Jump To Close Expand all Collapse all Table of contents 使用 Ansible 安装和管理身份管理 使开源包含更多 对红帽文档提供反馈 1. Ansible 术语 2. 使用 Ansible playbook 安装身份管理服务器 Expand section "2. 使用 Ansible playbook 安装身份管理服务器" Collapse section "2. 使用 Ansible playbook 安装身份管理服务器" 2.1. Ansible 及其安装 IdM 的优点 2.2. 安装 ansible-freeipa 软件包 2.3. 在文件系统中的 Ansible 角色位置 2.4. 为带有集成 DNS 和集成 CA 作为根 CA 的部署设置参数 2.5. 为带有外部 DNS 和集成 CA 作为根 CA 的部署设置参数 2.6. 使用 Ansible playbook 将集成 CA 的 IdM 服务器部署为 root CA 2.7. 为带有集成 DNS 和外部 CA 作为根 CA 的部署设置参数 2.8. 为带有外部 DNS 和外部 CA 作为根 CA 的部署设置参数 2.9. 使用 Ansible playbook 将外部 CA 部署 IdM 服务器作为 root CA 2.10. 使用 Ansible playbook 卸载 IdM 服务器 2.11. 如果这会导致断开连接的拓扑,请使用 Ansible playbook 卸载 IdM 服务器 3. 使用 Ansible playbook 安装身份管理副本 Expand section "3. 使用 Ansible playbook 安装身份管理副本" Collapse section "3. 使用 Ansible playbook 安装身份管理副本" 3.1. 指定用于安装 IdM 副本的基础、服务器和客户端变量 3.2. 使用 Ansible playbook 指定用于安装 IdM 副本的凭证 3.3. 使用 Ansible playbook 部署 IdM 副本 3.4. 使用 Ansible playbook 卸载一个 IdM 副本 4. 使用 Ansible playbook 安装身份管理客户端 Expand section "4. 使用 Ansible playbook 安装身份管理客户端" Collapse section "4. 使用 Ansible playbook 安装身份管理客户端" 4.1. 为自动发现客户端安装模式设置清单文件的参数 4.2. 当在客户端安装过程中无法自动发现时设置清单文件的参数 4.3. 检查 install-client.yml 文件中的参数 4.4. 使用 Ansible playbook 进行 IdM 客户端注册的授权选项 4.5. 使用 Ansible playbook 部署 IdM 客户端 4.6. Ansible 安装后测试身份管理客户端 4.7. 使用 Ansible playbook 卸载 IdM 客户端 5. 准备您的环境以使用 Ansible playbook 管理 IdM Expand section "5. 准备您的环境以使用 Ansible playbook 管理 IdM" Collapse section "5. 准备您的环境以使用 Ansible playbook 管理 IdM" 5.1. 使用 Ansible playbook 准备控制节点和受管节点以管理 IdM 5.2. 为 ansible-freeipa playbook 提供所需凭证的不同方法 6. 使用 Ansible playbook 配置全局 IdM 设置 Expand section "6. 使用 Ansible playbook 配置全局 IdM 设置" Collapse section "6. 使用 Ansible playbook 配置全局 IdM 设置" 6.1. 使用 Ansible playbook 检索 IdM 配置 6.2. 使用 Ansible playbook 配置 IdM CA 续订服务器 6.3. 使用 Ansible playbook 为 IdM 用户配置默认 shell 6.4. 使用 Ansible 为 IdM 域配置 NetBIOS 名称 6.5. 使用 Ansible 确保 IdM 用户和组有 SID 6.6. 其他资源 7. 使用 Ansible playbook 管理用户帐户 Expand section "7. 使用 Ansible playbook 管理用户帐户" Collapse section "7. 使用 Ansible playbook 管理用户帐户" 7.1. 用户生命周期 7.2. 使用 Ansible playbook 确保存在一个 IdM 用户 7.3. 使用 Ansible playbook 确保存在多个 IdM 用户 7.4. 使用 Ansible playbook 确保存在 JSON 文件中的多个 IdM 用户 7.5. 确保没有用户使用 Ansible playbook 7.6. 其他资源 8. 使用 Ansible playbook 管理用户组 Expand section "8. 使用 Ansible playbook 管理用户组" Collapse section "8. 使用 Ansible playbook 管理用户组" 8.1. IdM 中的不同组类型 8.2. 直接和间接组成员 8.3. 使用 Ansible playbook 确保存在 IdM 组和组成员 8.4. 使用 Ansible 在一个任务中添加多个 IdM 组 8.5. 使用 Ansible 启用 AD 用户来管理 IdM 8.6. 使用 Ansible playbook 确保 IdM 用户组中存在成员管理器 8.7. 使用 Ansible playbook 确保 IdM 用户组中没有成员管理者 9. 使用 Ansible 在 IdM 中自动化组成员资格 Expand section "9. 使用 Ansible 在 IdM 中自动化组成员资格" Collapse section "9. 使用 Ansible 在 IdM 中自动化组成员资格" 9.1. 使用 Ansible 确保 IdM 用户组的自动成员规则存在 9.2. 使用 Ansible 确保指定的条件在 IdM 用户组自动成员规则中存在 9.3. 使用 Ansible 确保条件在 IdM 用户组自动成员规则中不存在 9.4. 使用 Ansible 确保 IdM 用户组的自动成员规则不存在 9.5. 使用 Ansible 确保 IdM 主机组自动成员规则中存在条件 10. 使用 Ansible playbook 管理 IdM 中的自助服务规则 Expand section "10. 使用 Ansible playbook 管理 IdM 中的自助服务规则" Collapse section "10. 使用 Ansible playbook 管理 IdM 中的自助服务规则" 10.1. IdM 中的自助服务访问控制 10.2. 使用 Ansible 确保存在自助服务规则 10.3. 使用 Ansible 确保缺少自助服务规则 10.4. 使用 Ansible 确保自助服务规则具有特定属性 10.5. 使用 Ansible 确保自助服务规则没有特定属性 11. 委派权限到用户组,以使用 Ansible playbook 管理用户 Expand section "11. 委派权限到用户组,以使用 Ansible playbook 管理用户" Collapse section "11. 委派权限到用户组,以使用 Ansible playbook 管理用户" 11.1. 委派规则 11.2. 为 IdM 创建 Ansible 清单文件 11.3. 使用 Ansible 确保存在委派规则 11.4. 使用 Ansible 确保没有委派规则 11.5. 使用 Ansible 确保委派规则具有特定属性 11.6. 使用 Ansible 确保委派规则没有特定属性 12. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制 Expand section "12. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制" Collapse section "12. 在 IdM 中使用 Ansible playbook 管理基于角色的访问控制" 12.1. IdM 中的权限 12.2. 默认管理的权限 12.3. IdM 中的特权 12.4. IdM 中的角色 12.5. Identity Management 中的预定义角色 12.6. 使用 Ansible 确保存在带有特权的 IdM RBAC 角色 12.7. 使用 Ansible 确保缺少 IdM RBAC 角色 12.8. 使用 Ansible 确保为一组用户分配 IdM RBAC 角色 12.9. 使用 Ansible 确保没有将特定用户分配给 IdM RBAC 角色 12.10. 使用 Ansible 确保服务是 IdM RBAC 角色的成员 12.11. 使用 Ansible 确保主机是 IdM RBAC 角色的成员 12.12. 使用 Ansible 确保主机组是 IdM RBAC 角色的成员 13. 使用 Ansible playbook 管理 RBAC 特权 Expand section "13. 使用 Ansible playbook 管理 RBAC 特权" Collapse section "13. 使用 Ansible playbook 管理 RBAC 特权" 13.1. 使用 Ansible 确保存在自定义 IdM RBAC 特权 13.2. 使用 Ansible 确保自定义 IdM RBAC 特权中存在成员权限 13.3. 使用 Ansible 确保 IdM RBAC 特权不包括权限 13.4. 使用 Ansible 重命名自定义 IdM RBAC 特权 13.5. 使用 Ansible 确保缺少 IdM RBAC 特权 13.6. 其他资源 14. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限 Expand section "14. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限" Collapse section "14. 使用 Ansible playbook 在 IdM 中管理 RBAC 权限" 14.1. 使用 Ansible 确保存在 RBAC 权限 14.2. 使用 Ansible 确保存在带有属性的 RBAC 权限 14.3. 使用 Ansible 确保缺少 RBAC 权限 14.4. 使用 Ansible 确保属性是 IdM RBAC 权限的成员 14.5. 使用 Ansible 确保属性不是 IdM RBAC 权限的成员 14.6. 使用 Ansible 重命名 IdM RBAC 权限 14.7. 其他资源 15. 使用 Ansible 管理 IdM 中的复制拓扑 Expand section "15. 使用 Ansible 管理 IdM 中的复制拓扑" Collapse section "15. 使用 Ansible 管理 IdM 中的复制拓扑" 15.1. 使用 Ansible 确保 IdM 中存在复制协议 15.2. 使用 Ansible 确保多个 IdM 副本之间存在复制协议 15.3. 使用 Ansible 检查两个副本之间是否存在复制协议 15.4. 使用 Ansible 验证 IdM 中是否存在拓扑后缀 15.5. 使用 Ansible 重新初始化 IdM 副本 15.6. 使用 Ansible 确保 IdM 中没有复制协议 15.7. 其他资源 16. 使用 Ansible 管理 IdM 服务器 Expand section "16. 使用 Ansible 管理 IdM 服务器" Collapse section "16. 使用 Ansible 管理 IdM 服务器" 16.1. 使用 Ansible 检查 IdM 服务器是否存在 16.2. 使用 Ansible 确保 IdM 拓扑中没有 IdM 服务器 16.3. 确保尽管拥有最后一个 IdM 服务器角色,也不存在 IdM 服务器 16.4. 确保 IdM 服务器不存在,但不一定与其他 IdM 服务器断开连接 16.5. 使用 Ansible playbook 确保现有的 IdM 服务器被隐藏 16.6. 使用 Ansible playbook 确保现有的 IdM 服务器可见 16.7. 确保现有的 IdM 服务器被分配了 IdM DNS 位置 16.8. 确保现有的 IdM 服务器没有分配 IdM DNS 位置 17. 使用 Ansible playbook 管理主机 Expand section "17. 使用 Ansible playbook 管理主机" Collapse section "17. 使用 Ansible playbook 管理主机" 17.1. 使用 Ansible playbook 确保存在带有 FQDN 的 IdM 主机条目 17.2. 使用 Ansible playbook 确保存在含有 DNS 信息的 IdM 主机条目 17.3. 使用 Ansible playbook 确保存在带有随机密码的多个 IdM 主机条目 17.4. 使用 Ansible playbook 确保存在具有多个 IP 地址的 IdM 主机条目 17.5. 使用 Ansible playbook 确保没有 IdM 主机条目 17.6. 其他资源 18. 使用 Ansible playbook 管理主机组 Expand section "18. 使用 Ansible playbook 管理主机组" Collapse section "18. 使用 Ansible playbook 管理主机组" 18.1. IdM 中的主机组 18.2. 使用 Ansible playbook 确保存在 IdM 主机组 18.3. 确保使用 Ansible playbook 在 IdM 主机组中存在主机 18.4. 使用 Ansible playbook 嵌套 IdM 主机组 18.5. 使用 Ansible Playbook 在 IDM 主机组中存在成员管理器 18.6. 使用 Ansible playbook 确保 IdM 主机组中没有主机 18.7. 使用 Ansible playbook 确保 IdM 主机组没有嵌套的主机组 18.8. 使用 Ansible playbook 确保没有 IdM 主机组 18.9. 使用 Ansible playbook 确保 IdM 主机组中没有成员管理器 19. 定义 IdM 密码策略 Expand section "19. 定义 IdM 密码策略" Collapse section "19. 定义 IdM 密码策略" 19.1. 什么是密码策略 19.2. IdM 中的密码策略 19.3. 使用 Ansible playbook 在 IdM 中存在密码策略 19.4. IdM 中的附加密码策略选项 19.5. 将其他密码策略选项应用到 IdM 组 19.6. 使用 Ansible playbook 将额外的密码策略选项应用到 IdM 组 20. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限 Expand section "20. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限" Collapse section "20. 为 IdM 客户端上的 IdM 用户授予 sudo 访问权限" 20.1. IdM 客户端上的 sudo 访问权限 20.2. 使用 CLI 向 IdM 客户端上的 IdM 用户授予 sudo 访问权限 20.3. 使用 CLI 在 IdM 客户端上授予 sudo 访问 AD 用户的权限 20.4. 使用 IdM Web UI 向 IdM 客户端上的 IdM 用户授予 sudo 访问权限 20.5. 在 CLI 上创建 sudo 规则,以作为 IdM 客户端上的服务帐户运行命令 20.6. 在 IdM Web UI 中创建一个 sudo 规则,该规则在 IdM 客户端上以服务帐户的身份运行命令 20.7. 在 IdM 客户端上为 sudo 启用 GSSAPI 身份验证 20.8. 在 IdM 客户端上为 sudo 启用 GSSAPI 身份验证,并强制实施 Kerberos 身份验证指标 20.9. SSSD 选项控制对 PAM 服务的 GSSAPI 身份验证 20.10. sudo 的 GSSAPI 身份验证故障排除 20.11. 使用 Ansible playbook 确保 IdM 客户端上的 IdM 用户具有 sudo 访问权限 21. 确保使用 Ansible playbook 的基于主机的访问控制规则在 IdM 中存在 Expand section "21. 确保使用 Ansible playbook 的基于主机的访问控制规则在 IdM 中存在" Collapse section "21. 确保使用 Ansible playbook 的基于主机的访问控制规则在 IdM 中存在" 21.1. IdM 中基于主机的访问控制规则 21.2. 使用 Ansible playbook 确保在 IdM 中存在 HBAC 规则 22. 使用 Ansible 管理 IdM 证书 Expand section "22. 使用 Ansible 管理 IdM 证书" Collapse section "22. 使用 Ansible 管理 IdM 证书" 22.1. 使用 Ansible 为 IdM 主机、服务和用户请求 SSL 证书 22.2. 使用 Ansible 为 IdM 主机、服务和用户撤销 SSL 证书 22.3. 使用 Ansible 为 IdM 用户、主机和服务恢复 SSL 证书 22.4. 使用 Ansible 为 IdM 用户、主机和服务检索 SSL 证书 23. IdM 中的 vaults Expand section "23. IdM 中的 vaults" Collapse section "23. IdM 中的 vaults" 23.1. 库及其优点 23.2. Vault 所有者、成员和管理员 23.3. 标准、对称和非对称库 23.4. 用户、服务和共享库 23.5. Vault 容器 23.6. 基本 IdM vault 命令 23.7. 在 IdM 中安装密钥恢复授权 24. 使用 Ansible 管理 IdM 用户库:存储和检索 secret Expand section "24. 使用 Ansible 管理 IdM 用户库:存储和检索 secret" Collapse section "24. 使用 Ansible 管理 IdM 用户库:存储和检索 secret" 24.1. 使用 Ansible 在 IdM 中存在标准用户库 24.2. 使用 Ansible 将 secret 归档到 IdM 中的标准用户库中 24.3. 使用 Ansible 从 IdM 中的标准用户库检索 secret 25. 使用 Ansible 管理 IdM 服务库:存储和检索 secret Expand section "25. 使用 Ansible 管理 IdM 服务库:存储和检索 secret" Collapse section "25. 使用 Ansible 管理 IdM 服务库:存储和检索 secret" 25.1. 使用 Ansible 在 IdM 中存在非对称服务库 25.2. 使用 Ansible 将成员服务添加到非对称库 25.3. 使用 Ansible 将 IdM 服务 secret 存储在非对称库中 25.4. 使用 Ansible 为 IdM 服务检索服务 secret 25.5. 在使用 Ansible 泄露时更改 IdM 服务 vault secret 25.6. 其他资源 26. 使用 Ansible 确保 IdM 中存在和不存在服务 Expand section "26. 使用 Ansible 确保 IdM 中存在和不存在服务" Collapse section "26. 使用 Ansible 确保 IdM 中存在和不存在服务" 26.1. 使用 Ansible playbook 确保 IdM 中是否存在 HTTP 服务 26.2. 使用一个 Ansible 任务确保在 IdM 客户端上的 IdM 中存在多个服务 26.3. 使用 Ansible playbook 确保 IdM 中非 IdM 客户端中存在 HTTP 服务 26.4. 使用 Ansible playbook 确保没有 DNS 在 IdM 客户端上存在 HTTP 服务 26.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书 26.6. 使用 Ansible playbook 允许 IdM 用户、组、主机或主机组创建服务的 keytab 26.7. 使用 Ansible playbook 允许 IdM 用户、组、主机或主机组检索服务的 keytab 26.8. 使用 Ansible playbook 确保服务的 Kerberos 主体别名存在 26.9. 使用 Ansible playbook 确保 IdM 中没有 HTTP 服务 26.10. 其他资源 27. 使用 Ansible playbook 管理 IdM 中的全局 DNS 配置 Expand section "27. 使用 Ansible playbook 管理 IdM 中的全局 DNS 配置" Collapse section "27. 使用 Ansible playbook 管理 IdM 中的全局 DNS 配置" 27.1. IdM 如何确保 /etc/resolv.conf 中的全局转发器不会被 NetworkManager 删除 27.2. 使用 Ansible 在 IdM 中存在 DNS 全局转发器 27.3. 使用 Ansible 确保 IdM 中没有 DNS 全局转发器 27.4. ipadnsconfig ansible-freeipa 模块中的 action: member 选项 27.5. IdM 中的 DNS 转发策略 27.6. 使用 Ansible playbook 来确保在 IdM DNS 全局配置中设置了转发第一个策略 27.7. 使用 Ansible playbook 来确保 IdM DNS 中禁用了全局转发器 27.8. 使用 Ansible playbook 来确保 IdM DNS 中禁用了转发和反向查询区的同步 28. 使用 Ansible playbook 管理 IdM DNS 区域 Expand section "28. 使用 Ansible playbook 管理 IdM DNS 区域" Collapse section "28. 使用 Ansible playbook 管理 IdM DNS 区域" 28.1. 支持的 DNS 区类型 28.2. 主 IdM DNS 区的配置属性 28.3. 使用 Ansible 在 IdM DNS 中创建主区 28.4. 使用 Ansible playbook 来确保 IdM 中存在带有多个变量的主 DNS 区域 28.5. 使用 Ansible playbook 以确保在指定 IP 地址时存在用于反向 DNS 查找的区域 29. 使用 Ansible 管理 IdM 中的 DNS 位置 Expand section "29. 使用 Ansible 管理 IdM 中的 DNS 位置" Collapse section "29. 使用 Ansible 管理 IdM 中的 DNS 位置" 29.1. 基于 DNS 的服务发现 29.2. DNS 位置的部署注意事项 29.3. DNS 时间到实时(TTL) 29.4. 使用 Ansible 确保存在 IdM 位置 29.5. 使用 Ansible 确保不存在 IdM 位置 29.6. 其他资源 30. 在 IdM 中管理 DNS 转发 Expand section "30. 在 IdM 中管理 DNS 转发" Collapse section "30. 在 IdM 中管理 DNS 转发" 30.1. IdM DNS 服务器的两个角色 30.2. IdM 中的 DNS 转发策略 30.3. 在 IdM Web UI 中添加全局转发器 30.4. 在 CLI 中添加全局转发器 30.5. 在 IdM Web UI 中添加 DNS 转发区域 30.6. 在 CLI 中添加 DNS 转发区域 30.7. 使用 Ansible 在 IdM 中建立 DNS 全局转发器 30.8. 使用 Ansible 确保 IdM 中存在 DNS 全局转发器 30.9. 使用 Ansible 确保 IdM 中没有 DNS 全局转发器 30.10. 使用 Ansible 确保 DNS 全局转发器在 IdM 中被禁用 30.11. 使用 Ansible 确保 IdM 中存在 DNS 转发区域 30.12. 使用 Ansible 确保 DNS 转发区域 在 IdM 中有多个转发器 30.13. 使用 Ansible 确保 IdM 中 DNS Forward 区域被禁用 30.14. 使用 Ansible 确保 IdM 中没有 DNS 转发区域 31. 使用 Ansible 管理 IdM 中的 DNS 记录 Expand section "31. 使用 Ansible 管理 IdM 中的 DNS 记录" Collapse section "31. 使用 Ansible 管理 IdM 中的 DNS 记录" 31.1. IdM 中的 DNS 记录 31.2. 常见 ipa dnsrecord-* 选项 31.3. 使用 Ansible 确保 IdM 中存在 A 和 AAAA DNS 记录 31.4. 使用 Ansible 确保 IdM 中存在 A 和 PTR DNS 记录 31.5. 使用 Ansible 确保 IdM 中存在多个 DNS 记录 31.6. 使用 Ansible 确保 IdM 中存在多个 CNAME 记录 31.7. 使用 Ansible 确保 IdM 中是否存在 SRV 记录 32. 使用 Ansible 为 IdM 用户自动挂载 NFS 共享 Expand section "32. 使用 Ansible 为 IdM 用户自动挂载 NFS 共享" Collapse section "32. 使用 Ansible 为 IdM 用户自动挂载 NFS 共享" 32.1. IdM 中的 autofs 和自动挂载 32.2. 在 Red Hat Identity Management 域中使用 Kerberos 建立一个 NFS 服务器 32.3. 使用 Ansible 在 IdM 中配置自动挂载位置、映射和密钥 32.4. 使用 Ansible 将 IdM 用户添加到拥有 NFS 共享的组中 32.5. 在 IdM 客户端上配置自动挂载 32.6. 验证 IdM 用户能否访问 IdM 客户端上的 NFS 共享 33. 使用 Ansible 将 IdM 与 NIS 域和 netgroups 集成 Expand section "33. 使用 Ansible 将 IdM 与 NIS 域和 netgroups 集成" Collapse section "33. 使用 Ansible 将 IdM 与 NIS 域和 netgroups 集成" 33.1. NIS 及其优点 33.2. IdM 中的 NIS 33.3. IdM 中的 NIS netgroups 33.4. 使用 Ansible 确保 netgroup 存在 33.5. 使用 Ansible 确保成员在 netgroup 中存在 33.6. 使用 Ansible 确保成员不在 netgroup 中 33.7. 使用 Ansible 确保 netgroup 不存在 34. 使用 Ansible 在 IdM 中配置 HBAC 和 sudo 规则 35. 使用 Ansible 将 IdM 用户的身份验证委派给外部身份提供程序 Expand section "35. 使用 Ansible 将 IdM 用户的身份验证委派给外部身份提供程序" Collapse section "35. 使用 Ansible 将 IdM 用户的身份验证委派给外部身份提供程序" 35.1. 将 IdM 连接到外部 IdP 的好处 35.2. IdM 如何通过外部 IdP 融合登录 35.3. 使用 Ansible 创建对外部身份提供程序的引用 35.4. 使用 Ansible 启用 IdM 用户通过外部 IdP 进行身份验证 35.5. 以外部 IdP 用户身份检索 IdM ticket-granting ticket 35.6. 以外部 IdP 用户身份通过 SSH 登录到 IdM 客户端 35.7. ipaidp Ansible 模块中的 provider 选项 36. 使用 RHEL 系统角色将 RHEL 系统直接集成到 AD Expand section "36. 使用 RHEL 系统角色将 RHEL 系统直接集成到 AD" Collapse section "36. 使用 RHEL 系统角色将 RHEL 系统直接集成到 AD" 36.1. ad_integration RHEL 系统角色 法律通告 Settings Close Language: 日本語 简体中文 한국어 English Français Language: 日本語 简体中文 한국어 English Français Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 한국어 English Français Language: 日本語 简体中文 한국어 English Français Format: Multi-page Single-page Format: Multi-page Single-page 14.7. 其他资源 请参阅 IdM 中的权限。 请参阅 IdM 中的特权。 请参阅 /usr/share/doc/ansible-freeipa/ 目录中的 README-permission 文件。 请参阅 /usr/share/doc/ansible-freeipa/playbooks/ipapermission 目录中的 playbook 示例。 Previous Next