4.3. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项
您可以使用以下任一方法授权 IdM 客户端注册:
- 授权注册客户端的用户密码:存储在 Ansible vault 中的密码
- 授权注册客户端的用户密码:存储在清单文件中的密码
- 一个随机的一次性密码(OTP)+ 管理员密码
- 一个随机的一次性密码(OTP)+ admin keytab
- 之前注册中的客户端 keytab
以下是这些方法的清单文件和 install-client.yml playbook 文件示例:
| 清单文件示例 | install-client.yml playbook 文件示例 |
|---|---|
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password
hosts: ipaclients
become: true
vars_files:
- playbook_sensitive_data.yml
roles:
- role: ipaclient
state: present
|
| 清单文件示例 | install-client.yml playbook 文件示例 |
|---|---|
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
| 清单文件示例 | install-client.yml playbook 文件示例 |
|---|---|
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true 如果在 playbook 执行过程中生成 OTP or [ipaclients:vars] ipaclient_otp=<W5YpARl=7M.>
如果 OTP 已在安装前由 IdM |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
| 清单文件示例 | install-client.yml playbook 文件示例 |
|---|---|
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
注意
从 RHEL 9.2 开始,在上述两个 OTP 授权场景中,使用 kinit 命令请求管理员的 TGT 在第一个指定的或发现的 IdM 服务器上发生。因此,不需要对 Ansible 控制节点进行额外的修改。在 RHEL 9.2 之前,控制节点上需要 krb5-workstation 软件包。
| 清单文件示例 | install-client.yml playbook 文件示例 |
|---|---|
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients
hosts: ipaclients
become: true
roles:
- role: ipaclient
state: true
|
