26.7. 使用 Ansible playbook 来允许 IdM 用户、组、主机或主机组检索服务的 keytab

流程

1. 创建一个清单文件，如 inventory.file ：

   $ touch inventory.file

   Copy to Clipboard Toggle word wrap

2. 打开 inventory.file，并在 [ipaserver] 部分中定义您要配置的 IdM 服务器。例如，要指示 Ansible 配置 server.idm.example.com，请输入：

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

3. 生成 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml Ansible playbook 文件的一个副本。例如：

   $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml

   Copy to Clipboard Toggle word wrap
4. 打开复制的文件 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml 进行编辑：

5. 修改文件：

   • 将 ipaadmin_password 变量设置为 IdM 管理员密码。
   • 将 ipaservice 任务的 name 变量设为 HTTP 服务的主体。在当前示例中，它是 HTTP/client.idm.example.com
   • 在 allow_retrieve_keytab_group: 部分中指定 IdM 用户的名称。在当前示例中，它是 user01。
   • 在 allow_retrieve_keytab_group: 部分中指定 IdM 用户组的名称。
   • 在 allow_retrieve_keytab_group: 部分中指定 IdM 主机的名称。
   • 在 allow_retrieve_keytab_group: 部分中指定 IdM 主机组的名称。

   • 使用 tasks 部分中的 name 变量指定任务的名称。

     在对当前示例修改后，复制的文件类似如下：

   ---
   - name: Service member allow_retrieve_keytab present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Service HTTP/client.idm.example.com members allow_retrieve_keytab present for user01
       ipaservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: HTTP/client.idm.example.com
         allow_retrieve_keytab_user:
         - user01
         action: member

   Copy to Clipboard Toggle word wrap
6. 保存该文件。

7. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_retrieve_keytab-present-copy.yml

   Copy to Clipboard Toggle word wrap

验证

1. 以具有特权的 IdM 用户的身份 SSH 到 IdM 服务器来检索 HTTP 服务的 keytab:

   $ ssh user01@server.idm.example.com
   Password:

   Copy to Clipboard Toggle word wrap

2. 使用带有 -r 选项的 ipa-getkeytab 命令来检索 keytab：

   $ ipa-getkeytab -r -s server.idm.example.com -p HTTP/client.idm.example.com -k /etc/httpd/conf/krb5.keytab

   Copy to Clipboard Toggle word wrap

   -s 选项指定您要从中检索 keytab 的密钥分发中心(KDC)服务器。

   -p 选项指定您要检索其 keytab 的主体。

   -k 选项指定您要附加给其检索到的密钥的 keytab 文件。如果文件不存在，则会创建此文件。