6.7. 使用 Ansible 确保 DNS 全局转发器在 IdM 中被禁用

使用 Ansible 禁用全局 DNS 转发器，将 forward 策略设置为 none，强制身份管理(IdM)使用递归解析。

先决条件

您已配置了 Ansible 控制节点以满足以下要求：
- 您在使用 Ansible 版本 2.15 或更高版本。
- 您已安装了 ansible-freeipa 软件包。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password，并且您可以访问存储了保护 secret.yml 文件的密码的文件。
目标节点（也就是在其上执行 freeipa.ansible_freeipa 模块的节点）作为 IdM 客户端、服务器或副本，是 IdM 域的一部分。

流程

进到 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/dnsconfig 目录：
```
$ cd /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/dnsconfig
```
验证 disable-global-forwarders.yml Ansible playbook 文件的内容，它已配置为禁用所有 DNS 全局转发器。例如：
```
$ cat disable-global-forwarders.yml
```
```
---
- name: Playbook to disable global DNS forwarders
  hosts: ipaserver

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  - name: Disable global forwarders.
    freeipa.ansible_freeipa.ipadnsconfig:
      forward_policy: none
```
有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/collections/ansible_collections/ansible_freeipa/README-dnsconfig.md 文件。

运行 playbook:

$ ansible-playbook --vault-password-file=password_file -v -i inventory.file disable-global-forwarders.yml