那些遇到过的问题

在ansible中为linux用户设置幂等密码

miw*_*iwa 4 ansible

在尝试使用模块管理用户密码时,user每次执行 playbook 时都会收到密码更改通知,并且此行为不依赖于 ansible 版本(在所有主要 2.0 - 2.5 上测试)、目标发行版(在稳定的 CentOS 上测试, Debian 和 Ubuntu)或update_password选项。

- name: This is in vault in real playbook of course
  set_fact:
    testuser_password : '123456'

- name: Manage test user
  user:
    name: testuser
    uid: 1001
    state: present
    password: "{{ testuser_password |password_hash('sha512')}}"
Run Code Online (Sandbox Code Playgroud)

名为“管理测试用户”的任务始终标记为已更改。为了避免这种情况,我使用了这种奇怪的结构

- name: This is in vault in real playbook of course
  set_fact:
    testuser_password : '123456'

- name: Check if user exists
  shell: "getent shadow testuser | awk -F: '{ print $2}'"
  changed_when: false
  check_mode: false
  register: userexists

- name: Get salt for existing password
  shell: "getent shadow testuser | awk -F$ '{ print $3}'"
  changed_when: false
  check_mode: false
  register: passwordsalt
  when: userexists.stdout != ""

- name: Encrypt local password with salt
  set_fact:
    localsaltedpass: "{{ testuser_password |password_hash('sha512', passwordsalt.stdout )}}"
  when: userexists.stdout != ""

- name: Update remote password
  user:
    name: "testuser"
    uid: 1001
    password: "{{ testuser_password |password_hash('sha512')}}"
  when: 
    - userexists.stdout != ""
    - userexists.stdout != localsaltedpass

- name: Create test user if it does not exist
  user:
    name: "testuser"
    uid: 1001
    state: present
    password: "{{ testuser_password |password_hash('sha512')}}"
  when: userexists.stdout == ""
Run Code Online (Sandbox Code Playgroud)

虽然这种方法解决了问题,但对我来说看起来不太好。有什么想法如何以正确的方式幂等地管理用户密码?

miw*_*iwa 7

发生这种情况是因为每次调用password_hash过滤器时盐都会随机再生。为了使设置密码幂等,我们必须保留 salt 并将其添加为第二个参数,如下所示:

- name: This should be stored in a vault in a real playbook of course
  set_fact:
    user_password: 'passw0rd'
    user_salt: 'some.salty.salt'

- name: Manage testuser
  user:
   name: "username"
   password: "{{ user_password | password_hash('sha512', user_salt) }}"
   state: present
   shell: /bin/bash
   update_password: on_create
Run Code Online (Sandbox Code Playgroud)

非常感谢@ konstantin-suvorov推动了正确的方向。

另外,请记住,salt 中只能使用字母数字、点和斜线,并且对于 sha512,它的长度不应超过 16 个字符。感谢@Peter De Zwart 的澄清。

归档时间:

查看次数:

2796 次

最近记录:

3 年,4 月 前
相关归档
使用Ansible在Docker容器内部运行命令 32
Ansible:如何使用数组迭代角色? 27
如何通过ansible-playbook创建新的系统服务 19
如何使用Docker测试Ansible playbook 17
使用 ansible-galaxy 直接从 git URI 安装 Ansible 集合 8
Ansible Playbook 错误:powershell shell 系列与 sudo 成为插件不兼容 8
从 Ansible 中的变量中去除引号 5
Ansible:全局模板文件夹? 4
为什么我的Ansible处理程序没有解雇? 3
删除文件夹文件夹中超过 x 天的文件 2
难疑归档
如何在Python中连接两个列表? 2250
如何分析在Linux上运行的C++代码? 1732
删除包含特定字符串的文本文件中的行 1670
方法和函数之间有什么区别? 1665
在不应用它的情况下查看存储中的内容 1650
在上传图像之前预览图像 1476
如何使用Sublime Text 2重新格式化HTML代码? 1282
如何在Python中使用线程? 1210
git:撤消所有工作目录更改,包括新文件 1108
如何从Python字符串中修剪空格? 1103