8.4. Ansible を使用して AD ユーザーが IdM を管理できるようにする手順
このセクションでは、Ansible Playbook を使用して、ユーザー ID オーバーライドが Identity Management (IdM) グループに存在することを確認する方法について説明します。ユーザー ID オーバーライドは、Active Directory (AD) とのトラストを確立した後に、デフォルトの Trust View で作成した AD ユーザーのオーバーライドです。Playbook を実行すると、AD 管理者などの AD ユーザーは、2 つの異なるアカウントとパスワードを持たなくても IdM を完全に管理できるようになります。
前提条件
-
IdM
adminのパスワードを把握している。 - AD とのトラストをインストール している。
-
IdM に AD ユーザーのユーザー ID オーバーライドがすでに存在する。存在しない場合は、
ipa idoverrideuser-add 'default trust view' ad_user@ad.example.comコマンドで作成します。 - ユーザー ID オーバーライドを追加しようとしているグループは、IdM にすでに存在している。
-
IdM 4.8.7 バージョン以降の IdM を使用している。サーバーにインストールされている IdM のバージョンを表示するには、
ipa --versionを実行します。 次の要件を満たすように Ansible コントロールノードを設定しました。
- Ansible バージョン 2.8 以降を使用している。
-
Ansible コントローラーに
ansible-freeipaパッケージがインストールされている。 - この例では、~/MyPlaybooks/ ディレクトリーに、IdM サーバーの完全修飾ドメイン名 (FQDN) を使用して Ansible インベントリーファイル を作成したことを前提としています。
-
この例では、secret.yml Ansible ボールトに
ipaadmin_passwordが保存されていることを前提としています。
手順
~/MyPlaybooks/ ディレクトリーに移動します。
$ cd ~/MyPlaybooks/次の内容で
add-useridoverride-to-group.ymlplaybook を作成します。--- - name: Playbook to ensure presence of users in a group hosts: ipaserver - name: Ensure the ad_user@ad.example.com user ID override is a member of the admins group: ipagroup: ipaadmin_password: "{{ ipaadmin_password }}" name: admins idoverrideuser: - ad_user@ad.example.comこの例では以下が設定されています。
-
Secret123 は IdM
adminパスワードです。 -
adminsは、ad_user@ad.example.com ID オーバーライドを追加する IdM POSIX グループの名前です。このグループのメンバーには、完全な管理者権限があります。 - ad_user@ad.example.com は、AD 管理者のユーザー ID オーバーライドです。ユーザーは、信頼が確立された AD ドメインに保存されます。
-
Secret123 は IdM
- ファイルを保存します。
Ansible Playbook を実行します。Playbook ファイル、secret.yml ファイルを保護するパスワードを格納するファイル、およびインベントリーファイルを指定します。
$ ansible-playbook --vault-password-file=password_file -v -i inventory add-useridoverride-to-group.yml
関連情報
- AD ユーザーの ID のオーバーライド
- /usr/share/doc/ansible-freeipa/README-group.md
- /usr/share/doc/ansible-freeipa/playbooks/user
- Using ID views in Active Directory environments
- IdM を管理する AD ユーザーの有効化