21.2. 使用 Ansible playbook 确保在 IdM 中存在 HBAC 规则

流程

1. 创建一个清单文件，如 inventory.file，并在该文件中定义 ipaserver ：

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. 创建 Ansible playbook 文件，该文件定义您要确保其存在的 HBAC 策略。要简化此步骤，您可以复制并修改 /usr/share/doc/ansible-freeipa/playbooks/hbacrule/ensure-hbacrule-allhosts-present.yml 文件中的示例：

   ---
   - name: Playbook to handle hbacrules
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     # Ensure idm_user can access client.idm.example.com via the sshd service
     - ipahbacrule:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: login
         user: idm_user
         host: client.idm.example.com
         hbacsvc:
         - sshd
         state: present

   Copy to Clipboard Toggle word wrap

3. 运行 playbook：

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-new-hbacrule-present.yml

   Copy to Clipboard Toggle word wrap

验证

1. 以管理员身份登录到 IdM Web UI。
2. 导航到 Policy Host-Based-Access-Control HBAC Test。
3. 在 Who 选项卡中，选择 idm_user。
4. 在 Accessing 选项卡中，选择 client.idm.example.com。
5. 在 Via service 选项卡中，选择 sshd。
6. 在 Rules 选项卡中，选择 login。
7. 在 Run test 选项卡中，单击 Run test 按钮。如果您看到 ACCESS GRANTED，则 HBAC 规则成功实现。