20.12. 単一の Ansible タスクで複数の IdM sudo ルールを管理する

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. 次の内容を含む ensure-presence-of-multiple-sudorules-in-a-task.yml ファイルを作成します。

   ---
   - name: Playbook to handle sudorules
     hosts: ipaserver
     become: true
   
     tasks:
     # Ensure sudo command name: /usr/sbin/dmidecode is present
     - ipasudocmd:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: /usr/sbin/dmidecode
   
     # Ensure sudo command /usr/sbin/reboot is present
     - ipasudocmd:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: /usr/sbin/reboot
   
     # Ensure sudo command /usr/bin/yum is present
     - ipasudocmd:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: /usr/bin/yum
   
     # Ensure a sudo command group is present
     - ipasudocmdgroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: sudogroup01
         sudocmd:
         - /usr/sbin/dmidecode
         - /usr/sbin/reboot
   
     - name: Ensure multiple sudo rules are present using batch mode
       ipasudorule:
         ipaadmin_password: "{{ ipaadmin_password }}"
         sudorules:
           - name: testrule01
             user:
               - user01
               - user02
             group:
               - usergroup01
             allow_sudocmd:
               - /usr/bin/yum
             allow_sudocmdgroup:
               - sudogroup01
           - name: testrule02
             hostgroup:
               - hostgroup01
               - hostgroup02

   注記

   sudorules オプションを使用すると、特定の sudo ルールにのみ適用される複数の sudo ルール変数を指定できます。この sudo ルールは name 変数によって定義されます。これは、sudorules オプションの唯一の必須変数です。この例では、user、group、allow_sudocmd、および allow_sudocmdgroup 変数が、testrule01 sudo ルールに適用されます。

3. ファイルを保存します。

4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory ensure-presence-of-multiple-sudorules-in-a-task.yml