ovirt-aaa-ldap
oVirt AAA LDAP
Эта роль настраивает конфигурацию oVirt AAA LDAP.
Требования
Только Ansible.
Переменные роли
aaa_profile_type: Определяет тип профиля, один из:
- 389ds
- iplanet
- rfc2307-389ds
- rfc2307-generic
- rfc2307-openldap
- rfc2307-rhds
- ad
- ipa
- openldap
- rfc2307-edir
- rhds
aaa_user: Пользователь, который будет использоваться для поиска пользователей для авторизации.
aaa_password: Пароль пользователя для поиска.
aaa_profile_name: Имя профиля (видно на странице входа).
aaa_ldap: Список LDAP-серверов или LDAP-домен. При указании нескольких серверов будет использоваться политика резервирования.
aaa_ldap_is_domain: Является ли aaa_ldap доменом с серверами, обнаруженными через SRV-записи. По умолчанию - ложь (исключение - если aaa_profile_type установлено на
ad, тогда по умолчанию - правда).aaa_base_dn: Пользовательский базовый DN, если пользователь хочет задать специальный.
aaa_legacy_api_authn: Нужно ли включать
/ovirt-engine/apiсреди путей, которые вызывают HTTP-аутентификацию (это было необходимо до oVirt 4.0). По умолчанию отключено.aaa_sso_keytab: Путь к keytab на управляющей машине Ansible, который хранит принципал, используемый для SSO. Этот параметр или aaa_sso_remote_keytab обязательны в случае, если SSO должно быть развернуто. Keytab будет скопирован в
/etc/httpd/http.keytab.aaa_sso_remote_keytab: Путь к keytab, который уже присутствует на целевой машине. Должен быть доступен для чтения apache.
Например, чтобы получить HTTP keytab для движка oVirt в IPA, используйте следующую команду:
$ ipa-getkeytab --server=ipa.example.com --principal=HTTP/ovirt.example.com --keytab=ovirt.keytab
Зависимости
Нет.
Пример плейбука
Это пример развертывания IPA с одним сервером:
- name: Развертывание oVirt AAA IPA
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap.example.com
roles:
- machacekondra.ovirt-aaa-ldap
Это пример развертывания IPA с резервными серверами:
- name: Развертывание oVirt AAA IPA с резервированием
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap1.example.com
- ldap2.example.com
roles:
- machacekondra.ovirt-aaa-ldap
Это пример развертывания IPA с SSO:
- name: Развертывание oVirt AAA IPA с SSO
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap1.example.com
- ldap2.example.com
aaa_sso_keytab: /path/to/ovirt.keytab
roles:
- machacekondra.ovirt-aaa-ldap
Лицензия
BSD
Информация об авторе
Ондра Мачачек (@machacekondra)
Role to deploy oVirt AAA LDAP configuration.
ansible-galaxy install machacekondra/ansible-role-ovirt-aaa-ldap