Ansibleロール: sssd-ldap

LDAPからユーザーアカウントを取得するために、sssd、nsswitch、pam、sshdをインストールおよび設定するAnsibleロールです。

現在、次の環境でテストされています：

• Ubuntu 18.04.2 LTS (Bionic Beaver)

要件

LDAPサーバーに接続するためのいくつかの変数を定義する必要があります。

もちろん、LDAPサーバーにバインドするための資格情報をプレーンテキストで定義することもできますが、Ansible Vaultの使用を強くお勧めします。

ldap_search_base: "cn=accounts,dc=example,dc=com"
ldap_user_search_base: "cn=users,cn=accounts,dc=example,dc=com"
ldap_group_search_base: "cn=groups,cn=accounts,dc=example,dc=com"
ldap_pam_filter: "&(objectclass=posixAccount)(!(nsaccountlock=True))"
ldap_bind_dn: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )
ldap_bind_pw: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )

その他のロール変数

使用可能なオプションは defaults/main.yml および templates/sssd.conf.j2 で確認できます。

最も重要な項目は以下の通りです：

use_sssd: true   # なぜ誰もこれを変更したいのだろう？
sssd_use_ssh_keys_from_ldap: true
ldap_user_ssh_public_key: "ipaSshPubKey"

sshd_AuthorizedKeysCommand: /usr/bin/sss_ssh_authorizedkeys
sshd_AuthorizedKeysCommandUser: root

sssd_create_homedir: true
sssd_cache_credentials: true

依存関係

なし。

例プレイブック

    - hosts: servers
      roles:
         - role: weehal.sssd

ライセンス

BSD

著者情報

このロールは2019年にMichał 'warf' Łuczakによって作成されました。