#はじめに
Ansible Towerにログインする時に入力されたユーザーIDがADの特定グループに所属してればログインできるようにする。
手探りだったので一部誤りがあるかもしれませんが誰かのヒントになれば、と。
(Quiitaも初投稿ゆえ見づらい箇所ありますがお許しください。)
#環境
- Red Hat Enterprise Linux release 8.0 (Ootpa)
- Ansible Tower 3.5.1
#参考にしたページ
最新版マニュアルと日本語マニュアルを参照
- https://docs.ansible.com/ansible-tower/latest/html/administration/ldap_auth.html#ag-ldap
- https://docs.ansible.com/ansible-tower/3.1.4/html_ja/administration/ldap_auth.html
- https://docs.ansible.com/ansible-tower/latest/html/administration/kerberos_auth.html
#設定
SETTINGS / AUTHENTICATION / LDAP
- LDAPサーバURI
--ldap://(ADサーバのアドレス) 例) ad01.contoso.local - LDAPバインドDN
--
AD情報にアクセスするためのユーザ 例) AnsibleTower@contoso.local - LDAPバインドパスワード
--
(LDAPバインドDNに対するパスワード) - LDAPグループタイプ
--
GroupOFNamesType - LDAP要求グループ
--CN=TowerUsers,CN=Users,DC=contoso,DC=local - LDAPユーザー検索
--[ "DC=contoso,DC=local", "SCOPE_SUBTREE", "(sAMAccountName=%(user)s)" ] - LDAPグループ検索
--[ "DC=contoso,DC=local", "SCOPE_SUBTREE", "(objectClass=group)" ] - LDAPユーザー属性マップ
--{ "first_name": "givenName", "last_name": "sn", "email": "userPrincipalName" }
#注意点・気になった点
- 内部のLDAP処理でキャッシュ期間があるのかAD情報を編集してからTower上でログインできるのに時差がある。