38.12. 使用 Ansible 确保具有特定 UID 的 IdM 用户 在 ID 视图中存在
如果您在一个实验室工作,其中您有自己的计算机,但您的 /home/
目录位于服务器导出的共享驱动器中,则您可以有两个用户:
- 一个是系统范围的用户,集中存储在身份管理(IdM)中。
- 一个其帐户是本地的,存储在相关系统上。
如果您需要对您的文件具有完全访问,无论您是以 IdM 用户还是以本地用户登录,您都可以通过给这两个用户相同的 UID
来实现。
完成此流程,以使用 ansible-freeipa
idoverrideuser
模块,来:
- 将 ID 视图应用到名为 idview_for_host01 的 host01。
-
确保在 idview_for_host01 中,对
UID
为 20001 的 idm_user 的用户 ID 覆盖存在。
先决条件
您已配置了 Ansible 控制节点以满足以下要求:
- 您使用 Ansible 版本 2.15 或更高版本。
-
您已在 Ansible 控制器上安装了
ansible-freeipa
软件包。 - 您正在使用 RHEL 9.4 或更高版本。
- 示例假定在 ~/MyPlaybooks/ 目录中,您已创建了一个带有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
-
示例假定 secret.yml Ansible vault 存储了
ipaadmin_password
。
- idview_for_host1 ID 视图存在。
流程
在 Ansible 控制节点上,使用以下内容创建一个 ensure-idmuser-and-local-user-have-access-to-same-files.yml playbook:
--- - name: Ensure both local user and IdM user have access to same files hosts: ipaserver become: false gather_facts: false tasks: - name: Ensure idview_for_host1 is applied to host1.idm.example.com ipaidview: ipaadmin_password: "{{ ipaadmin_password }}" name: idview_for_host01 host: host1.idm.example.com - name: Ensure idmuser is present in idview_for_host01 with the UID of 20001 ipaidoverrideuser: ipaadmin_password: "{{ ipaadmin_password }}" idview: idview_for_host01 anchor: idm_user UID: 20001
- 保存该文件。
运行 playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:
$ ansible-playbook --vault-password-file=password_file -v -i inventory ensure-idmuser-and-local-user-have-access-to-same-files.yml
其他资源
-
ansible-freeipa
上游文档中的 idoverrideuser 模块