はじめに
Ansible Towerにログインする時に入力されたユーザーIDがADの特定グループに所属してればログインできるようにする。
手探りだったので一部誤りがあるかもしれませんが誰かのヒントになれば、と。
(Quiitaも初投稿ゆえ見づらい箇所ありますがお許しください。)
環境
- Red Hat Enterprise Linux release 8.0 (Ootpa)
- Ansible Tower 3.5.1
参考にしたページ
最新版マニュアルと日本語マニュアルを参照
- https://docs.ansible.com/ansible-tower/latest/html/administration/ldap_auth.html#ag-ldap
- https://docs.ansible.com/ansible-tower/3.1.4/html_ja/administration/ldap_auth.html
- https://docs.ansible.com/ansible-tower/latest/html/administration/kerberos_auth.html
設定
SETTINGS / AUTHENTICATION / LDAP
- LDAPサーバURI
ldap://(ADサーバのアドレス) 例) ad01.contoso.local
- LDAPバインドDN
AD情報にアクセスするためのユーザ 例) AnsibleTower@contoso.local
- LDAPバインドパスワード
(LDAPバインドDNに対するパスワード)
- LDAPグループタイプ
GroupOFNamesType
- LDAP要求グループ
CN=TowerUsers,CN=Users,DC=contoso,DC=local
- LDAPユーザー検索
[
"DC=contoso,DC=local",
"SCOPE_SUBTREE",
"(sAMAccountName=%(user)s)"
]
- LDAPグループ検索
[
"DC=contoso,DC=local",
"SCOPE_SUBTREE",
"(objectClass=group)"
]
- LDAPユーザー属性マップ
{
"first_name": "givenName",
"last_name": "sn",
"email": "userPrincipalName"
}
注意点・気になった点
- 内部のLDAP処理でキャッシュ期間があるのかAD情報を編集してからTower上でログインできるのに時差がある。