6.2. 使用 Ansible playbook 配置 IdM CA 续订服务器

流程

1. 可选：识别当前 IdM CA 续订服务器：

   $ ipa config-show | grep 'CA renewal'
     IPA CA renewal master: server.idm.example.com

   Copy to Clipboard Toggle word wrap

2. 创建一个清单文件，如 inventory.file，并在该文件中定义 ipaserver ：

   [ipaserver]
   server.idm.example.com

   Copy to Clipboard Toggle word wrap

3. 打开 /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml Ansible playbook 文件进行编辑：

   ---
   - name: Playbook to handle global DNS configuration
     hosts: ipaserver
     become: no
     gather_facts: no
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: set ca_renewal_master_server
       ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         ca_renewal_master_server: carenewal.idm.example.com

   Copy to Clipboard Toggle word wrap

4. 通过更改调整文件：

   • ipaadmin_password 变量设置的 IdM 管理员密码。
   • ca_renewal_master_server 变量所设置的 CA 续订服务器的名称。
5. 保存该文件。

6. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

   Copy to Clipboard Toggle word wrap

1. 以 IdM 管理员身份登录到 ipaserver ：

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

   Copy to Clipboard Toggle word wrap

2. 请求 IdM CA 续订服务器的身份：

   $ ipa config-show | grep ‘CA renewal’
   IPA CA renewal master:  carenewal.idm.example.com

   Copy to Clipboard Toggle word wrap

   输出显示 watchnewal.idm.example.com 服务器是新的 CA 续订服务器。