Red Hat Training

A Red Hat training course is available for RHEL 8

81.3. Ansible を使用して AD ユーザーが IdM を管理できるようにする手順

このセクションでは、Ansible Playbook を使用して、ユーザー ID オーバーライドが Identity Management (IdM) グループに存在することを確認する方法について説明します。ユーザー ID オーバーライドは、Active Directory (AD) とのトラストを確立した後に、デフォルトの Trust View で作成した AD ユーザーのオーバーライドです。Playbook を実行すると、AD 管理者などの AD ユーザーは、2 つの異なるアカウントとパスワードを持たなくても IdM を完全に管理できるようになります。

前提条件

  • IdM admin のパスワードを把握している。
  • AD とのトラストをインストール している。
  • IdM に AD ユーザーのユーザー ID オーバーライドがすでに存在する。存在しない場合は、ipa idoverrideuser-add 'default trust view' ad_user@ad.example.com コマンドで作成します。
  • ユーザー ID オーバーライドを追加しようとしているグループは、IdM にすでに存在している
  • IdM 4.8.7 バージョン以降の IdM を使用している。サーバーにインストールされている IdM のバージョンを表示するには、ipa --version を実行します。
  • 次の要件を満たすように Ansible コントロールノードを設定しました。

    • Ansible バージョン 2.8 以降を使用している。
    • Ansible コントローラーに ansible-freeipa パッケージがインストールされている。
    • この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成したことを前提としています。
    • この例では、secret.yml Ansible ボールトに ipaadmin_password が保存されていることを前提としています。

手順

  1. ~/MyPlaybooks/ ディレクトリーに移動します。

    $ cd ~/MyPlaybooks/
  2. 次の内容で add-useridoverride-to-group.yml playbook を作成します。

    ---
    - name: Playbook to ensure presence of users in a group
      hosts: ipaserver
    
    
      - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group:
        ipagroup:
          ipaadmin_password: "{{ ipaadmin_password }}"
          name: admins
          idoverrideuser:
          - ad_user@ad.example.com

    この例では以下が設定されています。

    • Secret123 は IdM admin パスワードです。
    • admins は、ad_user@ad.example.com ID オーバーライドを追加する IdM POSIX グループの名前です。このグループのメンバーには、完全な管理者権限があります。
    • ad_user@ad.example.com は、AD 管理者のユーザー ID オーバーライドです。ユーザーは、信頼が確立された AD ドメインに保存されます。
  3. ファイルを保存します。
  4. Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。

    $ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml

関連情報