1. システムが RHEL 8.5 以前で実行されている場合は、必要なリポジトリーを有効にします。

   # subscription-manager repos --enable ansible-2.8-for-rhel-8-x86_64-rpms

2. システムが RHEL 8.5 以前で実行されている場合は、ansible パッケージをインストールします。

   # yum install ansible

3. ansible-freeipa パッケージをインストールします。

   # yum install ansible-freeipa

   ロールとモジュールは、/usr/share/ansible/roles/ および /usr/share/ansible/plugins/modules ディレクトリーにインストールされます。

手順

1. 編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。

   • 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。
2. IdM ドメインおよびレルムの情報を指定します。

3. 以下のオプションを追加して、統合 DNS を使用することを指定します。

   ipaserver_setup_dns=yes

4. DNS 転送設定を指定します。以下のいずれかのオプションを選択します。

   • インストーラーが /etc/resolv.conf ファイルからのフォワーダーを使用する場合は、ipaserver_auto_forwarders=yes オプションを使用します。/etc/resolv.conf ファイルで指定する nameserver が localhost 127.0.0.1 アドレスである場合、または仮想プライベートネットワークにあり、使用している DNS サーバーが通常パブリックインターネットから到達できない場合は、このオプションは使用しないでください。
   • ipaserver_forwarders を使用して、フォワーダーを手動で指定します。インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。

   • 代わりに使用する root DNS サーバーを設定する場合は、ipaserver_no_forwarders=yes オプションを使用します。

     注記

     DNS フォワーダーがないと、環境は分離され、インフラストラクチャー内の他の DNS ドメインからの名前は解決されません。

5. DNS の逆引きレコードとゾーンの設定を指定します。次のいずれかのオプションを選択します。

   • ゾーンがすでに解決可能であっても、ipaserver_allow_zone_overlap=yes オプションを使用して (リバース) ゾーンの作成を許可します。
   • ipaserver_reverse_zones オプションを使用して、手動でリバースゾーンを指定します。

   • インストーラーが DNS ゾーンを逆引きで作成しない場合は、ipaserver_no_reverse=yes オプションを使用します。

     注記

     オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

6. admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

7. (必要に応じて) IdM サーバーで使用する個別の firewalld ゾーンを指定します。カスタムゾーンを設定しないと、サービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

   重要

   指定する firewalld ゾーンは存在し、永続的でなければなりません。

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   カスタムの firewalld 損を使用したインベントリーファイルの例

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Ansible Vault ファイルに保存された admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   インベントリーファイルの admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

手順

1. 編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。

   • 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。
2. IdM ドメインおよびレルムの情報を指定します。
3. ipaserver_setup_dns オプションが no に設定されているか、存在しないことを確認します。
4. admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

5. (必要に応じて) IdM サーバーで使用する個別の firewalld ゾーンを指定します。カスタムゾーンを設定しないと、サービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

   重要

   指定する firewalld ゾーンは存在し、永続的でなければなりません。

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   カスタムの firewalld 損を使用したインベントリーファイルの例

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone

   Ansible Vault ファイルに保存された admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
   
     roles:
     - role: ipaserver
       state: present

   インベントリーファイルの admin パスワードおよび Directory Manager パスワードを使用して IdM サーバーを設定する Playbook の例

   ---
   - name: Playbook to configure IPA server
     hosts: ipaserver
     become: true
   
     roles:
     - role: ipaserver
       state: present

手順

1. ansible-playbook コマンドを、Playbook ファイルの名前 (install-server.yml など) で実行します。-i オプションでインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/hosts <path_to_playbooks_directory>/install-server.yml

   -v オプション、-vv オプション、または -vvv オプションを使用して、詳細のレベルを指定します。

   コマンドラインインターフェイス (CLI) で Ansible Playbook スクリプトの出力を表示できます。次の出力は、失敗したタスクが 0 個のため、スクリプトが正常に実行されたことを示しています。

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. 以下のいずれかのオプションを選択します。

   • IdM デプロイメントで外部 DNS を使用する場合: /tmp/ipa.system.records.UFRPto.db ファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   重要

   既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

   • IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。

     • 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。

       重要

       IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

     • タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールした IdM サーバーのタイムサーバーの SRV レコードが存在すると、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように、今後のレプリカおよびクライアントインストールが自動的に設定されます。

手順

1. 編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。

   • 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。
2. IdM ドメインおよびレルムの情報を指定します。

3. 以下のオプションを追加して、統合 DNS を使用することを指定します。

   ipaserver_setup_dns=yes

4. DNS 転送設定を指定します。以下のいずれかのオプションを選択します。

   • インストールプロセスで /etc/resolv.conf ファイルのフォワーダーを使用する場合は、ipaserver_auto_forwarders=yes を使用します。/etc/resolv.conf ファイルで指定する nameserver が localhost 127.0.0.1 アドレスである場合、または仮想プライベートネットワークにあり、使用している DNS サーバーが通常パブリックインターネットから到達できない場合は、このオプションを使用することが推奨されません。
   • ipaserver_forwarders を使用して、フォワーダーを手動で指定します。インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。

   • 代わりに使用する root DNS サーバーを設定する場合は、ipaserver_no_forwarders=yes オプションを使用します。

     注記

     DNS フォワーダーがないと、環境は分離され、インフラストラクチャー内の他の DNS ドメインからの名前は解決されません。

5. DNS の逆引きレコードとゾーンの設定を指定します。次のいずれかのオプションを選択します。

   • ゾーンがすでに解決可能であっても、ipaserver_allow_zone_overlap=yes オプションを使用して (リバース) ゾーンの作成を許可します。
   • ipaserver_reverse_zones オプションを使用して、手動でリバースゾーンを指定します。

   • インストールプロセスで DNS ゾーンの逆引きを作成しない場合は、ipaserver_no_reverse=yes オプションを使用します。

     注記

     オプションで、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。

6. admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

7. (必要に応じて) IdM サーバーで使用する個別の firewalld ゾーンを指定します。カスタムゾーンを設定しないと、サービスがデフォルトのfirewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

   重要

   指定する firewalld ゾーンは存在し、永続的でなければなりません。

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   [...]

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   カスタムの firewalld 損を使用したインベントリーファイルの例

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=yes
   ipaserver_auto_forwarders=yes
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

8. インストールの最初ステップ用の Playbook を作成します。証明書署名要求 (CSR) を生成し、それをコントローラーからマネージドノードにコピーする指示を入力します。

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

9. インストールの最終ステップ用に、別の Playbook を作成します。

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

手順

1. 編集するインベントリーファイルを開きます。IdM サーバーとして使用するホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN が以下の基準を満たしていることを確認してください。

   • 英数字およびハイフン (-) のみが使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。
2. IdM ドメインおよびレルムの情報を指定します。
3. ipaserver_setup_dns オプションが no に設定されているか、存在しないことを確認します。
4. admin と Directory Manager のパスワードを指定します。Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照します。あるいは、安全性は低くなりますが、インベントリーファイルにパスワードを直接指定します。

5. (必要に応じて) IdM サーバーで使用する個別の firewalld ゾーンを指定します。カスタムゾーンを設定しないと、サービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

   重要

   指定する firewalld ゾーンは存在し、永続的でなければなりません。

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを除く)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   必要なサーバー情報を含むインベントリーファイルの例 (パスワードを含む)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   カスタムの firewalld 損を使用したインベントリーファイルの例

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

6. インストールの最初ステップ用の Playbook を作成します。証明書署名要求 (CSR) を生成し、それをコントローラーからマネージドノードにコピーする指示を入力します。

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

7. インストールの最終ステップ用に、別の Playbook を作成します。

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present

手順

1. ansible-playbook コマンドに、インストールの最初ステップの指示を含む Playbook ファイルの名前 (install-server-step1.yml など) を指定して実行します。-i オプションでインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step1.yml

   -v オプション、-vv オプション、または -vvv オプションを使用して、詳細のレベルを指定します。

   コマンドラインインターフェイス (CLI) で Ansible Playbook スクリプトの出力を表示できます。次の出力は、失敗したタスクが 0 個のため、スクリプトが正常に実行されたことを示しています。

   PLAY RECAP
   server.idm.example.com : ok=18   changed=10   unreachable=0    failed=0    skipped=21   rescued=0    ignored=0

2. コントローラー上の ipa.csr 証明書署名要求ファイルを見つけ、これを外部 CA に送信します。
3. 外部 CA が署名した IdM CA 証明書をコントローラーファイルシステムに配置して、次のステップの Playbook で見つけられるようにします。

4. ansible-playbook コマンドに、インストールの最終ステップの指示を含む Playbook ファイルの名前 (install-server-step2.yml など) を指定して実行します。-i オプションでインベントリーファイルを指定します。

   $ ansible-playbook -v -i <path_to_inventory_directory>/host.server <path_to_playbooks_directory>/install-server-step2.yml

5. 以下のいずれかのオプションを選択します。

   • IdM デプロイメントで外部 DNS を使用する場合: /tmp/ipa.system.records.UFRPto.db ファイルに含まれる DNS リソースレコードを、既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

     ...
     Restarting the KDC
     Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
     Restarting the web server
     ...

   重要

   既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。

   • IdM デプロイメントで統合 DNS を使用している場合は、次のコマンドを実行します。

     • 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが idm.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。

       重要

       IdM DNS サーバーをインストールするたびに、この手順を繰り返します。

     • タイムサーバーの _ntp._udp サービス (SRV) レコードを IdM DNS に追加します。IdM DNS に新たにインストールした IdM サーバーのタイムサーバーの SRV レコードが存在すると、このプライマリー IdM サーバーが使用するタイムサーバーと同期するように、今後のレプリカおよびクライアントインストールが自動的に設定されます。

手順

1. 編集するインベントリーファイルを開きます。IdM レプリカとなるホストの完全修飾ドメイン名 (FQDN) を指定します。FQDN は有効な DNS 名である必要があります。

   • 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。

   • ホスト名がすべて小文字である。

     レプリカの FQDN のみが定義されている単純なインベントリーホストファイルの例

     [ipareplicas]
     replica1.idm.example.com
     replica2.idm.example.com
     replica3.idm.example.com
     [...]

     IdM サーバーがデプロイされており、SRV レコードが IdM DNS ゾーンに適切に設定されている場合、スクリプトはその他に必要な値をすべて自動的に検出します。

2. [オプション] トポロジーの設計方法に基づいて、インベントリーファイルに追加情報を入力します。

   シナリオ 1

   自動検出を回避し、[ipareplicas] セクションに記載されているすべてのレプリカが特定の IdM サーバーを使用するようにするには、インベントリーファイルの [ipaservers] セクションにそのサーバーを設定します。

   IdM サーバーとレプリカの FQDN が定義されているインベントリーホストファイルの例

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]

   シナリオ 2

   または、自動検出を回避して、特定のサーバーで特定のレプリカをデプロイする場合は、インベントリーファイルの [ipareplicas] セクションに、特定のレプリカのサーバーを個別に設定します。

   特定のレプリカ用に特定の IdM サーバーが定義されたインベントリーファイルの例

   [ipaservers]
   server.idm.example.com
   replica1.idm.example.com
   
   [ipareplicas]
   replica2.idm.example.com
   replica3.idm.example.com ipareplica_servers=replica1.idm.example.com

   上記の例では、replica3.idm.example.com が、すでにデプロイされた replica1.idm.example.com を複製元として使用します。

   シナリオ 3

   1 つのバッチに複数のレプリカをデプロイする場合は、多層レプリカのデプロイメントが役に立ちます。インベントリーファイルにレプリカの特定グループ (例: [ipareplicas_tier1] および [ipareplicas_tier2]) を定義し、Playbook install-replica.yml で各グループに個別のプレイを設計します。

   レプリカ階層が定義されているインベントリーファイルの例

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas_tier1]
   replica1.idm.example.com
   
   [ipareplicas_tier2]
   replica2.idm.example.com \ ipareplica_servers=replica1.idm.example.com,server.idm.example.com

   ipareplica_servers の最初のエントリーが使用されます。次のエントリーは、フォールバックオプションとして使用されます。IdM レプリカのデプロイに複数の層を使用する場合は、最初に tier1 からレプリカをデプロイし、次に tier2 からレプリカをデプロイするように、Playbook に個別のタスクが必要です。

   レプリカグループごとに異なるプレイを定義した Playbook ファイルの例

   ---
   - name: Playbook to configure IPA replicas (tier1)
     hosts: ipareplicas_tier1
     become: true
   
     roles:
     - role: ipareplica
       state: present
   
   - name: Playbook to configure IPA replicas (tier2)
     hosts: ipareplicas_tier2
     become: true
   
     roles:
     - role: ipareplica
       state: present

3. [オプション] firewalld と DNS に関する追加情報を入力します。

   シナリオ 1

   レプリカが、デフォルトのゾーンの代わりに指定した firewalld ゾーンを使用するようにする場合は、インベントリーファイルに指定できます。これは、たとえば、デフォルトとして設定されているパブリックゾーンの代わりに、IdM インストールに内部 firewalld ゾーンを使用する場合に役立ちます。

   カスタムゾーンを設定しないと、サービスがデフォルトの firewalld ゾーンに追加されます。事前定義されたデフォルトゾーンは public です。

   重要

   指定する firewalld ゾーンは存在し、永続的でなければなりません。

   カスタム firewalld 帯を持つシンプルなインベントリーホストファイルの例

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_firewalld_zone=custom zone

   シナリオ 2

   レプリカが IdM DNS サービスをホストするようにする場合は、ipareplica_setup_dns=yes 行を [ipareplicas:vars] セクションに追加します。また、サーバーごとの DNS フォワーダーを使用するかどうかを指定します。

   • サーバーごとのフォワーダーを設定するには、ipareplica_forwarders 変数と文字列のリストを [ipareplicas:vars] セクションに追加します (例: ipareplica_forwarders=192.0.2.1,192.0.2.2)。
   • サーバーごとにフォワーダーを設定しない場合は、ipareplica_no_forwarders=yes の行を [ipareplicas:vars] セクションに追加します。
   • レプリカの /etc/resolv.conf ファイルにリスト表示されているフォワーダーに基づいてサーバーごとにフォワーダーを設定するには、[ipareplicas:vars] セクションに ipareplica_auto_forwarders を追加します。

   レプリカに DNS とサーバーごとのフォワーダーを設定する手順を含むインベントリーファイルの例

   [ipaservers]
   server.idm.example.com
   
   [ipareplicas]
   replica1.idm.example.com
   replica2.idm.example.com
   replica3.idm.example.com
   [...]
   
   [ipareplicas:vars]
   ipareplica_setup_dns=yes
   ipareplica_forwarders=192.0.2.1,192.0.2.2

   シナリオ 3

   ipaclient_configure_dns_resolve および ipaclient_dns_servers オプション (使用可能な場合) を使用して DNS リゾルバーを指定し、クラスターのデプロイメントを簡素化します。これは、IdM デプロイメントが統合 DNS を使用している場合に特に便利です。

   DNS リゾルバーを指定するインベントリーファイルスニペット:

   [...]
   [ipaclient:vars]
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   注記

   ipaclient_dns_servers リストには IP アドレスのみを含める必要があります。ホスト名を含めることはできません。

手順

1. レプリカをデプロイする権限のあるユーザーのパスワード (IdM の admin など) を指定します。

   • Red Hat は、Ansible Vault を使用してパスワードを保存し、Playbook ファイルから Vault ファイルを参照する (install-replica.yml など) ことを推奨します。

     Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
       vars_files:
       - playbook_sensitive_data.yml
     
       roles:
       - role: ipareplica
         state: present

     Ansible Vault の使用方法は、公式の Ansible Vault ドキュメントを参照してください。

   • あまり安全ではありませんが、インベントリーファイルで admin の認証情報を直接提供します。インベントリーファイルの [ipareplicas:vars] セクションで ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。

     インベントリーの hosts.replica ファイルの例

     [...]
     [ipareplicas:vars]
     ipaadmin_password=Secret123

     インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

   • または、安全性は低くなりますが、レプリカをインベントリーファイルに直接デプロイすることを許可されている別のユーザーの認証情報を提供します。別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプションを使用し、パスワードに ipaadmin_password オプションを使用します。インベントリーファイルと、Playbook ファイル install-replica.yml は以下のようになります。

     インベントリーの hosts.replica ファイルの例

     [...]
     [ipareplicas:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=my_admin_secret123

     インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例

     - name: Playbook to configure IPA replicas
       hosts: ipareplicas
       become: true
     
       roles:
       - role: ipareplica
         state: present

手順

1. IdM クライアントになるホストの完全修飾ホスト名 (FQDN) を指定します。完全修飾ドメイン名は、有効な DNS 名である必要があります。

   • 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。大文字は使用できません。

   SRV レコードが IdM DNS ゾーンで正しく設定されている場合は、スクリプトが自動的に必要な値をすべて検出します。

   クライアントの FQDN のみが定義されている単純なインベントリーホストファイルの例

   [ipaclients]
   client.idm.example.com
   [...]

2. クライアントを登録するための認証情報を指定します。以下の認証方法を使用できます。

   • クライアントを登録する権限のあるユーザーのパスワード。以下はデフォルトのオプションになります。

     • Red Hat は、Ansible Vault を使用してパスワードを保存し、Playbook ファイル (install-client.yml など) から Vault ファイルを直接参照することを推奨します。

       Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

     • あまり安全ではありませんが、inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password オプションを使用して、admin の認証情報を提供します。また、別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプション、パスワードに ipaadmin_password オプションを使用します。inventory/hosts インベントリーファイルと、Playbook ファイル install-client.yml は以下のようになります。

       インベントリーホストファイルの例

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

   • 以前登録した クライアントキータブ が利用できる場合は、以下を行います。

     このオプションは、システムが Identity Management クライアントとして登録されたことがある場合に使用できます。この認証方法を使用するには、#ipaclient_keytab オプションのコメントを解除して、キータブを保存するファイルへのパスを指定します (例: inventory/hosts の [ipaclient:vars] セクション)。

   • 登録時に生成される ランダムなワンタイムパスワード (OTP)。この認証方法を使用するには、インベントリーファイルの ipaclient_use_otp=yes オプションを使用します。たとえば、inventory/hosts ファイルの [ipaclients:vars] セクションで ipaclient_use_otp=yes オプションのコメントを解除できます。OTP では、以下のいずれかのオプションも指定する必要があります。

     • クライアントを登録する権限のあるユーザーのパスワード (例: inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password の値を指定)。
     • 管理者キータブ (例: inventory/hosts の [ipaclients:vars] セクションに ipaadmin_keytab の値を指定)。

3. (オプション) ipaclient_configure_dns_resolve および ipaclient_dns_servers オプション (使用可能な場合) を使用して DNS リゾルバーを指定し、クラスターのデプロイメントを簡素化します。これは、IdM デプロイメントが統合 DNS を使用している場合に特に便利です。

   DNS リゾルバーを指定するインベントリーファイルスニペット:

   [...]
   [ipaclients:vars]
   ipaadmin_password: "{{ ipaadmin_password }}"
   ipaclient_domain=idm.example.com
   ipaclient_configure_dns_resolver=true
   ipaclient_dns_servers=192.168.100.1

   注記

   ipaclient_dns_servers リストには IP アドレスのみを含める必要があります。ホスト名を含めることはできません。

手順

1. IdM クライアントになるホストの完全修飾ホスト名 (FQDN) を指定します。完全修飾ドメイン名は、有効な DNS 名である必要があります。

   • 数字、アルファベット、およびハイフン (-) のみを使用できる。たとえば、アンダーラインは使用できないため、DNS の障害が発生する原因となる可能性があります。
   • ホスト名がすべて小文字である。大文字は使用できません。

2. inventory/hosts ファイルの関連セクションに、他のオプションを指定します。

   • [ipaservers] セクションのサーバーの FQDN は、クライアントが登録される IdM サーバーを示します。

   • 以下のいずれかのオプションを使用できます。

     • クライアントが登録される IdM サーバーの DNS ドメイン名を指定する [ipaclients:vars] セクションの ipaclient_domain オプション

     • IdM サーバーが制御する Kerberos レルムの名前を示す [ipaclients:vars] セクションの ipaclient_realm オプション

       クライアント FQDN、サーバーの FQDN、およびドメインが定義されているインベントリーホストファイルの例

       [ipaclients]
       client.idm.example.com
       
       [ipaservers]
       server.idm.example.com
       
       [ipaclients:vars]
       ipaclient_domain=idm.example.com
       [...]

3. クライアントを登録するための認証情報を指定します。以下の認証方法を使用できます。

   • クライアントを登録する権限のあるユーザーのパスワード。以下はデフォルトのオプションになります。

     • Red Hat は、Ansible Vault を使用してパスワードを保存し、Playbook ファイル (install-client.yml など) から Vault ファイルを直接参照することを推奨します。

       Ansible Vault ファイルのインベントリーファイルおよびパスワードのプリンシパルを使用した Playbook ファイルの例

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

   • 安全性は低くなりますが、inventory/hosts ファイルの [ipaclients:vars] セクションの ipaadmin_password オプションを使用して、admin の認証情報が提供されます。また、別の認証ユーザーを指定するには、ユーザー名に ipaadmin_principal オプション、パスワードに ipaadmin_password オプションを使用します。これにより、Playbook ファイル install-client.yml は、以下のようになります。

     インベントリーホストファイルの例

     [...]
     [ipaclients:vars]
     ipaadmin_principal=my_admin
     ipaadmin_password=Secret123

     インベントリーファイルのプリンシパルおよびパスワードを使用した Playbook の例

     - name: Playbook to unconfigure IPA clients
       hosts: ipaclients
       become: true
     
       roles:
       - role: ipaclient
         state: true

   • 以前登録した クライアントキータブ が利用できる場合は、以下を行います。

     このオプションは、システムが Identity Management クライアントとして登録されたことがある場合に使用できます。この認証方法を使用するには、ipaclient_keytab オプションをコメント解除します。たとえば、inventory/hosts の [ipaclient:vars] セクションにあるように、キータブを格納しているファイルへのパスを指定します。

   • 登録時に生成される ランダムなワンタイムパスワード (OTP)。この認証方法を使用するには、インベントリーファイルの ipaclient_use_otp=yes オプションを使用します。たとえば、inventory/hosts ファイルの [ipaclients:vars] セクションで、#ipaclient_use_otp=yes オプションをコメント解除できます。OTP では、以下のいずれかのオプションも指定する必要があります。

     • クライアントを登録する権限のあるユーザーのパスワード (例: inventory/hosts ファイルの [ipaclients:vars] セクションに ipaadmin_password の値を指定)。
     • 管理者キータブ (例: inventory/hosts の [ipaclients:vars] セクションに ipaadmin_keytab の値を指定)。

手順

1. Ansible 設定および Playbook のディレクトリーをホームディレクトリーに作成します。

   $ mkdir ~/MyPlaybooks/

2. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks

3. ~/MyPlaybooks/ansible.cfg ファイルを以下の内容で作成します。

   [defaults]
   inventory = /home/your_username/MyPlaybooks/inventory
   remote_user = admin

4. ~/MyPlaybooks/inventory ファイルを以下の内容で作成します。

   [eu]
   server.idm.example.com
   
   [us]
   replica.idm.example.com
   
   [ipaserver:children]
   eu
   us

   この設定は、これらの場所にあるホストの 2 つのホストグループ (eu と us) を定義します。さらに、この設定は、eu および us グループのすべてのホストを含む ipaserver ホストグループを定義します。

5. [オプション] SSH 公開鍵および秘密鍵を作成します。テスト環境でのアクセスを簡素化するには、秘密鍵にパスワードを設定しないでください。

   $ ssh-keygen

6. 各マネージドノードの IdM admin アカウントに SSH 公開鍵をコピーします。

   $ ssh-copy-id admin@server.idm.example.com
   $ ssh-copy-id admin@replica.idm.example.com

   これらのコマンドでは、IdM 管理者 パスワードを入力します。

7. Vault パスワードを含む password_file ファイルを作成します。

   redhat

8. ファイルを変更する権限を変更します。

   $ chmod 0600 password_file

9. IdM の admin パスワードを保存する secret.yml Ansible Vault を作成します。

   1. Vault パスワードを保存するように password_file を設定します。

      $ ansible-vault create --vault-password-file=password_file secret.yml

   2. プロンプトが表示されたら、secret.yml ファイルの内容を入力します。

      ipaadmin_password: Secret123

手順

1. Ansible Playbook ファイル /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml を開いて編集します。

   ---
   - name: Playbook to handle global IdM configuration
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Query IPA global configuration
       ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
       register: serverconfig
   
     - debug:
         msg: "{{ serverconfig }}"

2. 以下を変更してファイルを調整します。

   • IdM 管理者のパスワード。
   • その他の値 (必要な場合)。
3. ファイルを保存します。

4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/retrieve-config.yml
   [...]
   TASK [debug]
   ok: [server.idm.example.com] => {
       "msg": {
           "ansible_facts": {
               "discovered_interpreter_
           },
           "changed": false,
           "config": {
               "ca_renewal_master_server": "server.idm.example.com",
               "configstring": [
                   "AllowNThash",
                   "KDC:Disable Last Success"
               ],
               "defaultgroup": "ipausers",
               "defaultshell": "/bin/bash",
               "emaildomain": "idm.example.com",
               "enable_migration": false,
               "groupsearch": [
                   "cn",
                   "description"
               ],
               "homedirectory": "/home",
               "maxhostname": "64",
               "maxusername": "64",
               "pac_type": [
                   "MS-PAC",
                   "nfs:NONE"
               ],
               "pwdexpnotify": "4",
               "searchrecordslimit": "100",
               "searchtimelimit": "2",
               "selinuxusermapdefault": "unconfined_u:s0-s0:c0.c1023",
               "selinuxusermaporder": [
                   "guest_u:s0$xguest_u:s0$user_
               ],
               "usersearch": [
                   "uid",
                   "givenname",
                   "sn",
                   "telephonenumber",
                   "ou",
                   "title"
               ]
           },
           "failed": false
       }
   }

手順

1. 必要に応じて、現在の IdM CA 更新サーバーを特定します。

   $ ipa config-show | grep 'CA renewal'
     IPA CA renewal master: server.idm.example.com

2. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

3. Ansible Playbook ファイル /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml を開いて編集します。

   ---
   - name: Playbook to handle global DNS configuration
     hosts: ipaserver
     become: no
     gather_facts: no
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     - name: set ca_renewal_master_server
       ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         ca_renewal_master_server: carenewal.idm.example.com

4. 以下を変更してファイルを調整します。

   • ipaadmin_password 変数で設定した IdM 管理者のパスワード
   • ca_renewal_master_server 変数で設定した CA 更新サーバーの名前。
5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/set-ca-renewal-master-server.yml

1. IdM 管理者として ipaserver にログインします。

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. IdM CA 更新サーバーの ID を要求します。

   $ ipa config-show | grep ‘CA renewal’
   IPA CA renewal master:  carenewal.idm.example.com

   この出力には、carenewal.idm.example.com サーバーが新しい CA 更新サーバーであることが分かります。

手順

1. 必要に応じて、Ansible Playbook retrieve-config.yml を使用して、IdM ユーザーの現在のシェルを特定します。詳細は、Ansible Playbook での IdM 設定の取得 を参照してください。

2. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

3. Ansible Playbook /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml ファイルを開いて編集します。

   ---
   - name: Playbook to ensure some config options are set
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
     # Set defaultlogin and maxusername
     - ipaconfig:
         ipaadmin_password: "{{ ipaadmin_password }}"
         defaultshell: /bin/bash
         maxusername: 64

4. 以下を変更してファイルを調整します。

   • ipaadmin_password 変数で設定した IdM 管理者のパスワード
   • defaultshell 変数で設定されている IdM ユーザーのデフォルトのシェルが /bin/sh に設定されます。
5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/config/ensure-config-options-are-set.yml

1. IdM 管理者として ipaserver にログインします。

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. 現在のシェルを表示します。

   [admin@server /]$ echo "$SHELL"
   /bin/sh

   ログインしているユーザーが sh シェルを使用している。

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. netbios-domain-name-present.yml Ansible Playbook ファイルを作成します。

3. 以下の内容をファイルに追加します。

   ---
   - name: Playbook to change IdM domain netbios name
     hosts: ipaserver
     become: no
     gather_facts: no
   
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
       - name: Set IdM domain netbios name
         ipaconfig:
           ipaadmin_password: "{{ ipaadmin_password }}"
           netbios_name: IPADOM

4. ファイルを保存します。

5. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory netbios-domain-name-present.yml

   プロンプトが表示されたら、ボールトファイルのパスワードを入力します。

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. sids-for-users-and-groups-present.yml Ansible Playbook ファイルを作成します。

3. 以下の内容をファイルに追加します。

   ---
   - name: Playbook to ensure SIDs are enabled and users and groups have SIDs
     hosts: ipaserver
     become: no
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
   
     tasks:
       - name: Enable SID and generate users and groups SIDS
         ipaconfig:
           ipaadmin_password: "{{ ipaadmin_password }}"
           enable_sid: true
           add_sids: true

   enable_sid 変数は、将来の IdM ユーザーおよびグループの SID 生成を有効にします。add_sids 変数は、既存の IdM ユーザーおよびグループの SID を生成します。

   注記

   add_sids: true を使用する場合は、enable_sid 変数を true に設定する必要もあります。

4. ファイルを保存します。

5. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory sids-for-users-and-groups-present.yml

   プロンプトが表示されたら、ボールトファイルのパスワードを入力します。

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM に存在させるユーザーのデータを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/add-user.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、idm_user という名前のユーザーを作成し、 Password123 をユーザーパスワードとして追加するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_user
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: idm_user
         first: Alice
         last: Acme
         uid: 1000111
         gid: 10011
         phone: "+555123457"
         email: idm_user@acme.com
         passwordexpiration: "2023-01-19 23:59:59"
         password: "Password123"
         update_password: on_create

   ユーザーを追加するには、以下のオプションを使用する必要があります。

   • 名前: ログイン名
   • first: 名前 (名) の文字列
   • last: 名前 (姓) の文字列

   利用可能なユーザーオプションの完全なリストは、/usr/share/doc/ansible-freeipa/README-user.md Markdown ファイルを参照してください。

   注記

   update_password: on_create オプションを使用する場合には、Ansible はユーザー作成時にのみユーザーパスワードを作成します。パスワードを指定してユーザーが作成されている場合には、Ansible では新しいパスワードは生成されません。

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-IdM-user.yml

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM に存在させるユーザーのデータを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を作成し、idm_user_1 のパスワードを Password123 として追加します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create user idm_users
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
           first: Alice
           last: Acme
           uid: 10001
           gid: 10011
           phone: "+555123457"
           email: idm_user@acme.com
           passwordexpiration: "2023-01-19 23:59:59"
           password: "Password123"
         - name: idm_user_2
           first: Bob
           last: Acme
           uid: 100011
           gid: 10011
         - name: idm_user_3
           first: Eve
           last: Acme
           uid: 1000111
           gid: 10011

   注記

   update_password: on_create オプションを指定しないと、Ansible は Playbook が実行されるたびにユーザーパスワードを再設定します。最後に Playbook が実行されてからユーザーがパスワードを変更した場合には、Ansible はパスワードを再設定します。

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-users.yml

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. 必要なタスクが含まれる Ansible Playbook ファイルを作成します。存在させるユーザーのデータが指定された JSON ファイルを参照します。この手順は、/usr/share/doc/ansible-freeipa/ensure-users-present-ymlfile.yml ファイルのサンプルをコピーして変更し、簡素化できます。

   ---
   - name: Ensure users' presence
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Include users.json
       include_vars:
         file: users.json
   
     - name: Users present
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users: "{{ users }}"

3. users.json ファイルを作成し、IdM ユーザーを追加します。この手順を簡素化するには、/usr/share/doc/ansible-freeipa/playbooks/user/users.json ファイルのサンプルをコピーして変更できます。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を作成し、idm_user_1 のパスワードを Password123 として追加します。

   {
     "users": [
      {
       "name": "idm_user_1",
       "first": "Alice",
       "last": "Acme",
       "password": "Password123"
      },
      {
       "name": "idm_user_2",
       "first": "Bob",
       "last": "Acme"
      },
      {
       "name": "idm_user_3",
       "first": "Eve",
       "last": "Acme"
      }
     ]
   }

4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-users-present-jsonfile.yml

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. IdM に存在させないユーザーを指定して Ansible Playbook ファイルを作成します。この手順は、/usr/share/doc/ansible-freeipa/playbooks/user/ensure-users-present.yml ファイルのサンプルをコピーして変更し、簡素化できます。たとえば、ユーザー idm_user_1、idm_user_2、idm_user_3 を削除するには、次のコマンドを実行します。

   ---
   - name: Playbook to handle users
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Delete users idm_user_1, idm_user_2, idm_user_3
       ipauser:
         ipaadmin_password: "{{ ipaadmin_password }}"
         users:
         - name: idm_user_1
         - name: idm_user_2
         - name: idm_user_3
         state: absent

3. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/delete-users.yml

1. 管理者として ipaserver にログインします。

   $ ssh administrator@server.idm.example.com
   Password:
   [admin@server /]$

2. idm_user_1 に関する要求情報:

   $ ipa user-show idm_user_1
   ipa: ERROR: idm_user_1: user not found

   idm_user_1 という名前のユーザーは IdM に存在しません。

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. 必要なユーザーおよびグループ情報を使用して Ansible Playbook ファイルを作成します。

   ---
   - name: Playbook to handle groups
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Create group ops with gid 1234
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         gidnumber: 1234
   
     - name: Create group sysops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: sysops
         user:
         - idm_user
   
     - name: Create group appops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: appops
   
     - name: Add group members sysops and appops to group ops
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: ops
         group:
         - sysops
         - appops

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-group-members.yml

1. 管理者として ipaserver にログインします。

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. ops についての情報を表示します。

   ipaserver]$ ipa group-show ops
     Group name: ops
     GID: 1234
     Member groups: sysops, appops
     Indirect Member users: idm_user

   appops および sysops グループ (後者には idm_user ユーザーを含む) が IdM に存在します。

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. 次の内容で add-useridoverride-to-group.yml playbook を作成します。

   ---
   - name: Playbook to ensure presence of users in a group
     hosts: ipaserver
   
   
     - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group:
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: admins
         idoverrideuser:
         - ad_user@ad.example.com

   上記の例では、以下のようになります。

   • Secret123 は IdM admin パスワードです。
   • admins は、ad_user@ad.example.com ID オーバーライドを追加する IdM POSIX グループの名前です。このグループのメンバーには、完全な管理者権限があります。
   • ad_user@ad.example.com は、AD 管理者のユーザー ID オーバーライドです。ユーザーは、信頼が確立された AD ドメインに保存されます。
3. ファイルを保存します。

4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. 必要なユーザーおよびグループメンバー管理情報を使用して、Ansible Playbook ファイルを作成します。

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure user test is present for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
   
     - name: Ensure group_admins is present for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_group: group_admins

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/add-member-managers-user-groups.yml

1. 管理者として ipaserver にログインします。

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. managergroup1 についての情報を表示します。

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009
     Membership managed by groups: group_admins
     Membership managed by users: test

手順

1. inventory.file などのインベントリーファイルを作成して、そのファイルに ipaserver を定義します。

   [ipaserver]
   server.idm.example.com

2. 必要なユーザーおよびグループメンバー管理情報を使用して、Ansible Playbook ファイルを作成します。

   ---
   - name: Playbook to handle membership management
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure member manager user and group members are absent for group_a
       ipagroup:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: group_a
         membermanager_user: test
         membermanager_group: group_admins
         action: member
         state: absent

3. Playbook を実行します。

   $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file path_to_playbooks_directory/ensure-member-managers-are-absent.yml

1. 管理者として ipaserver にログインします。

   $ ssh admin@server.idm.example.com
   Password:
   [admin@server /]$

2. group_a についての情報を表示します。

   ipaserver]$ ipa group-show group_a
     Group name: group_a
     GID: 1133400009

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/automember/ ディレクトリーにある automember-group-present.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-group-present.yml automember-group-present-copy.yml

3. automember-group-present-copy.yml ファイルを開いて編集します。

4. ipaautomember タスクセクションで次の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。
   • name 変数を testing_group に設定します。
   • automember_type 変数を group に設定します。
   • state 変数は present に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Automember group present example
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure group automember rule admins is present
       ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: testing_group
         automember_type: group
         state: present

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-group-present-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/automember/ ディレクトリーにある automember-hostgroup-rule-present.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/automember/automember-hostgroup-rule-present.yml automember-hostgroup-rule-present-copy.yml

3. automember-hostgroup-rule-present-copy.yml を開いて編集します。

4. ipaautomember タスクセクションで次の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。
   • name 変数を primary_dns_domain_hosts に設定します。
   • automember_type を hostgroup に設定します。
   • state 変数は present に設定されていることを確認します。
   • action 変数が member に設定されていることを確認します。
   • inclusive key 変数が fqdn に設定されていることを確認します。
   • 対応する inclusive expression 変数を.*.idm.example.comに設定します。
   • exclusive key 変数を UID に設定します。
   • 対応する exclusive expression 変数を .*.example.org に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Automember user group rule member present
     hosts: ipaserver
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure an automember condition for a user group is present
       ipaautomember:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: primary_dns_domain_hosts
         automember_type: hostgroup
         state: present
         action: member
         inclusive:
           - key: fqdn
             expression: .*.idm.example.com
         exclusive:
           - key: fqdn
             expression: .*.example.org

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory automember-hostgroup-rule-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/selfservice/ ディレクトリーにある selfservice-present.yml のコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-present.yml selfservice-present-copy.yml

3. Ansible Playbook ファイル (selfservice-present-copy.yml) を開きます。

4. ipaselfservice タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、新しいセルフサービスルールの名前に設定します。
   • permission 変数は、付与するパーミッションをコンマ区切りのリスト (read および write) で設定します。
   • attribute 変数は、ユーザーが管理できる属性 (givenname、displayname、title、および initials) をリストとして設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Self-service present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is present
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         permission: read, write
         attribute:
         - givenname
         - displayname
         - title
         - initials

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/selfservice/ ディレクトリーにある selfservice-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-absent.yml selfservice-absent-copy.yml

3. Ansible Playbook ファイル (selfservice-absent-copy.yml) を開きます。

4. ipaselfservice タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、セルフサービスルールの名前に設定します。
   • state 変数は absent に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Self-service absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure self-service rule "Users can manage their own name details" is absent
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/selfservice/ ディレクトリーにある selfservice-member-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-present.yml selfservice-member-present-copy.yml

3. Ansible Playbook ファイル (selfservice-member-present-copy.yml) を開きます。

4. ipaselfservice タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、変更するセルフサービスルールの名前に設定します。
   • attribte 変数は surname に設定します。
   • action 変数は member に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Self-service member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attribute surname is present
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - surname
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/selfservice/ ディレクトリーにある selfservice-member-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/selfservice/selfservice-member-absent.yml selfservice-member-absent-copy.yml

3. Ansible Playbook ファイル (selfservice-member-absent-copy.yml) を開きます。

4. ipaselfservice タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、変更するセルフサービスルールの名前に設定します。
   • 属性 変数は givenname および surname に設定します。
   • action 変数は member に設定します。
   • state 変数は absent に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Self-service member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure selfservice "Users can manage their own name details" member attributes givenname and surname are absent
       ipaselfservice:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "Users can manage their own name details"
         attribute:
         - givenname
         - surname
         action: member
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory selfservice-member-absent-copy.yml

手順

1. Ansible 設定および Playbook のディレクトリーをホームディレクトリーに作成します。

   $ mkdir ~/MyPlaybooks/

2. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks

3. ~/MyPlaybooks/ansible.cfg ファイルを以下の内容で作成します。

   [defaults]
   inventory = /home/<username>/MyPlaybooks/inventory
   
   [privilege_escalation]
   become=True

4. ~/MyPlaybooks/inventory ファイルを以下の内容で作成します。

   [eu]
   server.idm.example.com
   
   [us]
   replica.idm.example.com
   
   [ipaserver:children]
   eu
   us

   この設定は、これらの場所にあるホストの 2 つのホストグループ (eu と us) を定義します。さらに、この設定は、eu および us グループのすべてのホストを含む ipaserver ホストグループを定義します。

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/delegation/ にある delegation-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-present-copy.yml

3. Ansible Playbook ファイル delegation-present-copy.yml を開きます。

4. ipadelegation タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は新しい委譲ルールの名前に設定します。
   • permission 変数は、付与するパーミッションをコンマ区切りのリスト (read および write) で設定します。
   • attribute 変数は、委譲されたユーザーグループが管理できる属性のリスト (businesscategory、departmentnumber、employeenumber および employeetype) に変数を設定します。
   • group 変数は、属性の表示や変更権限を付与したグループの名前に設定します。
   • membergroup 変数は、属性の表示または変更が可能なグループ名に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage a delegation rule
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is present
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         permission: read, write
         attribute:
         - businesscategory
         - departmentnumber
         - employeenumber
         - employeetype
         group: managers
         membergroup: employees

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/delegation/ ディレクトリーにある delegation-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-present.yml delegation-absent-copy.yml

3. Ansible Playbook ファイル delegation-absent-copy.yml を開きます。

4. ipadelegation タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は委譲ルールの名前に設定します。
   • state 変数は absent に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Delegation absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" is absent
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/delegation/ にある delegation-member-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-present.yml delegation-member-present-copy.yml

3. Ansible Playbook ファイル delegation-member-present-copy.yml を開きます。

4. ipadelegation タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、変更する委譲ルールの名前に設定します。
   • attribute 変数は departmentnumber に設定します。
   • action 変数は member に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Delegation member present
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attribute departmentnumber is present
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - departmentnumber
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/delegation/ にある delegation-member-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/delegation/delegation-member-absent.yml delegation-member-absent-copy.yml

3. Ansible Playbook ファイル delegation-member-absent-copy.yml を開きます。

4. ipadelegation タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、変更する委譲ルールの名前に設定します。
   • attribute 変数は employeenumber および employeetype に設定します。
   • action 変数は member に設定します。
   • state 変数は absent に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Delegation member absent
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure delegation "basic manager attributes" member attributes employeenumber and employeetype are absent
       ipadelegation:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: "basic manager attributes"
         attribute:
         - employeenumber
         - employeetype
         action: member
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory delegation-member-absent-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-user-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-present.yml role-member-user-present-copy.yml

3. Ansible Playbook ファイル (role-member-user-present-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は新規ロールの名前に設定します。
   • 特権 リストは、新しいロールに追加する IdM 権限の名前に設定します。
   • 必要に応じて、user 変数は、新規ロールを付与するユーザーの名前に設定します。
   • 必要に応じて、group 変数は、新規ロールを付与するグループの名前に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         user: idm_user01
         group: idm_group01
         privilege:
         - Group Administrators
         - User Administrators
         - Stage User Administrators
         - Group Administrators

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-present-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-is-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-is-absent.yml role-is-absent-copy.yml

3. Ansible Playbook ファイル (role-is-absent-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、ロールの名前に設定します。
   • state 変数は、absent に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: user_and_host_administrator
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-is-absent-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-group-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-group-present.yml role-member-group-present-copy.yml

3. Ansible Playbook ファイル (role-member-group-present-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、割り当てるロールの名前に設定します。
   • group 変数はグループ名に設定します。
   • action 変数は member に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         group: junior_sysadmins
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-group-present-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-user-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-user-absent.yml role-member-user-absent-copy.yml

3. Ansible Playbook ファイル (role-member-user-absent-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、割り当てるロールの名前に設定します。
   • user リストをユーザーの名前に設定します。
   • action 変数は member に設定します。
   • state 変数は absent に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: helpdesk
         user
         - user_01
         - user_02
         action: member
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-user-absent-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-service-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-service-present-absent.yml role-member-service-present-copy.yml

3. Ansible Playbook ファイル (role-member-service-present-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、割り当てるロールの名前に設定します。
   • service リストはサービス名に設定します。
   • action 変数は member に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         service:
         - HTTP/client01.idm.example.com
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-service-present-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-host-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-host-present.yml role-member-host-present-copy.yml

3. Ansible Playbook ファイル (role-member-host-present-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、割り当てるロールの名前に設定します。
   • host リストをホストの名前に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         host:
         - client01.idm.example.com
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-host-present-copy.yml

手順

1. ~/<MyPlaybooks>/ ディレクトリーに移動します。

   $ cd ~/<MyPlaybooks>/

2. /usr/share/doc/ansible-freeipa/playbooks/role/ にある role-member-hostgroup-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/role/role-member-hostgroup-present.yml role-member-hostgroup-present-copy.yml

3. Ansible Playbook ファイル (role-member-hostgroup-present-copy.yml) を開きます。

4. iparole タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、割り当てるロールの名前に設定します。
   • hostgroup リストはホストグループ名に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to manage IPA role with members.
     hosts: ipaserver
     become: true
     gather_facts: no
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - iparole:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: web_administrator
         hostgroup:
         - web_servers
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i ~/<MyPlaybooks>/inventory role-member-hostgroup-present-copy.yml

1. パーミッションが割り当てられていない特権を作成します。
2. 選択したパーミッションを特権に追加します。

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/privilege/ にある privilege-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml privilege-present-copy.yml

3. Ansible Playbook ファイル (privilege-present-copy.yml) を開きます。

4. ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、新しい特権 full_host_administration の名前に設定します。
   • 必要に応じて、description 変数を使用して特権を記述します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Privilege present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure privilege full_host_administration is present
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         description: This privilege combines all IdM permissions related to host administration

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-present-copy.yml

1. パーミッションが割り当てられていない特権を作成します。
2. 選択したパーミッションを特権に追加します。

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/privilege/ にある privilege-member-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-present.yml privilege-member-present-copy.yml

3. Ansible Playbook ファイル (privilege-member-present-copy.yml) を開きます。

4. ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、特権の名前に設定します。
   • permission は、特権に追加するパーミッションの名前を設定します。
   • action 変数が member に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Privilege member present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that permissions are present for the "full_host_administration" privilege
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         permission:
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Principals"
         - "Retrieve Certificates from the CA"
         - "Revoke Certificate"
         - "System: Add Hosts"
         - "System: Add krbPrincipalName to a Host"
         - "System: Enroll a Host"
         - "System: Manage Host Certificates"
         - "System: Manage Host Enrollment Password"
         - "System: Manage Host Keytab"
         - "System: Manage Host Keytab Permissions"
         - "System: Manage Host Principals"
         - "System: Manage Host SSH Public Keys"
         - "System: Manage Service Keytab"
         - "System: Manage Service Keytab Permissions"
         - "System: Modify Hosts"
         - "System: Remove Hosts"
         - "System: Add Hostgroups"
         - "System: Modify Hostgroup Membership"
         - "System: Modify Hostgroups"
         - "System: Remove Hostgroups"

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/privilege/ にある privilege-member-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-member-absent.yml privilege-member-absent-copy.yml

3. Ansible Playbook ファイル (privilege-member-absent-copy.yml) を開きます。

4. ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、特権の名前に設定します。
   • permission のリストは、特権から削除するパーミッションの名前に設定します。
   • action 変数が member に設定されていることを確認します。
   • state 変数は absent に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Privilege absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "Request Certificate ignoring CA ACLs" permission is absent from the "Certificate Administrators" privilege
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: Certificate Administrators
         permission:
         - "Request Certificate ignoring CA ACLs"
         action: member
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-member-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/privilege/ にある privilege-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-present.yml rename-privilege.yml

3. Ansible Playbook ファイル (rename-privilege.yml) を開いて編集します。

4. ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、現在の特権名に設定します。
   • rename 変数を追加して、特権の新しい名前に設定します。
   • state 変数を追加し、 renamed に設定します。

5. 以下のように、Playbook 自体の名前を変更します。

   ---
   - name: Rename a privilege
     hosts: ipaserver

6. 以下のように、Playbook のタスクの名前を変更します。

   [...]
   tasks:
   - name: Ensure the full_host_administration privilege is renamed to limited_host_administration
     ipaprivilege:
     [...]

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Rename a privilege
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure the full_host_administration privilege is renamed to limited_host_administration
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: full_host_administration
         rename: limited_host_administration
         state: renamed

7. ファイルを保存します。

8. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory rename-privilege.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/privilege/ ディレクトリーにある privilege-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/privilege/privilege-absent.yml privilege-absent-copy.yml

3. Ansible Playbook ファイル (privilege-absent-copy.yml) を開きます。

4. ipaprivilege タスクセクションに以下の変数を設定してファイルを調整します。

   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数は、削除する権限の名前に設定します。
   • state 変数が absent に設定されていることを確認します。

5. 以下のように、Playbook のタスクの名前を変更します。

   [...]
   tasks:
   - name: Ensure privilege "CA administrator" is absent
     ipaprivilege:
     [...]

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Privilege absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure privilege "CA administrator" is absent
       ipaprivilege:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: CA administrator
         state: absent

6. ファイルを保存します。

7. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory privilege-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-copy.yml

3. Ansible Playbook ファイル (permission-present-copy.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。
   • object_type 変数は host に設定します。
   • right 変数は all に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is present
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         object_type: host
         right: all

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-present.yml permission-present-with-attribute.yml

3. Ansible Playbook ファイル (permission-present-with-attribute.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。
   • object_type 変数は host に設定します。
   • right 変数は all に設定します。
   • attrs 変数は description に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is present with an attribute
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         object_type: host
         right: all
         attrs: description

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-present-with-attribute.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-absent.yml permission-absent-copy.yml

3. Ansible Playbook ファイル (permission-absent-copy.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "MyPermission" permission is absent
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-member-present.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-present.yml permission-member-present-copy.yml

3. Ansible Playbook ファイル (permission-member-present-copy.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。
   • attrs リストを description および gecos 変数に設定します。
   • action 変数が member に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission member present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that the "gecos" and "description" attributes are present in "MyPermission"
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         attrs:
         - description
         - gecos
         action: member

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-present-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-member-absent.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-member-absent.yml permission-member-absent-copy.yml

3. Ansible Playbook ファイル (permission-member-absent-copy.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。
   • attrs 変数は description に設定します。
   • action 変数は member に設定します。
   • state 変数が absent に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission absent example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Ensure that an attribute is not a member of "MyPermission"
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         attrs: description
         action: member
         state: absent

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-member-absent-copy.yml

手順

1. ~/ MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/permission/ ディレクトリーにある permission-renamed.yml ファイルのコピーを作成します。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/permission/permission-renamed.yml permission-renamed-copy.yml

3. Ansible Playbook ファイル (permission-renamed-copy.yml) を開きます。

4. ipapermission タスクセクションに以下の変数を設定して、ファイルを調整します。

   • 使用しているユースケースに合わせて、タスクの 名前 を調節します。
   • ipaadmin_password 変数は IdM 管理者のパスワードに設定します。
   • name 変数はパーミッションの名前に設定します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Permission present example
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Rename the "MyPermission" permission
       ipapermission:
         ipaadmin_password: "{{ ipaadmin_password }}"
         name: MyPermission
         rename: MyNewPermission
         state: renamed

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory permission-renamed-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible -freeipa/playbooks/topology/ ディレクトリーにある add-topologysegment.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegment.yml add-topologysegment-copy.yml

3. add-topologysegment-copy.yml ファイルを開いて編集します。

4. ipatopologysegment タスクセクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。
   • 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
   • left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
   • レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。
   • state 変数は present に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to handle topologysegment
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
   - name: Add topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: domain
         left: server.idm.example.com
         right: replica.idm.example.com
         state: present

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegment-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible -freeipa/playbooks/topology/ ディレクトリーにある add-topologysegments.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/add-topologysegments.yml add-topologysegments-copy.yml

3. add-topologysegments-copy.yml ファイルを開いて編集します。

4. vars セクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。

   • すべてのトポロジーセグメントについて、ipatopology_segments セクションに行を追加し、以下の変数を設定します。

     • 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
     • left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
     • レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。

5. add-topologysegments-copy.yml ファイルの tasks セクションで、state 変数が present に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Add topology segments
     hosts: ipaserver
     gather_facts: false
   
     vars:
       ipaadmin_password: "{{ ipaadmin_password }}"
       ipatopology_segments:
       - {suffix: domain, left: replica1.idm.example.com , right: replica2.idm.example.com }
       - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
       - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
       - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Add topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: "{{ item.suffix }}"
         name: "{{ item.name | default(omit) }}"
         left: "{{ item.left }}"
         right: "{{ item.right }}"
         state: present
         #state: absent
         #state: checked
         #state: reinitialized
       loop: "{{ ipatopology_segments | default([]) }}"

6. ファイルを保存します。

7. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory add-topologysegments-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible -freeipa/playbooks/topology/ ディレクトリーにある check-topologysegments.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/check-topologysegments.yml check-topologysegments-copy.yml

3. check-topologysegments-copy.yml ファイルを開いて編集します。

4. vars セクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。

   • すべてのトポロジーセグメントについて、ipatopology_segments セクションに行を追加し、以下の変数を設定します。

     • 追加するセグメントのタイプに応じて、suffix 変数を domain または ca のいずれかに設定します。
     • left の変数をレプリカ合意の左ノードに設定する IdM サーバーの名前に設定します。
     • レプリカ合意の適切なノードとなる IdM サーバーの名前に right 変数を設定します。

5. check-topologysegments-copy.yml ファイルの tasks セクションで、state 変数が present に設定されていることを確認します。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Add topology segments
     hosts: ipaserver
     gather_facts: false
   
     vars:
       ipaadmin_password: "{{ ipaadmin_password }}"
       ipatopology_segments:
       - {suffix: domain, left: replica1.idm.example.com, right: replica2.idm.example.com }
       - {suffix: domain, left: replica2.idm.example.com , right: replica3.idm.example.com }
       - {suffix: domain, left: replica3.idm.example.com , right: replica4.idm.example.com }
       - {suffix: domain+ca, left: replica4.idm.example.com , right: replica1.idm.example.com }
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Check topology segment
       ipatopologysegment:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: "{{ item.suffix }}"
         name: "{{ item.name | default(omit) }}"
         left: "{{ item.left }}"
         right: "{{ item.right }}"
         state: checked
       loop: "{{ ipatopology_segments | default([]) }}"

6. ファイルを保存します。

7. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory check-topologysegments-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible-freeipa/playbooks/topology/ ディレクトリーにある verify-topologysuffix.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/ verify-topologysuffix.yml verify-topologysuffix-copy.yml

3. Ansible Playbook ファイル verify-topologysuffix-copy.yml を開きます。

4. ipatopologysuffix セクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。
   • suffix 変数は domain に設定し ます。ca 接尾辞が存在することを確認する場合は、変数を ca に設定します。
   • state 変数が verified に設定されていることを確認します。他のオプションは使用できません。

   以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

   ---
   - name: Playbook to handle topologysuffix
     hosts: ipaserver
   
     vars_files:
     - /home/user_name/MyPlaybooks/secret.yml
     tasks:
     - name: Verify topology suffix
       ipatopologysuffix:
         ipaadmin_password: "{{ ipaadmin_password }}"
         suffix: domain
         state: verified

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory verify-topologysuffix-copy.yml

手順

1. ~/MyPlaybooks/ ディレクトリーに移動します。

   $ cd ~/MyPlaybooks/

2. /usr/share/doc/ansible -freeipa/playbooks/topology/ ディレクトリーにある reinitialize-topologysegment.yml Ansible Playbook ファイルをコピーします。

   $ cp /usr/share/doc/ansible-freeipa/playbooks/topology/reinitialize-topologysegment.yml reinitialize-topologysegment-copy.yml

3. reinitialize-topologysegment-copy.yml ファイルを開いて編集します。

4. ipatopologysegment セクションに以下の変数を設定して、ファイルを調整します。

   • ipaadmin_password 変数は IdM admin のパスワードに設定します。
   • suffix 変数は domain に設定し ます。ca データを再初期化する場合は、変数を ca に設定します。
   • left の変数をレプリカ合意の左ノードに設定します。
   • レプリカ合意の right なノードに正しい変数を設定します。
   • direction 変数は再初期化されるデータの方向に設定します。left-to-right は、左のノードから適切なノードにデータフローがあることを意味します。

   • state 変数が reinitialized に設定されていることを確認します。

     以下は、今回の例で使用するように変更した Ansible Playbook ファイルです。

     ---
     - name: Playbook to handle topologysegment
       hosts: ipaserver
     
       vars_files:
       - /home/user_name/MyPlaybooks/secret.yml
       tasks:
       - name: Reinitialize topology segment
         ipatopologysegment:
           ipaadmin_password: "{{ ipaadmin_password }}"
           suffix: domain
           left: server.idm.example.com
           right: replica.idm.example.com
           direction: left-to-right
           state: reinitialized

5. ファイルを保存します。

6. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

   $ ansible-playbook --vault-password-file=password_file -v -i inventory reinitialize-topologysegment-copy.yml