machacekondra.ovirt-aaa-ldap
oVirt AAA LDAP
此角色用于部署 oVirt AAA LDAP 配置。
需求
仅需 Ansible。
角色变量
aaa_profile_type:定义配置文件类型,选项包括:
- 389ds
- iplanet
- rfc2307-389ds
- rfc2307-generic
- rfc2307-openldap
- rfc2307-rhds
- ad
- ipa
- openldap
- rfc2307-edir
- rhds
aaa_user:用于搜索用户以进行授权的用户。
aaa_password:搜索用户的密码。
aaa_profile_name:配置文件名称(在登录页面中可见)。
aaa_ldap:LDAP 服务器或 LDAP 域的列表。当指定多个服务器时,将使用故障转移策略。
aaa_ldap_is_domain:aaa_ldap 是否为通过 SRV 记录发现的服务器域。默认值为 false(如果 aaa_profile_type 设置为
ad,则默认值为 true)。aaa_base_dn:如果用户想要设置特殊值,则是自定义基础 DN。
aaa_legacy_api_authn:是否将
/ovirt-engine/api包含在触发 HTTP 认证的路径中(在 oVirt 4.0 之前是必需的)。默认禁用。aaa_sso_keytab:在 ansible 控制机上存储用于 SSO 的主体的 keytab 路径。如果要部署 SSO,请求此参数或 aaa_sso_remote_keytab。keytab 将复制到
/etc/httpd/http.keytab。aaa_sso_remote_keytab:目标机器上已存在的 keytab 路径。必须可被 apache 访问和读取。
例如,要获取用于 oVirt 引擎的 IPA 的 HTTP keytab,可以使用以下命令:
$ ipa-getkeytab --server=ipa.example.com --principal=HTTP/ovirt.example.com --keytab=ovirt.keytab
依赖关系
无。
示例剧本
以下是如何部署单服务器的 IPA 的示例:
- name: 部署 oVirt AAA IPA
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap.example.com
roles:
- machacekondra.ovirt-aaa-ldap
以下是如何部署具有故障转移服务器的 IPA 的示例:
- name: 部署 oVirt AAA IPA 故障转移
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap1.example.com
- ldap2.example.com
roles:
- machacekondra.ovirt-aaa-ldap
以下是如何部署具有 SSO 的 IPA 的示例:
- name: 部署 oVirt AAA IPA SSO
hosts: localhost
gather_facts: no
vars:
aaa_profile_type: ipa
aaa_user: uid=search,cn=users,cn=accounts,dc=example,dc=com
aaa_password: password
aaa_profile_name: ipa
aaa_ldap:
- ldap1.example.com
- ldap2.example.com
aaa_sso_keytab: /path/to/ovirt.keytab
roles:
- machacekondra.ovirt-aaa-ldap
许可证
BSD
作者信息
Ondra Machacek (@machacekondra)