器,并具有权限检索 HTTP 服务的 keytab: 

    $ ssh user01@server.idm.example.com
Password:
    Copy to Clipboard Toggle word wrap

  2. 使用 ipa-getkeytab 命令和 -r 选项来检索 keytab: 

    $ ipa-getkeytab -r -s server.idm.example.com -p HTTP/client.idm.example.com -k /etc/httpd/conf/krb5.keytab
    Copy to Clipboard Toggle word wrap

    s 选项指定 您要从中检索 keytab 的密钥分发中心(KDC)服务器。

    p 选项指定 您要检索的 keytab 主体。

    k 选项指定 您要将检索到的密钥附加到的 keytab 文件。如果文件不存在,则会创建此文件。

如果命令不产生错误,您以 user01 身份成功检索了 HTTP/client.idm.example.com 的 keytab。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat