38.7. 使用 Ansible 添加新的本地 IdM ID 范围

在某些情况下，您可能需要创建新的 Identity Management (IdM) ID 范围以及原始的 ID 范围；例如，当副本退出 ID 且原始 IdM ID 范围相同时，原始 IdM ID 范围会被处理。以下示例演示了如何使用 Ansible playbook 创建新 IdM ID 范围。

注意

添加新 IdM ID 范围不会自动创建新的 DNA ID 范围。您需要根据需要手动分配新的 DNA ID 范围。有关如何执行此操作的更多信息，请参阅手动分配 DNA ID 范围。

先决条件

在控制节点上：
- 您在使用 Ansible 版本 2.15 或更高版本。
- 已安装 freeipa.ansible_freeipa 集合。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password，并且您可以访问存储了保护 secret.yml 文件的密码的文件。
目标节点（这是执行 freeipa.ansible_freeipa 模块的节点）是作为 IdM 客户端、服务器或副本的 IdM 域的一部分。

流程

进入您的 ~/MyPlaybooks/ 目录：
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

使用以下内容创建 idrange-present.yml playbook：

---
- name: Playbook to manage idrange
  hosts: ipaserver
  become: no

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure local idrange is present
    ipaidrange:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: new_id_range
      base_id: 12000000
      range_size: 200000
      rid_base: 1000000
      secondary_rid_base: 200000000

---
- name: Playbook to manage idrange
  hosts: ipaserver
  become: no

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Ensure local idrange is present
    ipaidrange:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: new_id_range
      base_id: 12000000
      range_size: 200000
      rid_base: 1000000
      secondary_rid_base: 200000000

Copy to Clipboard

Toggle word wrap

保存该文件。

运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

ansible-playbook --vault-password-file=password_file -v -i inventory idrange-present.yml

$ ansible-playbook --vault-password-file=password_file -v -i inventory idrange-present.yml

Copy to Clipboard

Toggle word wrap

SSH 到 ipaserver ,并重启 Directory 服务器：
```
systemctl restart dirsrv@IDM.EXAMPLE.COM.service
```
```
# systemctl restart dirsrv@IDM.EXAMPLE.COM.service
```
Copy to Clipboard Toggle word wrap
这确保当您使用新范围中的 UID 创建用户时，它们分配了安全标识符(SID)。
可选：立即更新 ID 范围：
1. 在 ipaserver 上，清除系统安全服务守护进程(SSSD)缓存：
  # sss_cache -E
  Copy to Clipboard Toggle word wrap
2. 在 ipaserver 上，重启 SSSD 守护进程：
  # systemctl restart sssd
  Copy to Clipboard Toggle word wrap
注意
如果您没有清除 SSSD 缓存并重新启动服务，SSSD 仅在更新域列表和其他存储在 IdM 服务器上的其他配置数据时检测到新的 ID 范围。

验证

您可以使用 ipa idrange-find 命令检查新范围是否设置正确：

ipa idrange-find

# ipa idrange-find
----------------
2 ranges matched
----------------
  Range name: IDM.EXAMPLE.COM_id_range
  First Posix ID of the range: 882200000
  Number of IDs in the range: 200000
  Range type: local domain range

  Range name: IDM.EXAMPLE.COM_new_id_range
  First Posix ID of the range: 12000000
  Number of IDs in the range: 200000
  Range type: local domain range
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

Toggle word wrap

返回顶部

38.7. 使用 Ansible 添加新的本地 IdM ID 范围

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links