14.2. 使用 crypto_policies 系统角色设置自定义加密策略
您可以使用 crypto_policies
系统角色从单个控制节点配置大量的受管节点。
先决条件
-
访问一个或多个受管节点的权限,这是您要使用
crypto_policies
系统角色配置的系统。 对控制节点的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。
在控制节点上:
-
ansible-core
和rhel-system-roles
软件包已安装 。
-
RHEL 8.0-8.5 提供对基于 Ansible 的自动化需要 Ansible Engine 2.9 的独立 Ansible 存储库的访问权限。Ansible Engine 包含命令行实用程序,如 ansible
、ansible-playbook
、连接器(如 docker
和 podman
)以及许多插件和模块。有关如何获取并安装 Ansible Engine 的详情,请参考如何下载并安装 Red Hat Ansible Engine 知识库文章。
RHEL 8.6 和 9.0 引入了 Ansible Core(作为 ansible-core
软件包提供),其中包含 Ansible 命令行工具、命令以及小型内置 Ansible 插件。RHEL 通过 AppStream 软件仓库提供此软件包,它有一个有限的支持范围。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库文档中的 Ansible Core 软件包的支持范围。
- 列出受管节点的清单文件。
流程
使用以下内容创建一个新的
playbook.yml
文件:--- - hosts: all tasks: - name: Configure crypto policies include_role: name: rhel-system-roles.crypto_policies vars: - crypto_policies_policy: FUTURE - crypto_policies_reboot_ok: true
您可以将 FUTURE 值替换为您首选的加密策略,例如:
DEFAULT
、LEGACY
和FIPS:OSPP
.crypto_policies_reboot_ok: true
变量会导致系统在系统角色更改加密策略后重启系统。如需了解更多详细信息,请参阅 crypto_policies 系统角色变量和事实。
可选:验证 playbook 语法。
# ansible-playbook --syntax-check playbook.yml
在清单文件上运行 playbook:
# ansible-playbook -i inventory_file playbook.yml
验证
在控制节点上,创建另一个 playbook,例如,名为
verify_playbook.yml
:- hosts: all tasks: - name: Verify active crypto policy include_role: name: rhel-system-roles.crypto_policies - debug: var: crypto_policies_active
此 playbook 不更改系统上的任何配置,只报告受管节点上的活动策略。
运行同一个清单文件上的 playbook:
# ansible-playbook -i inventory_file verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
"crypto_policies_active":
变量显示受管节点上的活动策略。