4.4. Ansible Playbook で IdM クライアント登録の認可オプション
インベントリーおよび Playbook ファイルの例を使用した IdM クライアント登録の個別認証オプションは以下のとおりです。
表4.1 Ansible で IdM クライアント登録の認可オプション
認可オプション | 備考 | インベントリーファイルの例 | Playbook ファイル install-client.yml の例 |
---|---|---|---|
クライアントを登録する権限のあるユーザーのパスワード - オプション 1 | Ansible vault に保存されているパスワード |
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present |
クライアントを登録する権限のあるユーザーのパスワード - オプション 2 | インタベントリーファイルに格納されるパスワード |
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
ランダムなワンタイムパスワード (OTP) - オプション 1 | OTP および管理者パスワード |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
ランダムなワンタイムパスワード (OTP) - オプション 2 | OTP および管理者キータブ |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
前回登録時のクライアントキータブ |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
注記
RHEL 9.2 以降、上記の 2 つの OTP 承認シナリオでは、kinit
コマンドを使用した管理者の TGT の要求は、最初に指定または検出された IdM サーバーで行われます。したがって、Ansible コントロールノードを追加変更する必要はありません。RHEL 9.2 より前は、制御ノードに krb5-workstation
パッケージが必要でした。