24.5. Definição dos parâmetros da implantação do cliente IdM

Procedimento

1. Especifique o hostname totalmente qualificado (FQDN) do anfitrião para se tornar um cliente IdM. O nome de domínio totalmente qualificado deve ser um nome DNS válido:

   • Somente números, caracteres alfabéticos e hífens (-) são permitidos. Por exemplo, os sublinhados não são permitidos e podem causar falhas no DNS.

   • O nome do anfitrião deve ser todo em letra minúscula. Não são permitidas letras maiúsculas.

     Se os registros SRV forem definidos corretamente na zona DNS do IdM, o script descobre automaticamente todos os outros valores necessários.

   Exemplo de um simples arquivo de inventário com apenas o cliente FQDN definido

   [ipaclients]
   client.idm.example.com
   [...]

2. Especificar as credenciais para a inscrição do cliente. Os seguintes métodos de autenticação estão disponíveis:

   • O password of a user authorized to enroll clients. Esta é a opção padrão.

     • A Red Hat recomenda o uso do Ansible Vault para armazenar a senha, e referenciar o arquivo Vault do arquivo do playbook, por exemplo install-client.yml, diretamente:

       Exemplo de arquivo de playbook usando o principal de um arquivo de inventário e senha de um arquivo do Ansible Vault

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

     • Com menos segurança, forneça as credenciais de admin usando a opção ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts. Alternativamente, para especificar um usuário autorizado diferente, use a opção ipaadmin_principal para o nome do usuário, e a opção ipaadmin_password para a senha. O arquivo inventory/hosts do inventário e o arquivo do playbook install-client.yml podem então ser vistos da seguinte forma:

       Exemplo de inventário hospeda arquivo

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Exemplo de Playbook usando o principal e senha do arquivo de inventário

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

   • O client keytab do cadastro anterior, caso ainda esteja disponível:

     • Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção #ipaclient_keytab, especificando o caminho para o arquivo que armazena a tabela de chaves, por exemplo, na seção [ipaclient:vars] de inventory/hosts.

   • A random, one-time password (OTP) a ser gerado durante a matrícula. Para usar este método de autenticação, use a opção ipaclient_use_otp=yes em seu arquivo de inventário. Por exemplo, você pode descomentar a opção ipaclient_use_otp=yes na seção [ipaclients:vars] do arquivo inventory/hosts. Observe que com OTP você também deve especificar uma das seguintes opções:

     • O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts.
     • O admin keytab, por exemplo, fornecendo um valor para ipaadmin_keytab na seção [ipaclients:vars] de inventory/hosts.