Red Hat Training
A Red Hat training course is available for RHEL 8
33.4. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项
IdM 客户端注册的各个授权选项以及清单和 playbook 文件的示例如下:
表 33.1. 使用 Ansible 的 IdM 客户端注册的授权选项
授权选项 | 备注 | 清单文件示例 | install-client.yml playbook 文件示例 |
---|---|---|---|
有权注册客户端的用户密码:选项 1 | 存储在 Ansible vault 中的密码 |
[ipaclients:vars] [...] |
- name: Playbook to configure IPA clients with username/password hosts: ipaclients become: true vars_files: - playbook_sensitive_data.yml roles: - role: ipaclient state: present |
有权注册客户端的用户密码:选项 2 | 保存在清单文件中的密码 |
[ipaclients:vars] ipaadmin_password=Secret123 |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
一个随机的一次性密码(OTP):选项 1 | OTP + 管理员密码 |
[ipaclients:vars] ipaadmin_password=Secret123 ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
一个随机的一次性密码(OTP):选项 2 | OTP + admin keytab |
[ipaclients:vars] ipaadmin_keytab=/root/admin.keytab ipaclient_use_otp=true |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
之前注册中的客户端 keytab |
[ipaclients:vars] ipaclient_keytab=/root/krb5.keytab |
- name: Playbook to configure IPA clients hosts: ipaclients become: true roles: - role: ipaclient state: true |
注意
从 RHEL 8.8 开始,在上述两个 OTP 授权场景中,使用 kinit
命令请求管理员的 TGT 发生在第一个指定或发现的 IdM 服务器上。因此,不需要对 Ansible 控制节点进行额外的修改。在 RHEL 8.8 之前,控制节点上需要 krb5-workstation
软件包。