Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

4.2. Définition des paramètres du fichier d'inventaire lorsque l'autodécouverte n'est pas possible lors de l'installation du client

download PDF

Pour installer un client de gestion des identités à l'aide d'un playbook Ansible, configurez les paramètres de l'hôte cible dans un fichier d'inventaire, par exemple inventory/hosts:

  • les informations sur l'hôte, le serveur IdM et le domaine IdM ou le realm IdM
  • l'autorisation de la tâche

Le fichier d'inventaire peut être dans l'un des nombreux formats, en fonction des plugins d'inventaire que vous avez. Le format INI-like est l'un des formats par défaut d'Ansible et est utilisé dans les exemples ci-dessous.

Note

Pour utiliser les cartes à puce avec l'interface utilisateur graphique dans RHEL, assurez-vous d'inclure la variable ipaclient_mkhomedir dans votre playbook Ansible.

Conditions préalables

Procédure

  1. Indiquez le nom d'hôte entièrement qualifié (FQDN) de l'hôte qui doit devenir un client IdM. Le nom de domaine entièrement qualifié doit être un nom DNS valide :

    • Seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. Par exemple, les caractères de soulignement ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
    • Le nom d'hôte doit être en minuscules. Aucune majuscule n'est autorisée.

  2. Spécifiez d'autres options dans les sections correspondantes du fichier inventory/hosts:

    • le FQDN des serveurs dans la section [ipaservers] pour indiquer le serveur IdM auprès duquel le client sera enrôlé

    • l'une des deux options suivantes :

      • l'option ipaclient_domain dans la section [ipaclients:vars] pour indiquer le nom de domaine DNS du serveur IdM auprès duquel le client sera enrôlé

      • l'option ipaclient_realm dans la section [ipaclients:vars] pour indiquer le nom du domaine Kerberos contrôlé par le serveur IdM

        Exemple de fichier d'inventaire des hôtes avec le FQDN du client, le FQDN du serveur et le domaine défini

        [ipaclients]
client.idm.example.com

[ipaservers]
server.idm.example.com

[ipaclients:vars]
ipaclient_domain=idm.example.com
[...]

  3. Spécifiez les informations d'identification pour l'inscription du client. Les méthodes d'authentification suivantes sont disponibles :

    • Le site password of a user authorized to enroll clients est l'option par défaut.

      • Red Hat recommande d'utiliser Ansible Vault pour stocker le mot de passe et de référencer le fichier Vault à partir du fichier de script, par exemple install-client.yml, directement : .exemple de fichier de script utilisant le principal du fichier d'inventaire et le mot de passe d'un fichier Ansible Vault 
- name: Playbook to configure IPA clients with username/password
  hosts: ipaclients
  become: true
  vars_files:
  - *playbook_sensitive_data.yml*

  roles:
  - role: ipaclient
    state: present

  • De manière moins sûre, fournissez les informations d'identification de admin en utilisant l'option ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts. Pour spécifier un autre utilisateur autorisé, utilisez l'option ipaadmin_principal pour le nom d'utilisateur et l'option ipaadmin_password pour le mot de passe. Le fichier du playbook install-client.yml peut alors se présenter comme suit :

    Exemple de fichier d'inventaire des hôtes

    [...]
[ipaclients:vars]
ipaadmin_principal=my_admin
ipaadmin_password=Secret123

    Exemple de Playbook utilisant le principal et le mot de passe du fichier d'inventaire

    - name: Playbook to unconfigure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

  • Le site client keytab de l'inscription précédente, s'il est encore disponible :

    Cette option est disponible si le système a été précédemment enregistré en tant que client de gestion d'identité. Pour utiliser cette méthode d'authentification, décommentez l'option ipaclient_keytab, en spécifiant le chemin d'accès au fichier stockant le keytab, par exemple dans la section [ipaclient:vars] de inventory/hosts.

  • Un random, one-time password (OTP) à générer lors de l'inscription. Pour utiliser cette méthode d'authentification, utilisez l'option ipaclient_use_otp=yes dans votre fichier d'inventaire. Par exemple, vous pouvez décommenter l'option #ipaclient_use_otp=yes dans la section [ipaclients:vars] du fichier inventory/hosts. Notez qu'avec l'option OTP, vous devez également spécifier l'une des options suivantes :

    • L'adresse password of a user authorized to enroll clients, par exemple en fournissant une valeur pour ipaadmin_password dans la section [ipaclients:vars] du fichier inventory/hosts.
    • Le site admin keytab, par exemple en fournissant une valeur pour ipaadmin_keytab dans la section [ipaclients:vars] de inventory/hosts.

Ressources supplémentaires

  • Pour plus de détails sur les options acceptées par le rôle Ansible ipaclient, voir le fichier README de /usr/share/ansible/roles/ipaclient/README.md.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.