Требования

• Необязательное: определить переменную domainname для обновления /etc/hosts с IP-адресом hostname.domainname хоста LDAP-сервера.

Пример файла group_vars/inventory.yml

---
ldap:
   ssl: exemple_ca.crt
   server: "ldaps://ldap1/,ldaps://ldap2/"
   base: "dc=exemple,dc=com"
   bind: "cn=readonly"
   servers:
     - hostname: ldap1
       ip: 10.0.0.1
     - hostname: ldap2
       ip: 10.0.0.2
domainname: 'aws.edifixio.com'

Пример использования:

- { role: ldap_client , when: ldap is defined and ldap.base is defined and ldap.server is defined }

• Установить необходимые пакеты для LDAP sssd-ldap, sssd-tools, sudo (для семейства Debian) authconfig, sssd-ldap, sssd-tools, sudo, openldap-clients (для семейства RedHat)
• Отправить SSL сертификат, если есть
• Обновить /etc/hosts для LDAP-сервера
• Обновить /etc/nsswitch.conf (добавив sss)
• Включить службу sssd при загрузке машины
• Выполнить authconfig (для семейства RedHat) для настройки pam и ...
• Выполнить pam-auth-update (для семейства Debian) для настройки pam
• Включить создание домашнего каталога при первом входе через pam_mkhomedir.so (для семейства Debian)
• Настроить /etc/openldap/ldap.conf для параметров LDAP по умолчанию в ldapsearch
• SSHD: добавить AuthorizedKeysCommand & AuthorizedKeysCommandUser в /etc/ssh/sshd_config для получения SSH-ключа из LDAP