ホーム
製品
Red Hat Enterprise Linux
8
IdM ユーザー、グループ、ホスト、およびアクセス制御ルールの管理
24.5. Ansible を使用して AD ユーザーが IdM を管理できるようにする手順

24.5. Ansible を使用して AD ユーザーが IdM を管理できるようにする手順

ansible-freeipa の idoverrideuser および group モジュールを使用して、信頼済み AD ドメインの Active Directory (AD) ユーザーのユーザー ID オーバーライドを作成し、そのユーザーに IdM ユーザーと同じ権限を付与することができます。この手順では、最初の Playbook タスクで AD に保存されているユーザーの ad_user@ad.example.com ID オーバーライドが追加される デフォルトの信頼ビュー ID ビューの例を使用します。次の Playbook タスクでは、ad_user@ad.example.com ID オーバーライドが IdM 管理者 グループにメンバーとして追加されます。その結果、AD 管理者が 2 つの異なるアカウントとパスワードを使用しなくても IdM を管理できるようになります。

前提条件

IdM admin のパスワードを把握している。
AD とのトラストをインストールしている。
ユーザー ID オーバーライドを追加しようとしているグループが、IdM にすでに存在する。
4.8.7 バージョン以降の IdM を使用している。サーバーにインストールされている IdM のバージョンを表示するには、ipa --version を実行します。
次の要件を満たすように Ansible コントロールノードを設定している。
- Ansible バージョン 2.13 以降を使用している。
- RHEL 8.10 以降を使用している。
- ansible-freeipa パッケージをインストールしている。
- この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイルを作成したことを前提としている。
- この例では、secret.yml Ansible Vault に ipaadmin_password が保存されていることを前提としています。
AD フォレストが IdM と信頼関係にある。この例では、AD ドメインの名前は ad.example.com であり、AD 管理者の完全修飾ドメイン名 (FQDN) は ad_user@ad.example.com です。
インベントリーファイル内の ipaserver ホストが、信頼コントローラーまたは信頼エージェントとして設定されている。
ターゲットノード (ansible-freeipa モジュールが実行されるノード) が、IdM クライアント、サーバー、またはレプリカとして IdM ドメインに含まれている。

手順

~/MyPlaybooks/ ディレクトリーに移動します。
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

ad_user@ad.example.com ユーザーオーバーライドをデフォルトの信頼ビューに追加するタスクを含む enable-ad-admin-to-administer-idm.yml Playbook を作成します。

---
- name: Enable AD administrator to act as a FreeIPA admin
  hosts: ipaserver
  become: false
  gather_facts: false

  tasks:
  - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
    ipaidoverrideuser:
      ipaadmin_password: "{{ ipaadmin_password }}"
      idview: "Default Trust View"
      anchor: ad_user@ad.example.com

---
- name: Enable AD administrator to act as a FreeIPA admin
  hosts: ipaserver
  become: false
  gather_facts: false

  tasks:
  - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
    ipaidoverrideuser:
      ipaadmin_password: "{{ ipaadmin_password }}"
      idview: "Default Trust View"
      anchor: ad_user@ad.example.com

Copy to Clipboard

Toggle word wrap

上記の例では、以下のようになります。

ad_user@ad.example.com は、信頼が確立されている AD ドメインに保存されている AD ユーザーのユーザー ID オーバーライドです。

同じ Playbook 内の別の Playbook タスクを使用して、AD 管理者ユーザー ID オーバーライドを admins グループに追加します。
```
  - name: Add the AD administrator to `admins` group
    ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: admins
      idoverrideuser:
      - ad_user@ad.example.com
```
```
  - name: Add the AD administrator to `admins` group
    ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: admins
      idoverrideuser:
      - ad_user@ad.example.com
```
Copy to Clipboard Toggle word wrap
上記の例では、以下のようになります。
- admins は、ad_user@ad.example.com ID オーバーライドを追加する IdM POSIX グループの名前です。このグループのメンバーには、完全な管理者権限があります。
ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
```
ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml
```
```
$ ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml
```
Copy to Clipboard Toggle word wrap

次のステップ

AD ユーザーが IdM CLI で正しいコマンドを実行できることの確認

トップに戻る

24.5. Ansible を使用して AD ユーザーが IdM を管理できるようにする手順

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links