33.3. Ansible Playbook で IdM クライアント登録の認可オプション
次のいずれかの方法を使用して、IdM クライアントの登録を許可できます。
- ランダムなワンタイムパスワード (OTP) + 管理者パスワード
- ランダムなワンタイムパスワード (OTP) + 管理者キータブ
- 前回登録時のクライアントキータブ
-
インベントリーファイルに保存されているクライアント (
admin
) を登録する権限を持つユーザーのパスワード -
Ansible vault に保存されているクライアント (
admin
) を登録する権限を持つユーザーのパスワード
以下は、これらのメソッドのサンプルインベントリーファイルです。
認可オプション | インベントリーファイル |
---|---|
ランダムなワンタイムパスワード (OTP) + 管理者パスワード | Playbook の実行中に OTP を生成する場合: [ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true または
インストール前に IdM [ipaclients:vars] ipaclient_otp=<W5YpARl=7M.> |
ランダムなワンタイムパスワード (OTP) + 管理者キータブ |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
前回登録時のクライアントキータブ |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
インベントリーファイルに保存されている |
[ipaclients:vars] ipaadmin_password=Secret123 |
Ansible vault ファイルに保存されている |
[ipaclients:vars] [...] |
Ansible vault ファイルに保存されている 管理者
ユーザーのパスワードを使用している場合は、対応する Playbook ファイルに追加の vars_files
ディレクティブが必要です。
インベントリーファイル | Playbook ファイル |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present |
上記の他のすべての認可シナリオでは、基本的な Playbook ファイルは次のようになります。
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
RHEL 8.8 以降、上記の 2 つの OTP 承認シナリオでは、kinit
コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 8.8 より前では、コントロールノードに krb5-workstation
パッケージが必要でした。