[英]`Ansible-playbook` command fails when run from a non-root user
[英]Creating user passwords from an Ansible Playbook
我相信这里有人可以解决我的问题。 我在 Ansible 主机文件中定义的主机上创建用户。 但是当用户希望登录时,root 用户需要定义用户密码。 我需要自动创建用户密码。
要使用剧本创建用户密码,我们不能以明文形式指定密码,我们只能通过提供哈希来实现:
- name: Add Users + Assign to Group
user:
name: "{{ item }}"
password: $6$ul4TACYvHI.kmGUK$j32lU8fNbX.eW0DZOqnnDlP8i0...
要创建哈希,第一步是通过以 root 身份登录目标服务器来定义密码,然后使用 python-crypt 创建哈希。 运行命令后,终端将提供哈希,我将其粘贴到剧本中。 (在下面的例子中,密码是“ansible”)
python -c 'import crypt; print crypt.crypt("ansible")'
当我针对目标服务器运行剧本时,我可以以剧本创建的用户身份登录,并使用我使用 python-crypt 定义的密码(在这种情况下,我以 user2 身份登录,密码为“ansible”)
login as: user2
user1@10.65.8.50's password: "ansible"
[user1@hostname ~]$
这意味着我必须在创建用户的服务器的终端中创建散列,然后将该散列复制并粘贴到剧本中。 如果我有一台服务器并不会太麻烦,但是如果我在 100 台服务器上运行剧本,那么我需要以 root 身份登录到 100 个服务器并创建 100 个哈希,然后在剧本中定义所有这些哈希,这不是很自动化!
所以需要的是从剧本中执行 python-crypt 的能力,grep 创建的哈希,然后把它放在剧本中。 你对如何做到这一点有什么想法吗? 甚至不是专门在 Ansible 中,我不希望你们为我编写剧本。 也许考虑一下您将如何在您选择的工具中执行此操作,例如 PowerShell。 一旦我了解了这个过程,我就可以将其翻译成剧本。
任何帮助深表感谢!
这是一个很远的答案,我还没有测试过,但我一直在考虑一种以自动化方式使用ansible-vault
的方法,这样我就可以在不预先定义密码的情况下部署应用程序,同时保留加密记录创建后的密码。
下面的剧本显示了您可能的一种方式:
同样,这是未经测试的,它可能由于某种我没有预料到的原因而无法工作,但我实际上认为它应该能够像这样工作(仅显示相关任务):
vault_password_file = /path/to/vault_password_file
---
- hosts: example_com
gather_facts: true
become: true
vars:
password_var_name: "example_com_db_password"
vault_vars_file: "example_com_vault.yml"
tasks:
- name: Find out if we have already set a password.
command: "grep \"'password' => '',\" settings.php"
args:
chdir: "/path/to/settings"
register: password_in_file
- name: Create a password and use ansible-vault to write it.
block:
- name: Create a new password.
command: "apg -a1 -m32 -n1"
register: new_vault_password
no_log: true
- name: Encrypt the new password.
command: "ansible-vault encrypt \"{{ new_vault_password.stdout }}\""
register: new_vault_password_encrypted
no_log: true
- name: Write the encrypted password to our local ansible-vault file.
lineinfile:
path: "{{ playbook_dir }}/{{ vault_file }}"
line: "{{ password_var_name }}: {{ new_vault_password_encrypted.stdout }}"
insertafter: "EOF"
when: password_in_file.stdout = 0
delegate_to: localhost
- name: Write the unencrypted password into our remote settings file.
lineinfile:
path: "/path/to/settings/settings.php"
line: " 'password' => '{{ new_password.stdout }}',"
regexp: "^ 'password' => '',$"
no_log: true
所以这个 tldr 是:
ansible.cfg
。ansible-vault
密码文件的路径。在像 FAP 这样的变量中设置您的密码,将其添加到您的脚本中以创建用户:
- name: "Encrypt password for target system"
command: "python -c 'import crypt; print crypt.crypt(\"{{ FAP }}\")'"
register: EFAP
- name: "Add user USER1"
user: name="USER1" state="present" password="{{ EFAP.stdout }}"
我已经用复杂的密码测试过这个并且工作正常
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.