搜索

26.6. 使用 Ansible playbook 来允许 IdM 用户、组、主机或主机组创建服务的 keytab

download PDF

keytab 是一个包含 Kerberos 主体和加密密钥对的文件。keytab 文件通常用于允许脚本使用 Kerberos 自动进行身份验证,而无需人工交互或访问存储在纯文本文件中的密码。然后,脚本可以使用获取的凭据来访问存储在远程系统上的文件。

作为身份管理(IdM)管理员,您可以允许其他用户为 IdM 中运行的服务检索甚至创建 keytab。通过允许特定用户和用户组创建 keytab,您可以将服务管理委派给他们,而无需共享 IdM 管理员密码。此委派提供了更加精细的系统管理。

按照以下流程,允许特定的 IdM 用户、用户组、主机和主机组为运行在 IdM 客户端上的 HTTP 服务创建 keytab。具体来说,它描述了如何允许 user01 IdM 用户为运行在名为 client.idm.example.com 的 IdM 客户端上的 HTTP 服务创建 keytab。

先决条件

  • 您知道 IdM 管理员密码。
  • 您已配置了 Ansible 控制节点以满足以下要求:

    • 您使用 Ansible 版本 2.14 或更高版本。
    • 您已在 Ansible 控制器上安装了 ansible-freeipa 软件包。
    • 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件
    • 示例假定 secret.yml Ansible vault 存储了 ipaadmin_password
  • 目标节点(这是执行 ansible-freeipa 模块的节点)是 IdM 域的一部分,作为 IdM 客户端、服务器或副本的一部分。
  • 已将 HTTP 服务注册到 IdM。
  • 承载 HTTP 服务的系统是一个 IdM 客户端。
  • 您要允许创建 keytab 的 IdM 用户和用户组已在 IdM 中存在。
  • 您要允许创建 keytab 的 IdM 主机和主机组已在 IdM 中存在。

流程

  1. 创建一个清单文件,如 inventory.file

    $ touch inventory.file
  2. 打开 inventory.file,并在 [ipaserver] 部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:

    [ipaserver]
    server.idm.example.com
  3. 生成 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_create_keytab-present.yml Ansible playbook 文件的一个副本。例如:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_create_keytab-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_create_keytab-present-copy.yml
  4. 打开 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_create_keytab-present-copy.yml Ansible playbook 文件进行编辑。
  5. 通过更改以下内容来调整文件:

    • ipaadmin_password 变量指定的 IdM 管理员密码。
    • 在其上运行 HTTP 服务的 IdM 客户端的名称。在当前示例中,它是 HTTP/client.idm.example.com
    • allow_create_keytab_user: 部分中列出了 IdM 用户的名称。在当前示例中,它是 user01
    • allow_create_keytab_group: 部分中列出的 IdM 用户组的名称。
    • allow_create_keytab_host: 部分中列出的 IdM 主机的名称。
    • allow_create_keytab_hostgroup: 部分中列出的 IdM 主机组的名称。
    • tasks 部分中 name 变量指定的任务的名称。

      在对当前示例修改后,复制的文件类似如下:

    ---
    - name: Service member allow_create_keytab present
      hosts: ipaserver
    
      vars_files:
      - /home/user_name/MyPlaybooks/secret.yml
      tasks:
      - name: Service HTTP/client.idm.example.com members allow_create_keytab present for user01
        ipaservice:
          ipaadmin_password: "{{ ipaadmin_password }}"
          name: HTTP/client.idm.example.com
          allow_create_keytab_user:
          - user01
          action: member
  6. 保存该文件。
  7. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:

    $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-allow_create_keytab-present-copy.yml

验证

  1. 以 IdM 用户的身份 SSH 到 IdM 服务器,该用户具有为特定 HTTP 服务创建 keytab 的权限:

    $ ssh user01@server.idm.example.com
    Password:
  2. 使用 ipa-getkeytab 命令为 HTTP 服务生成新的 keytab:

    $ ipa-getkeytab -s server.idm.example.com -p HTTP/client.idm.example.com -k /etc/httpd/conf/krb5.keytab

    s 选项指定密钥分发中心(KDC)服务器来生成 keytab 。

    p 选项指定您要创建的 keytab 的主体。

    k 选项指定要附加新密钥的 keytab 文件。如果文件不存在,则会创建此文件。

如果命令不产生错误,则您以 user01 的身份成功创建了 HTTP/client.idm.example.com 的 keytab。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.