24.5. Definição dos parâmetros da implantação do cliente IdM

Antes de implantar um host alvo como cliente IdM, configure as instruções de implantação no nó de controle. Além disso, configure os parâmetros do host alvo, dependendo de qual das seguintes opções você está planejando:

24.5.1. Definição dos parâmetros do arquivo de inventário para o modo de instalação do cliente de auto-descoberta

Para instalar um cliente de Gerenciamento de Identidade usando um livro de exercícios possível, forneça as seguintes informações em um arquivo de inventário, por exemplo inventory/hosts:

  • as informações sobre o anfitrião
  • a autorização para a tarefa

O arquivo de inventário pode estar em um dos muitos formatos, dependendo dos plugins de inventário que você tiver. O formato INI-like é um dos padrões do Ansible e é usado nos exemplos abaixo.

Procedimento

  1. Especifique o hostname totalmente qualificado (FQDN) do anfitrião para se tornar um cliente IdM. O nome de domínio totalmente qualificado deve ser um nome DNS válido:

    • Somente números, caracteres alfabéticos e hífens (-) são permitidos. Por exemplo, os sublinhados não são permitidos e podem causar falhas no DNS.
    • O nome do anfitrião deve ser todo em letra minúscula. Não são permitidas letras maiúsculas.

      Se os registros SRV forem definidos corretamente na zona DNS do IdM, o script descobre automaticamente todos os outros valores necessários.

    Exemplo de um simples arquivo de inventário com apenas o cliente FQDN definido

    [ipaclients]
    client.idm.example.com
    [...]

  2. Especificar as credenciais para a inscrição do cliente. Os seguintes métodos de autenticação estão disponíveis:

    • O password of a user authorized to enroll clients. Esta é a opção padrão.

      • A Red Hat recomenda o uso do Ansible Vault para armazenar a senha, e referenciar o arquivo Vault do arquivo do playbook, por exemplo install-client.yml, diretamente:

        Exemplo de arquivo de playbook usando o principal de um arquivo de inventário e senha de um arquivo do Ansible Vault

        - name: Playbook to configure IPA clients with username/password
          hosts: ipaclients
          become: true
          vars_files:
          - playbook_sensitive_data.yml
        
          roles:
          - role: ipaclient
            state: present

      • Com menos segurança, forneça as credenciais de admin usando a opção ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts. Alternativamente, para especificar um usuário autorizado diferente, use a opção ipaadmin_principal para o nome do usuário, e a opção ipaadmin_password para a senha. O arquivo inventory/hosts do inventário e o arquivo do playbook install-client.yml podem então ser vistos da seguinte forma:

        Exemplo de inventário hospeda arquivo

        [...]
        [ipaclients:vars]
        ipaadmin_principal=my_admin
        ipaadmin_password=Secret123

        Exemplo de Playbook usando o principal e senha do arquivo de inventário

        - name: Playbook to unconfigure IPA clients
          hosts: ipaclients
          become: true
        
          roles:
          - role: ipaclient
            state: true

    • O client keytab do cadastro anterior, caso ainda esteja disponível:

      • Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção #ipaclient_keytab, especificando o caminho para o arquivo que armazena a tabela de chaves, por exemplo, na seção [ipaclient:vars] de inventory/hosts.
    • A random, one-time password (OTP) a ser gerado durante a matrícula. Para usar este método de autenticação, use a opção ipaclient_use_otp=yes em seu arquivo de inventário. Por exemplo, você pode descomentar a opção ipaclient_use_otp=yes na seção [ipaclients:vars] do arquivo inventory/hosts. Observe que com OTP você também deve especificar uma das seguintes opções:

      • O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts.
      • O admin keytab, por exemplo, fornecendo um valor para ipaadmin_keytab na seção [ipaclients:vars] de inventory/hosts.

Recursos adicionais

  • Para maiores detalhes sobre as opções aceitas pelo ipaclient. Para informações detalhadas sobre as opções aceitas pelo , consulte o arquivo /usr/share/ansible/roles/ipaclient/README.md README.