87.5. Ansible을 사용하여 AD 사용자가 IdM을 관리하도록 지원
ansible-freeipa
idoverrideuser
및 group
모듈을 사용하여 신뢰할 수 있는 AD 도메인에서 Active Directory(AD) 사용자에 대한 사용자 ID 덮어쓰기를 생성하고 IdM 사용자의 사용자와 동일하게 사용자 권한을 부여할 수 있습니다. 이 절차에서는 첫 번째 플레이북 작업에 administrator@addomain.com ID 덮어쓰기가 추가된 Default Trust View
ID 뷰의 예를 사용합니다. 다음 플레이북 작업에서는 administrator@addomain.com ID 덮어쓰기가 IdM admins
그룹에 멤버로 추가됩니다. 결과적으로 AD 관리자는 두 개의 서로 다른 계정과 암호 없이 IdM을 관리할 수 있습니다.
사전 요구 사항
다음 요구 사항을 충족하도록 Ansible 제어 노드를 구성했습니다.
- Ansible 버전 2.14 이상을 사용하고 있습니다.
-
Ansible 컨트롤러에
ansible-freeipa
패키지가 설치되어 있습니다. - RHEL 8.10 이상을 사용하고 있습니다.
- 이 예제에서는 ~/MyPlaybook/ 디렉터리에서 IdM 서버의 FQDN(정규화된 도메인 이름)을 사용하여 Ansible 인벤토리 파일을 생성했다고 가정합니다.
-
이 예제에서는 secret.yml Ansible 자격 증명 모음이
ipaadmin_password
를 저장하는 것으로 가정합니다.
- AD 포리스트는 IdM을 신뢰하고 있습니다. 이 예에서 AD 도메인 이름은 addomain.com 이고 AD 관리자의 FQDN(정규화된 도메인 이름)은 administrator@addomain.com 입니다.
-
인벤토리 파일의
ipaserver
호스트는 신뢰 컨트롤러 또는 신뢰 에이전트로 구성됩니다. -
ansible-freeipa
모듈이 실행되는 노드인 대상 노드는 IdM 도메인의 일부인 IdM 클라이언트, 서버 또는 복제본입니다.
절차
Ansible 제어 노드에서 작업을 사용하여 enable-ad-admin-to-administer-idm.yml 플레이북을 생성하여 기본 신뢰 뷰에 administrator@addomain.com 사용자 덮어쓰기를 추가합니다.
--- - name: Enable AD administrator to act as a FreeIPA admin hosts: ipaserver become: false gather_facts: false tasks: - name: Ensure idoverride for administrator@addomain.com in 'default trust view' ipaidoverrideuser: ipaadmin_password: "{{ ipaadmin_password }}" idview: "Default Trust View" anchor: administrator@addomain.com
동일한 플레이북에서 다른 플레이북 작업을 사용하여
admins
그룹에 AD 관리자 사용자 ID 덮어쓰기를 추가합니다.- name: Add the AD administrator as a member of
admins
ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: admins idoverrideuser: - administrator@addomain.com- 파일을 저장합니다.
Ansible 플레이북을 실행합니다. Playbook 파일, secret.yml 파일을 보호하는 암호를 저장하는 파일, 인벤토리 파일을 지정합니다.
$ ansible-playbook --vault-password-file=password_file -v -i inventory enable-ad-admin-to-administer-idm.yml
검증
AD 관리자로 IdM 클라이언트에 로그인합니다.
$ ssh administrator@addomain.com@client.idm.example.com
유효한 TGT( ticket-granting ticket)를 가져왔는지 확인합니다.
$ klist Ticket cache: KCM:325600500:99540 Default principal: Administrator@ADDOMAIN.COM Valid starting Expires Service principal 02/04/2024 11:54:16 02/04/2024 21:54:16 krbtgt/ADDOMAIN.COM@ADDOMAIN.COM renew until 02/05/2024 11:54:16
IdM에서
관리자
권한을 확인합니다.$ ipa user-add testuser --first=test --last=user ------------------------ Added user "tuser" ------------------------ User login: tuser First name: test Last name: user Full name: test user [...]
추가 리소스
-
idoverrideuser 및 ipagroup
ansible-freeipa
업스트림 문서 - AD 사용자가 IdM을 관리 가능