Chapitre 14. Suppression de la confiance à l'aide d'Ansible
Cette section décrit comment supprimer la confiance entre Identity Management (IdM)/Active Directory (AD) du côté IdM à l'aide d'un playbook Ansible.
Conditions préalables
- Vous avez obtenu un ticket Kerberos en tant qu'administrateur IdM. Pour plus de détails, voir Connexion à IdM dans l'interface Web : Utilisation d'un ticket Kerberos.
Vous avez configuré votre nœud de contrôle Ansible pour qu'il réponde aux exigences suivantes :
- Vous utilisez la version 2.8 ou ultérieure d'Ansible.
-
Vous avez installé le paquetage
ansible-freeipa
sur le contrôleur Ansible. - L'exemple suppose que dans le répertoire ~/MyPlaybooks/ vous avez créé un fichier d'inventaire Ansible avec le nom de domaine complet (FQDN) du serveur IdM.
-
L'exemple suppose que le coffre-fort secret.yml Ansible stocke votre
ipaadmin_password
. - Vous utilisez la version 2.8 ou ultérieure d'Ansible.
- Vous avez installé le paquet ansible-freeipa.
- L'exemple suppose que dans le répertoire ~/MyPlaybooks/ vous avez créé un fichier d'inventaire Ansible avec le nom de domaine complet (FQDN) du serveur IdM sur lequel vous supprimez la confiance.
Procédure
Naviguez jusqu'à votre répertoire ~/MyPlaybooks/ répertoire :
$ cd ~/MyPlaybooks/
Créez un playbook
del-trust.yml
avec le contenu suivant :--- - name: Playbook to delete trust hosts: ipaserver vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: - name: ensure the trust is absent ipatrust: ipaadmin_password: "{{ ipaadmin_password }}" realm: ad.example.com state: absent
Dans l'exemple,
realm
définit la chaîne de nom de la zone AD.- Enregistrer le fichier.
Exécutez le playbook Ansible. Spécifiez le fichier du livre de jeu, le fichier contenant le mot de passe protégeant le fichier secret.yml et le fichier d'inventaire :
$ ansible-playbook --vault-password-file=password_file -v -i inventory del-trust.yml
La suppression de la configuration de la confiance ne supprime pas automatiquement la plage d'identifiants que l'IdM a créée pour les utilisateurs AD. Ainsi, si vous ajoutez à nouveau la confiance, la plage d'identifiants existante est réutilisée. En outre, si les utilisateurs AD ont créé des fichiers sur un client IdM, leurs identifiants POSIX sont conservés dans les métadonnées du fichier.
Pour supprimer toutes les informations relatives à une confiance AD, supprimez la plage d'ID utilisateur AD après avoir supprimé la configuration de la confiance et l'objet de confiance :
# ipa idrange-del AD.EXAMPLE.COM_id_range
# systemctl restart sssd
Verification steps
Utilisez la commande
ipa trust-show
pour confirmer que la confiance a été supprimée.[root@server ~]# ipa trust-show ad.example.com ipa: ERROR: ad.example.com: trust not found
Ressources supplémentaires
- /usr/share/doc/ansible-freeipa/README-trust.md
- /usr/share/doc/ansible-freeipa/playbooks/trust
- Suppression d'une plage d'identifiants après la suppression d'une confiance dans AD