Red Hat Training

A Red Hat training course is available for RHEL 8

33.4. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项

IdM 客户端注册的各个授权选项以及清单和 playbook 文件的示例如下:

表 33.1. 使用 Ansible 的 IdM 客户端注册的授权选项

授权选项备注清单文件示例install-client.yml playbook 文件示例

有权注册客户端的用户密码:选项 1

存储在 Ansible vault 中的密码

[ipaclients:vars]
[...]
- name: Playbook to configure IPA clients with username/password
  hosts: ipaclients
  become: true
  vars_files:
  - playbook_sensitive_data.yml

  roles:
  - role: ipaclient
    state: present

有权注册客户端的用户密码:选项 2

保存在清单文件中的密码

[ipaclients:vars]
ipaadmin_password=Secret123
- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

一个随机的一次性密码(OTP):选项 1

OTP + 管理员密码

[ipaclients:vars]
ipaadmin_password=Secret123
ipaclient_use_otp=true
- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

一个随机的一次性密码(OTP):选项 2

OTP + admin keytab

[ipaclients:vars]
ipaadmin_keytab=/root/admin.keytab
ipaclient_use_otp=true
- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true

之前注册中的客户端 keytab

 
[ipaclients:vars]
ipaclient_keytab=/root/krb5.keytab
- name: Playbook to configure IPA clients
  hosts: ipaclients
  become: true

  roles:
  - role: ipaclient
    state: true
注意

从 RHEL 8.8 开始,在上述两个 OTP 授权场景中,使用 kinit 命令请求管理员的 TGT 发生在第一个指定或发现的 IdM 服务器上。因此,不需要对 Ansible 控制节点进行额外的修改。在 RHEL 8.8 之前,控制节点上需要 krb5-workstation 软件包。