community.general.ipa_getkeytab 模块 – 在 FreeIPA 中管理 keytab 文件

注意

此模块是 community.general 集合 (版本 10.1.0) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.general。您需要满足其他要求才能使用此模块,请参阅 需求 获取详细信息。

要在 playbook 中使用它,请指定: community.general.ipa_getkeytab

community.general 9.5.0 中的新增功能

概要

需求

执行此模块的主机需要以下需求。

  • freeipa-client

  • 托管主机是 FreeIPA 客户端

参数

参数

注释

bind_dn

字符串

在不使用 Kerberos 凭据的情况下检索 keytab 时要绑定的 LDAP DN。

通常与 bind_pw 选项一起使用。

bind_pw

字符串

在不使用 Kerberos 绑定时使用的 LDAP 密码。

ca_cert

路径

用于验证 LDAPS/STARTTLS 连接的 IPA CA 证书的路径。

encryption_types

字符串

用于生成密钥的加密类型列表。

如果未提供,它将使用本地客户端默认值。

有效值取决于 Kerberos 库版本和配置。

force

布尔值

如果已存在,则强制重新创建。

选项

  • false

  • true

ipa_host

字符串

从中检索 keytab 的 IPA 服务器 (FQDN)。

ldap_uri

字符串

LDAP URI。如果指定了 ldap://,则默认情况下会启动 STARTTLS。

不能与 ipa_host 选项一起使用。

password

字符串

使用此密码代替随机生成的密码。

path

别名:keytab

路径 / 必需

放置生成的 keytab 文件的基路径。

principal

字符串 / 必需

完整主体名称的非领域部分。

retrieve_mode

布尔值

检索服务器上已存在的密钥,而不是生成新密钥。

这与 password 不兼容,并且仅适用于版本高于 3.3 的 IPA 服务器。

请求 keytab 的用户必须具有访问密钥的权限,此操作才能成功。

请注意,如果设置为 true,则会生成一个新的 keytab。

这会使此服务主体之前检索到的所有 keytab 无效。

选项

  • false

  • true

sasl_mech

字符串

如果未指定 bind_dnbind_pw,则要使用的 SASL 机制。

选项

  • "GSSAPI"

  • "EXTERNAL"

state

字符串

keytab 文件的状态。

present 只检查文件是否存在,如果您想使用其他参数重新创建 keytab,则应设置 force=true

选项

  • "present" ← (默认)

  • "absent"

属性

属性

支持

描述

check_mode

支持:完全支持

可以在 check_mode 中运行并返回更改状态预测,而无需修改目标。

diff_mode

支持:不支持

在差异模式下,将返回有关已更改内容(或可能需要在 check_mode 中更改的内容)的详细信息。

示例

- name: Get Kerberos ticket using default principal
  community.general.krb_ticket:
    password: "{{ aldpro_admin_password }}"

- name: Create keytab
  community.general.ipa_getkeytab:
    path: /etc/ipa/test.keytab
    principal: HTTP/freeipa-dc02.ipa.test
    ipa_host: freeipa-dc01.ipa.test

- name: Retrieve already existing keytab
  community.general.ipa_getkeytab:
    path: /etc/ipa/test.keytab
    principal: HTTP/freeipa-dc02.ipa.test
    ipa_host: freeipa-dc01.ipa.test
    retrieve_mode: true

- name: Force keytab recreation
  community.general.ipa_getkeytab:
    path: /etc/ipa/test.keytab
    principal: HTTP/freeipa-dc02.ipa.test
    ipa_host: freeipa-dc01.ipa.test
    force: true

作者

  • Alexander Bakanovskii (@abakanovskii)