主页
产品
Red Hat Enterprise Linux
8
安装身份管理
33.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项

33.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项

您可以使用以下任一方法授权 IdM 客户端注册：

一个随机的一次性密码(OTP)+ 管理员密码
一个随机的一次性密码(OTP)+ admin keytab
之前注册中的客户端 keytab
授权注册客户端的用户 (admin) 的密码存储在清单文件中
授权注册客户端的用户(admin) 的密码存储在 Ansible vault 中

在 IdM 客户端安装之前，可以由 IdM 管理员生成 OTP。在这种情况下，除 OTP 本身以外，您不需要用于安装的任何凭证。

以下是用于这些方法的清单文件示例：

Expand

表 33.1. 清单文件示例
授权选项	清单文件
一个随机的一次性密码(OTP)+ 管理员密码	`[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true` Copy to Clipboard Toggle word wrap
一个随机的一次性密码(OTP)	`[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>` Copy to Clipboard Toggle word wrap 这个场景假定 OTP 已在安装前由 IdM `admin` 生成。
一个随机的一次性密码(OTP)+ admin keytab	`[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true` Copy to Clipboard Toggle word wrap
之前注册的客户端 keytab	`[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab` Copy to Clipboard Toggle word wrap
`admin` 用户的密码存储在清单文件中	`[ipaclients:vars] ipaadmin_password=Secret123` Copy to Clipboard Toggle word wrap
`admin` 用户的密码存储在 Ansible vault 文件中	`[ipaclients:vars] [...]` Copy to Clipboard Toggle word wrap

如果您使用存储在 Ansible vault 文件中的 admin 用户的密码，则相应的 playbook 文件必须有一个额外的 vars_files 指令：

Expand

Inventory 文件 Playbook 文件

表 33.2. 用户密码存储在 Ansible vault 中
Inventory 文件	Playbook 文件
`[ipaclients:vars] [...]` Copy to Clipboard Toggle word wrap	`- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present` Copy to Clipboard Toggle word wrap

[ipaclients:vars]
[...]

[ipaclients:vars]
[...]

Copy to Clipboard

Toggle word wrap

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true
  vars_files:
  - ansible_vault_file.yml

  roles:
  - role: ipaclient
    state: present

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true
  vars_files:
  - ansible_vault_file.yml

  roles:
  - role: ipaclient
    state: present

Copy to Clipboard

Toggle word wrap

在上述所有其他授权场景中，基本的 playbook 文件类似如下：

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

Copy to Clipboard

Toggle word wrap

注意

从 RHEL 8.8 开始，在上述两个 OTP 授权场景中，使用 kinit 命令的管理员的 TGT 请求发生在第一个指定或发现的 IdM 服务器上。因此，不需要对 Ansible 控制节点进行额外的修改。在 RHEL 8.8 之前，控制节点上需要 krb5-workstation 软件包。

返回顶部

33.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links