24.5.2. Definição dos parâmetros do arquivo de inventário quando a auto-descoberta não é possível durante a instalação do cliente

Para instalar um cliente de Gerenciamento de Identidade usando um livro de exercícios possível, forneça as seguintes informações em um arquivo de inventário, por exemplo inventory/hosts:

  • as informações sobre o host, o servidor IdM e o domínio IdM ou o domínio IdM
  • a autorização para a tarefa

O arquivo de inventário pode estar em um dos muitos formatos, dependendo dos plugins de inventário que você tiver. O formato INI-like é um dos padrões do Ansible e é usado nos exemplos abaixo.

Procedimento

  1. Especifique o hostname totalmente qualificado (FQDN) do anfitrião para se tornar um cliente IdM. O nome de domínio totalmente qualificado deve ser um nome DNS válido:

    • Somente números, caracteres alfabéticos e hífens (-) são permitidos. Por exemplo, os sublinhados não são permitidos e podem causar falhas no DNS.
    • O nome do anfitrião deve ser todo em letra minúscula. Não são permitidas letras maiúsculas.
  2. Especifique outras opções nas seções relevantes do arquivo inventory/hosts:

    • o FQDN dos servidores na seção [ipaservers] para indicar com qual servidor IdM o cliente será inscrito
    • uma das duas opções a seguir:

      • a opção ipaclient_domain na seção [ipaclients:vars] para indicar o nome de domínio DNS do servidor IdM com o qual o cliente será cadastrado
      • a opção ipaclient_realm na seção [ipaclients:vars] para indicar o nome do reino de Kerberos controlado pelo servidor IdM

        Exemplo de um arquivo de hosts de inventário com o cliente FQDN, o servidor FQDN e o domínio definido

        [ipaclients]
        client.idm.example.com
        
        [ipaservers]
        server.idm.example.com
        
        [ipaclients:vars]
        ipaclient_domain=idm.example.com
        [...]

  3. Especificar as credenciais para a inscrição do cliente. Os seguintes métodos de autenticação estão disponíveis:

    • O password of a user authorized to enroll clients. Esta é a opção padrão.

      • A Red Hat recomenda o uso do Ansible Vault para armazenar a senha, e referenciar o arquivo Vault do arquivo do playbook, por exemplo install-client.yml, diretamente:

        Exemplo de arquivo de playbook usando o principal de um arquivo de inventário e senha de um arquivo do Ansible Vault

        - name: Playbook to configure IPA clients with username/password
          hosts: ipaclients
          become: true
          vars_files:
          - playbook_sensitive_data.yml
        
          roles:
          - role: ipaclient
            state: present

      • Com menos segurança, forneça as credenciais de admin usando a opção ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts. Alternativamente, para especificar um usuário autorizado diferente, use a opção ipaadmin_principal para o nome do usuário, e a opção ipaadmin_password para a senha. O arquivo do playbook install-client.yml pode então ter a seguinte aparência:

        Exemplo de inventário hospeda arquivo

        [...]
        [ipaclients:vars]
        ipaadmin_principal=my_admin
        ipaadmin_password=Secret123

        Exemplo de Playbook usando o principal e senha do arquivo de inventário

        - name: Playbook to unconfigure IPA clients
          hosts: ipaclients
          become: true
        
          roles:
          - role: ipaclient
            state: true

    • O client keytab do cadastro anterior, caso ainda esteja disponível:

      • Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção ipaclient_keytab, especificando o caminho para o arquivo que armazena a tabela de chaves, por exemplo, na seção [ipaclient:vars] de inventory/hosts.
    • A random, one-time password (OTP) a ser gerado durante a matrícula. Para usar este método de autenticação, use a opção ipaclient_use_otp=yes em seu arquivo de inventário. Por exemplo, você pode descomentar a opção #ipaclient_use_otp=yes na seção [ipaclients:vars] do arquivo inventory/hosts. Observe que com OTP você também deve especificar uma das seguintes opções:

      • O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts.
      • O admin keytab, por exemplo, fornecendo um valor para ipaadmin_keytab na seção [ipaclients:vars] de inventory/hosts.

Recursos adicionais

  • Para maiores detalhes sobre as opções aceitas pelo ipaclient. Para informações detalhadas sobre as opções aceitas pelo , consulte o arquivo /usr/share/ansible/roles/ipaclient/README.md README.