24.5.2. Definição dos parâmetros do arquivo de inventário quando a auto-descoberta não é possível durante a instalação do cliente
Para instalar um cliente de Gerenciamento de Identidade usando um livro de exercícios possível, forneça as seguintes informações em um arquivo de inventário, por exemplo inventory/hosts
:
- as informações sobre o host, o servidor IdM e o domínio IdM ou o domínio IdM
- a autorização para a tarefa
O arquivo de inventário pode estar em um dos muitos formatos, dependendo dos plugins de inventário que você tiver. O formato INI-like
é um dos padrões do Ansible e é usado nos exemplos abaixo.
Procedimento
Especifique o hostname totalmente qualificado (
FQDN
) do anfitrião para se tornar um cliente IdM. O nome de domínio totalmente qualificado deve ser um nome DNS válido:- Somente números, caracteres alfabéticos e hífens (-) são permitidos. Por exemplo, os sublinhados não são permitidos e podem causar falhas no DNS.
- O nome do anfitrião deve ser todo em letra minúscula. Não são permitidas letras maiúsculas.
Especifique outras opções nas seções relevantes do arquivo
inventory/hosts
:-
o
FQDN
dos servidores na seção[ipaservers]
para indicar com qual servidor IdM o cliente será inscrito uma das duas opções a seguir:
-
a opção
ipaclient_domain
na seção[ipaclients:vars]
para indicar o nome de domínio DNS do servidor IdM com o qual o cliente será cadastrado a opção
ipaclient_realm
na seção[ipaclients:vars]
para indicar o nome do reino de Kerberos controlado pelo servidor IdMExemplo de um arquivo de hosts de inventário com o cliente FQDN, o servidor FQDN e o domínio definido
[ipaclients] client.idm.example.com [ipaservers] server.idm.example.com [ipaclients:vars] ipaclient_domain=idm.example.com [...]
-
a opção
-
o
Especificar as credenciais para a inscrição do cliente. Os seguintes métodos de autenticação estão disponíveis:
O password of a user authorized to enroll clients. Esta é a opção padrão.
A Red Hat recomenda o uso do Ansible Vault para armazenar a senha, e referenciar o arquivo Vault do arquivo do playbook, por exemplo
install-client.yml
, diretamente:Exemplo de arquivo de playbook usando o principal de um arquivo de inventário e senha de um arquivo do Ansible Vault
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: -
playbook_sensitive_data.yml
roles: - role: ipaclient state: presentCom menos segurança, forneça as credenciais de
admin
usando a opçãoipaadmin_password
na seção[ipaclients:vars]
do arquivoinventory/hosts
. Alternativamente, para especificar um usuário autorizado diferente, use a opçãoipaadmin_principal
para o nome do usuário, e a opçãoipaadmin_password
para a senha. O arquivo do playbookinstall-client.yml
pode então ter a seguinte aparência:Exemplo de inventário hospeda arquivo
[...] [ipaclients:vars] ipaadmin_principal=my_admin ipaadmin_password=Secret123
Exemplo de Playbook usando o principal e senha do arquivo de inventário
- name: Playbook to unconfigure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
O client keytab do cadastro anterior, caso ainda esteja disponível:
-
Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção
ipaclient_keytab
, especificando o caminho para o arquivo que armazena a tabela de chaves, por exemplo, na seção[ipaclient:vars]
deinventory/hosts
.
-
Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção
A random, one-time password (OTP) a ser gerado durante a matrícula. Para usar este método de autenticação, use a opção
ipaclient_use_otp=yes
em seu arquivo de inventário. Por exemplo, você pode descomentar a opção#ipaclient_use_otp=yes
na seção[ipaclients:vars]
do arquivoinventory/hosts
. Observe que com OTP você também deve especificar uma das seguintes opções:-
O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para
ipaadmin_password
na seção[ipaclients:vars]
do arquivoinventory/hosts
. -
O admin keytab, por exemplo, fornecendo um valor para
ipaadmin_keytab
na seção[ipaclients:vars]
deinventory/hosts
.
-
O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para
Recursos adicionais
-
Para maiores detalhes sobre as opções aceitas pelo
ipaclient
. Para informações detalhadas sobre as opções aceitas pelo , consulte o arquivo/usr/share/ansible/roles/ipaclient/README.md
README.