搜索

27.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项

download PDF

您可以使用以下任一方法授权 IdM 客户端注册:

  • 一个随机的一次性密码(OTP)+ 管理员密码
  • 一个随机的一次性密码(OTP)+ admin keytab
  • 之前注册中的客户端 keytab
  • 授权注册清单文件中的客户端(管理员)的用户密码
  • 授权注册存储在 Ansible vault 中的客户端(管理员)的用户密码

以下是这些方法的清单文件示例:

表 27.1. 清单文件示例
授权选项清单文件

一个随机的一次性密码(OTP)+ 管理员密码

如果在 playbook 执行过程中生成 OTP:

[ipaclients:vars]
ipaadmin_password=Secret123
ipaclient_use_otp=true

or

如果 OTP 已在安装前由 IdM admin 生成:

[ipaclients:vars]
ipaclient_otp=<W5YpARl=7M.>

一个随机的一次性密码(OTP)+ admin keytab

[ipaclients:vars]
ipaadmin_keytab=/root/admin.keytab
ipaclient_use_otp=true

之前注册中的客户端 keytab

[ipaclients:vars]
ipaclient_keytab=/root/krb5.keytab

存储在清单文件中的 admin 用户的密码

[ipaclients:vars]
ipaadmin_password=Secret123

存储在 Ansible vault 文件中的 admin 用户的密码

[ipaclients:vars]
[...]

如果您使用存储在 Ansible vault 文件中的 admin 用户的密码,则对应的 playbook 文件必须具有额外的 vars_files 指令:

表 27.2. 存储在 Ansible vault 中的用户密码
清单文件Playbook 文件
[ipaclients:vars]
[...]
- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true
  vars_files:
  - ansible_vault_file.yml

  roles:
  - role: ipaclient
    state: present

在上述所有其他授权场景中,基本的 playbook 文件可能如下所示:

- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true
注意

从 RHEL 9.2 开始,在上述两个 OTP 授权场景中,使用 kinit 命令的管理员的 TGT 请求发生在第一个指定或发现的 IdM 服务器上。因此,不需要对 Ansible 控制节点进行额外的修改。在 RHEL 9.2 之前,控制节点上需要 krb5-workstation 软件包。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.