主页
产品
Red Hat Enterprise Linux
8
配置和管理身份管理
第 32 章使用 Ansible playbook 在 IdM 中管理 RBAC 权限

第 32 章使用 Ansible playbook 在 IdM 中管理 RBAC 权限

基于角色的访问控制 (RBAC) 是一种基于角色、特权和权限定义的策略中立访问控制机制。尤其是在大型公司，使用 RBAC 可以帮助创建具有各个职责领域的管理员分层系统。

了解在使用 Ansible playbook 在身份管理(IdM)中管理 RBAC 权限时您可以执行的操作：

先决条件

您已了解 RBAC 的概念和原则。

32.1. 使用 Ansible 确保存在 RBAC 权限
复制链接

作为身份管理系统管理员 (IdM)，您可以自定义 IdM 基于角色的访问控制 (RBAC)。

以下流程描述了如何使用 Ansible playbook 确保 IdM 中存在权限，以便它可以添加到特权中。这个示例描述了如何确保以下目标状态：

MyPermission 权限存在。
MyPermission 权限只能应用到主机。
授予了包含权限的用户可以对条目执行以下所有可能的操作：
- 写
- 读
- 搜索
- 比较
- 添加
- 删除

先决条件

在控制节点上：
- 您使用 Ansible 版本 2.13 或更高版本。
- 您已安装 ansible-freeipa 软件包。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible 库存储了 ipaadmin_password。
目标节点（这是执行 ansible-freeipa 模块的节点）是 IdM 域的一部分，作为 IdM 客户端、服务器或副本的一部分。

流程

进入 ~/MyPlaybooks/ 目录：
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

制作位于 /usr/share/doc/ansible-freeipa/playbooks/permission/ 目录中的 permission-present.yml 文件的副本：

cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml

$ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml

Copy to Clipboard

Toggle word wrap

打开 permission-present-copy.yml Ansible playbook 文件进行编辑。

通过在 ipapermission 任务部分中设置以下变量来调整文件：

调整任务的 name，使其与您的用例对应。
将 ipaadmin_password 变量设置为 IdM 管理员的密码。
将 name 变量设置为权限的名称。
将 object_type 变量设置为 host。
将 right 变量设置为 all。

这是当前示例修改的 Ansible playbook 文件：

---
- name: Permission present example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "MyPermission" permission is present
    ipapermission:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: MyPermission
      object_type: host
      right: all

---
- name: Permission present example
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure that the "MyPermission" permission is present
    ipapermission:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: MyPermission
      object_type: host
      right: all

Copy to Clipboard

Toggle word wrap

保存该文件。

运行 Ansible playbook。指定 playbook 文件、存储密码的文件保护 secret.yml 文件以及清单文件：

ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-copy.yml

$ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-copy.yml

Copy to Clipboard

Toggle word wrap

返回顶部

第 32 章使用 Ansible playbook 在 IdM 中管理 RBAC 权限

32.1. 使用 Ansible 确保存在 RBAC 权限
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 32 章 使用 Ansible playbook 在 IdM 中管理 RBAC 权限

32.1. 使用 Ansible 确保存在 RBAC 权限复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 32 章使用 Ansible playbook 在 IdM 中管理 RBAC 权限

32.1. 使用 Ansible 确保存在 RBAC 权限
复制链接