要件

• オプション: 変数 domainname を定義して、LDAP サーバーの IP ホスト名 hostname.domainename で /etc/hosts を更新すること

group_vars/inventory.yml の例:

---
ldap:
   ssl: exemple_ca.crt
   server: "ldaps://ldap1/,ldaps://ldap2/"
   base: "dc=exemple,dc=com"
   bind: "cn=readonly"
   servers:
     - hostname: ldap1
       ip: 10.0.0.1
     - hostname: ldap2
       ip: 10.0.0.2
domainname: 'aws.edifixio.com'

使用例:

- { role: ldap_client , when: ldap is defined and ldap.base is defined and ldap.server is defined }

• 必要な LDAP パッケージをインストール
  • Debian 系: sssd-ldap, sssd-tools, sudo
  • RedHat 系: authconfig, sssd-ldap, sssd-tools, sudo, openldap-clients
• SSL 証明書をプッシュ（必要な場合）
• LDAP サーバーのために /etc/hosts を更新
• /etc/nsswitch.conf を更新（sss を追加）
• マシンの起動時に sssd サービスを有効化
• PAM を構成するために authconfig を実行（RedHat 系）
• PAM を構成するために pam-auth-update を実行（Debian 系）
• pam_mkhomedir.so を使用して初回接続時にホームディレクトリを作成できるようにする（Debian 系）
• ldapsearch のデフォルト LDAP パラメータのために /etc/openldap/ldap.conf を設定
• SSHD: /etc/ssh/sshd_config に AuthorizedKeysCommand と AuthorizedKeysCommandUser を追加して、LDAP から SSH キーを取得する