Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

51.4. Ansible을 사용하여 AD 사용자가 IdM을 관리하도록 지원

ansible-freeipa idoverrideusergroup 모듈을 사용하여 신뢰할 수 있는 AD 도메인에서 Active Directory(AD) 사용자에 대한 사용자 ID 덮어쓰기를 생성하고 IdM 사용자의 사용자와 동일하게 사용자 권한을 부여할 수 있습니다. 이 절차에서는 첫 번째 플레이북 작업에 ad_user@AD.EXAMPLE.COM ID 덮어쓰기가 추가된 Default Trust View ID 뷰의 예를 사용합니다. 다음 플레이북 작업에서는 ad_user@AD.EXAMPLE.COM ID 덮어쓰기가 IdM admins 그룹에 멤버로 추가됩니다. 결과적으로 AD 관리자는 두 개의 서로 다른 계정과 암호 없이 IdM을 관리할 수 있습니다.

사전 요구 사항

  • 다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.

    • Ansible 버전 2.15 이상을 사용하고 있습니다.
    • ansible-freeipa 패키지가 설치되어 있습니다.
    • 이 예제에서는 ~/MyPlaybooks/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
    • 이 예제에서는 secret.yml Ansible vault가 ipaadmin_password 를 저장하고 secret.yml 파일을 보호하는 암호를 저장하는 파일에 대한 액세스 권한이 있다고 가정합니다.
  • 인벤토리 파일의 ipaserver 호스트는 신뢰 컨트롤러 또는 신뢰 에이전트로 구성됩니다.
  • freeipa.ansible_freeipa 모듈이 실행되는 대상 노드인 대상 노드는 IdM 도메인의 일부입니다. IdM 클라이언트, 서버 또는 복제본입니다.

프로세스

  1. Ansible 제어 노드에서 작업을 사용하여 enable-ad-admin-to-administer-idm.yml 플레이북을 생성하여 기본 신뢰 뷰에 ad_user@ad.example.com 사용자 덮어쓰기를 추가합니다. 

    ---
- name: Enable AD administrator to act as a FreeIPA admin
  hosts: ipaserver
  become: false
  gather_facts: false

  tasks:
  - name: Ensure idoverride for ad_user@ad.example.com in 'Default Trust View'
    ipaidoverrideuser:
      ipaadmin_password: "{{ ipaadmin_password }}"
      idview: "Default Trust View"
      anchor: ad_user@ad.example.com

    예에서는 다음을 수행합니다.

    • ad_user@ad.example.com 는 신뢰가 설정된 AD 도메인에 저장된 AD 사용자의 사용자 ID 덮어쓰기입니다.

  2. 동일한 플레이북에서 다른 플레이북 작업을 사용하여 admins 그룹에 AD 관리자 사용자 ID 덮어쓰기를 추가합니다. 

      - name: Add the AD administrator as a member of admins
    ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: admins
      idoverrideuser:
      - ad_user@ad.example.com

    예에서는 다음을 수행합니다.

    • 관리자는 ad_user@ad.example.com ID 덮어쓰기를 추가하는 기본 IdM POSIX 그룹의 이름입니다. 이 그룹의 멤버에는 전체 관리자 권한이 있습니다.
  3. 파일을 저장합니다.

  4. Ansible 플레이북을 실행합니다. 플레이북 파일을 지정하고 secret.yml 파일을 보호하는 암호를 저장하는 파일 및 인벤토리 파일을 지정합니다. 

    $ ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml

검증

  1. AD 관리자로 IdM 클라이언트에 로그인합니다. 

    $ ssh ad_user@ad.example.com@client.idm.example.com

  2. 유효한 TGT( ticket-granting ticket)를 가져왔는지 확인합니다. 

    $ klist
Ticket cache: KCM:325600500:99540
Default principal: ad_user@AD.EXAMPLE.COM
Valid starting Expires Service principal
02/04/2024 11:54:16 02/04/2024 21:54:16 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
renew until 02/05/2024 11:54:16

  3. IdM에서 관리자 권한을 확인합니다. 

    $ ipa user-add testuser --first=test --last=user
------------------------
Added user "tuser"
------------------------
  User login: tuser
  First name: test
  Last name: user
  Full name: test user
[...]
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

Legal Notice

Theme

© 2026 Red Hat맨 위로 이동