4.4. Options d'autorisation pour l'inscription d'un client IdM à l'aide d'un playbook Ansible
Cette section présente les options d'autorisation individuelle pour l'inscription du client IdM avec des exemples d'inventaire et de fichiers de jeu.
Option d'autorisation | Note | Exemple de fichier d'inventaire | Exemple de fichier playbook install-client.yml |
---|---|---|---|
Mot de passe d'un utilisateur autorisé à inscrire un client : Option 1 | Mot de passe stocké dans le coffre-fort d'Ansible |
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present |
Mot de passe d'un utilisateur autorisé à inscrire un client : Option 2 | Mot de passe stocké dans le fichier d'inventaire |
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
Un mot de passe aléatoire à usage unique (OTP) : Option 1 | Mot de passe administrateur OTP |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
Un mot de passe aléatoire à usage unique (OTP) : Option 2 | OTP un keytab administrateur |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
Le fichier clé du client de l'inscription précédente |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
Depuis RHEL 9.2, dans les deux scénarios d'autorisation OTP décrits ci-dessus, la demande du TGT de l'administrateur à l'aide de la commande kinit
se produit sur le premier serveur IdM spécifié ou découvert. Par conséquent, aucune modification supplémentaire du nœud de contrôle Ansible n'est nécessaire. Avant RHEL 9.2, le paquetage krb5-workstation
était requis sur le nœud de contrôle.