Ansible을 사용하여 RHEL에서 Identity Management 설치 및 관리

프로세스

1. ~/MyPlaybooks/ 디렉터리를 생성합니다.

   $ mkdir MyPlaybooks

2. ~/MyPlaybooks/inventory 파일을 만듭니다.

3. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의FQDN(정규화된 도메인 이름)을 지정합니다. FQDN 이 다음 기준을 충족하는지 확인합니다.

   • 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다.
4. IdM 도메인 및 영역 정보를 지정합니다.

5. 다음 옵션을 추가하여 통합 DNS를 사용하도록 지정합니다.

   ipaserver_setup_dns=true

6. DNS 전달 설정을 지정합니다. 다음 옵션 중 하나를 선택합니다.

   • 설치 프로그램이 /etc/resolv.conf 파일에서 전달자를 사용하려면 ipaserver_auto_forwarders=true 옵션을 사용합니다. /etc/resolv.conf 파일에 지정된 이름 서버가 localhost 127.0.0.1 주소이거나 가상 사설 네트워크에 있고 사용 중인 DNS 서버가 일반적으로 공용 인터넷에서 연결할 수 없는 경우 이 옵션을 사용하지 마십시오.
   • ipaserver_forwarders 옵션을 사용하여 전달자를 수동으로 지정합니다. 설치 프로세스는 설치된 IdM 서버의 /etc/named.conf 파일에 전달자 IP 주소를 추가합니다.

   • ipaserver_no_forwarders=true 옵션을 사용하여 대신 사용할 루트 DNS 서버를 구성합니다.

     참고

     DNS 전달자가 없으면 사용자 환경이 분리되어 있으며 인프라의 다른 DNS 도메인의 이름이 확인되지 않습니다.

7. DNS 역방향 레코드 및 영역 설정을 지정합니다. 다음 옵션 중에서 선택합니다.

   • ipaserver_allow_zone_overlap=true 옵션을 사용하여 영역이 이미 확인 가능한 경우에도 (반복) 영역을 생성할 수 있습니다.
   • ipaserver_reverse_zones 옵션을 사용하여 역방향 영역을 수동으로 지정합니다.

   • 설치 프로그램이 역방향 DNS 영역을 생성하지 않으려면 ipaserver_no_reverse=true 옵션을 사용합니다.

     참고

     IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 사용할 수 있습니다.

8. admin 및 Directory Manager 의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일을 참조합니다. 또는 덜 안전하게 인벤토리 파일에서 직접 암호를 지정합니다.

9. 선택 사항: IdM 서버에서 사용할 사용자 지정 firewalld 영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM은 해당 서비스를 기본 firewalld 영역에 추가합니다. 사전 정의된 기본 영역은 public 입니다.

   중요

   지정된 firewalld 영역이 있어야 하며 영구 영역이어야 합니다.

   필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   [...]

   필수 서버 정보가 있는 인벤토리 파일의 예(암호 포함)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   사용자 지정 firewalld 영역이 있는 인벤토리 파일의 예

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Ansible Vault 파일에 저장된 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 플레이북의 예

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present

   인벤토리 파일에서 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 플레이북의 예

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present

프로세스

1. ~/MyPlaybooks/ 디렉터리를 생성합니다.

   $ mkdir MyPlaybooks

2. ~/MyPlaybooks/inventory 파일을 만듭니다.

3. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의FQDN(정규화된 도메인 이름)을 지정합니다. FQDN 이 다음 기준을 충족하는지 확인합니다.

   • 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다.
4. IdM 도메인 및 영역 정보를 지정합니다.
5. ipaserver_setup_dns 옵션이 no 또는 absent로 설정되어 있는지 확인합니다.
6. admin 및 Directory Manager 의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일을 참조합니다. 또는 덜 안전하게 인벤토리 파일에서 직접 암호를 지정합니다.

7. 선택 사항: IdM 서버에서 사용할 사용자 지정 firewalld 영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM은 해당 서비스를 기본 firewalld 영역에 추가합니다. 사전 정의된 기본 영역은 public 입니다.

   중요

   지정된 firewalld 영역이 있어야 하며 영구 영역이어야 합니다.

   필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   필수 서버 정보가 있는 인벤토리 파일의 예(암호 포함)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   사용자 지정 firewalld 영역이 있는 인벤토리 파일의 예

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Ansible Vault 파일에 저장된 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 플레이북의 예

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present

   인벤토리 파일에서 admin 및 Directory Manager 암호를 사용하여 IdM 서버를 설정하는 플레이북의 예

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present

프로세스

1. Ansible Playbook을 실행합니다.

   $ ansible-playbook -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server.yml

2. 다음 옵션 중 하나를 선택합니다.

   • IdM 배포에서 외부 DNS를 사용하는 경우: /tmp/ipa.system.records.UFRPto.db 파일에 포함된 DNS 리소스 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   중요

   기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.

   • IdM 배포에서 통합 DNS를 사용하는 경우:

     • 상위 도메인의 DNS 위임을 IdM DNS 도메인에 추가합니다. 예를 들어 IdM DNS 도메인이 idm.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.

       중요

       IdM DNS 서버가 설치되면 이 단계를 반복합니다.

     • 시간 서버의 _ntp._udp 서비스(SRV) 레코드를 IdM DNS에 추가합니다. IdM DNS에 새로 설치된 IdM 서버의 시간 서버에 SRV 레코드가 있으면 이 기본 IdM 서버에서 사용하는 시간 서버와 동기화되도록 향후 복제본 및 클라이언트 설치가 자동으로 구성됩니다.

프로세스

1. ~/MyPlaybooks/ 디렉터리를 생성합니다.

   $ mkdir MyPlaybooks

2. ~/MyPlaybooks/inventory 파일을 만듭니다.

3. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의FQDN(정규화된 도메인 이름)을 지정합니다. FQDN 이 다음 기준을 충족하는지 확인합니다.

   • 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다.
4. IdM 도메인 및 영역 정보를 지정합니다.

5. 다음 옵션을 추가하여 통합 DNS를 사용하도록 지정합니다.

   ipaserver_setup_dns=true

6. DNS 전달 설정을 지정합니다. 다음 옵션 중 하나를 선택합니다.

   • 설치 프로세스에서 /etc/resolv.conf 파일의 전달자를 사용하려면 ipaserver_auto_forwarders=true 옵션을 사용합니다. /etc/resolv.conf 파일에 지정된 이름 서버가 localhost 127.0.0.1 주소이거나 가상 사설 네트워크에 있고 사용 중인 DNS 서버가 일반적으로 공용 인터넷에서 연결할 수 없는 경우에는 이 옵션을 사용하지 않는 것이 좋습니다.
   • ipaserver_forwarders 옵션을 사용하여 전달자를 수동으로 지정합니다. 설치 프로세스는 설치된 IdM 서버의 /etc/named.conf 파일에 전달자 IP 주소를 추가합니다.

   • ipaserver_no_forwarders=true 옵션을 사용하여 대신 사용할 루트 DNS 서버를 구성합니다.

     참고

     DNS 전달자가 없으면 사용자 환경이 분리되어 있으며 인프라의 다른 DNS 도메인의 이름이 확인되지 않습니다.

7. DNS 역방향 레코드 및 영역 설정을 지정합니다. 다음 옵션 중에서 선택합니다.

   • ipaserver_allow_zone_overlap=true 옵션을 사용하여 영역이 이미 확인 가능한 경우에도 (반복) 영역을 생성할 수 있습니다.
   • ipaserver_reverse_zones 옵션을 사용하여 역방향 영역을 수동으로 지정합니다.

   • 설치 프로세스에서 역방향 DNS 영역을 생성하지 않으려면 ipaserver_no_reverse=true 옵션을 사용합니다.

     참고

     IdM을 사용하여 역방향 영역을 관리하는 것은 선택 사항입니다. 대신 외부 DNS 서비스를 사용할 수 있습니다.

8. admin 및 Directory Manager 의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일을 참조합니다. 또는 덜 안전하게 인벤토리 파일에서 직접 암호를 지정합니다.

9. 선택 사항: IdM 서버에서 사용할 사용자 지정 firewalld 영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM은 해당 서비스를 기본 firewalld 영역에 추가합니다. 사전 정의된 기본 영역은 public 입니다.

   중요

   지정된 firewalld 영역이 있어야 하며 영구 영역이어야 합니다.

   필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   [...]

   필수 서버 정보가 있는 인벤토리 파일의 예(암호 포함)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   사용자 지정 firewalld 영역이 있는 인벤토리 파일의 예

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=true
   ipaserver_auto_forwarders=true
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

10. 설치 첫 번째 단계에 대한 플레이북을 생성합니다. CSR(인증서 서명 요청)을 생성하고 컨트롤러에서 관리 노드로 복사하는 지침을 입력합니다.

    ---
    - name: Playbook to configure IPA server Step 1
      hosts: ipaserver
      become: true
      vars_files:
      - playbook_sensitive_data.yml
      vars:
        ipaserver_external_ca: true
    
      roles:
      - role: freeipa.ansible_freeipa.ipaserver
        state: present
    
      post_tasks:
      - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
        fetch:
          src: /root/ipa.csr
          dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
          flat: true

11. 설치의 마지막 단계에 사용할 다른 플레이북을 생성합니다.

    ---
    - name: Playbook to configure IPA server Step 2
      hosts: ipaserver
      become: true
      vars_files:
      - playbook_sensitive_data.yml
      vars:
        ipaserver_external_cert_files:
          - "/root/servercert20240601.pem"
          - "/root/cacert.pem"
    
      pre_tasks:
      - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
        ansible.builtin.copy:
          src: "{{ groups.ipaserver[0] }}-{{ item }}"
          dest: "/root/{{ item }}"
          force: true
        with_items:
        - servercert20240601.pem
        - cacert.pem
    
      roles:
      - role: freeipa.ansible_freeipa.ipaserver
        state: present

프로세스

1. ~/MyPlaybooks/ 디렉터리를 생성합니다.

   $ mkdir MyPlaybooks

2. ~/MyPlaybooks/inventory 파일을 만듭니다.

3. 편집할 인벤토리 파일을 엽니다. IdM 서버로 사용할 호스트의FQDN(정규화된 도메인 이름)을 지정합니다. FQDN 이 다음 기준을 충족하는지 확인합니다.

   • 영숫자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다.
4. IdM 도메인 및 영역 정보를 지정합니다.
5. ipaserver_setup_dns 옵션이 no 또는 absent로 설정되어 있는지 확인합니다.
6. admin 및 Directory Manager 의 암호를 지정합니다. Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일을 참조합니다. 또는 덜 안전하게 인벤토리 파일에서 직접 암호를 지정합니다.

7. 선택 사항: IdM 서버에서 사용할 사용자 지정 firewalld 영역을 지정합니다. 사용자 지정 영역을 설정하지 않으면 IdM은 해당 서비스를 기본 firewalld 영역에 추가합니다. 사전 정의된 기본 영역은 public 입니다.

   중요

   지정된 firewalld 영역이 있어야 하며 영구 영역이어야 합니다.

   필요한 서버 정보가 있는 인벤토리 파일의 예(암호 제외)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   필수 서버 정보가 있는 인벤토리 파일의 예(암호 포함)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   사용자 지정 firewalld 영역이 있는 인벤토리 파일의 예

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

8. 설치 첫 번째 단계에 대한 플레이북을 생성합니다. CSR(인증서 서명 요청)을 생성하고 컨트롤러에서 관리 노드로 복사하는 지침을 입력합니다.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: true

9. 설치의 마지막 단계에 사용할 다른 플레이북을 생성합니다.

   ---
   - name: Playbook to configure IPA server Step 2
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files:
         - "/root/servercert20240601.pem"
         - "/root/cacert.pem"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] }}-{{ item }}" to "/root/{{ item }}" on node
       ansible.builtin.copy:
         src: "{{ groups.ipaserver[0] }}-{{ item }}"
         dest: "/root/{{ item }}"
         force: true
       with_items:
       - servercert20240601.pem
       - cacert.pem
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       state: present

프로세스

1. 설치의 첫 번째 단계에 대한 지침을 사용하여 Ansible 플레이북을 실행합니다(예: install-server-step1.yml ):

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step1.yml

2. 컨트롤러에서 ipa.csr 인증서 서명 요청 파일을 찾아 외부 CA에 제출합니다.
3. 다음 단계의 플레이북에서 찾을 수 있도록 외부 CA에서 서명한 IdM CA 인증서를 컨트롤러 파일 시스템에 배치합니다.

4. 설치의 최종 단계에 대한 지침을 사용하여 Ansible 플레이북을 실행합니다(예: install-server-step2.yml ):

   $ ansible-playbook -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-server-step2.yml

5. 다음 옵션 중 하나를 선택합니다.

   • IdM 배포에서 외부 DNS를 사용하는 경우: /tmp/ipa.system.records.UFRPto.db 파일에 포함된 DNS 리소스 레코드를 기존 외부 DNS 서버에 추가합니다. DNS 레코드를 업데이트하는 프로세스는 특정 DNS 솔루션에 따라 다릅니다.

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   중요

   기존 DNS 서버에 DNS 레코드를 추가할 때까지 서버 설치가 완료되지 않습니다.

   • IdM 배포에서 통합 DNS를 사용하는 경우:

     • 상위 도메인의 DNS 위임을 IdM DNS 도메인에 추가합니다. 예를 들어 IdM DNS 도메인이 idm.example.com 인 경우 example.com 상위 도메인에 이름 서버(NS) 레코드를 추가합니다.

       중요

       IdM DNS 서버가 설치되면 이 단계를 반복합니다.

     • 시간 서버의 _ntp._udp 서비스(SRV) 레코드를 IdM DNS에 추가합니다. IdM DNS에 새로 설치된 IdM 서버의 시간 서버에 SRV 레코드가 있으면 이 기본 IdM 서버에서 사용하는 시간 서버와 동기화되도록 향후 복제본 및 클라이언트 설치가 자동으로 구성됩니다.

프로세스

1. 다음 콘텐츠를 사용하여 Ansible 플레이북 파일 uninstall-server.yml 을 생성합니다.

   ---
   - name: Playbook to uninstall an IdM replica
     hosts: ipaserver
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       ipaserver_remove_from_domain: true
       state: absent

   ipaserver_remove_from_domain 옵션은 IdM 토폴로지에서 호스트를 등록 해제합니다.

   참고

   server123.idm.example.com을 제거해도 연결이 끊긴 토폴로지가 발생하면 제거가 중단됩니다. 자세한 내용은 연결이 끊긴 토폴로지로 이어지는 경우에도 Ansible 플레이북을 사용하여 IdM 서버 설치 제거를 참조하십시오.

2. 복제본을 제거합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/inventory <path_to_playbooks_directory>/uninstall-server.yml

3. server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부와 관계없이 적용됩니다.

프로세스

1. 다음 콘텐츠를 사용하여 Ansible 플레이북 파일 uninstall-server.yml 을 생성합니다.

   ---
   - name: Playbook to uninstall an IdM replica
     hosts: ipaserver
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipaserver
       ipaserver_remove_from_domain: true
       ipaserver_remove_on_server: server456.idm.example.com
       ipaserver_ignore_topology_disconnect: true
       state: absent

   참고

   일반적인 상황에서 server123을 제거하면 연결이 끊긴 토폴로지가 발생하지 않습니다. ipaserver_remove_on_server 의 값이 설정되지 않은 경우 server123이 제거된 복제본은 server123의 복제 계약을 사용하여 자동으로 결정됩니다.

2. 복제본을 제거합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/uninstall-server.yml

3. server123.idm.example.com 을 가리키는 모든 이름 서버(NS) DNS 레코드가 DNS 영역에서 삭제되었는지 확인합니다. 이는 IdM 또는 외부 DNS에서 관리하는 통합 DNS를 사용하는지 여부와 관계없이 적용됩니다.

프로세스

1. 편집할 인벤토리 파일을 엽니다. IdM 복제본이 될 호스트의 FQDN(정규화된 도메인 이름)을 지정합니다. FQDN은 유효한 DNS 이름이어야 합니다.

   • 숫자, 영문자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.

   • 호스트 이름은 모두 소문자여야 합니다.

     복제본의 FQDN만 정의된 간단한 인벤토리 호스트 파일의 예

     [ipareplicas]
     replica1.idm.example.com
     replica2.idm.example.com
     replica3.idm.example.com
     [...]

     IdM 서버가 이미 배포되어 있고 IdM DNS 영역에 SRV 레코드가 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.

2. 선택 사항: 토폴로지를 설계한 방법에 따라 인벤토리 파일에서 추가 정보를 제공합니다.

   시나리오 1

   자동 검색을 방지하고 [ipareplicas] 섹션에 모든 복제본이 특정 IdM 서버를 사용하도록 하려면 인벤토리 파일의 [ipaservers] 섹션에 서버를 설정합니다.

   IdM 서버 및 정의된 복제본의 FQDN이 있는 인벤토리 호스트 파일의 예

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]

   시나리오 2

   또는 자동 검색을 피하지만 특정 서버를 사용하여 특정 복제본을 배포하려면 인벤토리 파일의 ipareplicas 섹션에서 특정 복제본의 서버를 개별적으로 설정합니다.

   특정 복제본에 대해 정의된 특정 IdM 서버가 있는 인벤토리 파일의 예

   [ipaservers]
   server.idm.example.com
   replica1.idm.example.com
   
   [ipareplicas]
   replica2.idm.example.com
   replica3.idm.example.com ipareplica_servers=replica1.idm.example.com

   위의 예에서 replica3.idm.example.com 은 이미 배포된 replica1.idm.example.com 을 복제 소스로 사용합니다.

   시나리오 3

   여러 복제본을 하나의 일괄 처리로 배포하고 시간이 우려하는 경우 다중 계층 복제본 배포가 유용할 수 있습니다. 인벤토리 파일에 특정 복제본 그룹(예: [ipareplicas_tier1] 및 [ipareplicas_tier2] )을 정의하고 install-replica.yml 플레이북의 각 그룹에 대해 별도의 플레이를 설계합니다.

   복제본 계층이 정의된 인벤토리 파일의 예

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas_tier1]
   replica1.idm.example.com
   
   [ipareplicas_tier2]
   replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com

   ipareplica_servers 의 첫 번째 항목이 사용됩니다. 두 번째 항목은 폴백 옵션으로 사용됩니다. IdM 복제본을 배포하기 위해 여러 계층을 사용하는 경우 먼저 tier1에서 복제본을 배포한 다음 tier2의 복제본을 배포하기 위해 플레이북에 별도의 작업이 있어야 합니다.

   다른 복제본 그룹에 대해 다른 플레이가 있는 플레이북 파일의 예

   ---
   - name: Playbook to configure IPA replicas (tier1)
     hosts: ipareplicas_tier1
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipareplica
       state: present
   
   - name: Playbook to configure IPA replicas (tier2)
     hosts: ipareplicas_tier2
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipareplica
       state: present

3. 선택 사항: firewalld 및 DNS에 대한 추가 정보를 제공합니다.

   시나리오 1

   복제본에서 지정된 firewalld 영역을 사용하도록 하려면(예: 내부) 인벤토리 파일에서 지정할 수 있습니다. 사용자 지정 영역을 설정하지 않으면 IdM은 해당 서비스를 기본 firewalld 영역에 추가합니다. 사전 정의된 기본 영역은 public 입니다.

   중요

   지정된 firewalld 영역이 있어야 하며 영구 영역이어야 합니다.

   사용자 지정 firewalld 영역이 있는 간단한 인벤토리 호스트 파일의 예

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_firewalld_zone=custom zone

   시나리오 2

   복제본에서 IdM DNS 서비스를 호스팅하려면 ipareplica_setup_dns=true 행을 [ipareplicas:vars] 섹션에 추가합니다. 또한 서버별 DNS 전달자를 사용하려면 을 지정합니다.

   • 서버별 전달자를 구성하려면 ipareplica_forwarders 변수와 문자열 목록을 [ipareplicas:vars] 섹션에 추가합니다. 예를 들면 ipareplica_forwarders=192.0.2.1,192.0.2.2
   • 서버별 전달자를 구성하지 않으려면 [ipareplicas:vars] 섹션에 다음 행을 추가합니다. ipareplica_no_forwarders=true.
   • 복제본의 /etc/resolv.conf 파일에 나열된 전달자를 기반으로 서버별 전달자를 구성하려면 ipareplica_auto_forwarders 변수를 [ipareplicas:vars] 섹션에 추가합니다.

   복제본에서 DNS 및 서버별 전달자를 설정하는 지침이 있는 인벤토리 파일의 예

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_setup_dns=true
   ipareplica_forwarders=192.0.2.1,192.0.2.2

   시나리오 3

   ipaclient_configure_dns_resolve 및 ipaclient_dns_servers 옵션(사용 가능한 경우)을 사용하여 DNS 확인자를 지정하여 클러스터 배포를 단순화합니다. IdM 배포에서 통합 DNS를 사용하는 경우 특히 유용합니다.

   DNS 확인자를 지정하는 인벤토리 파일 스니펫입니다.

   [...]
   [ipaclient:vars]
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   참고

   ipaclient_dns_servers 목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.

프로세스

1. 복제본을 배포할 수 있는 사용자의 암호를 지정합니다(예: IdM 관리자 ).

   • Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일을 참조합니다(예: install-replica.yml ).

     Ansible Vault 파일의 인벤토리 파일 및 암호에서 주체를 사용하는 플레이북 파일의 예

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
       vars_files:
       - playbook_sensitive_data.yml
     
       roles:
       - role: freeipa.ansible_freeipa.ipareplica
         state: present

     Ansible Vault 사용 방법에 대한 자세한 내용은 공식 Ansible Vault 설명서를 참조하십시오.

   • 덜 안전하게, 인벤토리 파일에서 직접 admin 의 자격 증명을 제공합니다. 인벤토리 파일의 [ipareplicas:vars] 섹션에서 ipaadmin_password 옵션을 사용합니다. 인벤토리 파일과 install-replica.yml 플레이북 파일은 다음과 같습니다.

     인벤토리 hosts.replica 파일 예

     [...]
     [ipareplicas:vars]
     ipaadmin_password=Secret123

     인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: freeipa.ansible_freeipa.ipareplica
         state: present

   • 또는 덜 안전하게, 인벤토리 파일에 직접 복제본을 배포할 수 있는 권한이 있는 다른 사용자의 자격 증명을 제공합니다. 다른 권한이 있는 사용자를 지정하려면 사용자 이름에 ipaadmin_principal 옵션을 사용하고 암호에 ipaadmin_password 옵션을 사용합니다. 인벤토리 파일과 install-replica.yml 플레이북 파일은 다음과 같습니다.

     인벤토리 hosts.replica 파일 예

     [...]
     [ipareplicas:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=my_admin_secret123

     인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: freeipa.ansible_freeipa.ipareplica
         state: present

프로세스

1. 편집을 위해 인벤토리 파일을 엽니다.

2. IdM 클라이언트가 될 호스트의 FQDN(정규화된 호스트 이름)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.

   • 숫자, 영문자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다. 대문자는 사용할 수 없습니다.

   IdM DNS 영역에 SRV 레코드가 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.

   정의된 클라이언트 FQDN만 있는 간단한 인벤토리 호스트 파일의 예

   [ipaclients]
   client.idm.example.com
   [...]

3. 클라이언트 등록을 위한 인증 정보를 지정합니다. 다음 인증 방법을 사용할 수 있습니다.

   • 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 암호 입니다. 이는 기본 옵션입니다.

     • Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일(예: install-client.yml )을 직접 참조합니다.

       Ansible Vault 파일의 인벤토리 파일 및 암호에서 주체를 사용하는 플레이북 파일의 예

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: freeipa.ansible_freeipa.ipaclient
           state: present

     • 덜 안전하게, inventory/hosts 파일의 [ ipaclients:vars] 섹션에서 ipa admin _password 옵션을 사용하여 관리자의 인증 정보를 제공합니다. 또는 다른 권한이 있는 사용자를 지정하려면 사용자 이름에 ipaadmin_principal 옵션을 사용하고 암호로 ipaadmin_password 옵션을 사용합니다. inventory/hosts 인벤토리 파일과 install-client.yml 플레이북 파일은 다음과 같습니다.

       인벤토리 호스트 파일 예

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: freeipa.ansible_freeipa.ipaclient
           state: true

   • 이전 등록의 클라이언트 키탭 은 계속 사용할 수 있습니다.

     이 옵션은 시스템이 이전에 Identity Management 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면 #ipaclient_keytab 옵션의 주석을 제거하고 keytab을 저장하는 파일의 경로를 지정합니다(예: inventory/hosts 의 [ipaclient:vars] 섹션).

   • 등록하는 동안 생성할 임의의 일회성 암호 (OTP)입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서 ipaclient_use_otp=true 옵션을 사용합니다. 예를 들어 inventory/hosts 파일의 [ipaclients:vars] 섹션에서 ipaclient_use_otp=true 옵션의 주석을 해제할 수 있습니다. OTP를 사용하면 다음 옵션 중 하나도 지정해야 합니다.

     • 클라이언트를 등록할 수 있는 사용자의 암호입니다(예: inventory/hosts 파일의 [ipaclients:vars] 섹션에 ipaadmin_password 의 값을 제공합니다.
     • 예를 들어 inventory/hosts 의 [ipaclients:vars] 섹션에 ipaadmin_keytab 값을 제공하여 관리자 키탭 .

4. 선택 사항: ipaclient_configure_dns_resolve 및 ipaclient_dns_servers 옵션(사용 가능한 경우)을 사용하여 DNS 확인자를 지정합니다. IdM 배포에서 통합 DNS를 사용하는 경우 특히 유용합니다.

   DNS 확인자를 지정하는 인벤토리 파일 스니펫입니다.

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   참고

   ipaclient_dns_servers 목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.

5. IdM 수준에서 IdM 사용자에 대해 subid 범위를 구성하려면 ipaclient_subid: true 옵션을 지정할 수도 있습니다.

프로세스

1. IdM 클라이언트가 될 호스트의 FQDN(정규화된 호스트 이름)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.

   • 숫자, 영문자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.
   • 호스트 이름은 모두 소문자여야 합니다. 대문자는 사용할 수 없습니다.

2. 인벤토리/hosts 파일의 관련 섹션에서 다른 옵션을 지정합니다.

   • 클라이언트가 등록할 IdM 서버를 나타내는 [ipaservers] 섹션에 있는 서버의 FQDN

   • 다음 두 옵션 중 하나입니다.

     • 클라이언트가 등록할 IdM 서버의 DNS 도메인 이름을 나타내는 [ipaclients:vars] 섹션의 ipaclient_domain 옵션

     • IdM 서버에서 제어하는 Kerberos 영역의 이름을 나타내는 [ipaclients:vars] 섹션의 ipaclient_realm 옵션

       클라이언트 FQDN, 서버 FQDN 및 정의된 도메인이 있는 인벤토리 호스트 파일의 예

       [ipaclients]
       client.idm.example.com
       
       [ipaservers]
       server.idm.example.com
       
       [ipaclients:vars]
       ipaclient_domain=idm.example.com
       [...]

3. 클라이언트 등록을 위한 인증 정보를 지정합니다. 다음 인증 방법을 사용할 수 있습니다.

   • 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 암호 입니다. 이는 기본 옵션입니다.

     • Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일(예: install-client.yml )을 직접 참조합니다.

       Ansible Vault 파일의 인벤토리 파일 및 암호에서 주체를 사용하는 플레이북 파일의 예

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: freeipa.ansible_freeipa.ipaclient
           state: present

   • 덜 안전하게, inventory/hosts 파일의 [ ipaclients:vars] 섹션에서 ipa admin _password 옵션을 사용하여 제공할 관리자의 자격 증명입니다. 또는 다른 권한이 있는 사용자를 지정하려면 사용자 이름에 ipaadmin_principal 옵션을 사용하고 암호로 ipaadmin_password 옵션을 사용합니다. install-client.yml 플레이북 파일은 다음과 같습니다.

     인벤토리 호스트 파일 예

     [...]
     [ipaclients:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=Secret123

     인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

     - name: Playbook to unconfigure IPA clients
       hosts: ipaclients
       become: true
     
       roles:
       - role: freeipa.ansible_freeipa.ipaclient
         state: true

   • 이전 등록의 클라이언트 키탭 은 계속 사용할 수 있습니다.

     이 옵션은 시스템이 이전에 Identity Management 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면 ipaclient_keytab 옵션의 주석을 제거하고 키탭을 저장하는 파일의 경로를 지정합니다(예: inventory/hosts 의 [ipaclient:vars] 섹션).

   • 등록하는 동안 생성할 임의의 일회성 암호 (OTP)입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서 ipaclient_use_otp=true 옵션을 사용합니다. 예를 들어 inventory/hosts 파일의 [ipaclients:vars] 섹션에서 #ipaclient_use_otp=true 옵션의 주석을 해제할 수 있습니다. OTP를 사용하면 다음 옵션 중 하나도 지정해야 합니다.

     • 클라이언트를 등록할 수 있는 사용자의 암호입니다(예: inventory/hosts 파일의 [ipaclients:vars] 섹션에 ipaadmin_password 의 값을 제공합니다.
     • 예를 들어 inventory/hosts 의 [ipaclients:vars] 섹션에 ipaadmin_keytab 값을 제공하여 관리자 키탭 .
4. IdM 수준에서 IdM 사용자에 대해 subid 범위를 구성하려면 ipaclient_subid: true 옵션을 지정할 수도 있습니다.

프로세스

1. 호스트 등록 권한이 있고 DNS 레코드를 추가할 수 있는 권한이 있는 역할을 사용하여 IdM 사용자로 IdM 호스트에 SSH 를 실행하십시오.

   $ ssh admin@server.idm.example.com

2. 새 클라이언트에 대한 OTP를 생성합니다.

   [admin@server ~]$ ipa host-add client.idm.example.com --ip-address=172.25.250.11 --random
    --------------------------------------------------
    Added host "client.idm.example.com"
    --------------------------------------------------
     Host name: client.idm.example.com
     Random password: W5YpARl=7M.n
     Password: True
     Keytab: False
     Managed by: server.idm.example.com

   --ip-address= <your_host_ip_address > 옵션은 지정된 IP 주소를 사용하여 IdM DNS에 호스트를 추가합니다.

3. IdM 호스트를 종료합니다.

   $ exit
   logout
   Connection to server.idm.example.com closed.

4. ansible 컨트롤러에서 임의의 암호를 포함하도록 인벤토리 파일을 업데이트합니다.

   [...]
   [ipaclients]
   client.idm.example.com
   
   [ipaclients:vars]
   ipaclient_domain=idm.example.com
   ipaclient_otp=W5YpARl=7M.n
   [...]

5. 플레이북을 실행하여 클라이언트를 설치합니다.

   $ ansible-playbook -i inventory install-client.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 변경합니다.

   $ cd ~/MyPlaybooks

2. 다음 콘텐츠를 사용하여 ~/MyPlaybooks/ansible.cfg 파일을 생성합니다.

   [defaults]
   inventory = /home/your_username/MyPlaybooks/inventory
   remote_user = admin

3. 다음 콘텐츠를 사용하여 ~/MyPlaybooks/inventory 파일을 만듭니다.

   [eu]
   server.idm.example.com
   
   [us]
   replica.idm.example.com
   
   [ipaserver:children]
   eu
   us

   이 구성은 이러한 위치의 호스트에 대해 두 개의 호스트 그룹 eu 와 us 를 정의합니다. 또한 이 구성은 eu 및 us 그룹의 모든 호스트를 포함하는 ipaserver 호스트 그룹을 정의합니다.

4. 선택 사항: SSH 공개 및 개인 키를 생성합니다. 테스트 환경에서 액세스를 단순화하려면 개인 키에 암호를 설정하지 마십시오.

   $ ssh-keygen

5. SSH 공개 키를 각 관리 노드의 IdM 관리자 계정에 복사합니다.

   $ ssh-copy-id admin@server.idm.example.com
   $ ssh-copy-id admin@replica.idm.example.com

   이러한 명령을 사용하려면 IdM 관리자 암호를 입력해야 합니다.

6. vault 암호가 포함된 password_file 파일을 생성합니다.

   redhat

7. 파일을 수정하려면 권한을 변경합니다.

   $ chmod 0600 password_file

8. secret.yml Ansible vault를 생성하여 IdM 관리자 암호를 저장합니다.

   1. vault 암호를 저장하도록 password_file 을 구성합니다.

      $ ansible-vault create --vault-password-file=password_file secret.yml

   2. 메시지가 표시되면 secret.yml 파일의 내용을 입력합니다.

      ipaadmin_password: Secret123

프로세스

1. inventory.yml 과 같은 파일을 생성하여 선택한 IdM 서버 역할 또는 역할을 기반으로 동적 인벤토리를 생성합니다. 예를 들어 IdM DNS 서버 역할이 있는 서버의 인벤토리를 생성하려면 다음을 수행합니다.

   ---
   plugin: freeipa
   server: server.idm.example.com
   ipaadmin_password: Secret123
   verify: ca.crt
   role: DNS server

   • server 는 스캔을 시작할 호스트의 정규화된 도메인 이름을 정의합니다.
   • 확인을 위해 서버 TLS 인증서 파일을 정의합니다.
   • role 은 호스트가 반환되려면 호스트에 있어야 하는 모든 서버 역할을 정의합니다.

2. freeipa 인벤토리 플러그인으로 식별되는 IdM 서버에 대해 실행할 플레이북(예: bind-playbook.yml )을 생성합니다. 예를 들어 IdM DNS 서버에 설치된 bind 패키지의 릴리스 버전을 확인하려면 다음을 수행합니다.

   ---
   - name: Check bind version
     hosts: ipaservers
   
     tasks:
       - name: Query bind package version
         package:
           name: bind
           state: present
         register: bind_version
   
       - name: Display bind release info
         debug:
           msg: "Bind release: {{ bind_version.results[0].version }}"

3. [선택 사항] 플러그인으로 식별되는 IdM 서버의 그래프 표시를 생성합니다.

   $ ansible-inventory -i inventory.yml --graph
   @all:
     |--@ungrouped
     |--@ipaservers:
     |  |--replica01.idm.example.com

4. Ansible 플레이북을 실행합니다. inventory.yml 파일을 인벤토리로 지정합니다.

   $ ansible-playbook -i inventory.yml bind-playbook.yml
   [...]
   TASK [Display bind release info]
   ok: [10.0.193.174] => {
       "msg": "Bind release: 9.20.3"
   }
   [...]

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 backup-server.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/backup-server.yml backup-my-server.yml

3. 편집할 backup-my-server.yml Ansible 플레이북 파일을 엽니다.

4. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정하여 파일을 조정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.

   ---
   - name: Playbook to backup IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: freeipa.ansible_freeipa.ipabackup
       state: present

5. 파일을 저장합니다.

6. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory backup-my-server.yml

검증

1. 백업한 IdM 서버에 로그인합니다.

2. 백업이 /var/lib/ipa/backup 디렉터리에 있는지 확인합니다.

   [root@server ~]# ls /var/lib/ipa/backup/
   ipa-full-2021-04-30-13-12-00

프로세스

1. 백업을 저장하려면 Ansible 컨트롤러의 홈 디렉터리에 하위 디렉터리를 생성합니다.

   $ mkdir ~/ipabackups

2. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

3. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 backup-server-to-controller.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/backup-server-to-controller.yml backup-my-server-to-my-controller.yml

4. 편집할 backup-my-server-to-my-controller.yml 파일을 엽니다.

5. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.

   2. 선택 사항: IdM 서버에서 백업 사본을 유지하려면 다음 행의 주석을 제거합니다.

       # ipabackup_keep_on_server: true

6. 기본적으로 백업은 Ansible 컨트롤러의 현재 작업 디렉터리에 저장됩니다. 1단계에서 생성한 백업 디렉토리를 지정하려면 ipabackup_controller_path 변수를 추가하고 /home/user/ipabackups 디렉터리로 설정합니다.

   ---
   - name: Playbook to backup IPA server to controller
     hosts: ipaserver
     become: true
     vars:
       ipabackup_to_controller: true
       # ipabackup_keep_on_server: true
       ipabackup_controller_path: /home/user/ipabackups
   
     roles:
     - role: freeipa.ansible_freeipa.ipabackup
       state: present

7. 파일을 저장합니다.

8. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory backup-my-server-to-my-controller.yml

프로세스

1. 백업을 저장하려면 Ansible 컨트롤러의 홈 디렉터리에 하위 디렉터리를 생성합니다.

   $ mkdir ~/ipabackups

2. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

3. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 copy-backup-from-server.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/copy-backup-from-server.yml copy-backup-from-my-server-to-my-controller.yml

4. 편집을 위해 copy-my-backup-from-my-server-to-my-controller.yml 파일을 엽니다.

5. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.
   2. ipabackup_name 변수를 Ansible 컨트롤러에 복사할 IdM 서버의 ipabackup 이름으로 설정합니다.

   3. 기본적으로 백업은 Ansible 컨트롤러의 현재 작업 디렉터리에 저장됩니다. 1단계에서 생성한 디렉터리를 지정하려면 ipabackup_controller_path 변수를 추가하고 /home/user/ipabackups 디렉터리로 설정합니다.

      ---
      - name: Playbook to copy backup from IPA server
        hosts: ipaserver
        become: true
        vars:
          ipabackup_name: ipa-full-2021-04-30-13-12-00
          ipabackup_to_controller: true
          ipabackup_controller_path: /home/user/ipabackups
      
        roles:
        - role: freeipa.ansible_freeipa.ipabackup
          state: present

6. 파일을 저장합니다.

7. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory copy-backup-from-my-server-to-my-controller.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 copy-backup-from-controller.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/copy-backup-from-controller.yml copy-backup-from-my-controller-to-my-server.yml

3. 편집을 위해 copy-my-backup-from-my-controller-to-my-server.yml 파일을 엽니다.

4. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.

   2. ipabackup_name 변수를 IdM 서버에 복사할 Ansible 컨트롤러의 ipabackup 이름으로 설정합니다.

      ---
      - name: Playbook to copy a backup from controller to the IPA server
        hosts: ipaserver
        become: true
      
        vars:
          ipabackup_name: server.idm.example.com_ipa-full-2021-04-30-13-12-00
          ipabackup_from_controller: true
      
        roles:
        - role: freeipa.ansible_freeipa.ipabackup
          state: copied

5. 파일을 저장합니다.

6. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory copy-backup-from-my-controller-to-my-server.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 remove-backup-from-server.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/remove-backup-from-server.yml remove-backup-from-my-server.yml

3. 편집을 위해 remove-backup-from-my-server.yml 파일을 엽니다.

4. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.

   2. ipabackup_name 변수를 IdM 서버에서 제거하려면 ipabackup 의 이름으로 설정합니다.

      ---
      - name: Playbook to remove backup from IPA server
        hosts: ipaserver
        become: true
      
        vars:
          ipabackup_name: ipa-full-2021-04-30-13-12-00
      
        roles:
        - role: freeipa.ansible_freeipa.ipabackup
          state: absent

5. 파일을 저장합니다.

6. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory remove-backup-from-my-server.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 restore-server.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/restore-server.yml restore-my-server.yml

3. 편집할 restore-my-server.yml Ansible 플레이북 파일을 엽니다.

4. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.
   2. ipabackup_name 변수를 복원할 ipabackup _name의 이름으로 설정합니다.

   3. ipabackup_password 변수를 LDAP Directory Manager 암호로 설정합니다.

      ---
      - name: Playbook to restore an IPA server
        hosts: ipaserver
        become: true
      
        vars:
          ipabackup_name: ipa-full-2021-04-30-13-12-00
          ipabackup_password: <your_LDAP_DM_password>
      
        roles:
        - role: freeipa.ansible_freeipa.ipabackup
          state: restored

5. 파일을 저장합니다.

6. 인벤토리 파일과 플레이북 파일을 지정하는 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory restore-my-server.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks 디렉터리에 있는 restore-server-from-controller.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/restore-server-from-controller.yml restore-my-server-from-my-controller.yml

3. 편집할 restore-my-server-from-my-controller.yml 파일을 엽니다.

4. 다음 변수를 설정하여 파일을 조정합니다.

   1. hosts 변수를 인벤토리 파일의 호스트 그룹으로 설정합니다. 이 예에서는 ipaserver 호스트 그룹으로 설정합니다.
   2. ipabackup_name 변수를 복원할 ipabackup _name의 이름으로 설정합니다.

   3. ipabackup_password 변수를 LDAP Directory Manager 암호로 설정합니다.

      ---
      - name: Playbook to restore IPA server from controller
        hosts: ipaserver
        become: true
      
        vars:
          ipabackup_name: server.idm.example.com_ipa-full-2021-04-30-13-12-00
          ipabackup_password: <your_LDAP_DM_password>
          ipabackup_from_controller: true
      
        roles:
        - role: freeipa.ansible_freeipa.ipabackup
          state: restored

5. 파일을 저장합니다.

6. 인벤토리 파일과 플레이북 파일을 지정하여 Ansible 플레이북을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory restore-my-server-from-my-controller.yml

프로세스

1. [optional] /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/retrieve-config.yml Ansible 플레이북 파일을 확인합니다.

   ---
   - name: Playbook to handle global IdM configuration
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Query IPA global configuration
       freeipa.ansible_freeipa.ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
       register: serverconfig
   
     - debug:
         msg: "{{ serverconfig }}"

2. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/retrieve-config.yml
   [...]
   TASK [debug]
   ok: [server.idm.example.com] => {
       "msg": {
           "ansible_facts": {
               "discovered_interpreter_
           },
           "changed": false,
           "config": {
               "ca_renewal_master_server": "server.idm.example.com",
               "configstring": [
                   "AllowNThash",
                   "KDC:Disable Last Success"
               ],
               "defaultgroup": "ipausers",
               "defaultshell": "/bin/bash",
               "emaildomain": "idm.example.com",
               "enable_migration": false,
               "groupsearch": [
                   "cn",
                   "description"
               ],
               "homedirectory": "/home",
               "maxhostname": "64",
               "maxusername": "64",
               "pac_type": [
                   "MS-PAC",
                   "nfs:NONE"
               ],
               "pwdexpnotify": "4",
               "searchrecordslimit": "100",
               "searchtimelimit": "2",
               "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023",
               "selinuxusermaporder": [
                   "guest_u:s0$xguest_u:s0$user_
               ],
               "usersearch": [
                   "uid",
                   "givenname",
                   "sn",
                   "telephonenumber",
                   "ou",
                   "title"
               ]
           },
           "failed": false
       }
   }

프로세스

1. 선택 사항: 현재 IdM CA 갱신 서버를 식별합니다.

   $ ipa config-show | grep 'CA renewal'
     IPA CA renewal master: server.idm.example.com

2. 편집을 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/set-ca-renewal-master-server.yml Ansible 플레이북 파일을 엽니다.

   ---
   - name: Playbook to handle global DNS configuration
     hosts: ipaserver
     become: no
     gather_facts: no
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: set ca_renewal_master_server
       freeipa.ansible_freeipa.ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         ca_renewal_master_server: carenewal.idm.example.com

3. ca_renewal_master_server 변수를 사용하여 CA 갱신 서버의 이름을 설정합니다.
4. 파일을 저장합니다.

5. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/set-ca-renewal-master-server.yml

1. IdM 관리자로 ipaserver 에 로그인합니다.

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. IdM CA 갱신 서버의 ID를 요청합니다.

   $ ipa config-show | grep ‘CA renewal'
   IPA CA renewal master:  carenewal02.idm.example.com

   출력에는 carenewal.idm.example.com 서버가 새 CA 갱신 서버임을 보여줍니다.

프로세스

1. 선택 사항: retrieve-config.yml Ansible 플레이북을 사용하여 IdM 사용자의 현재 쉘을 식별합니다. 자세한 내용은 Ansible 플레이북을 사용하여 IdM 구성 검색을 참조하십시오.

2. 편집을 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/ensure-config-options-are-set.yml Ansible 플레이북 파일을 엽니다.

   ---
   - name: Playbook to ensure some config options are set
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     # Set defaultlogin and maxusername
     - freeipa.ansible_freeipa.ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         defaultshell: /bin/bash
         maxusername: 64

3. defaultshell 변수를 사용하여 IdM 사용자의 기본 쉘 을 /bin/sh 로 설정합니다.
4. 파일을 저장합니다.

5. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/config/ensure-config-options-are-set.yml

1. IdM 관리자로 ipaserver 에 로그인합니다.

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. 현재 쉘을 표시합니다.

   [admin@server /]$ echo "$SHELL"
   /bin/sh

   로그인한 사용자는 sh 쉘을 사용합니다.

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. netbios-domain-name-present.yml Ansible 플레이북 파일을 생성합니다.

3. 파일에 다음 내용을 추가합니다.

   ---
   - name: Playbook to change IdM domain netbios name
     hosts: ipaserver
     become: no
     gather_facts: no
   
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: Set IdM domain netbios name
       freeipa.ansible_freeipa.ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         netbios_name: IPADOM

4. 파일을 저장합니다.

5. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory netbios-domain-name-present.yml

   메시지가 표시되면 vault 파일 암호를 입력합니다.

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. sids-for-users-and-groups-present.yml Ansible 플레이북 파일을 생성합니다.

3. 파일에 다음 내용을 추가합니다.

   ---
   - name: Playbook to ensure SIDs are enabled and users and groups have SIDs
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: Enable SID and generate users and groups SIDS
       freeipa.ansible_freeipa.ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         enable_sid: true
         add_sids: true

   enable_sid 변수는 향후 IdM 사용자 및 그룹에 SID 생성을 활성화합니다. add_sids 변수는 기존 IdM 사용자 및 그룹에 대한 SID를 생성합니다.

   참고

   add_sids: true 를 사용하는 경우 enable_sid 변수도 true 로 설정해야 합니다.

4. 파일을 저장합니다.

5. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml

   메시지가 표시되면 vault 파일 암호를 입력합니다.

프로세스

1. 확인하려는 IdM에 있는 사용자의 데이터로 Ansible 플레이북 파일을 생성합니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/user/add-user.yml 파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 idm_user 라는 사용자를 만들고 Password123 을 사용자 암호로 추가하려면 다음을 수행합니다.

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_user
       freeipa.ansible_freeipa.ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   사용자를 추가하려면 다음 옵션을 사용해야 합니다.

   • name: 로그인 이름
   • first: 첫 번째 이름 문자열
   • last name string

   사용 가능한 사용자 옵션의 전체 목록은 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/README-user.md Markdown 파일을 참조하십시오.

   참고

   update_password: on_create 옵션을 사용하는 경우 Ansible은 사용자를 생성할 때만 사용자 암호를 생성합니다. 사용자가 이미 암호를 사용하여 생성된 경우 Ansible은 새 암호를 생성하지 않습니다.

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

프로세스

1. IdM에서 확인하려는 사용자의 데이터로 Ansible 플레이북 파일을 생성합니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/user/ensure-users-present.yml 파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어, idm_user_1,idm_user_2 및 idm_user_3 사용자를 생성하고 idm_user_1 의 암호로 Password123 을 추가합니다.

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_users
       freeipa.ansible_freeipa.ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   참고

   update_password: on_create 옵션을 지정하지 않으면 Ansible에서 플레이북을 실행할 때마다 사용자 암호를 다시 설정합니다. 사용자가 플레이북을 마지막으로 실행한 후 암호를 변경한 경우 Ansible은 암호를 다시 설정합니다.

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

프로세스

1. 필요한 작업을 사용하여 Ansible 플레이북 파일을 생성합니다. 확인하려는 사용자의 데이터로 JSON 파일을 참조합니다. 이 단계를 단순화하려면 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/README-user.md 파일에서 예제를 복사하고 수정할 수 있습니다.

   ---
   - name: Ensure users' presence
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Include users_present.json
       include_vars:
         file: users_present.json
   
     - name: Users present
       freeipa.ansible_freeipa.ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users: "{{ users }}"

2. users.json 파일을 생성하고 IdM 사용자를 추가합니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/README-user.md 파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어, idm_user_1,idm_user_2 및 idm_user_3 사용자를 생성하고 idm_user_1 의 암호로 Password123 을 추가합니다.

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "First 1",
       "last": "Last 1",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "First 2",
       "last": "Last 2"
      },
      {
       "name": "idm_user_3",
       "first": "First 3",
       "last": "Last 3"
      }
     ]
   }

3. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

프로세스

1. 확인하려는 IdM에서 없는 사용자로 Ansible 플레이북 파일을 생성합니다. 이 단계를 단순화하기 위해 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/user/ensure-users-present.yml 파일에서 예제를 복사하고 수정할 수 있습니다. 예를 들어 사용자 idm_user_1,idm_user_2, idm_user_3 사용자를 삭제하려면 다음을 실행합니다.

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       freeipa.ansible_freeipa.ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

2. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

1. 관리자로 ipaserver 에 로그인합니다.

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

2. idm_user_1 에 대한 정보 요청:

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   idm_user_1 이라는 사용자는 IdM에 존재하지 않습니다.

프로세스

1. 필요한 사용자 및 그룹 정보를 사용하여 Ansible 플레이북 파일을 생성합니다.

   ---
   - name: Playbook to handle groups
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create group ops with gid 1234
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         gidnumber: 1234
   
     - name: Create group sysops
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: sysops
         user:
         - idm_user
   
     - name: Create group appops
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: appops
   
     - name: Add group members sysops and appops to group ops
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         group:
         - sysops
         - appops

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

1. 관리자로 ipaserver 에 로그인합니다.

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. ops 에 대한 정보를 표시합니다.

   ipaserver]$ ipa group-show ops
     Group name: ops
     GID: 1234
     Member groups: sysops, appops
     Indirect Member users: idm_user

   appops 및 sysops 그룹 - idm_user 사용자를 포함한 후자는 IdM에 있습니다.

프로세스

1. 다음 콘텐츠를 사용하여 Ansible 플레이북 파일 add-nonposix-and-external-groups.yml 을 생성합니다.

   ---
   - name: Playbook to add nonposix and external groups
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: Add nonposix group sysops and external group appops
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         groups:
         - name: sysops
           nonposix: true
         - name: appops
           external: true

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/add-nonposix-and-external-groups.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. 다음 콘텐츠를 사용하여 add-useridoverride-to-group.yml 플레이북을 생성합니다.

   ---
   - name: Playbook to ensure presence of users in a group
     hosts: ipaserver
   
     tasks:
     - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group:
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: admins
         idoverrideuser:
         - ad_user@ad.example.com

   예에서는 다음을 수행합니다.

   • 관리자는 ad_user@ad.example.com ID 덮어쓰기를 추가하는 IdM POSIX 그룹의 이름입니다. 이 그룹의 멤버에는 전체 관리자 권한이 있습니다.
   • ad_user@ad.example.com 는 AD 관리자의 사용자 ID 덮어쓰기입니다. 사용자는 신뢰가 설정된 AD 도메인에 저장됩니다.
3. 파일을 저장합니다.

4. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml

프로세스

1. 필요한 사용자 및 그룹 멤버 관리 정보로 Ansible 플레이북 파일을 생성합니다.

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure user test is present for group_a
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
   
     - name: Ensure group_admins is present for group_a
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_group: group_admins

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml

1. 관리자로 ipaserver 에 로그인합니다.

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. managergroup1 에 대한 정보를 표시합니다.

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009
     Membership managed by groups: group_admins
     Membership managed by users: test

프로세스

1. 필요한 사용자 및 그룹 멤버 관리 정보로 Ansible 플레이북 파일을 생성합니다.

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure member manager user and group members are absent for group_a
       freeipa.ansible_freeipa.ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
         membermanager_group: group_admins
         action: member
         state: absent

2. Playbook을 실행합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml

1. 관리자로 ipaserver 에 로그인합니다.

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. group_a에 대한 정보를 표시합니다.

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/ 디렉터리에 있는 automember-group-present.yml Ansible 플레이북 파일을 복사합니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/automember-group-present.yml automember-group-present-copy.yml

3. 편집할 automember-group-present-copy.yml 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaautomember 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • ipaadmin_password 변수를 IdM 관리자 의 암호로 설정합니다.
   • name 변수를 testing_group 으로 설정합니다.
   • automember_type 변수를 group 로 설정합니다.
   • state 변수가 present 로 설정되어 있는지 확인합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Automember group present example
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure group automember rule admins is present
       freeipa.ansible_freeipa.ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: testing_group
         automember_type: group
         state: present

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/ 디렉터리에 있는 automember-hostgroup-rule-present.yml Ansible 플레이북 파일을 복사하고 이름을 (예: automember-usergroup-rule-present.yml:) :

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-usergroup-rule-present.yml

3. 편집을 위해 automember-usergroup-rule-present.yml 파일을 엽니다.

4. 다음 매개변수를 수정하여 파일을 조정합니다.

   • 사용 사례에 맞게 플레이북의 이름을 변경합니다(예: 있는 Automember 사용자 그룹 규칙 멤버 ).
   • 사용 사례에 해당하도록 작업의 이름을 변경합니다(예: 사용자 그룹의 자동 구성원 조건이 있는지 확인 ).

   • freeipa.ansible_freeipa.ipaautomember 작업 섹션에서 다음 변수를 설정합니다.

     • ipaadmin_password 변수를 IdM 관리자 의 암호로 설정합니다.
     • name 변수를 testing_group 으로 설정합니다.
     • automember_type 변수를 group 로 설정합니다.
     • state 변수가 present 로 설정되어 있는지 확인합니다.
     • action 변수가 member 로 설정되어 있는지 확인합니다.
     • 포함 키 변수를 UID 로 설정합니다.
     • 포함 표현식 변수를 . *로 설정합니다 .*

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Automember user group rule member present
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure an automember condition for a user group is present
       freeipa.ansible_freeipa.ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: testing_group
         automember_type: group
         state: present
         action: member
         inclusive:
           - key: UID
             expression: .*

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-usergroup-rule-present.yml

검증

1. IdM 관리자로 로그인합니다.

   $ kinit admin

2. 사용자를 추가합니다. 예를 들면 다음과 같습니다.

   $ ipa user-add user101 --first user --last 101
   -----------------------
   Added user "user101"
   -----------------------
     User login: user101
     First name: user
     Last name: 101
     ...
     Member of groups: ipausers, testing_group
     ...

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/ 디렉터리에 있는 automember-hostgroup-rule-absent.yml Ansible 플레이북 파일을 복사하여 이름을 (예: automember-usergroup-rule-absent.yml:)로 지정합니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/automember-hostgroup-rule-absent.yml automember-usergroup-rule-absent.yml

3. 편집할 automember-usergroup-rule-absent.yml 파일을 엽니다.

4. 다음 매개변수를 수정하여 파일을 조정합니다.

   • 사용 사례에 해당하도록 플레이북의 이름을 변경합니다(예: Automember 사용자 그룹 규칙 멤버 absent ).
   • 사용 사례에 해당하도록 작업의 이름을 변경합니다(예: 사용자 그룹의 자동 구성원 조건이 없는지 확인 ).

   • freeipa.ansible_freeipa.ipaautomember 작업 섹션에서 다음 변수를 설정합니다.

     • ipaadmin_password 변수를 IdM 관리자 의 암호로 설정합니다.
     • name 변수를 testing_group 으로 설정합니다.
     • automember_type 변수를 group 로 설정합니다.
     • state 변수가 absent 로 설정되어 있는지 확인합니다.
     • action 변수가 member 로 설정되어 있는지 확인합니다.
     • 포함 키 변수를 initials 로 설정합니다.
     • 포함 표현식 변수를 dp 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Automember user group rule member absent
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure an automember condition for a user group is absent
       freeipa.ansible_freeipa.ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: testing_group
         automember_type: group
         state: absent
         action: member
         inclusive:
           - key: initials
             expression: dp

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-usergroup-rule-absent.yml

검증

1. IdM 관리자로 로그인합니다.

   $ kinit admin

2. automember 그룹을 확인합니다.

   $ ipa automember-show --type=group testing_group
    Automember Rule: testing_group

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/ 디렉터리에 있는 automember-group-absent.yml Ansible 플레이북 파일을 복사합니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/automember-group-absent.yml automember-group-absent-copy.yml

3. 편집할 automember-group-absent-copy.yml 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaautomember 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • ipaadmin_password 변수를 IdM 관리자 의 암호로 설정합니다.
   • name 변수를 testing_group 으로 설정합니다.
   • automember_type 변수를 group 로 설정합니다.

   • state 변수가 absent 로 설정되어 있는지 확인합니다.

     현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

     ---
     - name: Automember group absent example
       hosts: ipaserver
       vars_files:
       - /home/user_name/MyPlaybooks/secret.yml
       tasks:
       - name: Ensure group automember rule admins is absent
         freeipa.ansible_freeipa.ipaautomember:
           ipaadmin_password: "{{ ipaadmin_password }}"
           name: testing_group
           automember_type: group
           state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-absent.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/ 디렉터리에 있는 automember-hostgroup-rule-present.yml Ansible 플레이북 파일을 복사합니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-hostgroup-rule-present-copy.yml

3. 편집을 위해 automember-hostgroup-rule-present-copy.yml 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaautomember 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • ipaadmin_password 변수를 IdM 관리자 의 암호로 설정합니다.
   • name 변수를 primary_dns_domain_hosts 로 설정합니다.
   • automember_type 변수를 hostgroup 으로 설정합니다.
   • state 변수가 present 로 설정되어 있는지 확인합니다.
   • action 변수가 member 로 설정되어 있는지 확인합니다.
   • 포함 키 변수가 fqdn;로 설정되어 있는지 확인합니다.
   • 해당 포함 표현식 변수를 .*.idm.example.com 으로 설정합니다.
   • 전용 키 변수를 fqdn;로 설정합니다.
   • 해당 전용 표현식 변수를 .*.example.org 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Automember user group rule member present
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure an automember condition for a user group is present
       freeipa.ansible_freeipa.ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: primary_dns_domain_hosts
         automember_type: hostgroup
         state: present
         action: member
         inclusive:
           - key: fqdn
             expression: .*.idm.example.com
         exclusive:
           - key: fqdn
             expression: .*.example.org

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-hostgroup-rule-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/selfservice-present.yml selfservice-present-copy.yml

3. 편집할 selfservice-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaselfservice 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 새 셀프 서비스 규칙의 이름으로 설정합니다.
   • 권한 변수를 콤마로 구분된 권한 목록( 읽기 및 쓰기 )으로 설정합니다.
   • 특성 변수를 사용자가 자체적으로 관리할 수 있는 속성 목록으로 설정합니다( 지정 이름,표시 이름,제목 및 초기 ).

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Self-service present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is present
       freeipa.ansible_freeipa.ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         permission: read, write
         attribute:
         - givenname
         - displayname
         - title
         - initials

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/selfservice-absent.yml selfservice-absent-copy.yml

3. 편집을 위해 selfservice-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaselfservice 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 셀프 서비스 규칙의 이름으로 설정합니다.
   • state 변수를 absent 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Self-service absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is absent
       freeipa.ansible_freeipa.ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-absent-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-member-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/selfservice-member-present.yml selfservice-member-present-copy.yml

3. 편집을 위해 selfservice-member-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaselfservice 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 수정할 셀프 서비스 규칙의 이름으로 설정합니다.
   • 특성 변수를 surname 으로 설정합니다.
   • action 변수를 member 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Self-service member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attribute surname is present
       freeipa.ansible_freeipa.ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - surname
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/ 디렉터리에 있는 selfservice-member-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/selfservice/selfservice-member-absent.yml selfservice-member-absent-copy.yml

3. 편집을 위해 selfservice-member-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaselfservice 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 수정할 셀프 서비스 규칙의 이름으로 설정합니다.
   • 특성 변수를 givenname 및 surname 으로 설정합니다.
   • action 변수를 member 로 설정합니다.
   • state 변수를 absent 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Self-service member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attributes givenname and surname are absent
       freeipa.ansible_freeipa.ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - givenname
         - surname
         action: member
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-absent-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/ 디렉터리에 있는 delegation-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/delegation-present.yml delegation-present-copy.yml

3. 편집을 위해 위임-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipadelegation 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 새 위임 규칙의 이름으로 설정합니다.
   • 권한 변수를 콤마로 구분된 권한 목록( 읽기 및 쓰기 )으로 설정합니다.
   • 위임된 사용자 그룹이 관리할 수 있는 속성 목록: businesscategory,departmentnumber,employeenumber, employeetype.
   • 특성을 보거나 수정할 수 있는 액세스 권한이 있는 그룹의 이름으로 그룹 변수를 설정합니다.
   • membergroup 변수를 특성을 보거나 수정할 수 있는 그룹의 이름으로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage a delegation rule
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is present
       freeipa.ansible_freeipa.ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         permission: read, write
         attribute:
         - businesscategory
         - departmentnumber
         - employeenumber
         - employeetype
         group: managers
         membergroup: employees

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/ 디렉터리에 있는 delegation-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/delegation-present.yml delegation-absent-copy.yml

3. 편집을 위해 delegation-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipadelegation 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 위임 규칙 이름으로 설정합니다.
   • state 변수를 absent 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Delegation absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is absent
       freeipa.ansible_freeipa.ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-absent-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/ 디렉터리에 있는 delegation-member-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/delegation-member-present.yml delegation-member-present-copy.yml

3. 편집을 위해 delegation-member-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipadelegation 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 수정할 위임 규칙의 이름으로 설정합니다.
   • 특성 변수를 departmentnumber 로 설정합니다.
   • action 변수를 member 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Delegation member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attribute departmentnumber is present
       freeipa.ansible_freeipa.ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - departmentnumber
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/ 디렉터리에 있는 delegation-member-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/delegation/delegation-member-absent.yml delegation-member-absent-copy.yml

3. 편집을 위해 delegation-member-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipadelegation 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 수정할 위임 규칙의 이름으로 설정합니다.
   • 특성 변수를 employeenumber 및 employeetype 으로 설정합니다.
   • action 변수를 member 로 설정합니다.
   • state 변수를 absent 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Delegation member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attributes employeenumber and employeetype are absent
       freeipa.ansible_freeipa.ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - employeenumber
         - employeetype
         action: member
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-absent-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-user-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-user-present.yml role-member-user-present-copy.yml

3. 편집할 role-member-user-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 새 역할의 이름으로 설정합니다.
   • 권한 목록을 새 역할에 포함할 IdM 권한의 이름으로 설정합니다.
   • 선택적으로 사용자 변수를 새 역할을 부여하려는 사용자의 이름으로 설정합니다.
   • 필요한 경우 그룹 변수를 새 역할을 부여할 그룹의 이름으로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         user: idm_user01
         group: idm_group01
         privilege:
         - Group Administrators
         - User Administrators
         - Stage User Administrators
         - Group Administrators

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-present-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-is-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-is-absent.yml role-is-absent-copy.yml

3. 편집을 위해 role-is-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 역할의 이름으로 설정합니다.
   • state 변수가 absent 로 설정되어 있는지 확인합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-is-absent-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-group-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-group-present.yml role-member-group-present-copy.yml

3. 편집할 role-member-group-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 할당하려는 역할의 이름으로 설정합니다.
   • 그룹 변수를 그룹 이름으로 설정합니다.
   • action 변수를 member 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         group: junior_sysadmins
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-group-present-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-user-absent.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-user-absent.yml role-member-user-absent-copy.yml

3. 편집할 role-member-user-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 할당하려는 역할의 이름으로 설정합니다.
   • 사용자 목록을 사용자 이름으로 설정합니다.
   • action 변수를 member 로 설정합니다.
   • state 변수를 absent 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         user
         - user_01
         - user_02
         action: member
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-absent-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-service-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-service-present-absent.yml role-member-service-present-copy.yml

3. 편집할 role-member-service-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 할당하려는 역할의 이름으로 설정합니다.
   • 서비스 목록을 서비스 이름으로 설정합니다.
   • action 변수를 member 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         service:
         - HTTP/client01.idm.example.com
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-service-present-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-host-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-host-present.yml role-member-host-present-copy.yml

3. 편집을 위해 role-member-host-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 할당하려는 역할의 이름으로 설정합니다.
   • 호스트 목록을 호스트 이름으로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         host:
         - client01.idm.example.com
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-host-present-copy.yml

프로세스

1. ~/ <MyPlaybooks> / 디렉터리로 이동합니다.

   $ cd ~/<MyPlaybooks>/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/ 디렉터리에 있는 role-member-hostgroup-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/role/role-member-hostgroup-present.yml role-member-hostgroup-present-copy.yml

3. 편집할 role-member-hostgroup-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.iparole 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 할당하려는 역할의 이름으로 설정합니다.
   • hostgroup 목록을 호스트 그룹의 이름으로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - freeipa.ansible_freeipa.iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         hostgroup:
         - web_servers
         action: member

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-hostgroup-present-copy.yml

1. 연결된 권한 없이 권한을 생성합니다.
2. 선택한 권한을 권한에 추가합니다.

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-present.yml privilege-present-copy.yml

3. 편집할 privilege-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaprivilege 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 새 권한인 full_host_administration 의 이름으로 설정합니다.
   • 선택적으로 description 변수를 사용하여 권한을 설명합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Privilege present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure privilege full_host_administration is present
       freeipa.ansible_freeipa.ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         description: This privilege combines all IdM permissions related to host administration

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-present-copy.yml

1. 연결된 권한 없이 권한을 생성합니다.
2. 선택한 권한을 권한에 추가합니다.

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-member-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-member-present.yml privilege-member-present-copy.yml

3. 편집을 위해 privilege-member-present-copy.yml Ansible 플레이북 파일을 엽니다.

4. ipaprivilege 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • 사용 사례에 맞게 작업 이름을 조정합니다.
   • ipaadmin_password 변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다.
   • name 변수를 권한 이름으로 설정합니다.
   • 권한 목록을 권한에 포함할 권한 이름으로 설정합니다.
   • action 변수가 member 로 설정되어 있는지 확인합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Privilege member present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that permissions are present for the "full_host_administration" privilege
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         permission:
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Principals"
         - "Retrieve Certificates from the CA"
         - "Revoke Certificate"
         - "System: Add Hosts"
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Keytab Permissions"
         - "System: Manage Host Principals"
         - "System: Manage Host SSH Public Keys"
         - "System: Manage Service Keytab"
         - "System: Manage Service Keytab Permissions"
         - "System: Modify Hosts"
         - "System: Remove Hosts"
         - "System: Add Hostgroups"
         - "System: Modify Hostgroup Membership"
         - "System: Modify Hostgroups"
         - "System: Remove Hostgroups"

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-present-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-member-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

3. 편집할 privilege-member-absent-copy.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaprivilege 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • 사용 사례에 맞게 작업 이름을 조정합니다.
   • ipaadmin_password 변수 값이 secret.yml Ansible vault 파일에 정의되어 있음을 나타냅니다.
   • name 변수를 권한 이름으로 설정합니다.
   • 권한 목록에서 제거할 권한의 이름으로 설정합니다.
   • action 변수가 member 로 설정되어 있는지 확인합니다.
   • state 변수가 absent 로 설정되어 있는지 확인합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Privilege absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
       freeipa.ansible_freeipa.ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: Certificate Administrators
         permission:
         - "Request Certificate ignoring CA ACLs"
         action: member
         state: absent

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml

프로세스

1. ~/MyPlaybooks/ 디렉터리로 이동합니다.

   $ cd ~/MyPlaybooks/

2. /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/ 디렉터리에 있는 privilege-present.yml 파일의 사본을 만듭니다.

   $ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/privilege/privilege-present.yml rename-privilege.yml

3. 편집할 rename-privilege.yml Ansible 플레이북 파일을 엽니다.

4. freeipa.ansible_freeipa.ipaprivilege 작업 섹션에서 다음 변수를 설정하여 파일을 조정합니다.

   • name 변수를 현재 권한 이름으로 설정합니다.
   • rename 변수를 추가하고 권한의 새 이름으로 설정합니다.
   • state 변수를 추가하고 이름을 로 설정합니다.

   현재 예에 대해 수정된 Ansible 플레이북 파일입니다.

   ---
   - name: Rename a privilege
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure the full_host_administration privilege is renamed to limited_host_administration
       freeipa.ansible_freeipa.ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         rename: limited_host_administration
         state: renamed

5. 파일을 저장합니다.

6. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다.

   $ ansible-playbook --vault-password-file=password_file -v -i inventory rename-privilege.yml