主页
产品
Red Hat Enterprise Linux
8
配置和管理身份管理
36.10. 使用 Ansible 配置在 IdM 客户端上启用 SSH 密钥登录的 ID 视图

36.10. 使用 Ansible 配置在 IdM 客户端上启用 SSH 密钥登录的 ID 视图

完成此流程，以使用 idoverrideuser ansible-freeipa 模块，来确保 IdM 用户可以使用特定的 SSH 密钥登录到特定的 IdM 客户端。流程使用 ID 视图的示例，使名为 idm_user 的 IdM 用户使用 SSH 密钥登录到名为 host1.idm.example.com 的 IdM 客户端。

注意

此 ID 视图可用于增强特定的 HBAC 规则。

先决条件

在控制节点上：
- 您在使用 Ansible 版本 2.13 或更高版本。
- 您已安装了 ansible-freeipa 软件包。
- 您已在 ~/MyPlaybooks/ 目录中创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 您使用 RHEL 8.10 或更高版本。
- 您已将 ipaadmin_password 存储在 secret.yml Ansible vault 中。
您可以访问 idm_user 的 SSH 公钥。
idview_for_host1 ID 视图存在。
目标节点（这是执行 ansible-freeipa 模块的节点）是 IdM 域的一部分，来作为 IdM 客户端、服务器或副本。

流程

使用以下内容创建 Ansible playbook 文件 ensure-idoverrideuser-can-login-with-sshkey.yml ：

---
- name: Playbook to manage idoverrideuser
  hosts: ipaserver
  become: false
  gather_facts: false
  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml

  tasks:
  - name: Ensure test user idm_user is present in idview idview_for_host1 with sshpubkey
    ipaidoverrideuser:
      ipaadmin_password: ”{{ ipaadmin_password }}"
      idview: idview_for_host1
      anchor: idm_user
      sshpubkey:
      - ssh-rsa AAAAB3NzaC1yc2EAAADAQABAAABgQCqmVDpEX5gnSjKuv97Ay ...
  - name: Ensure idview_for_host1 is applied to host1.idm.example.com
    ipaidview:
      ipaadmin_password:  ”{{ ipaadmin_password }}"
      name: idview_for_host1
      host: host1.idm.example.com
      action: member

---
- name: Playbook to manage idoverrideuser
  hosts: ipaserver
  become: false
  gather_facts: false
  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml

  tasks:
  - name: Ensure test user idm_user is present in idview idview_for_host1 with sshpubkey
    ipaidoverrideuser:
      ipaadmin_password: ”{{ ipaadmin_password }}"
      idview: idview_for_host1
      anchor: idm_user
      sshpubkey:
      - ssh-rsa AAAAB3NzaC1yc2EAAADAQABAAABgQCqmVDpEX5gnSjKuv97Ay ...
  - name: Ensure idview_for_host1 is applied to host1.idm.example.com
    ipaidview:
      ipaadmin_password:  ”{{ ipaadmin_password }}"
      name: idview_for_host1
      host: host1.idm.example.com
      action: member

Copy to Clipboard

Toggle word wrap

运行 playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/ensure-idoverrideuser-can-login-with-sshkey.yml

$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/ensure-idoverrideuser-can-login-with-sshkey.yml

Copy to Clipboard

Toggle word wrap

可选：如果您有 root 凭证，您可以立即将新配置应用到 host1.idm.example.com 系统：
1. 以 root 身份 SSH 到系统：
  $ ssh root@host1 Password:
  Copy to Clipboard Toggle word wrap
2. 清除 SSSD 缓存：
  root@host1 ~]# sss_cache -E
  Copy to Clipboard Toggle word wrap
3. 重启 SSSD 守护进程：
  root@host1 ~]# systemctl restart sssd
  Copy to Clipboard Toggle word wrap

验证

使用公钥 SSH 到 host1：

ssh -i ~/.ssh/id_rsa.pub idm_user@host1.idm.example.com

[root@r8server ~]# ssh -i ~/.ssh/id_rsa.pub idm_user@host1.idm.example.com

Last login: Sun Jun 21 22:34:25 2023 from 192.168.122.229
[idm_user@host1 ~]$

Copy to Clipboard

Toggle word wrap

输出确认您已成功登录。

返回顶部

36.10. 使用 Ansible 配置在 IdM 客户端上启用 SSH 密钥登录的 ID 视图

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links