27.3. Ansible Playbook を使用して IdM レプリカをインストールするための認証情報の指定

前提条件

• 次の要件を満たすように Ansible コントロールノードを設定した。

  • Ansible バージョン 2.15 以降を使用している。
  • freeipa.ansible_freeipa コレクションがインストールされている。
  • ~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル が作成されている (この例の場合)。
  • secret.yml Ansible vault に ipaadmin_password が保存されており、secret.yml ファイルを保護するパスワードを格納しているファイルにアクセスできる (この例の場合)。
• ターゲットノード (freeipa.ansible_freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

• レプリカをデプロイする権限のあるユーザーのパスワード (IdM の admin など) を指定します。

  • Ansible Vault を使用してパスワードを保存し、Playbook ファイル (例: install-replica.yml) から Vault ファイルを参照します。

    インベントリーファイルのプリンシパルと Ansible Vault ファイルのパスワードを使用する Playbook ファイルの例:

    - name: Playbook to configure IPA replicas
      hosts: ipareplicas
      become: true
      vars_files:
      - playbook_sensitive_data.yml
    
      roles:
      - role: freeipa.ansible_freeipa.ipareplica
        state: present

    Copy to Clipboard Toggle word wrap

    Ansible Vault の使用方法は、公式の Ansible Vault ドキュメントを参照してください。

  • あまり安全ではありませんが、インベントリーファイルで admin の認証情報を直接提供します。インベントリーファイルの [ipareplicas:vars] セクションで ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。

    インベントリーの hosts.replica ファイルの例:

    [...]
    [ipareplicas:vars]
    ipaadmin_password=Secret123

    Copy to Clipboard Toggle word wrap

    インベントリーファイルのプリンシパルとパスワードを使用する Playbook の例:

    - name: Playbook to configure IPA replicas
      hosts: ipareplicas
      become: true
    
      roles:
      - role: freeipa.ansible_freeipa.ipareplica
        state: present

    Copy to Clipboard Toggle word wrap

  • または、安全性は低くなりますが、レプリカをインベントリーファイルに直接デプロイすることを許可されている別のユーザーの認証情報を提供します。別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプションを使用し、パスワードに ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。

    インベントリーの hosts.replica ファイルの例:

    [...]
    [ipareplicas:vars]
    ipaadmin_principal=my_admin
    ipaadmin_password=my_admin_secret123

    Copy to Clipboard Toggle word wrap

    インベントリーファイルのプリンシパルとパスワードを使用する Playbook の例:

    - name: Playbook to configure IPA replicas
      hosts: ipareplicas
      become: true
    
      roles:
      - role: freeipa.ansible_freeipa.ipareplica
        state: present

    Copy to Clipboard Toggle word wrap
  注記

  IdM レプリカのインストール中に、提供された Kerberos プリンシパルに必要な権限があるかどうかのチェックが、ユーザー ID オーバーライドのチェックにも拡張されます。その結果、IdM 管理者として機能するように設定された AD 管理者の認証情報を使用してレプリカをデプロイできるようになります。