36.10. 使用 Ansible 配置在 IdM 客户端上启用 SSH 密钥登录的 ID 视图
完成此流程,以使用 idoverrideuser
ansible-freeipa
模块来确保 IdM 用户可以使用特定的 SSH 密钥登录到特定的 IdM 客户端。该流程使用 ID 视图的示例,它可让名为 idm_user 的 IdM 用户使用 SSH 密钥登录到名为 host1.idm.example.com 的 IdM 客户端。
此 ID 视图可用于增强特定的 HBAC 规则。
先决条件
在控制节点上:
- 您使用 Ansible 版本 2.14 或更高版本。
-
您已安装
ansible-freeipa
软件包。 - 您已在 ~/MyPlaybooks/ 目录中创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 您使用 RHEL 8.10 或更高版本。
-
您已将
ipaadmin_password
存储在 secret.yml Ansible vault 中。
- 您可以访问 idm_user的 SSH 公钥。
- idview_for_host1 ID 视图存在。
-
目标节点(这是执行
ansible-freeipa
模块的节点)是 IdM 域的一部分,作为 IdM 客户端、服务器或副本的一部分。
步骤
使用以下内容创建 Ansible playbook 文件 ensure-idoverrideuser-can-login-with-sshkey.yml :
--- - name: Playbook to manage idoverrideuser hosts: ipaserver become: false gather_facts: false vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: Ensure test user idm_user is present in idview idview_for_host1 with sshpubkey ipaidoverrideuser: ipaadmin_password: ”{{ ipaadmin_password }}" idview: idview_for_host1 anchor: idm_user sshpubkey: - ssh-rsa AAAAB3NzaC1yc2EAAADAQABAAABgQCqmVDpEX5gnSjKuv97Ay ... - name: Ensure idview_for_host1 is applied to host1.idm.example.com ipaidview: ipaadmin_password: ”{{ ipaadmin_password }}" name: idview_for_host1 host: host1.idm.example.com action: member
运行 playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:
$ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/ensure-idoverrideuser-can-login-with-sshkey.yml
[可选] 如果您有
root
凭证,您可以立即将新配置应用到 host1.idm.example.com 系统:以
root
身份通过 SSH 连接到系统:$ ssh root@host1 Password:
清除 SSSD 缓存:
root@host1 ~]# sss_cache -E
重启 SSSD 守护进程:
root@host1 ~]# systemctl restart sssd
验证
使用
SSH
到 host1 的公钥:[root@r8server ~]# ssh -i ~/.ssh/id_rsa.pub idm_user@host1.idm.example.com Last login: Sun Jun 21 22:34:25 2023 from 192.168.122.229 [idm_user@host1 ~]$
输出确认您已成功登录。
其他资源
-
ansible-freeipa
上游文档中的 idoverrideuser 模块