26.4. Ansible Playbook を使用した IdM クライアント登録の認可オプション

次のいずれかの方法を使用して、IdM クライアントの登録を許可できます。

IdM クライアントをインストールする前に、IdM 管理者が OTP を生成することも可能です。その場合、インストールに OTP 以外の認証情報は必要ありません。

以下は、これらのメソッドのサンプルインベントリーファイルです。

Expand

表26.1 インベントリーファイルのサンプル
認可オプション	インベントリーファイル
ランダムなワンタイムパスワード (OTP) + 管理者パスワード	`[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true`
ランダムなワンタイムパスワード (OTP)	`[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>` このシナリオでは、インストール前に IdM `admin` が OTP をすでに作成していると想定しています。
ランダムなワンタイムパスワード (OTP) + 管理者キータブ	`[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true`
前回登録時のクライアントキータブ	`[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab`
インベントリーファイルに保存されている `admin` ユーザーのパスワード	`[ipaclients:vars] ipaadmin_password=Secret123`
Ansible vault ファイルに保存されている `admin` ユーザーのパスワード	`[ipaclients:vars] [...]`

Ansible vault ファイルに保存されている admin ユーザーのパスワードを使用している場合は、対応する Playbook ファイルに追加の vars_files ディレクティブが必要です。

Expand

表26.2 Ansible ボールトに保存されたユーザーパスワード
インベントリーファイル	Playbook ファイル
`[ipaclients:vars] [...]`	`- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: freeipa.ansible_freeipa.ipaclient state: present`

上記で説明したその他すべての認可シナリオの場合、基本的な Playbook ファイルは次のようになります。

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: freeipa.ansible_freeipa.ipaclient
    state: true

注記

上記の 2 つの OTP 認可シナリオでは、最初に指定または検出された IdM サーバーで、kinit コマンドを使用して管理者の TGT を要求します。したがって、Ansible コントロールノードを追加変更する必要はありません。