community.general.ipa_user 模块 – 管理 FreeIPA 用户

注意

此模块是 community.general 集合 (版本 10.1.0) 的一部分。

如果您使用的是 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.general。您需要其他要求才能使用此模块，请参阅 要求 获取详细信息。

要在 playbook 中使用它，请指定：community.general.ipa_user。

概要

• 在 IPA 服务器中添加、修改和删除用户。

要求

执行此模块的主机需要以下要求。

• base64

• hashlib

参数

参数	注释
displayname 字符串	显示名称。
gidnumber 字符串	POSIX 组 ID。
givenname 字符串	名字。 如果用户不存在且 state=present，则需要使用 givenname。
homedirectory 字符串 在 community.general 0.2.0 中添加	用户的默认主目录。
ipa_host 字符串	IPA 服务器的 IP 地址或主机名。 如果任务中未指定此值，则将使用环境变量 IPA_HOST 的值。 如果任务中既未指定环境变量 IPA_HOST，也未指定此值，则将使用 DNS 来尝试发现 FreeIPA 服务器。 FreeIPA 中所需的相应条目是 ipa-ca 条目。 如果任务中 DNS 条目、环境变量 IPA_HOST 和此值均不可用，则将使用默认值。 默认值： "ipa.example.com"
ipa_pass 字符串	管理员用户的密码。 如果任务中未指定此值，则将使用环境变量 IPA_PASS 的值。 请注意，如果 urllib_gssapi 库可用，则可以使用 GSSAPI 来对 FreeIPA 进行身份验证。 如果环境变量 KRB5CCNAME 可用，则模块将使用此 Kerberos 凭据缓存对 FreeIPA 服务器进行身份验证。 如果环境变量 KRB5_CLIENT_KTNAME 可用，而 KRB5CCNAME 不可用；则模块将使用此 Kerberos 密钥表进行身份验证。 如果 GSSAPI 不可用，则需要使用 ipa_pass。
ipa_port 整数	FreeIPA/IPA 服务器的端口。 如果任务中未指定此值，则将使用环境变量 IPA_PORT 的值。 如果任务中既未指定环境变量 IPA_PORT，也未指定此值，则将设置默认值。 默认值： 443
ipa_prot 字符串	IPA 服务器使用的协议。 如果任务中未指定值，则将改用环境变量IPA_PROT的值。 如果任务中既未指定环境变量IPA_PROT，也未指定值，则设置默认值。 选项 "http" "https" ← (默认)
ipa_timeout 整数	指定连接的空闲超时时间（以秒为单位）。 对于批量操作，您可能需要增加此值以避免 IPA 服务器超时。 如果任务中未指定值，则将改用环境变量IPA_TIMEOUT的值。 如果任务中既未指定环境变量IPA_TIMEOUT，也未指定值，则设置默认值。 默认值： 10
ipa_user 字符串	在 IPA 服务器上使用的管理员帐户。 如果任务中未指定值，则将改用环境变量IPA_USER的值。 如果任务中既未指定环境变量IPA_USER，也未指定值，则设置默认值。 默认值： "admin"
krbpasswordexpiration 字符串	用户密码将过期的时间。 格式为 YYYYMMddHHmmss。 例如，20180121182022 将于 2018 年 1 月 21 日 18:20:22 过期。
loginshell 字符串	登录 shell。
mail 列表 / 元素=字符串	分配给用户的邮件地址列表。 如果传递空列表，则将删除所有已分配的电子邮件地址。 如果传递 None，则不会检查或更改电子邮件地址。
password 字符串	用户的密码。 除非update_password=always（这是默认设置），否则不会为现有用户设置密码。
sn 字符串	姓氏。 如果用户不存在且state=present，则需要使用sn。
sshpubkey 列表 / 元素=字符串	公钥 SSH 密钥列表。 如果传递空列表，则将删除所有已分配的公钥。 如果传递 None，则不会检查或更改 SSH 公钥。
state 字符串	要确保的状态。 选项 "absent" "disabled" "enabled" "present" ← (默认)
telephonenumber 列表 / 元素=字符串	分配给用户的电话号码列表。 如果传递空列表，则将删除所有已分配的电话号码。 如果传递 None，则不会检查或更改电话号码。
title 字符串	职称。
uid 别名：名称 字符串 / 必填	用户的 uid。
uidnumber 字符串	帐户设置 UID/Posix 用户 ID 号。
update_password 字符串	设置用户的密码。 选项 "always" ← (默认) "on_create"
userauthtype 列表 / 元素=字符串 在 community.general 1.2.0 中添加	要为用户使用的身份验证类型。 要删除用户的所有身份验证类型，请使用空列表[]。 选项idp和passkey已在 community.general 8.1.0 中添加。 选项 "password" "radius" "otp" "pkinit" "hardened" "idp" "passkey"
validate_certs 布尔值	这只适用于ipa_prot为https的情况。 如果设置为false，则不会验证 SSL 证书。 只有在使用自签名证书的个人控制站点上才应将其设置为false。 选项 false true ← (默认)

属性

属性	支持	描述
check_mode	支持：完全支持	可以在check_mode下运行，并在不修改目标的情况下返回更改状态预测。
diff_mode	支持：不支持	在差异模式下，将返回有关已更改内容（或可能需要在check_mode中更改的内容）的详细信息。

示例

- name: Ensure pinky is present and always reset password
  community.general.ipa_user:
    name: pinky
    state: present
    krbpasswordexpiration: 20200119235959
    givenname: Pinky
    sn: Acme
    mail:
    - [email protected]
    telephonenumber:
    - '+555123456'
    sshpubkey:
    - ssh-rsa ....
    - ssh-dsa ....
    uidnumber: '1001'
    gidnumber: '100'
    homedirectory: /home/pinky
    ipa_host: ipa.example.com
    ipa_user: admin
    ipa_pass: topsecret

- name: Ensure brain is absent
  community.general.ipa_user:
    name: brain
    state: absent
    ipa_host: ipa.example.com
    ipa_user: admin
    ipa_pass: topsecret

- name: Ensure pinky is present but don't reset password if already exists
  community.general.ipa_user:
    name: pinky
    state: present
    givenname: Pinky
    sn: Acme
    password: zounds
    ipa_host: ipa.example.com
    ipa_user: admin
    ipa_pass: topsecret
    update_password: on_create

- name: Ensure pinky is present and using one time password and RADIUS authentication
  community.general.ipa_user:
    name: pinky
    state: present
    userauthtype:
      - otp
      - radius
    ipa_host: ipa.example.com
    ipa_user: admin
    ipa_pass: topsecret

返回值

此处记录了常见的返回值此处，以下是此模块特有的字段

键	描述
user 字典	IPA API 返回的用户 返回值：始终返回

作者

• Thomas Krahn (@Nosmoht)

集合链接

• 问题追踪器
• 代码库（源码）
• 寻求帮助
• 提交错误报告
• 请求功能
• 沟通