27.2. Définition des paramètres du fichier d'inventaire lorsque l'autodécouverte n'est pas possible lors de l'installation du client
Pour installer un client de gestion des identités à l'aide d'un playbook Ansible, configurez les paramètres de l'hôte cible dans un fichier d'inventaire, par exemple inventory/hosts
:
- les informations sur l'hôte, le serveur IdM et le domaine IdM ou le realm IdM
- l'autorisation de la tâche
Le fichier d'inventaire peut être dans l'un des nombreux formats, en fonction des plugins d'inventaire que vous avez. Le format INI-like
est l'un des formats par défaut d'Ansible et est utilisé dans les exemples ci-dessous.
Pour utiliser les cartes à puce avec l'interface utilisateur graphique dans RHEL, assurez-vous d'inclure la variable ipaclient_mkhomedir
dans votre playbook Ansible.
Conditions préalables
- Vous avez vérifié les instructions de déploiement sur le nœud de contrôle, voir Vérification des paramètres dans le fichier install-client.yml.
Procédure
Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :
-
Seuls les chiffres, les caractères alphabétiques et les traits d'union (
-
) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS. - Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.
-
Seuls les chiffres, les caractères alphabétiques et les traits d'union (
Spécifiez d'autres options dans les sections correspondantes du fichier
inventory/hosts
:-
le FQDN des serveurs dans la section
[ipaservers]
pour indiquer le serveur IdM auprès duquel le client sera enrôlé l'une des deux options suivantes :
-
l'option
ipaclient_domain
dans la section[ipaclients:vars]
pour indiquer le nom de domaine DNS du serveur IdM auprès duquel le client sera enrôlé l'option
ipaclient_realm
dans la section[ipaclients:vars]
pour indiquer le nom du domaine Kerberos contrôlé par le serveur IdMExemple de fichier d'inventaire des hôtes avec le FQDN du client, le FQDN du serveur et le domaine défini
[ipaclients] client.idm.example.com [ipaservers] server.idm.example.com [ipaclients:vars] ipaclient_domain=idm.example.com [...]
-
l'option
-
le FQDN des serveurs dans la section
Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :
Le site password of a user authorized to enroll clients est l'option par défaut.
-
Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier de script, par exemple
install-client.yml
, directement : .exemple de fichier de script utilisant le principal du fichier d'inventaire et le mot de passe d'un fichier Ansible Vault
-
Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier de script, par exemple
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - *playbook_sensitive_data.yml* roles: - role: ipaclient state: present
De manière moins sûre, fournissez les informations d'identification de
admin
en utilisant l'optionipaadmin_password
dans la section[ipaclients:vars]
du fichierinventory/hosts
. Pour spécifier un autre utilisateur autorisé, utilisez l'optionipaadmin_principal
pour le nom d'utilisateur et l'optionipaadmin_password
pour le mot de passe. Le fichier du playbookinstall-client.yml
peut alors se présenter comme suit :Exemple de fichier d'inventaire des hôtes
[...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
Exemple de Playbook utilisant le principal et le mot de passe du fichier d'inventaire
- name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
Le site client keytab de l'inscription précédente, s'il est encore disponible :
Cette option est disponible si le système a été précédemment enregistré en tant que client de gestion d'identité. Pour utiliser cette méthode d'authentification, décommentez l'option
ipaclient_keytab
, en spécifiant le chemin d'accès au fichier stockant le keytab, par exemple dans la section[ipaclient:vars]
deinventory/hosts
.Un random, one-time password (OTP) à générer lors de l'inscription. Pour utiliser cette méthode d'authentification, utilisez l'option
ipaclient_use_otp=yes
dans votre fichier d'inventaire. Par exemple, vous pouvez décommenter l'option#ipaclient_use_otp=yes
dans la section[ipaclients:vars]
du fichierinventory/hosts
. Notez qu'avec l'option OTP, vous devez également spécifier l'une des options suivantes :-
L'adresse password of a user authorized to enroll clients, par exemple en fournissant une valeur pour
ipaadmin_password
dans la section[ipaclients:vars]
du fichierinventory/hosts
. -
Le site admin keytab, par exemple en fournissant une valeur pour
ipaadmin_keytab
dans la section[ipaclients:vars]
deinventory/hosts
.
-
L'adresse password of a user authorized to enroll clients, par exemple en fournissant une valeur pour
Ressources supplémentaires
-
Pour plus de détails sur les options acceptées par le rôle Ansible
ipaclient
, voir le fichier README de/usr/share/ansible/roles/ipaclient/README.md
.