51.4. Ansible を使用して AD ユーザーが IdM を管理できるようにする

手順

1. Ansible コントロールノードで、ad_user@ad.example.com ユーザーオーバーライドを Default Trust View に追加するタスクを含む enable-ad-admin-to-administer-idm.yml Playbook を作成します。

   ---
   - name: Enable AD administrator to act as a FreeIPA admin
     hosts: ipaserver
     become: false
     gather_facts: false
   
     tasks:
     - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
       ipaidoverrideuser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         idview: "Default Trust View"
         anchor: ad_user@ad.example.com

   上記の例では、以下のようになります。

   • ad_user@ad.example.com は、信頼が確立されている AD ドメインに保存されている AD ユーザーのユーザー ID オーバーライドです。

2. 同じ Playbook 内の別の Playbook タスクを使用して、AD 管理者ユーザー ID オーバーライドを admins グループに追加します。

     - name: Add the AD administrator as a member of admins
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: admins
         idoverrideuser:
         - ad_user@ad.example.com

   上記の例では、以下のようになります。

   • admins は、ad_user@ad.example.com ID オーバーライドを追加するデフォルトの IdM POSIX グループの名前です。このグループのメンバーには、完全な管理者権限があります。
3. ファイルを保存します。

4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml

検証

1. AD 管理者として IdM クライアントにログインします。

   $ ssh ad_user@ad.example.com@client.idm.example.com

2. 有効な Ticket-Granting Ticket (TGT) を取得したことを確認します。

   $ klist
   Ticket cache: KCM:325600500:99540
   Default principal: ad_user@AD.EXAMPLE.COM
   Valid starting Expires Service principal
   02/04/2024 11:54:16 02/04/2024 21:54:16 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
   renew until 02/05/2024 11:54:16

3. IdM の admin 権限を確認します。

   $ ipa user-add testuser --first=test --last=user
   ------------------------
   Added user "tuser"
   ------------------------
     User login: tuser
     First name: test
     Last name: user
     Full name: test user
   [...]