Роль ADJOIN

Эта роль присоединит машину на Debian или RedHat к (одному или нескольким) доменам Active Directory. Для использования этой роли вам понадобятся следующие условия:

Сторона Windows:

• Домен AD настроен и готов к использованию
• Убедитесь, что DNS записи для домена правильно настроены
• Учётная запись пользователя с достаточными правами для создания объектов компьютера

Сторона Linux:

• Административный доступ к вашей клиентской системе
• Синхронизированные часы с контроллером домена AD на клиенте

Шаги настройки

Эта роль настроит следующие программы, чтобы подготовить вашу систему для аутентификации AD:

• Kerberos
• Oddjob (только для RHEL)
• OpenLDAP
• PAM
• Samba
• SSSD

Каждый раз, когда эта роль запускается, она проверяет действительность присоединения к домену AD. Если эта проверка не проходит, она автоматически попробует (пере)присоединиться к домену с использованием настроенных учётных данных.

Также она настроит права sudo для указанной пользователем группы AD. Стандартные права, предоставленные этой группе:

ALL=(ALL) ALL:NOPASSWD

На это есть две причины:

• В совокупности с надежной аутентификацией через Kerberos, добавленная ценность пароля становится незначительной.
• Это позволяет получить тот же опыт единого входа в систему при использовании SSH-ключей напрямую в пользователя root.

Использование

После выполнения вышеуказанных требований эту роль можно использовать следующим образом:

• Установите роль (либо из Galaxy, либо напрямую с GitHub)
• Скопируйте файл настроек по умолчанию в ваш инвентарный файл (или куда-либо ещё, где вы их храните) и заполните пробелы
• Добавьте роль в ваш основной плейбук
• Запустите Ansible
• ???
• Прибыль!