第 4 章 使用 RHEL 系统角色将 RHEL 系统加入到活动目录

流程

1. 将敏感变量存储在加密的文件中：

   1. 创建 vault ：

      $ ansible-vault create ~/vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>

      Copy to Clipboard Toggle word wrap

   2. 在 ansible-vault create 命令打开编辑器后，以 <key>: <value> 格式输入敏感数据：

      usr: administrator
      pwd: <password>

      Copy to Clipboard Toggle word wrap
   3. 保存更改，并关闭编辑器。Ansible 加密 vault 中的数据。

2. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   ---
   - name: Active Directory integration
     hosts: managed-node-01.example.com
     vars_files:
       - ~/vault.yml
     tasks:
       - name: Join an Active Directory
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.ad_integration
         vars:
           ad_integration_user: "{{ usr }}"
           ad_integration_password: "{{ pwd }}"
           ad_integration_realm: "ad.example.com"
           ad_integration_allow_rc4_crypto: false
           ad_integration_timesync_source: "time_server.ad.example.com"

   Copy to Clipboard Toggle word wrap

   示例 playbook 中指定的设置包括如下：

   ad_integration_timesync_source: <time_server>

   指定用于时间同步的 NTP 服务器。Kerberos 需要在 AD 域控制器和域成员中同步时间，以防止重播攻击。如果省略此变量，ad_integration 角色不会使用 timesync RHEL 系统角色在受管节点上配置时间同步。

   有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.ad_integration/README.md 文件。

3. 验证 playbook 语法：

   $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   请注意，这个命令只验证语法，不能防止错误的、但有效的配置。

4. 运行 playbook：

   $ ansible-playbook --ask-vault-pass ~/playbook.yml

   Copy to Clipboard Toggle word wrap