第33章 Ansible Playbook を使用した Identity Management クライアントのインストール

手順

1. inventory ファイルを編集のために開きます。

2. IdM クライアントになるホストの完全修飾ホスト名 (FQDN) を指定します。完全修飾ドメイン名は、有効な DNS 名である必要があります。

   • 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。大文字は使用できません。

   SRV レコードが IdM DNS ゾーンで正しく設定されている場合は、スクリプトが自動的に必要な値をすべて検出します。

   クライアントの FQDN のみが定義されている単純なインベントリーホストファイルの例

   [ipaclients]
   client.idm.example.com
   [...]

   Copy to Clipboard Toggle word wrap

3. クライアントを登録するための認証情報を指定します。以下の認証方法を使用できます。

   • クライアントを登録する権限のあるユーザーのパスワード。以下はデフォルトのオプションになります。

     • Ansible Vault を使用してパスワードを保存し、Playbook ファイル (例: install-client.yml) から Vault ファイルを直接参照します。

       Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

       Copy to Clipboard Toggle word wrap

     • あまり安全ではありませんが、inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password オプションを使用して、admin の認証情報を提供します。また、別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプション、パスワードに ipaadmin_password オプションを使用します。inventory/hosts インベントリーファイルと、Playbook ファイル install-client.yml は以下のようになります。

       インベントリーホストファイルの例

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Copy to Clipboard Toggle word wrap

       インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

       Copy to Clipboard Toggle word wrap

   • 以前登録した クライアントキータブ が利用できる場合は、以下を行います。

     このオプションは、システムが Identity Management クライアントとして登録されたことがある場合に使用できます。この認証方法を使用するには、#ipaclient_keytab オプションのコメントを解除して、キータブを保存するファイルへのパスを指定します (例: inventory/hosts の [ipaclient:vars] セクション)。

   • 登録時に生成される ランダムなワンタイムパスワード (OTP)。この認証方法を使用するには、インベントリーファイルで ipaclient_use_otp=true オプションを使用します。たとえば、inventory/hosts ファイルの [ipaclients:vars] セクションにある ipaclient_use_otp=true オプションのコメントを解除できます。OTP では、以下のいずれかのオプションも指定する必要があります。

     • クライアントを登録する権限のあるユーザーのパスワード (例: inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password の値を指定)。
     • 管理者キータブ (例: inventory/hosts の [ipaclients:vars] セクションに ipaadmin_keytab の値を指定)。

4. オプション: クラスターのデプロイを簡素化するために、ipaclient_configure_dns_resolve および ipaclient_dns_servers オプション (使用可能な場合) を使用して DNS リゾルバーを指定します。これは、IdM デプロイメントが統合 DNS を使用している場合に特に便利です。

   DNS リゾルバーを指定するインベントリーファイルスニペット:

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Copy to Clipboard Toggle word wrap

   注記

   ipaclient_dns_servers リストには IP アドレスのみを含める必要があります。ホスト名を含めることはできません。

5. RHEL 8.9 以降では、ipaclient_subid: true オプションを指定して、IdM ユーザーのサブ ID 範囲を IdM レベルで設定することもできます。