4.3. Ansible Playbook で IdM クライアント登録の認可オプション
次のいずれかの方法を使用して、IdM クライアントの登録を許可できます。
- ランダムなワンタイムパスワード (OTP) + 管理者パスワード
- ランダムなワンタイムパスワード (OTP) + 管理者キータブ
- 前回登録時のクライアントキータブ
-
インベントリーファイルに保存されているクライアントの登録権限を持つユーザー (
admin
) のパスワード -
Ansible vault に保存されているクライアントの登録権限を持つユーザー (
admin
) のパスワード
IdM クライアントをインストールする前に、IdM 管理者が OTP を生成することも可能です。その場合、インストールに OTP 以外の認証情報は必要ありません。
以下は、これらのメソッドのサンプルインベントリーファイルです。
認可オプション | インベントリーファイル |
---|---|
ランダムなワンタイムパスワード (OTP) + 管理者パスワード |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
ランダムなワンタイムパスワード (OTP) |
[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
このシナリオでは、インストール前に IdM |
ランダムなワンタイムパスワード (OTP) + 管理者キータブ |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
前回登録時のクライアントキータブ |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
インベントリーファイルに保存されている |
[ipaclients:vars] ipaadmin_password=Secret123 |
Ansible vault ファイルに保存されている |
[ipaclients:vars] [...] |
Ansible vault ファイルに保存されている admin
ユーザーのパスワードを使用している場合は、対応する Playbook ファイルに追加の vars_files
ディレクティブが必要です。
インベントリーファイル | Playbook ファイル |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present |
上記で説明したその他すべての認可シナリオの場合、基本的な Playbook ファイルは次のようになります。
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
RHEL 9.2 以降、上記の 2 つの OTP 承認シナリオでは、kinit
コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 9.2 より前は、コントロールノードに krb5-workstation
パッケージが必要でした。