28.2. 자동 검색 클라이언트 설치 모드에 대한 인벤토리 파일의 매개변수 설정

프로세스

1. 편집을 위해 인벤토리 파일을 엽니다.

2. IdM 클라이언트가 될 호스트의 FQDN(정규화된 호스트 이름)을 지정합니다. 정규화된 도메인 이름은 유효한 DNS 이름이어야 합니다.

   • 숫자, 영문자 및 하이픈(-)만 허용됩니다. 예를 들어 밑줄은 허용되지 않으며 DNS 오류가 발생할 수 있습니다.

   • 호스트 이름은 모두 소문자여야 합니다. 대문자는 사용할 수 없습니다.

     IdM DNS 영역에 SRV 레코드가 올바르게 설정된 경우 스크립트는 기타 필요한 모든 값을 자동으로 검색합니다.

     정의된 클라이언트 FQDN만 있는 간단한 인벤토리 호스트 파일의 예

     [ipaclients]
     client.idm.example.com
     [...]

     Copy to Clipboard Toggle word wrap

3. 클라이언트 등록을 위한 인증 정보를 지정합니다. 다음 인증 방법을 사용할 수 있습니다.

   • 클라이언트를 등록할 수 있는 권한이 부여된 사용자의 암호 입니다. 이는 기본 옵션입니다.

     • Ansible Vault를 사용하여 암호를 저장하고 플레이북 파일의 Vault 파일(예: install-client.yml )을 직접 참조합니다.

       Ansible Vault 파일의 인벤토리 파일 및 암호에서 주체를 사용하는 플레이북 파일의 예

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: freeipa.ansible_freeipa.ipaclient
           state: present

       Copy to Clipboard Toggle word wrap

     • 덜 안전하게, inventory/hosts 파일의 [ ipaclients:vars] 섹션에서 ipa admin _password 옵션을 사용하여 관리자의 인증 정보를 제공합니다. 또는 다른 권한이 있는 사용자를 지정하려면 사용자 이름에 ipaadmin_principal 옵션을 사용하고 암호로 ipaadmin_password 옵션을 사용합니다. inventory/hosts 인벤토리 파일과 install-client.yml 플레이북 파일은 다음과 같습니다.

       인벤토리 호스트 파일 예

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Copy to Clipboard Toggle word wrap

       인벤토리 파일의 주체 및 암호를 사용하는 플레이북의 예

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: freeipa.ansible_freeipa.ipaclient
           state: true

       Copy to Clipboard Toggle word wrap

   • 이전 등록의 클라이언트 키탭 은 계속 사용할 수 있습니다.

     이 옵션은 시스템이 이전에 Identity Management 클라이언트로 등록된 경우 사용할 수 있습니다. 이 인증 방법을 사용하려면 #ipaclient_keytab 옵션의 주석을 제거하고 keytab을 저장하는 파일의 경로를 지정합니다(예: inventory/hosts 의 [ipaclient:vars] 섹션).

   • 등록하는 동안 생성할 임의의 일회성 암호 (OTP)입니다. 이 인증 방법을 사용하려면 인벤토리 파일에서 ipaclient_use_otp=true 옵션을 사용합니다. 예를 들어 inventory/hosts 파일의 [ipaclients:vars] 섹션에서 ipaclient_use_otp=true 옵션의 주석을 해제할 수 있습니다. OTP를 사용하면 다음 옵션 중 하나도 지정해야 합니다.

     • 클라이언트를 등록할 수 있는 사용자의 암호입니다(예: inventory/hosts 파일의 [ipaclients:vars] 섹션에 ipaadmin_password 의 값을 제공합니다.
     • 예를 들어 inventory/hosts 의 [ipaclients:vars] 섹션에 ipaadmin_keytab 값을 제공하여 관리자 키탭 .

4. 선택 사항: ipaclient_configure_dns_resolve 및 ipaclient_dns_servers 옵션(사용 가능한 경우)을 사용하여 DNS 확인자를 지정합니다. IdM 배포에서 통합 DNS를 사용하는 경우 특히 유용합니다.

   DNS 확인자를 지정하는 인벤토리 파일 스니펫입니다.

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   Copy to Clipboard Toggle word wrap
   참고

   ipaclient_dns_servers 목록에는 IP 주소만 포함되어야 합니다. 호스트 이름은 허용되지 않습니다.

5. IdM 수준에서 IdM 사용자에 대해 subid 범위를 구성하려면 ipaclient_subid: true 옵션을 지정할 수도 있습니다.

   플레이북에 사용된 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/README.md 파일을 참조하십시오.