24.5.2. Definição dos parâmetros do arquivo de inventário quando a auto-descoberta não é possível durante a instalação do cliente

Procedimento

1. Especifique o hostname totalmente qualificado (FQDN) do anfitrião para se tornar um cliente IdM. O nome de domínio totalmente qualificado deve ser um nome DNS válido:

   • Somente números, caracteres alfabéticos e hífens (-) são permitidos. Por exemplo, os sublinhados não são permitidos e podem causar falhas no DNS.
   • O nome do anfitrião deve ser todo em letra minúscula. Não são permitidas letras maiúsculas.

2. Especifique outras opções nas seções relevantes do arquivo inventory/hosts:

   • o FQDN dos servidores na seção [ipaservers] para indicar com qual servidor IdM o cliente será inscrito

   • uma das duas opções a seguir:

     • a opção ipaclient_domain na seção [ipaclients:vars] para indicar o nome de domínio DNS do servidor IdM com o qual o cliente será cadastrado

     • a opção ipaclient_realm na seção [ipaclients:vars] para indicar o nome do reino de Kerberos controlado pelo servidor IdM

       Exemplo de um arquivo de hosts de inventário com o cliente FQDN, o servidor FQDN e o domínio definido

       [ipaclients]
       client.idm.example.com
       
       [ipaservers]
       server.idm.example.com
       
       [ipaclients:vars]
       ipaclient_domain=idm.example.com
       [...]

3. Especificar as credenciais para a inscrição do cliente. Os seguintes métodos de autenticação estão disponíveis:

   • O password of a user authorized to enroll clients. Esta é a opção padrão.

     • A Red Hat recomenda o uso do Ansible Vault para armazenar a senha, e referenciar o arquivo Vault do arquivo do playbook, por exemplo install-client.yml, diretamente:

       Exemplo de arquivo de playbook usando o principal de um arquivo de inventário e senha de um arquivo do Ansible Vault

       - name: Playbook to configure IPA clients with username/password
         hosts: ipaclients
         become: true
         vars_files:
         - playbook_sensitive_data.yml
       
         roles:
         - role: ipaclient
           state: present

     • Com menos segurança, forneça as credenciais de admin usando a opção ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts. Alternativamente, para especificar um usuário autorizado diferente, use a opção ipaadmin_principal para o nome do usuário, e a opção ipaadmin_password para a senha. O arquivo do playbook install-client.yml pode então ter a seguinte aparência:

       Exemplo de inventário hospeda arquivo

       [...]
       [ipaclients:vars]
       ipaadmin_principal=my_admin
       ipaadmin_password=Secret123

       Exemplo de Playbook usando o principal e senha do arquivo de inventário

       - name: Playbook to unconfigure IPA clients
         hosts: ipaclients
         become: true
       
         roles:
         - role: ipaclient
           state: true

   • O client keytab do cadastro anterior, caso ainda esteja disponível:

     • Esta opção está disponível se o sistema estivesse previamente inscrito como cliente de Gerenciamento de Identidade. Para utilizar este método de autenticação, descomente a opção ipaclient_keytab, especificando o caminho para o arquivo que armazena a tabela de chaves, por exemplo, na seção [ipaclient:vars] de inventory/hosts.

   • A random, one-time password (OTP) a ser gerado durante a matrícula. Para usar este método de autenticação, use a opção ipaclient_use_otp=yes em seu arquivo de inventário. Por exemplo, você pode descomentar a opção #ipaclient_use_otp=yes na seção [ipaclients:vars] do arquivo inventory/hosts. Observe que com OTP você também deve especificar uma das seguintes opções:

     • O password of a user authorized to enroll clients, por exemplo, fornecendo um valor para ipaadmin_password na seção [ipaclients:vars] do arquivo inventory/hosts.
     • O admin keytab, por exemplo, fornecendo um valor para ipaadmin_keytab na seção [ipaclients:vars] de inventory/hosts.