Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

28장. Ansible 플레이북을 사용하여 Identity Management 클라이언트 설치

Ansible 을 사용하여 IdM(Identity Management) 클라이언트로 시스템을 구성하는 방법에 대해 자세히 알아보십시오. IdM 클라이언트로 시스템을 구성하면 IdM 도메인에 등록되고 시스템의 도메인의 IdM 서버에서 IdM 서비스를 사용할 수 있습니다.

배포는 ipaclient Ansible 역할에서 관리합니다. 기본적으로 역할은 자동 검색 모드를 사용하여 IdM 서버, 도메인 및 기타 설정을 식별합니다. Ansible 플레이북이 지정된 설정을 사용하도록 역할을 수정할 수 있습니다(예: 인벤토리 파일).

사전 요구 사항

  • Ansible 제어 노드에 ansible-freeipa 패키지를 설치했습니다.
  • Ansible 버전 2.15 이상을 사용하고 있습니다.
  • 일반적인 Ansible 및 IdM 개념을 이해하고 있습니다.

Ansible 플레이북을 사용하여 RHEL IdM(Identity Management) 클라이언트를 설치하려면 인벤토리 파일에서 대상 호스트 매개변수를 구성합니다. 예를 들면 다음과 같습니다.

  • 호스트에 대한 정보
  • 작업 권한 부여

인벤토리 파일은 보유한 인벤토리 플러그인에 따라 여러 형식 중 하나일 수 있습니다. INI와 같은 형식은 Ansible의 기본값 중 하나이며 아래 예제에서 사용됩니다.

참고

RHEL에서 그래픽 사용자 인터페이스와 함께 스마트 카드를 사용하려면 Ansible 플레이북에 ipaclient_mkhomedir 변수를 포함해야 합니다.

프로세스

  1. 편집을 위해 인벤토리 파일을 엽니다.

  2. IdM 클라이언트가 될 호스트의 FQDN(정규화된 호스트 이름)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.

    • 숫자, 영문자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
    • 호스트 이름은 모두 소문자여야 합니다. 대문자는 사용할 수 없습니다.

    IdM DNS 영역에 SRV 레코드가 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.

    정의된 클라이언트 FQDN만 있는 간단한 인벤토리 호스트 파일의 예

    [ipaclients]
client.idm.example.com
[...]
    Copy to Clipboard Toggle word wrap

  3. 클라이언트 등록을 위한 인증 정보를 지정합니다. 다음 인증 방법을 사용할 수 있습니다.

    • 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 암호 입니다. 이는 기본 옵션입니다.

      • Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일(예: install-client.yml )을 직접 참조합니다.

        Ansible Vault 파일의 인벤토리 파일 및 암호에서 주체를 사용하는 플레이북 파일의 예

        - name: Playbook to configure IPA clients with username/password
  hosts: ipaclients
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: freeipa.ansible_freeipa.ipaclient
    state: present
        Copy to Clipboard Toggle word wrap

      • 덜 안전하게, inventory/hosts 파일의 [ ipaclients:vars] 섹션에서 ipa admin _password 옵션을 사용하여 관리자의 인증 정보를 제공합니다. 또는 다른 권한이 있는 사용자를 지정하려면 사용자 이름에 ipaadmin_principal 옵션을 사용하고 암호로 ipaadmin_password 옵션을 사용합니다. inventory/hosts 인벤토리 파일과 install-client.yml 플레이북 파일은 다음과 같습니다.

        인벤토리 호스트 파일 예

        [...]
[ipaclients:vars]
ipaadmin_principal=my_admin
ipaadmin_password=Secret123
        Copy to Clipboard Toggle word wrap

        인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

        - name: Playbook to unconfigure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: freeipa.ansible_freeipa.ipaclient
    state: true
        Copy to Clipboard Toggle word wrap

    • 이전 등록의 클라이언트 키탭 은 계속 사용할 수 있습니다.

      이 옵션은 시스템이 이전에 Identity Management 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면 #ipaclient_keytab 옵션의 주석을 제거하고 keytab을 저장하는 파일의 경로를 지정합니다(예: inventory/hosts[ipaclient:vars] 섹션).

    • 등록하는 동안 생성할 임의의 일회성 암호 (OTP)입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서 ipaclient_use_otp=true 옵션을 사용합니다. 예를 들어 inventory/hosts 파일의 [ipaclients:vars] 섹션에서 ipaclient_use_otp=true 옵션의 주석을 해제할 수 있습니다. OTP를 사용하면 다음 옵션 중 하나도 지정해야 합니다.

      • 클라이언트를 등록할 수 있는 사용자의 암호입니다(예: inventory/hosts 파일의 [ipaclients:vars] 섹션에 ipaadmin_password 의 값을 제공합니다.
      • 예를 들어 inventory/hosts[ipaclients:vars] 섹션에 ipaadmin_keytab 값을 제공하여 관리자 키탭 .

  4. 선택 사항: ipaclient_configure_dns_resolveipaclient_dns_servers 옵션(사용 가능한 경우)을 사용하여 DNS 확인자를 지정합니다. IdM 배포에서 통합 DNS를 사용하는 경우 특히 유용합니다.

    DNS 확인자를 지정하는 인벤토리 파일 스니펫입니다.

    [...]
[ipaclients:vars]
ipaadmin_password: "{{ ipaadmin_password }}"
ipaclient_domain=idm.example.com
ipaclient_configure_dns_resolver=true
ipaclient_dns_servers=192.168.100.1
    Copy to Clipboard Toggle word wrap

    참고

    ipaclient_dns_servers 목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.

  5. IdM 수준에서 IdM 사용자에 대해 subid 범위를 구성하려면 ipaclient_subid: true 옵션을 지정할 수도 있습니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat