4.3. Ansible Playbook で IdM クライアント登録の認可オプション
次のいずれかの方法を使用して、IdM クライアントの登録を承認できます。
- クライアントを登録する権限を持つユーザーのパスワード: Ansible vault に保存されているパスワード
- クライアントを登録する権限を持つユーザーのパスワード: インベントリーファイルに保存されているパスワード
- ランダムなワンタイムパスワード (OTP)+ 管理者パスワード
- ランダムなワンタイムパスワード (OTP)+ 管理者キータブ
- 前回登録時のクライアントキータブ
以下は、これらのメソッドのサンプルインベントリーファイルと install-client.yml Playbook ファイルです。
| インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
|---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password
hosts: ipaclients
become: true
vars_files:
- playbook_sensitive_data.yml
roles:
- role: ipaclient
state: present
|
| インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
|---|---|
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
| インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
|---|---|
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true Playbook の実行中に OTP を生成する場合 または、以下を実行します。 [ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
インストール前に IdM |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
| インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
|---|---|
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
注記
RHEL 8.8 以降、上記の 2 つの OTP 承認シナリオでは、kinit コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 8.8 より前は、制御ノードに krb5-workstation パッケージが必要でした。
| インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
|---|---|
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
