33.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项
您可以使用以下任一方法授权 IdM 客户端注册:
- 一个随机的一次性密码(OTP)+ 管理员密码
- 一个随机的一次性密码(OTP)+ admin keytab
- 之前注册中的客户端 keytab
-
授权注册清单文件中的客户端(
管理员
)的用户密码 -
授权注册存储在 Ansible vault 中的客户端(
管理员
)的用户密码
在 IdM 客户端安装前,可以让 IdM 管理员生成的 OTP。在这种情况下,您不需要在 OTP 本身以外的安装的任何凭证。
以下是这些方法的清单文件示例:
授权选项 | 清单文件 |
---|---|
一个随机的一次性密码(OTP)+ 管理员密码 |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
一个随机的一次性密码(OTP) |
[ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
这个场景假定 OTP 已在安装前由 IdM |
一个随机的一次性密码(OTP)+ admin keytab |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
之前注册中的客户端 keytab |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
存储在清单文件中的 |
[ipaclients:vars] ipaadmin_password=Secret123 |
存储在 Ansible vault 文件中的 |
[ipaclients:vars] [...] |
如果您使用存储在 Ansible vault 文件中的 admin
用户的密码,则对应的 playbook 文件必须具有额外的 vars_files
指令:
清单文件 | Playbook 文件 |
---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients hosts: ipaclients become: true vars_files: - ansible_vault_file.yml roles: - role: ipaclient state: present |
在上述所有其他授权场景中,基本的 playbook 文件可能如下所示:
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true
从 RHEL 8.8 开始,在上述两个 OTP 授权场景中,使用 kinit
命令请求管理员的 TGT 发生在第一个指定或发现的 IdM 服务器上。因此,不需要对 Ansible 控制节点进行额外的修改。在 RHEL 8.8 之前,控制节点上需要 krb5-workstation
软件包。