Ansible Rolle: sssd-ldap

Eine Ansible Rolle, die sssd, nsswitch, pam und sshd installiert und konfiguriert, um Benutzerkonten von LDAP abzurufen.

Aktuell getestet auf

• Ubuntu 18.04.2 LTS (Bionic Beaver)

Anforderungen

Sie müssen einige Variablen definieren, die erforderlich sind, um sich mit dem LDAP-Server zu verbinden.

Natürlich können Sie die Anmeldeinformationen, die zum Binden an Ihren LDAP-Server verwendet werden, im Klartext definieren - aber ich empfehle dringend, Ansible Vault zu verwenden.

ldap_search_base: "cn=accounts,dc=example,dc=com"
ldap_user_search_base: "cn=users,cn=accounts,dc=example,dc=com"
ldap_group_search_base: "cn=groups,cn=accounts,dc=example,dc=com"
ldap_pam_filter: "&(objectclass=posixAccount)(!(nsaccountlock=True))"
ldap_bind_dn: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )
ldap_bind_pw: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )

Weitere Rollenvariablen

Sie finden die verfügbaren Optionen in defaults/main.yml und templates/sssd.conf.j2

Am wichtigsten sind

use_sssd: true   #  Warum sollte das jemand ändern wollen?
sssd_use_ssh_keys_from_ldap: true
ldap_user_ssh_public_key: "ipaSshPubKey"

sshd_AuthorizedKeysCommand: /usr/bin/sss_ssh_authorizedkeys
sshd_AuthorizedKeysCommandUser: root

sssd_create_homedir: true
sssd_cache_credentials: true

Abhängigkeiten

Keine.

Beispiel-Playbook

    - hosts: servers
      roles:
         - role: weehal.sssd

Lizenz

BSD

Autoreninformation

Diese Rolle wurde 2019 von Michał 'warf' Łuczak erstellt.