123

我有一个 ansible 任务,它在 ubuntu 12.04 上创建一个新用户;

- name: Add deployment user
    action: user name=deployer password=mypassword

它按预期完成,但是当我以该用户身份登录并尝试使用我设置的密码 sudo 时,它总是说它不正确。我究竟做错了什么?

4

23 回答 23

196

我可能来不及回复这个问题,但最近我发现 jinja2 过滤器有能力处理加密密码的生成。在我的main.yml我生成加密密码为:

- name: Creating user "{{ uusername }}" with admin access
  user: 
    name: {{ uusername }}
    password: {{ upassword | password_hash('sha512') }}
    groups: admin append=yes
  when:  assigned_role  == "yes"

- name: Creating users "{{ uusername }}" without admin access
  user:
    name: {{ uusername }}
    password: {{ upassword | password_hash('sha512') }}
  when:  assigned_role == "no"

- name: Expiring password for user "{{ uusername }}"
  shell: chage -d 0 "{{ uusername }}"

“uusername”和“uppassword”作为--extra-vars剧本传递,注意我在这里使用了jinja2过滤器来加密传递的密码。

我已将以下与此相关的教程添加到我的博客中

于 2015-04-28T04:23:57.390 回答
118

如果你阅读了 Ansible 的usermodule手册,它会引导你到 Ansible-examples github repo了解如何使用passwordparameter的详细信息。

在那里您会看到您的密码必须经过哈希处理。

- hosts: all
  user: root
  vars:
    # created with:
    # python -c 'import crypt; print crypt.crypt("This is my Password", "$1$SomeSalt$")'
    password: $1$SomeSalt$UqddPX3r4kH3UL5jq5/ZI.

  tasks:
    - user: name=tset password={{password}}

如果你的剧本或 ansible 命令行的密码是纯文本的,这意味着你的影子文件中记录的密码哈希是错误的。这意味着当您尝试使用密码进行身份验证时,其哈希值将永远不会匹配。

此外,有关密码参数的一些细微差别以及如何正确使用它,请参阅 Ansible常见问题解答。

于 2013-10-11T12:38:39.297 回答
55

我想提出另一个解决方案:

- name: Create madhead user
  user:
    name: madhead
    password: "{{ 'password' | password_hash('sha512') }}"
    shell: /bin/zsh
    update_password: on_create
  register: madhead
- name: Force madhead to change password
  shell: chage -d 0 madhead
  when: madhead.changed

为什么更好?就像这里已经提到的那样,Ansible 游戏应该是幂等的。您不应将它们视为命令式风格的一系列动作,而应将其视为所需的状态、声明式风格。因此,您应该能够多次运行它并获得相同的结果,相同的服务器状态。

这一切听起来都很棒,但也有一些细微差别。其中之一是管理用户。“所需状态”意味着每次运行创建用户的游戏时,他都会更新以完全匹配该状态。“更新”是指他的密码也将被更改。但很可能这不是你所需要的。通常,您只需要创建用户、设置密码并使其过期一次,以后的游戏运行不应更新他的密码。

幸运的是,Ansible在模块update_password中有属性可以解决这个问题。将其与注册变量混合使用,您也可以仅在用户实际更新时才使他的密码过期。user

请注意,如果您手动更改用户的外壳(假设您不喜欢邪恶管理员在他的游戏中强加的外壳),用户将被更新,因此他的密码将过期。

还要注意如何在剧本中轻松使用纯文本初始密码。无需在其他地方对它们进行编码并粘贴哈希,您可以使用Jinja2 过滤器。但是,如果有人在您最初​​登录之前碰巧登录,这可能是一个安全漏洞。

于 2016-04-24T15:05:12.203 回答
12

Ansible 的“用户”模块以幂等的方式管理用户。在下面的剧本中,第一个任务为用户声明state=present。请注意,第一个操作中的“注册:newuser ”有助于第二个操作确定用户是新用户(newuser.changed==True)还是现有用户(newuser.changed==False),只生成一次密码。

Ansible 剧本有:

tasks:
  - name: create deployment user
    user: 
      name: deployer 
      createhome: yes 
      state: present 
    register: newuser

  - name: generate random password for user only on creation
    shell: /usr/bin/openssl rand -base64 32 | passwd --stdin deployer
    when: newuser.changed
于 2014-06-26T11:33:06.360 回答
12

试试这样

vars_prompt:
 - name: "user_password"    
   prompt: "Enter a password for the user"    
   private: yes    
   encrypt: "md5_crypt" #need to have python-passlib installed in local machine before we can use it    
   confirm: yes    
   salt_size: 7

 - name: "add new user" user: name="{{user_name}}" comment="{{description_user}}" password="{{user_password}}" home="{{home_dir}}" shell="/bin/bash"
于 2014-04-09T15:10:37.100 回答
8

此答案中角色的目的是为 new_user_name 生成随机密码并立即使密码过期。new_user_name 需要在他/她第一次登录时更改密码。

create_user.yml:

---
# create_user playbook

- hosts: your_host_group
  become: True
  user: ansible

  roles:
    - create_user

角色/create_user/tasks/main.yml:

---
# Generate random password for new_user_name and the new_user_name
# is required to change his/her password on first logon. 

- name: Generate password for new user
  shell: makepasswd --chars=20
  register: user_password

- name: Generate encrypted password
  shell: mkpasswd --method=SHA-512 {{ user_password.stdout }}
  register: encrypted_user_password

- name: Create user account
  user: name={{ new_user_name }}
        password={{ encrypted_user_password.stdout }}
        state=present
        append=yes
        shell="/bin/bash"
        update_password=always
  when: new_user_name is defined and new_user_name in uids
  register: user_created

- name: Force user to change password
  shell: chage -d 0 {{ new_user_name }}
  when: user_created.changed

- name: User created
  debug: msg="Password for {{ new_user_name }} is {{ user_password.stdout }}"
  when: user_created.changed

当您要创建新用户时:

ansible-playbook -i hosts.ini create_user.yml --extra-vars "new_user_name=kelvin"
于 2016-06-21T02:35:04.610 回答
5

我尝试了许多实用程序mkpasswd,包括 Python 等,但在读取其他工具生成的 HASH 值时,Ansible 似乎存在一些兼容性问题。所以最后它由 Ansible # 值本身起作用。

ansible all -i localhost, -m debug -a "msg={{ 'yourpasswd' | password_hash('sha512', 'mysecretsalt') }}"

剧本:

- name: User creation
  user: 
    name: username  
    uid: UID
    group: grpname
    shell: /bin/bash
    comment: "test user"
    password: "$6$mysecretsalt$1SMjoVXjYf.3sJR3a1WUxlDCmdJwC613.SUD4DOf40ASDFASJHASDFCDDDWERWEYbs8G00NHmOg29E0"
于 2019-08-05T13:13:51.317 回答
3

这是简单的方法:

---
- name: Create user
  user: name=user shell=/bin/bash home=/srv/user groups=admin,sudo generate_ssh_key=yes ssh_key_bits=2048
- name: Set password to user
  shell: echo user:plain_text_password | sudo chpasswd
  no_log: True
于 2015-01-03T23:59:42.950 回答
3

这就是它对我有用的方式

- hosts: main
  vars:
  # created with:
  #  python -c "from passlib.hash import sha512_crypt; print sha512_crypt.encrypt('<password>')"
  # above command requires the PassLib library: sudo pip install passlib
  - password: '$6$rounds=100000$H/83rErWaObIruDw$DEX.DgAuZuuF.wOyCjGHnVqIetVt3qRDnTUvLJHBFKdYr29uVYbfXJeHg.IacaEQ08WaHo9xCsJQgfgZjqGZI0'

tasks:

- user: name=spree password={{password}} groups=sudo,www-data shell=/bin/bash append=yes
  sudo: yes
于 2014-08-12T17:50:07.357 回答
3

为用户生成随机密码

首先需要定义用户变量然后按照下面

任务:

- name: Generate Passwords
  become: no
  local_action: command pwgen -N 1 8
  with_items: '{{ users }}'
  register: user_passwords

- name: Update User Passwords
  user:
    name: '{{ item.item }}'
    password: "{{ item.stdout | password_hash('sha512')}}"
    update_password: on_create
  with_items: '{{ user_passwords.results }}'

- name: Save Passwords Locally
  become: no
  local_action: copy content={{ item.stdout }} dest=./{{ item.item }}.txt
  with_items: '{{ user_passwords.results }}'
于 2019-03-06T16:26:12.490 回答
3

为了完整起见,我将使用 ansible 发布临时命令,因为那里也有一个问题。

首先尝试使用大多数 Linux 系统上可用的 mkpasswd 实用程序生成加密密码:

mkpasswd --method=SHA-512

然后尝试 ansible ad-hock 命令:

ansible all -m user -a 'name=testuser shell=/bin/bash \
     comment="Test User" password=$6$XXXX' -k -u admin --sudo

但请确保:

  1. 该命令用单引号而不是双引号,否则您的密码将永远无法使用
  2. 你运行它,--sudo或者你最终会出现像 ( useradd: cannot lock /etc/passwd; try again later)这样的错误
于 2015-10-15T14:37:02.373 回答
3

我的解决方案是使用查找并自动生成密码。

---
- hosts: 'all'
  remote_user: root
  gather_facts: no
  vars:
    deploy_user: deploy
    deploy_password: "{{ lookup('password', '/tmp/password chars=ascii_letters') }}"

  tasks:
    - name: Create deploy user
      user:
        name: "{{ deploy_user }}"
        password: "{{ deploy_password | password_hash('sha512') }}"
于 2019-03-27T13:15:23.977 回答
2

结合上面的一些解决方案,我创建了一个剧本,它根据存储在加密的本地 ansible 保险库文件中的明文密码自动生成正确的密码哈希:

---
- hosts: [your hosts]
  tasks:
  - include_vars: [path to your encrypted vault file]
  - local_action: "command openssl passwd -salt '{{password_salt}}' -1 '{{password}}'"
    register: password_hash
  - user: >
        name=[your username]
        state=present
        password="{{password_hash.stdout}}"

使用“--ask-vault-pass”选项运行此命令来解密您的保管库文件(有关如何管理加密保管库的信息,请参阅 ansible-vault)。

于 2014-12-03T17:52:07.073 回答
2

如何创建加密密码以将passwordvar 传递给 Ansibleuser任务(来自@Brendan Wood 的评论):

openssl passwd -salt 'some_plain_salt' -1 'some_plain_pass'

结果将如下所示:

$1$some_pla$lmVKJwdV3Baf.o.F0OOy71

任务示例user

- name: Create user
  user: name="my_user" password="$1$some_pla$lmVKJwdV3Baf.o.F0OOy71"

UPD:使用 SHA-512 进行加密,请参见此处此处

Python

$ python -c "import crypt, getpass, pwd; print crypt.crypt('password', '\$6\$saltsalt\$')"

$6$saltsalt$qFmFH.bQmmtXzyBY0s9v7Oicd2z4XSIecDzlB5KiA2/jctKu9YterLp8wwnSq.qc.eoxqOmSuNp2xS0ktL3nh/

Perl

$ perl -e 'print crypt("password","\$6\$saltsalt\$") . "\n"'

$6$saltsalt$qFmFH.bQmmtXzyBY0s9v7Oicd2z4XSIecDzlB5KiA2/jctKu9YterLp8wwnSq.qc.eoxqOmSuNp2xS0ktL3nh/

红宝石

$ ruby -e 'puts "password".crypt("$6$saltsalt$")'

$6$saltsalt$qFmFH.bQmmtXzyBY0s9v7Oicd2z4XSIecDzlB5KiA2/jctKu9YterLp8wwnSq.qc.eoxqOmSuNp2xS0ktL3nh/
于 2014-08-14T09:23:37.710 回答
2

用户模块的任务定义在最新的 Ansible 版本中应该有所不同。

tasks:
  - user: name=test password={{ password }} state=present
于 2014-01-23T13:49:01.127 回答
2

您可以使用 ansible-vault 在 playbook 中使用密钥。在 yml 中定义您的密码。

前任。通过:秘密或

user:
  pass: secret
  name: fake

使用以下命令加密您的秘密文件:

ansible-vault encrypt /path/to/credential.yml

ansible 将询问密码以对其进行加密。(我将解释如何使用该通行证)

然后你可以在你想要的地方使用你的变量。没有保管库密钥,任何人都无法阅读它们。

保管库密钥用法:

通过在运行剧本时传递参数。

--ask-vault-pass: secret

或者您可以保存到密码.txt 之类的文件中并隐藏在某处。(对 CI 用户有用)

--vault-password-file=/path/to/file.txt

在您的情况下:包括 vars yml 并使用您的变量。

- include_vars: /path/credential.yml

  - name: Add deployment user
    action: user name={{user.name}} password={{user.pass}}
于 2015-10-16T17:50:06.830 回答
1

Mxx 的答案是正确的,但是crypt.crypt()当涉及不同的操作系统时,python 方法并不安全(与系统上使用的 glibc 哈希算法有关。)

例如,如果您从 MacOS 生成哈希并在 linux 上运行剧本,它将无法工作。在这种情况下,您可以使用 passlib(pip install passlib本地安装)。

from passlib.hash import md5_crypt
python -c 'import crypt; print md5_crypt.encrypt("This is my Password,salt="SomeSalt")'
'$1$SomeSalt$UqddPX3r4kH3UL5jq5/ZI.'
于 2015-11-30T12:10:38.237 回答
1

这两种解决方案都不能直接在我控制 Ubuntu 的 Mac 上运行。所以为了别人的缘故,结合 Mxx 和 JoelB 的答案,这里是当前的 Python 3 解决方案:

pip3 install passlib

python3 -c 'from passlib.hash import md5_crypt; \
      print(md5_crypt.encrypt("This is my Password", salt="SomeSalt"))'

结果将是$1$SomeSalt$UqddPX3r4kH3UL5jq5/ZI.,如 Mxx 的答案。

更好的是,使用 SHA512 而不是 MD5:

python3 -c 'from passlib.hash import sha512_crypt; \
      print(sha512_crypt.encrypt("This is my Password", salt="SomeSalt"))'

结果:

$6$rounds=656000$SomeSalt$oYpmnpZahIsvn5FK8g4bDFEAmGpEN114Fe6Ko4HvinzFaz5Rq2UXQxoJZ9ZQyQoi9zaBo3gBH/FEAov3FHv48

于 2017-10-05T22:22:04.683 回答
0

尽管使用拱形变量,但我无法在这里得到任何答案。因此,对于使用“保管”密码并收到此错误的任何人:

"msg": "Unexpected templating type error occurred on ({{ jinja template stuff }}): expected string or bytes-like object"

你需要管道'|' 保险库通过“字符串”加密变量以使其工作。

- name: Creating user "{{ uusername }}" with admin access
  user: 
    name: {{ uusername }}
    password: "{{ upassword | string | password_hash('sha512', (upassword_salt | string)) }}"
    groups: admin append=yes
  when:  assigned_role  == "yes"

基于 GitHub问题 #24425的 Ansible 解决方案

从 thinkmonster 的答案michael-aicher 的评论中构建代码。

于 2022-01-09T07:47:25.770 回答
0

我创建了一个 ansible-playbook,它允许您创建一个允许密码验证的 linux 帐户。

请参阅AnsibleLinuxAccountCreator

哈希密码是使用mkpasswd命令生成的。我提供了mkpasswd在不同操作系统上安装的方法。

以下是使用我的脚本所需的步骤:

  1. 用你想要的用户名和密码替换<your_user_name><your_password>里面。run.sh

  2. 更改连接信息,inventory以便 ansible 可以连接到机器以创建用户。

  3. 运行./run.sh以执行脚本。

于 2019-08-04T09:50:36.640 回答
0

我知道我参加聚会迟到了,但我正在使用另一种解决方案。对于没有--stdinpasswd 二进制文件的发行版可能会很方便。

- hosts: localhost
  become: True
  tasks:
    - name: Change user password
      shell: "yes '{{ item.pass }}' | passwd {{ item.user }}"
      loop:
       - { pass: 123123, user: foo }
       - { pass: asdf, user: bar }
      loop_control:
        label: "{{ item.user }}"

Label inloop_control负责打印用户名。整个剧本或只是用户变量(您可以使用)应该使用 ansible-vault 加密。vars_files:

于 2018-08-20T14:02:53.677 回答
0

如果您想以 Ansible ad-hoc 命令的形式完成此操作,您可以执行以下操作:

$ password='SomethingSecret!'
$ ansible 192.168.1.10 -i some_inventory -b -m user -a "name=joe_user \
       update_password=always password=\"{{ \"$password\" | password_hash('sha512') }}\""

上述命令的输出:

192.168.1.10 | SUCCESS => {
    "append": false,
    "changed": true,
    "comment": "Joe User",
    "group": 999,
    "home": "/home/joe_user",
    "move_home": false,
    "name": "joe_user",
    "password": "NOT_LOGGING_PASSWORD",
    "shell": "/bin/bash",
    "state": "present",
    "uid": 999
}
于 2017-10-22T06:05:57.580 回答
-1

好吧,我迟到了 :) 我需要 ansible play 来创建多个具有随机密码的本地用户。这是我想出的,使用了一些顶部的例子并将它们放在一起并进行了一些更改。

使用密码创建用户.yml

---
# create_user playbook

- hosts: all
  become: True
  user: root
  vars:
#Create following user
   users:
    - test24
    - test25
#with group
   group: wheel
  roles:
    - create-user-with-password

/roles/create-user-with-password/tasks/main.yml

- name: Generate password for new user
  local_action: shell pwgen -s -N 1 20
  register: user_password
  with_items: "{{ users }}"
  run_once: true

- name: Generate encrypted password
  local_action: shell python -c 'import crypt; print(crypt.crypt( "{{ item.stdout }}", crypt.mksalt(crypt.METHOD_SHA512)))'
  register: encrypted_user_password
  with_items: "{{ user_password.results }}"
  run_once: true

- name: Create new user with group
  user:
    name: "{{ item }}"
    groups: "{{ group }}"
    shell: /bin/bash
    append: yes
    createhome: yes
    comment: 'Created with ansible'
  with_items:
    - "{{ users }}"
  register: user_created

- name: Update user Passwords
  user:
    name: '{{ item.0 }}'
    password: '{{ item.1.stdout }}'
  with_together:
    - "{{ users }}"
    - "{{ encrypted_user_password.results }}"
  when: user_created.changed

- name: Force user to change the password at first login
  shell: chage -d 0 "{{ item }}"
  with_items:
    - "{{ users }}"
  when: user_created.changed

- name: Save Passwords Locally
  become: no
  local_action: copy content={{ item.stdout }} dest=./{{ item.item }}.txt
  with_items: "{{ user_password.results }}"
  when: user_created.changed
于 2019-02-05T20:18:05.277 回答