Utiliser Ansible pour installer et gérer la gestion des identités

1. Si votre système fonctionne sous RHEL 8.5 ou une version antérieure, activez le dépôt requis :

   # subscription-manager repos --enable ansible-2.8-for-rhel-8-x86_64-rpms

2. Si votre système fonctionne sous RHEL 8.5 ou une version antérieure, installez le paquetage ansible:

   # dnf install ansible

3. Installez le paquetage ansible-freeipa:

   # dnf install ansible-freeipa

   Les rôles et les modules sont installés dans les répertoires /usr/share/ansible/roles/ et /usr/share/ansible/plugins/modules.

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.

3. Spécifiez que vous voulez utiliser le DNS intégré en ajoutant l'option suivante :

   ipaserver_setup_dns=yes

4. Spécifiez les paramètres de transfert DNS. Choisissez l'une des options suivantes :

   • Utilisez l'option ipaserver_auto_forwarders=yes si vous souhaitez que le programme d'installation utilise les redirections du fichier /etc/resolv.conf. N'utilisez pas cette option si le serveur de noms spécifié dans le fichier /etc/resolv.conf est l'adresse localhost 127.0.0.1 ou si vous êtes sur un réseau privé virtuel et que les serveurs DNS que vous utilisez sont normalement inaccessibles depuis l'internet public.
   • Utilisez l'option ipaserver_forwarders pour spécifier manuellement vos transitaires. Le processus d'installation ajoute les adresses IP des transitaires au fichier /etc/named.conf du serveur IdM installé.

   • L'option ipaserver_no_forwarders=yes permet de configurer les serveurs DNS racine à utiliser à la place.

     Note

     En l'absence de transitaires DNS, votre environnement est isolé et les noms des autres domaines DNS de votre infrastructure ne sont pas résolus.

5. Spécifiez les paramètres de l'enregistrement inverse et de la zone DNS. Choisissez parmi les options suivantes :

   • Utilisez l'option ipaserver_allow_zone_overlap=yes pour autoriser la création d'une zone (inverse) même si la zone est déjà résoluble.
   • Utilisez l'option ipaserver_reverse_zones pour spécifier manuellement vos zones inversées.

   • Utilisez l'option ipaserver_no_reverse=yes si vous ne souhaitez pas que le programme d'installation crée une zone DNS inversée.

     Note

     L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

6. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

7. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire stockés dans un fichier Ansible Vault

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire à partir d'un fichier d'inventaire

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.
3. Assurez-vous que l'option ipaserver_setup_dns est définie sur no ou qu'elle est absente.
4. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

5. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire stockés dans un fichier Ansible Vault

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   Exemple de playbook pour configurer un serveur IdM en utilisant les mots de passe de l'administrateur et du gestionnaire d'annuaire à partir d'un fichier d'inventaire

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Exécutez la commande ansible-playbook avec le nom du fichier playbook, par exemple install-server.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/install-server.yml

   Spécifiez le niveau de verbosité en utilisant l'option -v, -vv, ou -vvv.

   Vous pouvez visualiser la sortie du script Ansible playbook sur l'interface de ligne de commande (CLI). La sortie suivante montre que le script s'est exécuté avec succès puisque 0 tâche a échoué :

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. Choisissez l'une des options suivantes :

   • Si votre déploiement IdM utilise un DNS externe : ajoutez les enregistrements de ressources DNS contenus dans le fichier /tmp/ipa.system.records.UFRPto.db aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

   • Si votre déploiement IdM utilise le DNS intégré :

     • Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

       Important

       Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

     • Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.

3. Spécifiez que vous voulez utiliser le DNS intégré en ajoutant l'option suivante :

   ipaserver_setup_dns=yes

4. Spécifiez les paramètres de transfert DNS. Choisissez l'une des options suivantes :

   • Utilisez l'option ipaserver_auto_forwarders=yes si vous souhaitez que le processus d'installation utilise les redirections du fichier /etc/resolv.conf. Cette option n'est pas recommandée si le serveur de noms spécifié dans le fichier /etc/resolv.conf est l'adresse localhost 127.0.0.1 ou si vous êtes sur un réseau privé virtuel et que les serveurs DNS que vous utilisez sont normalement inaccessibles depuis l'internet public.
   • Utilisez l'option ipaserver_forwarders pour spécifier manuellement vos transitaires. Le processus d'installation ajoute les adresses IP des transitaires au fichier /etc/named.conf du serveur IdM installé.

   • L'option ipaserver_no_forwarders=yes permet de configurer les serveurs DNS racine à utiliser à la place.

     Note

     En l'absence de transitaires DNS, votre environnement est isolé et les noms des autres domaines DNS de votre infrastructure ne sont pas résolus.

5. Spécifiez les paramètres de l'enregistrement inverse et de la zone DNS. Choisissez parmi les options suivantes :

   • Utilisez l'option ipaserver_allow_zone_overlap=yes pour autoriser la création d'une zone (inverse) même si la zone est déjà résoluble.
   • Utilisez l'option ipaserver_reverse_zones pour spécifier manuellement vos zones inversées.

   • Utilisez l'option ipaserver_no_reverse=yes si vous ne souhaitez pas que le processus d'installation crée une zone DNS inversée.

     Note

     L'utilisation d'IdM pour gérer les zones inversées est facultative. Vous pouvez utiliser un service DNS externe à cette fin.

6. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

7. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoute ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

8. Créez un playbook pour la première étape de l'installation. Saisissez les instructions pour générer la demande de signature de certificat (CSR) et la copier du contrôleur vers le nœud géré.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

9. Créez un autre playbook pour la dernière étape de l'installation.

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.
3. Assurez-vous que l'option ipaserver_setup_dns est définie sur no ou qu'elle est absente.
4. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

5. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

6. Créez un playbook pour la première étape de l'installation. Saisissez les instructions pour générer la demande de signature de certificat (CSR) et la copier du contrôleur vers le nœud géré.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

7. Créez un autre playbook pour la dernière étape de l'installation.

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

Procédure

1. Exécutez la commande ansible-playbook avec le nom du fichier playbook qui contient les instructions pour la première étape de l'installation, par exemple install-server-step1.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step1.yml

   Spécifiez le niveau de verbosité en utilisant l'option -v, -vv ou -vvv.

   Vous pouvez visualiser la sortie du script Ansible playbook sur l'interface de ligne de commande (CLI). La sortie suivante montre que le script s'est exécuté avec succès puisque 0 tâche a échoué :

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. Localisez le fichier de demande de signature de certificat ipa.csr sur le contrôleur et soumettez-le à l'autorité de certification externe.
3. Placez le certificat de l'autorité de certification IdM signé par l'autorité de certification externe dans le système de fichiers du contrôleur de manière à ce que le manuel de jeu de l'étape suivante puisse le trouver.

4. Exécutez la commande ansible-playbook avec le nom du fichier playbook qui contient les instructions pour la dernière étape de l'installation, par exemple install-server-step2.yml. Spécifiez le fichier d'inventaire avec l'option -i:

   $ ansible-playbook -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step2.yml

5. Choisissez l'une des options suivantes :

   • Si votre déploiement IdM utilise un DNS externe : ajoutez les enregistrements de ressources DNS contenus dans le fichier /tmp/ipa.system.records.UFRPto.db aux serveurs DNS externes existants. Le processus de mise à jour des enregistrements DNS varie en fonction de la solution DNS utilisée.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   Important

   L'installation du serveur n'est pas terminée tant que vous n'avez pas ajouté les enregistrements DNS aux serveurs DNS existants.

   • Si votre déploiement IdM utilise le DNS intégré :

     • Ajouter la délégation DNS du domaine parent au domaine DNS IdM. Par exemple, si le domaine DNS IdM est idm.example.comajoutez un enregistrement de serveur de noms (NS) au domaine parent example.com.

       Important

       Répétez cette étape chaque fois qu'un serveur DNS IdM est installé.

     • Ajoutez un enregistrement de service _ntp._udp (SRV) pour votre serveur de temps à votre DNS IdM. La présence de l'enregistrement SRV pour le serveur de temps du serveur IdM nouvellement installé dans le DNS IdM garantit que les futures installations de répliques et de clients sont automatiquement configurées pour se synchroniser avec le serveur de temps utilisé par ce serveur IdM primaire.

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) des hôtes qui deviendront des répliques IdM. Les FQDN doivent être des noms DNS valides :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.

   • Le nom d'hôte doit être en minuscules.

     Exemple d'un fichier hosts d'inventaire simple avec seulement le FQDN des répliques défini

     [ipareplicas]
     replica1.idm.example.com
     replica2.idm.example.com
     replica3.idm.example.com
     [...]

     Si le serveur IdM est déjà déployé et que les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises.

2. [Facultatif] Fournissez des informations supplémentaires dans le fichier d'inventaire en fonction de la façon dont vous avez conçu votre topologie :

   Scénario 1

   Si vous souhaitez éviter l'autodécouverte et que toutes les répliques répertoriées dans la section [ipareplicas] utilisent un serveur IdM spécifique, définissez le serveur dans la section [ipaservers] du fichier d'inventaire.

   Exemple de fichier hosts d'inventaire avec le FQDN du serveur IdM et les répliques définies

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]

   Scénario 2

   Par ailleurs, si vous souhaitez éviter la découverte automatique mais déployer des répliques spécifiques avec des serveurs spécifiques, définissez les serveurs pour des répliques spécifiques individuellement dans la section [ipareplicas] du fichier d'inventaire.

   Exemple de fichier d'inventaire avec un serveur IdM spécifique défini pour une réplique spécifique

   [ipaservers]
   server.idm.example.com
   replica1.idm.example.com
   
   [ipareplicas]
   replica2.idm.example.com
   replica3.idm.example.com ipareplica_servers=replica1.idm.example.com

   Dans l'exemple ci-dessus, replica3.idm.example.com utilise le site replica1.idm.example.com déjà déployé comme source de réplication.

   Scénario 3

   Si vous déployez plusieurs répliques en un seul lot et que le temps vous est compté, le déploiement de répliques à plusieurs niveaux peut vous être utile. Définissez des groupes spécifiques de répliques dans le fichier d'inventaire, par exemple [ipareplicas_tier1] et [ipareplicas_tier2], et concevez des séquences distinctes pour chaque groupe dans le livre de séquences install-replica.yml.

   Exemple de fichier d'inventaire avec des niveaux de répliques définis

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas_tier1]
   replica1.idm.example.com
   
   [ipareplicas_tier2]
   replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com

   La première entrée de ipareplica_servers sera utilisée. La deuxième entrée sera utilisée comme option de repli. Lorsque vous utilisez plusieurs niveaux pour déployer les répliques IdM, vous devez avoir des tâches séparées dans le playbook pour déployer d'abord les répliques du niveau 1 et ensuite les répliques du niveau 2 :

   Exemple d'un fichier playbook avec des jeux différents pour des groupes de répliques différents

   ---
   - name: Playbook to configure IPA replicas (tier1)
     hosts: ipareplicas_tier1
     become: true
   
     roles:
     - role: ipareplica
       state: present
   
   - name: Playbook to configure IPA replicas (tier2)
     hosts: ipareplicas_tier2
     become: true
   
     roles:
     - role: ipareplica
       state: present

3. [Facultatif] Fournir des informations supplémentaires concernant firewalld et DNS :

   Scénario 1

   Si vous souhaitez que le réplica utilise une zone firewalld spécifique au lieu de la zone par défaut, vous pouvez la spécifier dans le fichier d'inventaire. Cela peut être utile, par exemple, lorsque vous souhaitez utiliser une zone firewalld interne pour votre installation IdM au lieu d'une zone publique définie par défaut.

   Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple d'un fichier hosts d'inventaire simple avec une zone firewalld personnalisée

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_firewalld_zone=custom zone

   Scénario 2

   Si vous souhaitez que le réplica héberge le service DNS IdM, ajoutez la ligne ipareplica_setup_dns=yes à la section [ipareplicas:vars]. En outre, indiquez si vous souhaitez utiliser des redirections DNS par serveur :

   • Pour configurer les transferts par serveur, ajoutez la variable ipareplica_forwarders et une liste de chaînes à la section [ipareplicas:vars], par exemple : ipareplica_forwarders=192.0.2.1,192.0.2.2
   • Pour ne pas configurer de forwarders par serveur, ajoutez la ligne suivante à la section [ipareplicas:vars]: ipareplica_no_forwarders=yes.
   • Pour configurer les transitaires par serveur en fonction des transitaires répertoriés dans le fichier /etc/resolv.conf du réplica, ajoutez la variable ipareplica_auto_forwarders à la section [ipareplicas:vars].

   Exemple de fichier d'inventaire avec des instructions pour configurer le DNS et les forwarders par serveur sur les répliques

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_setup_dns=yes
   ipareplica_forwarders=192.0.2.1,192.0.2.2

   Scénario 3

   Spécifiez le résolveur DNS à l'aide des options ipaclient_configure_dns_resolve et ipaclient_dns_servers (le cas échéant) pour simplifier les déploiements de clusters. Ceci est particulièrement utile si votre déploiement IdM utilise un DNS intégré :

   Un extrait de fichier d'inventaire spécifiant un résolveur DNS :

   [...]
   [ipaclient:vars]
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Note

   La liste ipaclient_dns_servers ne doit contenir que des adresses IP. Les noms d'hôtes ne sont pas autorisés.

Procédure

1. Spécifiez le password of a user authorized to deploy replicas, par exemple l'IdM admin.

   • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier playbook, par exemple install-replica.yml:

     Exemple de fichier playbook utilisant le principal d'un fichier d'inventaire et le mot de passe d'un fichier Ansible Vault

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
       vars_files:
       - playbook_sensitive_data.yml
     
       roles:
       - role: ipareplica
         state: present

     Pour plus de détails sur l'utilisation d'Ansible Vault, voir la documentation officielle d'Ansible Vault.

   • De manière moins sûre, fournissez les informations d'identification de admin directement dans le fichier d'inventaire. Utilisez l'option ipaadmin_password dans la section [ipareplicas:vars] du fichier d'inventaire. Le fichier d'inventaire et le fichier playbook install-replica.yml peuvent alors se présenter comme suit :

     Exemple de fichier hosts.replica de l'inventaire

     [...]
     [ipareplicas:vars]
     ipaadmin_password=Secret123

     Exemple de playbook utilisant le principal et le mot de passe du fichier d'inventaire

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

   • Une autre solution, moins sûre, consiste à fournir les informations d'identification d'un autre utilisateur autorisé à déployer une réplique directement dans le fichier d'inventaire. Pour spécifier un autre utilisateur autorisé, utilisez l'option ipaadmin_principal pour le nom d'utilisateur et l'option ipaadmin_password pour le mot de passe. Le fichier d'inventaire et le fichier playbook install-replica.yml peuvent alors se présenter comme suit :

     Exemple de fichier hosts.replica de l'inventaire

     [...]
     [ipareplicas:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=my_admin_secret123

     Exemple de playbook utilisant le principal et le mot de passe du fichier d'inventaire

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

Procédure

1. Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.

   Si les enregistrements SRV sont correctement définis dans la zone DNS IdM, le script découvre automatiquement toutes les autres valeurs requises.

   Exemple d'un fichier d'inventaire simple avec seulement le FQDN du client défini

   [ipaclients]
   client.idm.example.com
   [...]

2. Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :

   • Le site password of a user authorized to enroll clients est l'option par défaut.

     • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de faire référence au fichier Vault à partir du fichier playbook, par exemple install-client.yml, directement :

       Exemple de fichier playbook utilisant le principal d'un fichier d'inventaire et le mot de passe d'un fichier Ansible Vault

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

     • De manière moins sûre, fournissez les informations d'identification de admin en utilisant l'option ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts. Pour spécifier un autre utilisateur autorisé, utilisez l'option ipaadmin_principal pour le nom d'utilisateur et l'option ipaadmin_password pour le mot de passe. Le fichier d'inventaire inventory/hosts et le fichier playbook install-client.yml peuvent alors se présenter comme suit :

       Exemple de fichier d'inventaire des hôtes

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Exemple de Playbook utilisant le principal et le mot de passe du fichier d'inventaire

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

   • Le site client keytab de l'inscription précédente, s'il est encore disponible.

     Cette option est disponible si le système a été précédemment enregistré en tant que client de gestion d'identité. Pour utiliser cette méthode d'authentification, décommentez l'option #ipaclient_keytab, en spécifiant le chemin d'accès au fichier stockant le keytab, par exemple dans la section [ipaclient:vars] de inventory/hosts.

   • Un random, one-time password (OTP) à générer lors de l'inscription. Pour utiliser cette méthode d'authentification, utilisez l'option ipaclient_use_otp=yes dans votre fichier d'inventaire. Par exemple, vous pouvez décommenter l'option ipaclient_use_otp=yes dans la section [ipaclients:vars] du fichier inventory/hosts. Notez qu'avec l'option OTP, vous devez également spécifier l'une des options suivantes :

     • L'adresse password of a user authorized to enroll clients, par exemple en fournissant une valeur pour ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts.
     • Le site admin keytab, par exemple en fournissant une valeur pour ipaadmin_keytab dans la section [ipaclients:vars] de inventory/hosts.

3. [Facultatif] Spécifiez le résolveur DNS à l'aide des options ipaclient_configure_dns_resolve et ipaclient_dns_servers (le cas échéant) pour simplifier les déploiements de clusters. Ceci est particulièrement utile si votre déploiement IdM utilise le DNS intégré :

   Un extrait de fichier d'inventaire spécifiant un résolveur DNS :

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Note

   La liste ipaclient_dns_servers ne doit contenir que des adresses IP. Les noms d'hôtes ne sont pas autorisés.

Procédure

1. Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :

   • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.

2. Spécifiez d'autres options dans les sections correspondantes du fichier inventory/hosts:

   • le FQDN des serveurs dans la section [ipaservers] pour indiquer le serveur IdM auprès duquel le client sera enrôlé

   • l'une des deux options suivantes :

     • l'option ipaclient_domain dans la section [ipaclients:vars] pour indiquer le nom de domaine DNS du serveur IdM auprès duquel le client sera enrôlé

     • l'option ipaclient_realm dans la section [ipaclients:vars] pour indiquer le nom du domaine Kerberos contrôlé par le serveur IdM

       Exemple de fichier d'inventaire des hôtes avec le FQDN du client, le FQDN du serveur et le domaine défini

       [ipaclients]
       client.idm.example.com
       
       [ipaservers]
       server.idm.example.com
       
       [ipaclients:vars]
       ipaclient_domain=idm.example.com
       [...]

3. Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :

   • Le site password of a user authorized to enroll clients est l'option par défaut.

     • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier de script, par exemple install-client.yml, directement : .exemple de fichier de script utilisant le principal du fichier d'inventaire et le mot de passe d'un fichier Ansible Vault

Procédure

1. Créez un répertoire pour votre configuration Ansible et vos playbooks dans votre répertoire personnel :

   $ mkdir ~/MyPlaybooks/

2. Allez dans le répertoire ~/MyPlaybooks/:

   $ cd ~/MyPlaybooks

3. Créez le fichier ~/MyPlaybooks/ansible.cfg avec le contenu suivant :

   [defaults]
   inventory = /home/your_username/MyPlaybooks/inventory
   remote_user = admin

4. Créez le fichier ~/MyPlaybooks/inventory avec le contenu suivant :

   [eu]
   server.idm.example.com
   
   [us]
   replica.idm.example.com
   
   [ipaserver:children]
   eu
   us

   Cette configuration définit deux groupes d'hôtes, eu et us, pour les hôtes de ces sites. En outre, cette configuration définit le groupe d'hôtes ipaserver, qui contient tous les hôtes des groupes eu et us.

5. [Facultatif] Créez une clé publique et une clé privée SSH. Pour simplifier l'accès dans votre environnement de test, ne définissez pas de mot de passe pour la clé privée :

   $ ssh-keygen

6. Copiez la clé publique SSH dans le compte IdM admin sur chaque nœud géré :

   $ ssh-copy-id admin@server.idm.example.com
   $ ssh-copy-id admin@replica.idm.example.com

   Ces commandes nécessitent la saisie du mot de passe IdM admin.

7. Créez un fichier password_file qui contient le mot de passe du coffre-fort :

   redhat

8. Modifier les autorisations de modification du fichier :

   $ chmod 0600 password_file

9. Créer un coffre-fort Ansible secret.yml pour stocker le mot de passe IdM admin:

   1. Configurez password_file pour qu'il stocke le mot de passe de l'espace de stockage :

      $ ansible-vault create --vault-password-file=password_file secret.yml

   2. Lorsque vous y êtes invité, saisissez le contenu du fichier secret.yml:

      ipaadmin_password: Secret123

Procédure

1. Ouvrez le fichier /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml Ansible playbook pour l'éditer :

   ---
   - name: Playbook to handle global IdM configuration
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Query IPA global configuration
       ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
       register: serverconfig
   
     - debug:
         msg: "{{ serverconfig }}"

2. Adaptez le fichier en modifiant les éléments suivants :

   • Le mot de passe de l'administrateur IdM.
   • Autres valeurs, si nécessaire.
3. Enregistrer le fichier.

4. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml
   [...]
   TASK [debug]
   ok: [server.idm.example.com] => {
       "msg": {
           "ansible_facts": {
               "discovered_interpreter_
           },
           "changed": false,
           "config": {
               "ca_renewal_master_server": "server.idm.example.com",
               "configstring": [
                   "AllowNThash",
                   "KDC:Disable Last Success"
               ],
               "defaultgroup": "ipausers",
               "defaultshell": "/bin/bash",
               "emaildomain": "idm.example.com",
               "enable_migration": false,
               "groupsearch": [
                   "cn",
                   "description"
               ],
               "homedirectory": "/home",
               "maxhostname": "64",
               "maxusername": "64",
               "pac_type": [
                   "MS-PAC",
                   "nfs:NONE"
               ],
               "pwdexpnotify": "4",
               "searchrecordslimit": "100",
               "searchtimelimit": "2",
               "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023",
               "selinuxusermaporder": [
                   "guest_u:s0$xguest_u:s0$user_
               ],
               "usersearch": [
                   "uid",
                   "givenname",
                   "sn",
                   "telephonenumber",
                   "ou",
                   "title"
               ]
           },
           "failed": false
       }
   }

Procédure

1. Facultatif : identifiez le serveur de renouvellement de l'autorité de certification IdM :

   $ ipa config-show | grep 'CA renewal'
     IPA CA renewal master: server.idm.example.com

2. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

3. Ouvrez le fichier /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml Ansible playbook pour l'éditer :

   ---
   - name: Playbook to handle global DNS configuration
     hosts: ipaserver
     become: no
     gather_facts: no
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: set ca_renewal_master_server
       ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         ca_renewal_master_server: carenewal.idm.example.com

4. Adapter le fichier en le modifiant :

   • Le mot de passe de l'administrateur IdM défini par la variable ipaadmin_password.
   • Le nom du serveur de renouvellement de l'autorité de certification défini par la variable ca_renewal_master_server.
5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

1. Connectez-vous à ipaserver en tant qu'administrateur IdM :

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Demander l'identité du serveur de renouvellement de l'autorité de certification IdM :

   $ ipa config-show | grep ‘CA renewal’
   IPA CA renewal master:  carenewal.idm.example.com

   La sortie montre que le serveur carenewal.idm.example.com est le nouveau serveur de renouvellement de l'autorité de certification.

Procédure

1. Facultatif : Utilisez le playbook Ansible retrieve-config.yml pour identifier le shell actuel des utilisateurs IdM. Voir Récupération de la configuration IdM à l'aide d'un playbook Ansible pour plus de détails.

2. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

3. Ouvrez le fichier /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml Ansible playbook pour l'éditer :

   ---
   - name: Playbook to ensure some config options are set
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     # Set defaultlogin and maxusername
     - ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         defaultshell: /bin/bash
         maxusername: 64

4. Adaptez le fichier en modifiant les éléments suivants :

   • Le mot de passe de l'administrateur IdM défini par la variable ipaadmin_password.
   • Le shell par défaut des utilisateurs de l'IdM est défini par la variable defaultshell dans /bin/sh.
5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml

1. Connectez-vous à ipaserver en tant qu'administrateur IdM :

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Affiche l'interpréteur de commandes actuel :

   [admin@server /]$ echo "$SHELL"
   /bin/sh

   L'utilisateur connecté utilise l'interpréteur de commandes sh.

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Créer un fichier netbios-domain-name-present.yml Ansible playbook.

3. Ajoutez le contenu suivant au fichier :

   ---
   - name: Playbook to change IdM domain netbios name
     hosts: ipaserver
     become: no
     gather_facts: no
   
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
       - name: Set IdM domain netbios name
         ipaconfig:
           ipaadmin_password: "{{ ipaadmin_password }}"
           netbios_name: IPADOM

4. Enregistrer le fichier.

5. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory netbios-domain-name-present.yml

   Lorsque vous y êtes invité, indiquez le mot de passe du fichier de l'espace de stockage.

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Créer un fichier sids-for-users-and-groups-present.yml Ansible playbook.

3. Ajoutez le contenu suivant au fichier :

   ---
   - name: Playbook to ensure SIDs are enabled and users and groups have SIDs
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
       - name: Enable SID and generate users and groups SIDS
         ipaconfig:
           ipaadmin_password: "{{ ipaadmin_password }}"
           enable_sid: true
           add_sids: true

   La variable enable_sid permet de générer des SID pour les futurs utilisateurs et groupes IdM. La variable add_sids génère des SID pour les utilisateurs et groupes IdM existants.

   Note

   Lorsque vous utilisez add_sids: true, vous devez également attribuer la valeur true à la variable enable_sid.

4. Enregistrer le fichier.

5. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml

   Lorsque vous y êtes invité, indiquez le mot de passe du fichier de l'espace de stockage.

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créez un fichier Ansible playbook avec les données de l'utilisateur dont vous voulez assurer la présence dans IdM. Pour simplifier cette étape, vous pouvez copier et modifier l'exemple dans le fichier /usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml. Par exemple, pour créer un utilisateur nommé idm_user et ajouter Password123 comme mot de passe :

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_user
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   Vous devez utiliser les options suivantes pour ajouter un utilisateur :

   • namele nom d'utilisateur
   • first: la chaîne de caractères du prénom
   • last: la chaîne du nom de famille

   Pour la liste complète des options disponibles pour l'utilisateur, voir le fichier Markdown de /usr/share/doc/ansible-freeipa/README-user.md.

   Note

   Si vous utilisez l'option update_password: on_create, Ansible ne crée le mot de passe de l'utilisateur que lorsqu'il crée l'utilisateur. Si l'utilisateur est déjà créé avec un mot de passe, Ansible ne génère pas de nouveau mot de passe.

3. Exécutez le manuel de jeu :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créez un fichier Ansible playbook avec les données des utilisateurs dont vous voulez assurer la présence dans IdM. Pour simplifier cette étape, vous pouvez copier et modifier l'exemple dans le fichier /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Par exemple, pour créer les utilisateurs idm_user_1, idm_user_2, et idm_user_3, et ajouter Password123 comme mot de passe de idm_user_1:

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_users
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   Note

   Si vous ne spécifiez pas l'option update_password: on_create, Ansible réinitialise le mot de passe de l'utilisateur à chaque fois que le livre de jeu est exécuté : si l'utilisateur a modifié le mot de passe depuis la dernière fois que le livre de jeu a été exécuté, Ansible réinitialise le mot de passe.

3. Exécutez le manuel de jeu :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créez un fichier playbook Ansible avec les tâches nécessaires. Référencez le fichier JSON avec les données des utilisateurs dont vous voulez assurer la présence. Pour simplifier cette étape, vous pouvez copier et modifier l'exemple dans le fichier /usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml:

   ---
   - name: Ensure users' presence
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Include users.json
       include_vars:
         file: users.json
   
     - name: Users present
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users: "{{ users }}"

3. Créez le fichier users.json et ajoutez-y les utilisateurs IdM. Pour simplifier cette étape, vous pouvez copier et modifier l'exemple du fichier /usr/share/doc/ansible-freeipa/playbooks/user/users.json. Par exemple, pour créer les utilisateurs idm_user_1, idm_user_2, et idm_user_3, et ajouter Password123 comme mot de passe de idm_user_1:

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "Alice",
       "last": "Acme",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "Bob",
       "last": "Acme"
      },
      {
       "name": "idm_user_3",
       "first": "Eve",
       "last": "Acme"
      }
     ]
   }

4. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créez un fichier playbook Ansible avec les utilisateurs dont vous voulez garantir l'absence d'IdM. Pour simplifier cette étape, vous pouvez copier et modifier l'exemple dans le fichier /usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml. Par exemple, pour supprimer les utilisateurs idm_user_1, idm_user_2, et idm_user_3:

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

3. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

1. Connectez-vous à ipaserver en tant qu'administrateur :

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

2. Demande d'informations sur idm_user_1:

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   L'utilisateur nommé idm_user_1 n'existe pas dans IdM.

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créez un fichier playbook Ansible avec les informations nécessaires sur l'utilisateur et le groupe :

   ---
   - name: Playbook to handle groups
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create group ops with gid 1234
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         gidnumber: 1234
   
     - name: Create group sysops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: sysops
         user:
         - idm_user
   
     - name: Create group appops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: appops
   
     - name: Add group members sysops and appops to group ops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         group:
         - sysops
         - appops

3. Exécutez le manuel de jeu :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

1. Connectez-vous à ipaserver en tant qu'administrateur :

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Afficher des informations sur ops:

   ipaserver]$ ipa group-show ops
     Group name: ops
     GID: 1234
     Member groups: sysops, appops
     Indirect Member users: idm_user

   Les groupes appops et sysops - ce dernier comprenant l'utilisateur idm_user - existent dans IdM.

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Créez un playbook add-useridoverride-to-group.yml avec le contenu suivant :

   ---
   - name: Playbook to ensure presence of users in a group
     hosts: ipaserver
   
   
     - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group:
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: admins
         idoverrideuser:
         - ad_user@ad.example.com

   Dans l'exemple :

   • Secret123 est le mot de passe de l'IdM admin.
   • admins est le nom du groupe POSIX IdM auquel vous ajoutez l'annulation de l'ID ad_user@ad.example.com. Les membres de ce groupe disposent de tous les privilèges d'administrateur.
   • ad_user@ad.example.com est le remplacement de l'ID utilisateur d'un administrateur AD. L'utilisateur est stocké dans le domaine AD avec lequel une confiance a été établie.
3. Enregistrer le fichier.

4. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créer un fichier playbook Ansible avec les informations nécessaires à la gestion des utilisateurs et des membres du groupe :

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure user test is present for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
   
     - name: Ensure group_admins is present for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_group: group_admins

3. Exécutez le manuel de jeu :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml

1. Connectez-vous à ipaserver en tant qu'administrateur :

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Afficher des informations sur managergroup1:

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009
     Membership managed by groups: group_admins
     Membership managed by users: test

Procédure

1. Créez un fichier d'inventaire, par exemple inventory.file, et définissez-y ipaserver:

   [ipaserver]
   server.idm.example.com

2. Créer un fichier playbook Ansible avec les informations nécessaires à la gestion des utilisateurs et des membres du groupe :

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure member manager user and group members are absent for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
         membermanager_group: group_admins
         action: member
         state: absent

3. Exécutez le manuel de jeu :

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml

1. Connectez-vous à ipaserver en tant qu'administrateur :

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. Afficher des informations sur le groupe_a :

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier automember-group-present.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/automember/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-group-present.yml automember-group-present-copy.yml

3. Ouvrez le fichier automember-group-present-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaautomember task :

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Fixer la variable name à testing_group.
   • Fixer la variable automember_type à group.
   • Assurez-vous que la variable state est définie sur present.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Automember group present example
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure group automember rule admins is present
       ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: testing_group
         automember_type: group
         state: present

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-present-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier automember-hostgroup-rule-present.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/automember/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-hostgroup-rule-present-copy.yml

3. Ouvrez le fichier automember-hostgroup-rule-present-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaautomember task :

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Fixer la variable name à primary_dns_domain_hosts.
   • Fixer la variable automember_type à hostgroup.
   • Assurez-vous que la variable state est définie sur present.
   • Assurez-vous que la variable action est définie sur member.
   • Assurez-vous que la variable inclusive key est fixée à fqdn.
   • Définissez la variable inclusive expression correspondante à .*.idm.example.com.
   • Fixez la variable exclusive key à fqdn.
   • Définissez la variable exclusive expression correspondante à .*.example.org.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Automember user group rule member present
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure an automember condition for a user group is present
       ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: primary_dns_domain_hosts
         automember_type: hostgroup
         state: present
         action: member
         inclusive:
           - key: fqdn
             expression: .*.idm.example.com
         exclusive:
           - key: fqdn
             expression: .*.example.org

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-hostgroup-rule-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier selfservice-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/selfservice/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-present.yml selfservice-present-copy.yml

3. Ouvrez le fichier selfservice-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaselfservice task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom de la nouvelle règle de libre-service.
   • Attribuez à la variable permission une liste de permissions à accorder, séparées par des virgules : read et write.
   • Définissez la variable attribute avec une liste d'attributs que les utilisateurs peuvent gérer eux-mêmes : givenname, displayname, title, et initials.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Self-service present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is present
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         permission: read, write
         attribute:
         - givenname
         - displayname
         - title
         - initials

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier selfservice-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/selfservice/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-absent.yml selfservice-absent-copy.yml

3. Ouvrez le fichier selfservice-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaselfservice task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom de la règle de libre-service.
   • Fixer la variable state à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Self-service absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is absent
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier selfservice-member-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/selfservice/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-present.yml selfservice-member-present-copy.yml

3. Ouvrez le fichier selfservice-member-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaselfservice task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom de la règle de libre-service à modifier.
   • Fixer la variable attribute à surname.
   • Fixer la variable action à member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Self-service member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attribute surname is present
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - surname
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier selfservice-member-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/selfservice/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-absent.yml selfservice-member-absent-copy.yml

3. Ouvrez le fichier selfservice-member-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaselfservice task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom de la règle de libre-service que vous souhaitez modifier.
   • Fixez la variable attribute à givenname et surname.
   • Fixer la variable action à member.
   • Fixer la variable state à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Self-service member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attributes givenname and surname are absent
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - givenname
         - surname
         action: member
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-absent-copy.yml

Procédure

1. Créez un répertoire pour votre configuration Ansible et vos playbooks dans votre répertoire personnel :

   $ mkdir ~/MyPlaybooks/

2. Allez dans le répertoire ~/MyPlaybooks/:

   $ cd ~/MyPlaybooks

3. Créez le fichier ~/MyPlaybooks/ansible.cfg avec le contenu suivant :

   [defaults]
   inventory = /home/<username>/MyPlaybooks/inventory
   
   [privilege_escalation]
   become=True

4. Créez le fichier ~/MyPlaybooks/inventory avec le contenu suivant :

   [eu]
   server.idm.example.com
   
   [us]
   replica.idm.example.com
   
   [ipaserver:children]
   eu
   us

   Cette configuration définit deux groupes d'hôtes, eu et us, pour les hôtes de ces sites. En outre, cette configuration définit le groupe d'hôtes ipaserver, qui contient tous les hôtes des groupes eu et us.

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier delegation-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/delegation/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-present-copy.yml

3. Ouvrez le fichier delegation-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipadelegation task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de la nouvelle règle de délégation.
   • Attribuez à la variable permission une liste de permissions à accorder, séparées par des virgules : read et write.
   • Définissez la variable attribute avec une liste d'attributs que le groupe d'utilisateurs délégué peut gérer : businesscategory, departmentnumber, employeenumber, et employeetype.
   • Définissez la variable group avec le nom du groupe auquel on donne accès à la visualisation ou à la modification des attributs.
   • Définissez la variable membergroup avec le nom du groupe dont les attributs peuvent être visualisés ou modifiés.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage a delegation rule
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is present
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         permission: read, write
         attribute:
         - businesscategory
         - departmentnumber
         - employeenumber
         - employeetype
         group: managers
         membergroup: employees

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks>/

2. Faites une copie du fichier delegation-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/delegation/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-absent-copy.yml

3. Ouvrez le fichier delegation-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipadelegation task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de la règle de délégation.
   • Fixer la variable state à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Delegation absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is absent
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier delegation-member-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/delegation/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-present.yml delegation-member-present-copy.yml

3. Ouvrez le fichier delegation-member-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipadelegation task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de la règle de délégation à modifier.
   • Fixer la variable attribute à departmentnumber.
   • Fixer la variable action à member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Delegation member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attribute departmentnumber is present
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - departmentnumber
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier delegation-member-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/delegation/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-absent.yml delegation-member-absent-copy.yml

3. Ouvrez le fichier delegation-member-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipadelegation task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de la règle de délégation à modifier.
   • Fixez la variable attribute à employeenumber et employeetype.
   • Fixer la variable action à member.
   • Fixer la variable state à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Delegation member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attributes employeenumber and employeetype are absent
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - employeenumber
         - employeetype
         action: member
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-user-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-present.yml role-member-user-present-copy.yml

3. Ouvrez le fichier role-member-user-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom du nouveau rôle.
   • Définissez la liste privilege avec les noms des privilèges IdM que vous souhaitez inclure dans le nouveau rôle.
   • Si vous le souhaitez, définissez la variable user avec le nom de l'utilisateur auquel vous souhaitez attribuer le nouveau rôle.
   • Si vous le souhaitez, attribuez à la variable group le nom du groupe auquel vous souhaitez attribuer le nouveau rôle.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         user: idm_user01
         group: idm_group01
         privilege:
         - Group Administrators
         - User Administrators
         - Stage User Administrators
         - Group Administrators

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-is-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-is-absent.yml role-is-absent-copy.yml

3. Ouvrez le fichier role-is-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle.
   • Assurez-vous que la variable state est définie sur absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-is-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-group-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-group-present.yml role-member-group-present-copy.yml

3. Ouvrez le fichier role-member-group-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle que vous souhaitez attribuer.
   • Attribuez à la variable group le nom du groupe.
   • Fixer la variable action à member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         group: junior_sysadmins
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-group-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-user-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-absent.yml role-member-user-absent-copy.yml

3. Ouvrez le fichier role-member-user-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle que vous souhaitez attribuer.
   • Définissez la liste user avec les noms des utilisateurs.
   • Fixer la variable action à member.
   • Fixer la variable state à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         user
         - user_01
         - user_02
         action: member
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-service-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-service-present-absent.yml role-member-service-present-copy.yml

3. Ouvrez le fichier role-member-service-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle que vous souhaitez attribuer.
   • Définissez la liste service avec le nom du service.
   • Fixer la variable action à member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         service:
         - HTTP/client01.idm.example.com
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-service-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-host-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-host-present.yml role-member-host-present-copy.yml

3. Ouvrez le fichier role-member-host-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle que vous souhaitez attribuer.
   • Définissez la liste host avec le nom de l'hôte.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         host:
         - client01.idm.example.com
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-host-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/<MyPlaybooks>/ répertoire :

   $ cd ~/<MyPlaybooks>/

2. Faites une copie du fichier role-member-hostgroup-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/role/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-hostgroup-present.yml role-member-hostgroup-present-copy.yml

3. Ouvrez le fichier role-member-hostgroup-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section iparole task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définissez la variable name avec le nom du rôle que vous souhaitez attribuer.
   • Définissez la liste hostgroup avec le nom du groupe d'hôtes.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: yes
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         hostgroup:
         - web_servers
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-hostgroup-present-copy.yml

1. Créer un privilège sans aucune autorisation.
2. Ajoutez les autorisations de votre choix au privilège.

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier privilege-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/privilege/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml privilege-present-copy.yml

3. Ouvrez le fichier privilege-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaprivilege task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom du nouveau privilège, full_host_administration.
   • En option, décrivez le privilège à l'aide de la variable description.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Privilege present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure privilege full_host_administration is present
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         description: This privilege combines all IdM permissions related to host administration

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-present-copy.yml

1. Créer un privilège sans aucune autorisation.
2. Ajoutez les autorisations de votre choix au privilège.

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier privilege-member-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/privilege/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-present.yml privilege-member-present-copy.yml

3. Ouvrez le fichier privilege-member-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaprivilege task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom du privilège.
   • Définissez la liste permission avec les noms des autorisations que vous souhaitez inclure dans le privilège.
   • Assurez-vous que la variable action est fixée à member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Privilege member present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that permissions are present for the "full_host_administration" privilege
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         permission:
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Principals"
         - "Retrieve Certificates from the CA"
         - "Revoke Certificate"
         - "System: Add Hosts"
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Keytab Permissions"
         - "System: Manage Host Principals"
         - "System: Manage Host SSH Public Keys"
         - "System: Manage Service Keytab"
         - "System: Manage Service Keytab Permissions"
         - "System: Modify Hosts"
         - "System: Remove Hosts"
         - "System: Add Hostgroups"
         - "System: Modify Hostgroup Membership"
         - "System: Modify Hostgroups"
         - "System: Remove Hostgroups"

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier privilege-member-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/privilege/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

3. Ouvrez le fichier privilege-member-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaprivilege task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom du privilège.
   • Définissez la liste permission sur les noms des autorisations que vous souhaitez supprimer du privilège.
   • Assurez-vous que la variable action est fixée à member.
   • Assurez-vous que la variable state est fixée à absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Privilege absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: Certificate Administrators
         permission:
         - "Request Certificate ignoring CA ACLs"
         action: member
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier privilege-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/privilege/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml rename-privilege.yml

3. Ouvrez le fichier rename-privilege.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaprivilege task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Définir la variable name avec le nom actuel du privilège.
   • Ajoutez la variable rename et attribuez-lui le nouveau nom du privilège.
   • Ajoutez la variable state et fixez-la à renamed.

5. Renommer le playbook lui-même, par exemple :

   ---
   - name: Rename a privilege
     hosts: ipaserver

6. Renommez la tâche dans le playbook, par exemple :

   [...]
   tasks:
   - name: Ensure the full_host_administration privilege is renamed to limited_host_administration
     ipaprivilege:
     [...]

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Rename a privilege
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure the full_host_administration privilege is renamed to limited_host_administration
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         rename: limited_host_administration
         state: renamed

7. Enregistrer le fichier.

8. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory rename-privilege.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier privilege-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/privilege/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-absent.yml privilege-absent-copy.yml

3. Ouvrez le fichier privilege-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipaprivilege task :

   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom du privilège que vous souhaitez supprimer.
   • Assurez-vous que la variable state est fixée à absent.

5. Renommez la tâche dans le playbook, par exemple :

   [...]
   tasks:
   - name: Ensure privilege "CA administrator" is absent
     ipaprivilege:
     [...]

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Privilege absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure privilege "CA administrator" is absent
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: CA administrator
         state: absent

6. Enregistrer le fichier.

7. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml

3. Ouvrez le fichier permission-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.
   • Fixer la variable object_type à host.
   • Fixer la variable right à all.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is present
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         object_type: host
         right: all

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-with-attribute.yml

3. Ouvrez le fichier permission-present-with-attribute.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.
   • Fixer la variable object_type à host.
   • Fixer la variable right à all.
   • Fixer la variable attrs à description.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is present with an attribute
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         object_type: host
         right: all
         attrs: description

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-with-attribute.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-absent.yml permission-absent-copy.yml

3. Ouvrez le fichier permission-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is absent
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-member-present.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-present.yml permission-member-present-copy.yml

3. Ouvrez le fichier permission-member-present-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.
   • Attribuer la liste attrs aux variables description et gecos.
   • Assurez-vous que la variable action est définie sur member.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission member present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "gecos" and "description" attributes are present in "MyPermission"
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         attrs:
         - description
         - gecos
         action: member

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-present-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-member-absent.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-absent.yml permission-member-absent-copy.yml

3. Ouvrez le fichier permission-member-absent-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.
   • Fixer la variable attrs à description.
   • Fixer la variable action à member.
   • Assurez-vous que la variable state est définie comme suit absent

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that an attribute is not a member of "MyPermission"
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         attrs: description
         action: member
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-absent-copy.yml

Procédure

1. Naviguez jusqu'au répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Faites une copie du fichier permission-renamed.yml situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/permission/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-renamed.yml permission-renamed-copy.yml

3. Ouvrez le fichier permission-renamed-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipapermission task :

   • Adaptez le site name de la tâche pour qu'il corresponde à votre cas d'utilisation.
   • Définissez la variable ipaadmin_password avec le mot de passe de l'administrateur IdM.
   • Attribuez à la variable name le nom de l'autorisation.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Rename the "MyPermission" permission
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         rename: MyNewPermission
         state: renamed

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-renamed-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier add-topologysegment.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegment.yml add-topologysegment-copy.yml

3. Ouvrez le fichier add-topologysegment-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipatopologysegment task :

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Définissez la variable suffix à domain ou ca, en fonction du type de segment que vous souhaitez ajouter.
   • Définissez la variable left avec le nom du serveur IdM que vous voulez être le nœud gauche de l'accord de réplication.
   • Définissez la variable right avec le nom du serveur IdM que vous voulez être le nœud droit de l'accord de réplication.
   • Assurez-vous que la variable state est définie sur present.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to handle topologysegment
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
   - name: Add topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: domain
         left: server.idm.example.com
         right: replica.idm.example.com
         state: present

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegment-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier add-topologysegments.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegments.yml add-topologysegments-copy.yml

3. Ouvrez le fichier add-topologysegments-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section vars:

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.

   • Pour chaque segment topologique, ajoutez une ligne dans la section ipatopology_segments et définissez les variables suivantes :

     • Définissez la variable suffix à domain ou ca, en fonction du type de segment que vous souhaitez ajouter.
     • Définissez la variable left avec le nom du serveur IdM que vous voulez être le nœud gauche de l'accord de réplication.
     • Définissez la variable right avec le nom du serveur IdM que vous voulez être le nœud droit de l'accord de réplication.

5. Dans la section tasks du fichier add-topologysegments-copy.yml, assurez-vous que la variable state est fixée à present.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Add topology segments
     hosts: ipaserver
     gather_facts: false
   
     vars:
       ipaadmin_password: "{{ ipaadmin_password }}"
       ipatopology_segments:
       - {suffix: domain, left: replica1.idm.example.com , right: replica2.idm.example.com }
       - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
       - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
       - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Add topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: "{{ item.suffix }}"
         name: "{{ item.name | default(omit) }}"
         left: "{{ item.left }}"
         right: "{{ item.right }}"
         state: present
         #state: absent
         #state: checked
         #state: reinitialized
       loop: "{{ ipatopology_segments | default([]) }}"

6. Enregistrer le fichier.

7. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegments-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier check-topologysegments.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/check-topologysegments.yml check-topologysegments-copy.yml

3. Ouvrez le fichier check-topologysegments-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section vars:

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.

   • Pour chaque segment topologique, ajoutez une ligne dans la section ipatopology_segments et définissez les variables suivantes :

     • Définissez la variable suffix à domain ou ca, en fonction du type de segment que vous ajoutez.
     • Définissez la variable left avec le nom du serveur IdM que vous voulez être le nœud gauche de l'accord de réplication.
     • Définissez la variable right avec le nom du serveur IdM que vous voulez être le nœud droit de l'accord de réplication.

5. Dans la section tasks du fichier check-topologysegments-copy.yml, assurez-vous que la variable state est fixée à present.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Add topology segments
     hosts: ipaserver
     gather_facts: false
   
     vars:
       ipaadmin_password: "{{ ipaadmin_password }}"
       ipatopology_segments:
       - {suffix: domain, left: replica1.idm.example.com, right: replica2.idm.example.com }
       - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
       - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
       - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Check topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: "{{ item.suffix }}"
         name: "{{ item.name | default(omit) }}"
         left: "{{ item.left }}"
         right: "{{ item.right }}"
         state: checked
       loop: "{{ ipatopology_segments | default([]) }}"

6. Enregistrer le fichier.

7. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory check-topologysegments-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier verify-topologysuffix.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/ verify-topologysuffix.yml verify-topologysuffix-copy.yml

3. Ouvrez le fichier verify-topologysuffix-copy.yml Ansible playbook pour l'éditer.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipatopologysuffix:

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Définissez la variable suffix à domain. Si vous vérifiez la présence du suffixe ca, définissez la variable à ca.
   • Assurez-vous que la variable state est définie sur verified. Aucune autre option n'est possible.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to handle topologysuffix
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Verify topology suffix
       ipatopologysuffix:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: domain
         state: verified

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory verify-topologysuffix-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier reinitialize-topologysegment.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/reinitialize-topologysegment.yml reinitialize-topologysegment-copy.yml

3. Ouvrez le fichier reinitialize-topologysegment-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipatopologysegment:

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Fixez la variable suffix à domain. Si vous réinitialisez les données ca, fixez la variable à ca.
   • Définissez la variable left sur le nœud gauche de l'accord de réplication.
   • Définissez la variable right sur le nœud de droite de l'accord de réplication.
   • Définissez la variable direction en fonction de la direction des données réinitialisées. La direction left-to-right signifie que les données circulent du nœud gauche vers le nœud droit.

   • Assurez-vous que la variable state est définie sur reinitialized.

     Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

     ---
     - name: Playbook to handle topologysegment
       hosts: ipaserver
     
       vars_files:
       - /home/user_name/MyPlaybooks/secret.yml
       tasks:
       - name: Reinitialize topology segment
         ipatopologysegment:
           ipaadmin_password: "{{ ipaadmin_password }}"
           suffix: domain
           left: server.idm.example.com
           right: replica.idm.example.com
           direction: left-to-right
           state: reinitialized

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory reinitialize-topologysegment-copy.yml

Procédure

1. Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :

   $ cd ~/MyPlaybooks/

2. Copiez le fichier delete-topologysegment.yml Ansible playbook situé dans le répertoire /usr/share/doc/ansible-freeipa/playbooks/topology/:

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/delete-topologysegment.yml delete-topologysegment-copy.yml

3. Ouvrez le fichier delete-topologysegment-copy.yml pour le modifier.

4. Adaptez le fichier en définissant les variables suivantes dans la section ipatopologysegment task :

   • Fixer la variable ipaadmin_password au mot de passe de l'IdM admin.
   • Attribuez la valeur domain à la variable suffix. Si vous voulez vous assurer que les données de ca ne sont pas répliquées entre les nœuds de gauche et de droite, définissez la variable à ca.
   • Définissez la variable left avec le nom du serveur IdM qui est le nœud gauche de l'accord de réplication.
   • Définissez la variable right avec le nom du serveur IdM qui est le nœud droit de l'accord de réplication.
   • Assurez-vous que la variable state est définie sur absent.

   Il s'agit du fichier playbook Ansible modifié pour l'exemple actuel :

   ---
   - name: Playbook to handle topologysegment
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
   - name: Delete topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: domain
         left: replica01.idm.example.com
         right: replica02.idm.example.com:
         state: absent

5. Enregistrer le fichier.

6. Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :

   $ ansible-playbook --vault-password-file=password_file -v -i inventory delete-topologysegment-copy.yml