目的は、expectプログラムを使用せずに、リモートサーバーの任意のユーザーに公開キーをバッチでプッシュしてパスワードなしでログインすることです。つまり、初期化スクリプトを使用せずに、ansibleモジュールを使用してこれを行うことができます。
一般的な考え方は次のとおりです。
最初に暗号化されたファイルを作成し、使用する変数と値(つまり、リモートサービスに接続するためのsshユーザー名のパスワード)をこの暗号化されたファイルに編集します。後でそれを使用して、sshユーザーのパスワードが漏洩しないようにします。
このプレイブックで暗号化されたファイルを使用した後authorized_key
、送信用のユーザー認証公開鍵で指定されたリモートホストへのモジュールの使用。
1.仮注文方式
1最初に、相手のホスト公開鍵を検出しないように構成します
ではansible.cfg
、次のファイルを設定
[defaults]
host_key_checking = False
2リモートホストのユーザーとパスワードをAnsibleリスト(リソースリスト)に追加します
# 远程服务器的 IP 或者可被本机解析的远程服务器的主机名
127.0.0.1 ansible_ssh_user=test ansible_ssh_pass=123
3authorized_keyモジュールを使用して公開キーを送信します
ansible 127.0.0.1 -i hosts -m authorized_key -a "user=test state=present key={
{ lookup('file', '/root/.ssh/id_rsa.pub') }}"
モジュールオプション:
user
リモートサーバーのこのユーザーとの信頼関係を確立するように指定しますstate
可能な値:
-present
キーを追加します
-absent
パブリックを削除します-
キーローカルユーザーのパブリックキー、設定するパブリックキールックアップファイルを見つける必要があります
入力結果は次のとおりです。
[root@VM-0-11-centos ~]# ansible 127.0.0.1 -i hosts -m authorized_key -a "user=test state=present key={
{ lookup('file', '/root/.ssh/id_rsa.pub') }}"
127.0.0.1 | CHANGED => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": true,
"comment": null,
"exclusive": false,
"follow": false,
"key": "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCa91G2W5TcCUl10XAepJo8UNgj08RcyzUh3/FCPP1sM/0ZdZhRwB2wERJ7l9iZgzHEHgMm3VzOsjC+5Fme5Gtnbj187is9fFBKK1yWFUmmsEcfQLAUAdWq4zn2TkcHGnRLbHpDeZ+kNXZVe9UkSPCUTvfeoMo0cxnFdYkcJuKhX82V6YZctm3ltgx9mtLwEkj5mO1KCvtof2cEoDHwoQ+iFH4gNQ0rysGhADgKbGYnCTG64Kmw4yvsmHUOhEixU7B+Ff4lNauUATyR0whh4gXpUYR7VdnbZ3UnfYAd8QKIICrvYLM8EwEBcoZ3erAejq+/l7ckYx9bZrMBJfe+m/9d root@VM-0-11-centos",
"key_options": null,
"keyfile": "/home/test/.ssh/authorized_keys",
"manage_dir": true,
"path": null,
"state": "present",
"user": "test",
"validate_certs": true
}
4テスト
[root@VM-0-11-centos ~]# ansible 127.0.0.1 -i hosts -m ping
127.0.0.1 | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python"
},
"changed": false,
"ping": "pong"
}
二、プレイブック方式
プレイブックを使用して公開キーをプッシュする場合、リモートホストのパスワードを暗号化することもできます。
1暗号化されたファイルを作成します
ansible-vault create
コマンドを使用して、を介して暗号化されたファイルを作成します。
暗号化されたファイルを復号化するためにパスワードを入力するように求められ、パスワードを2回入力し、デフォルトのvi
エディターを呼び出してこのファイルを編集します。その後、このファイルにデータ暗号化およびその他の変数を書き込み、保存して終了する必要がある場合があります。それでおしまい。
暗号化されたファイルを作成するコマンド:
[root@qfedu ~]# ansible-vault create vault-foo.yml
New Vault password: # 输入解密这个这文件的密码
Confirm New Vault password: # 再次确认密码
コンテンツの編集:
ansible_ssh_pass: upsa
暗号化を確認します。
[root@xiuyun ~]# cat vault-foo.yml
$ANSIBLE_VAULT;1.1;AES256
36643038636237353237313537366136633865346165336366346530326633343530306637666262
3839353230363763376438396438393538343065363564370a343163306161643063333239306537
66616562613931396338336437656237366261376235326265383334363462646262303864633864
3962353863656633360a343863613337643239633136663631636462613132613763393638353866
35653661326264656130323165663031653430383934623135633539643661333434
2この暗号化されたファイルをプレイブックで使用します
プレイブック
[root@qfedu ~]# cat send-pubkey.yml
- hosts: all
remote_user: root # 连接远程主机的用户,密码就是加密文件中设置好的 ansible_ssh_pass 的值
vars_files:
- foo.yml # 加密文件
tasks:
- name: Set authorized key taken from file
authorized_key: # 发送公钥的模块
user: root # 给这个用户发送公钥
state: present
key: "{
{ lookup('file', '/root/.ssh/id_rsa.pub') }}" # 发送本地用户的公钥路径
3プレイブックを実行する
--ask-vault-pass
パラメータを使用して、復号化するパスワードを指定する必要があります
ansible-playbook -i hosts send-pubkey.yml --limit dbservers --ask-vault-pass
Vault password:
ansible.cfg
構成ファイルのDEFAULT_VAULT_PASSWORD_FILE
値がファイルを指している場合もあり、ファイルは復号化するためにパスワードで保存されます
vault_password_file = /path/to/vault_password_file
のこのプレイブック実行--ask-vault-pass
パラメータを使用しないでください
[root@xiuyun ~]# ansible-playbook -i hosts send-pubkey.yml --limit dbservers
PLAY [all] *********************************************************************
TASK [Gathering Facts] *********************************************************
ok: [172.18.0.3]
TASK [Set authorized key taken from file] **************************************
changed: [172.18.0.3]
PLAY RECAP *********************************************************************
172.18.0.3 : ok=2 changed=1 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
4検証
[root@xiuyun ~]# ssh [email protected] "hostname -i;ls ~/.ssh"
172.18.0.3
authorized_keys
5暗号化されたファイルの内容を変更します
この暗号化されたファイルを再度編集できます
暗号化されたファイルを復号化するには、パスワードを入力する必要があります。これは、作成時に入力したパスワードです。
[root@qfedu ~]# ansible-vault edit vault-foo.yml
Vault password:
このファイルは引き続き編集できます。