38장. RHEL 시스템 역할을 사용하여 RHEL 시스템을 Active Directory에 연결

절차

1. 중요한 변수를 암호화된 파일에 저장합니다.

   1. 자격 증명 모음을 생성합니다.

      $ ansible-vault create ~/vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>

   2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다.

      usr: administrator
      pwd: <password>

   3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다.

   ---
   - name: Active Directory integration
     hosts: managed-node-01.example.com
     vars_files:
       - ~/vault.yml
     tasks:
       - name: Join an Active Directory
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.ad_integration
         vars:
           ad_integration_user: "{{ usr }}"
           ad_integration_password: "{{ pwd }}"
           ad_integration_realm: "ad.example.com"
           ad_integration_allow_rc4_crypto: false
           ad_integration_timesync_source: "time_server.ad.example.com"

   예제 플레이북에 지정된 설정은 다음과 같습니다.

   ad_integration_allow_rc4_crypto: <true|false>

   역할이 관리 노드에서 AD-SUPPORT 암호화 정책을 활성화할지 여부를 구성합니다. 기본적으로 RHEL은 약한 RC4 암호화를 지원하지 않지만 AD의 Kerberos에 RC4가 필요한 경우 ad_integration_allow_rc4_crypto: true 를 설정하여 이 암호화 유형을 활성화할 수 있습니다.

   Kerberos에서 AES 암호화를 사용하는 경우 이 변수를 생략하거나 false 로 설정합니다.

   ad_integration_timesync_source: <time_server>

   시간 동기화에 사용할 NTP 서버를 지정합니다. Kerberos는 재생 공격을 방지하기 위해 AD 도메인 컨트롤러 및 도메인 멤버 간에 동기화된 시간이 필요합니다. 이 변수를 생략하면 ad_integration 역할은 timesync RHEL 시스템 역할을 사용하여 관리 노드에서 시간 동기화를 구성하지 않습니다.

   플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.ad_integration/README.md 파일을 참조하십시오.

3. 플레이북 구문을 확인합니다.

   $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

   이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

4. 플레이북을 실행합니다.

   $ ansible-playbook --ask-vault-pass ~/playbook.yml