4.3. Ansible Playbook で IdM クライアント登録の認可オプション
次のいずれかの方法を使用して、IdM クライアントの登録を承認できます。
- クライアントを登録する権限を持つユーザーのパスワード: Ansible vault に保存されているパスワード
- クライアントを登録する権限を持つユーザーのパスワード: インベントリーファイルに保存されているパスワード
- ランダムなワンタイムパスワード (OTP)+ 管理者パスワード
- ランダムなワンタイムパスワード (OTP)+ 管理者キータブ
- 前回登録時のクライアントキータブ
以下は、これらのメソッドのサンプルインベントリーファイルと install-client.yml
Playbook ファイルです。
インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present |
インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true Playbook の実行中に OTP を生成する場合 または、以下を実行します。 [ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
インストール前に IdM |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
注記
RHEL 8.8 以降、上記の 2 つの OTP 承認シナリオでは、kinit
コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 8.8 より前は、制御ノードに krb5-workstation
パッケージが必要でした。
インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |