4.3. Ansible Playbook을 사용하여 IdM 클라이언트 등록에 대한 권한 부여 옵션
다음 방법을 사용하여 IdM 클라이언트 등록을 승인할 수 있습니다.
- 임의의 일회성 암호(OTP) + 관리자 암호
- 임의의 일회성 암호(OTP) + 관리자 키탭
- 이전 등록의 클라이언트 키탭
-
인벤토리 파일에 저장된 클라이언트(
관리자
)를 등록할 수 있는 사용자의 암호 -
Ansible 자격 증명 모음에 저장된 클라이언트(
관리자
)를 등록할 수 있는 사용자의 암호
IdM 클라이언트 설치 전에 IdM 관리자가 OTP를 생성할 수 있습니다. 이 경우 OTP 자체 이외의 설치에 대한 인증 정보가 필요하지 않습니다.
다음은 이러한 방법에 대한 샘플 인벤토리 파일입니다.
권한 부여 옵션 | 인벤토리 파일 |
---|---|
임의의 일회성 암호(OTP) + 관리자 암호 |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
임의의 일회성 암호(OTP) |
[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
이 시나리오에서는 설치 전에 IdM |
임의의 일회성 암호(OTP) + 관리자 키탭 |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
이전 등록의 클라이언트 키탭 |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
인벤토리 파일에 저장된 |
[ipaclients:vars] ipaadmin_password=Secret123 |
Ansible 자격 증명 모음 파일에 저장된 |
[ipaclients:vars] [...] |
Ansible Vault 파일에 저장된 admin
사용자의 암호를 사용하는 경우 해당 플레이북 파일에 추가 vars_files
지시문이 있어야 합니다.
인벤토리 파일 | 플레이북 파일 |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present |
위에서 설명한 다른 모든 권한 부여 시나리오에서는 기본 플레이북 파일은 다음과 같을 수 있습니다.
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
RHEL 9.2에서 위에서 설명한 두 개의 OTP 인증 시나리오에서 kinit
명령을 사용하여 관리자의 TGT 요청은 첫 번째 지정 또는 검색된 IdM 서버에서 실행됩니다. 따라서 Ansible 제어 노드를 추가로 수정할 필요가 없습니다. RHEL 9.2 이전에는 제어 노드에 krb5-workstation
패키지가 필요했습니다.