33.3. Ansible Playbook で IdM クライアント登録の認可オプション
次のいずれかの方法を使用して、IdM クライアントの登録を許可できます。
- ランダムなワンタイムパスワード (OTP) + 管理者パスワード
- ランダムなワンタイムパスワード (OTP) + 管理者キータブ
- 前回登録時のクライアントキータブ
-
インベントリーファイルに保存されているクライアント (
admin) を登録する権限を持つユーザーのパスワード -
Ansible vault に保存されているクライアント (
admin) を登録する権限を持つユーザーのパスワード
以下は、これらのメソッドのサンプルインベントリーファイルです。
| 認可オプション | インベントリーファイル |
|---|---|
| ランダムなワンタイムパスワード (OTP) + 管理者パスワード | Playbook の実行中に OTP を生成する場合: [ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true または
インストール前に IdM [ipaclients:vars] ipaclient_otp=<W5YpARl=7M.> |
| ランダムなワンタイムパスワード (OTP) + 管理者キータブ |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
| 前回登録時のクライアントキータブ |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
|
インベントリーファイルに保存されている |
[ipaclients:vars] ipaadmin_password=Secret123 |
|
Ansible vault ファイルに保存されている |
[ipaclients:vars] [...] |
Ansible vault ファイルに保存されている 管理者 ユーザーのパスワードを使用している場合は、対応する Playbook ファイルに追加の vars_files ディレクティブが必要です。
| インベントリーファイル | Playbook ファイル |
|---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
vars_files:
- ansible_vault_file.yml
roles:
- role: ipaclient
state: present
|
上記の他のすべての認可シナリオでは、基本的な Playbook ファイルは次のようになります。
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
RHEL 8.8 以降、上記の 2 つの OTP 承認シナリオでは、kinit コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 8.8 より前では、コントロールノードに krb5-workstation パッケージが必要でした。
