第 9 章使用 Ansible playbook 管理用户组

本节介绍使用 Ansible playbook 进行用户组管理。

用户组是一组具有常见特权、密码策略和其他特征的用户。

Identity Management (IdM) 中的用户组可以包括：

IdM 用户
其他 IdM 用户组
外部用户，即 IdM 之外的用户

9.1. 使用 Ansible playbook 确保存在 IdM 组和组成员
复制链接

以下流程描述了使用 Ansible playbook 确保存在 IdM 组和组成员（用户和用户组）。

先决条件

您已配置了 Ansible 控制节点以满足以下要求：
- 您在使用 Ansible 版本 2.15 或更高版本。
- 已安装 freeipa.ansible_freeipa 集合。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password，并且您可以访问存储了保护 secret.yml 文件的密码的文件。
目标节点（这是执行 freeipa.ansible_freeipa 模块的节点）是作为 IdM 客户端、服务器或副本的 IdM 域的一部分。
IdM 中已存在您想要引用的用户。有关确保存在使用 Ansible 的用户的详细信息，请参阅使用 Ansible playbook 管理用户帐户。

流程

使用必要的用户和组信息创建一个 Ansible playbook 文件：

---
- name: Playbook to handle groups
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Create group ops with gid 1234
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: ops
      gidnumber: 1234

  - name: Create group sysops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: sysops
      user:
      - idm_user

  - name: Create group appops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: appops

  - name: Add group members sysops and appops to group ops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: ops
      group:
      - sysops
      - appops

---
- name: Playbook to handle groups
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Create group ops with gid 1234
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: ops
      gidnumber: 1234

  - name: Create group sysops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: sysops
      user:
      - idm_user

  - name: Create group appops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: appops

  - name: Add group members sysops and appops to group ops
    freeipa.ansible_freeipa.ipagroup:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: ops
      group:
      - sysops
      - appops

Copy to Clipboard

Toggle word wrap

运行 playbook：

ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

Copy to Clipboard

Toggle word wrap

验证

您可以使用 ipa group-show 命令验证 ops 组是否包含 sysops 和 appops 作为直接成员，idm_user 作为间接成员：

以管理员身份登录到 ipaserver：

ssh admin@server.idm.example.com

$ ssh admin@server.idm.example.com
Password:
[admin@server /]$

Copy to Clipboard

Toggle word wrap

显示关于 ops 的信息：

ipaserver]$ ipa group-show ops
  Group name: ops
  GID: 1234
  Member groups: sysops, appops
  Indirect Member users: idm_user

ipaserver]$ ipa group-show ops
  Group name: ops
  GID: 1234
  Member groups: sysops, appops
  Indirect Member users: idm_user

Copy to Clipboard

Toggle word wrap

IdM 中已存在 appops 和 sysops 组，后者包括 idm_user 用户。

返回顶部

第 9 章使用 Ansible playbook 管理用户组

9.1. 使用 Ansible playbook 确保存在 IdM 组和组成员
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章 使用 Ansible playbook 管理用户组

9.1. 使用 Ansible playbook 确保存在 IdM 组和组成员复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章使用 Ansible playbook 管理用户组

9.1. 使用 Ansible playbook 确保存在 IdM 组和组成员
复制链接