36.14. Ansible を使用して、IdM グループに IdM クライアントのサウンドカードへのアクセス権を付与する
ansible-freeipa
の idview
および idoverridegroup
モジュールを使用して、Identity Management (IdM) または Active Directory (AD) ユーザーを IdM クライアント上の audio
ローカルグループのメンバーにすることができます。これにより、IdM または AD ユーザーに、ホスト上のサウンドカードへの特権アクセスが付与されます。
この手順で使用する例では、idview_for_host01 ID ビューに、GID
63 を持つ audio グループの ID オーバーライドを追加します。この GID は、RHEL ホスト上の audio
ローカルグループの GID に対応するものです。idview_for_host01 ID ビューは、host01.idm.example.com という名前の IdM クライアントに適用されます。
前提条件
次の要件を満たすように Ansible コントロールノードを設定した。
- Ansible バージョン 2.14 以降を使用している。
-
Ansible コントローラーに
ansible-freeipa
パッケージがインストールされている。 - RHEL 8.10 以降を使用している。
- この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成したことを前提としている。
-
この例では、secret.yml Ansible vault に
ipaadmin_password
が保存されていることを前提としています。
手順
オプション: RHEL ホスト上のローカル
audio
グループの GID を特定します。$ getent group audio --------------------- audio:x:63
Ansible コントロールノードで、次のタスクを含む give-idm-group-access-to-sound-card-on-idm-client.yml Playbook を作成します。
--- - name: Playbook to give IdM group access to sound card on IdM client hosts: ipaserver become: false tasks: - name: Ensure the audio group exists in IdM ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: audio - name: Ensure idview_for_host01 exists and is applied to host01.idm.example.com ipaidview: ipaadmin_password: ”{{ ipaadmin_password }}" name: idview_for_host01 host: host01.idm.example.com - name: Add an override for the IdM audio group with GID 63 to idview_for_host01 ipaidoverridegroup: ipaadmin_password: "{{ ipaadmin_password }}" idview: idview_for_host01 anchor: audio GID: 63
- ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
$ ansible-playbook --vault-password-file=password_file -v -i inventory give-idm-group-access-to-sound-card-on-idm-client.yml
検証
IdM クライアントで、IdM 管理者の認証情報を取得します。
$ kinit admin Password:
テスト IdM ユーザーを作成します。
$ ipa user-add testuser --first test --last user --password User login [tuser]: Password: Enter Password again to verify: ------------------ Added user "tuser" ------------------
ユーザーを IdM オーディオグループに追加します。
$ ipa group-add-member --tuser audio
tuser として host01.idm.example.com にログインします。
$ ssh tuser@host01.idm.example.com
ユーザーのグループメンバーシップを確認します。
$ id tuser uid=702801456(tuser) gid=63(audio) groups=63(audio)
関連情報
-
idoverridegroup、idview、ipagroup に関する
ansible-freeipa
アップストリームドキュメント - IdM でのローカルグループとリモートグループのグループマージの有効化