37.3. 使用 Ansible 配置 Web 控制台，允许用户使用智能卡进行身份验证的用户运行 sudo，而无需再次进行身份验证

流程

1. 在 Ansible 控制节点上，导航到 ~/MyPlaybooks/ 目录：

   $ cd ~/MyPlaybooks/

   Copy to Clipboard

2. 使用以下内容创建 web-console-smart-card-sudo.yml playbook：

   1. 创建确保存在委派目标的任务：

      ---
      - name: Playbook to create a constrained delegation target
        hosts: ipaserver
      
        vars_files:
        - /home/user_name/MyPlaybooks/secret.yml
        tasks:
        - name: Ensure servicedelegationtarget named sudo-web-console-delegation-target is present
          freeipa.ansible_freeipa.ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-target

      Copy to Clipboard

   2. 添加将目标主机添加到委派目标的任务：

        - name: Ensure that a member principal named host/myhost.idm.example.com@IDM.EXAMPLE.COM is present in a service delegation target named sudo-web-console-delegation-target
          freeipa.ansible_freeipa.ipaservicedelegationtarget:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-target
            principal: host/myhost.idm.example.com@IDM.EXAMPLE.COM
            action: member

      Copy to Clipboard

   3. 添加一个任务来确保存在委派规则：

        - name: Ensure servicedelegationrule named sudo-web-console-delegation-rule is present
          freeipa.ansible_freeipa.ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule

      Copy to Clipboard

   4. 添加一个任务，确保 Web 控制台服务的 Kerberos 主体是约束委派规则的一个成员：

        - name: Ensure the Kerberos principal of the web console service is added to the service delegation rule named sudo-web-console-delegation-rule
          freeipa.ansible_freeipa.ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule
            principal: HTTP/myhost.idm.example.com
            action: member

      Copy to Clipboard

   5. 添加一个任务，确保约束委派规则与 sudo-web-console-delegation-target 委派目标关联：

        - name: Ensure a constrained delegation rule is associated with a specific delegation target
          freeipa.ansible_freeipa.ipaservicedelegationrule:
            ipaadmin_password: "{{ ipaadmin_password }}"
            name: sudo-web-console-delegation-rule
            target: sudo-web-console-delegation-target
            action: member

      Copy to Clipboard
3. 保存该文件。

4. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

   $ ansible-playbook --vault-password-file=password_file -v -i inventory web-console-smart-card-sudo.yml

   Copy to Clipboard

5. 启用 pam_sss_gss，用来通过通用安全服务应用程序接口(GSSAPI)与系统安全服务守护进程(SSSD)合作来验证用户的 PAM 模块：

   1. 打开 /etc/sssd/sssd.conf 文件进行编辑。

   2. 指定 pam_sss_gss 可以为 IdM 域中的 sudo 和 sudo -i 命令提供身份验证：

      [domain/idm.example.com]
      pam_gssapi_services = sudo, sudo-i

      Copy to Clipboard
   3. 保存并退出文件。
   4. 打开 /etc/pam.d/sudo 文件进行编辑。

   5. 将以下行插入到 #%PAM-1.0 列表的顶部以允许但不要求 sudo 命令的 GSSAPI 身份验证：

      auth sufficient pam_sss_gss.so

      Copy to Clipboard
   6. 保存并退出文件。

6. 重启 SSSD 服务，以便上述更改立即生效：

   $ systemctl restart sssd

   Copy to Clipboard