Score:0

อนุญาตให้ผู้ใช้เรียกใช้ playbook โดยไม่ต้องให้รหัสผ่าน

ธง ma

ฉันมี playbook ที่เข้าใจได้ซึ่งฉันต้องการอนุญาตให้ผู้ใช้ทั่วไปเรียกใช้เพื่อติดตั้งแอปพลิเคชันบนเซิร์ฟเวอร์ centos แต่ฉันไม่ต้องการให้ข้อมูลรับรองการเข้าสู่ระบบแก่พวกเขา ฉันรู้ว่าคุณสามารถใช้ ansible vault เพื่อเก็บข้อมูลที่เข้ารหัสได้ แต่จากสิ่งที่ฉันบอกได้ คุณยังสามารถถอดรหัสข้อมูลนี้ได้อย่างง่ายดาย มีความคิดว่าเป็นไปได้หรือไม่และจะบรรลุได้อย่างไร

Michael Hampton avatar
cz flag
นี่เป็นหนึ่งในปัญหาที่ AWX/Ansible Tower แก้ไขได้ เช่น ด้วย [งาน](https://docs.ansible.com/ansible-tower/latest/html/userguide/jobs.html#job-details-playbook-run)
jldiets avatar
ma flag
@MichaelHampton ฉันหวังว่าจะมีโอเพ่นซอร์สมากกว่านี้ถ้าเป็นไปได้
Michael Hampton avatar
cz flag
AWX _is_ โอเพ่นซอร์ส
Score:1
ธง cn

วิธีการติดตั้งซอฟต์แวร์ส่วนใหญ่ต้องการผู้ใช้ที่มีสิทธิพิเศษ

หลักการที่มีสิทธิพิเศษและความรับผิดชอบน้อยที่สุดหมายความว่าการเข้าสู่ระบบควรเป็นผู้ใช้ส่วนบุคคลที่มีสิทธิพิเศษน้อยกว่า และได้รับสิทธิ์พิเศษเมื่อจำเป็น Ansible สามารถช่วยให้คุณกลายเป็นปลั๊กอินที่เรียกใช้สิ่งต่างๆ ในฐานะผู้ใช้รายอื่นสำหรับคุณ ด้วย doas หรือ sudo หรืออะไรก็ตาม

รหัสผ่านเป็นวิธีการตรวจสอบสิทธิ์โดยทั่วไป เอนโทรปีต่ำ การปฏิบัติที่ไม่ดีในอดีต และไม่สะดวกในการทำให้เป็นอัตโนมัติ บางวิธีเรียกใช้โดยผู้ใช้รายอื่นขอรหัสผ่านส่วนตัวของคุณ ซึ่งช่วยลดความจำเป็นในการใช้ข้อมูลประจำตัวที่ใช้ร่วมกัน Ansible สามารถแจ้งให้ผู้ใช้ป้อนรหัสผ่านดังกล่าวด้วย --ถามกลายเป็นผ่าน

ansible-vault (และปลั๊กอินค้นหาระบบความปลอดภัย) จะปกป้องข้อมูลที่เหลือเท่านั้น ไม่ใช่เมื่อใช้งาน บุคคลที่เรียกใช้ Ansible จะสามารถเข้าถึงความลับของข้อความธรรมดาได้ อาจมองเห็นได้เมื่อเปิดใช้งานการดีบักอย่างละเอียดเพียงพอ

จากทั้งหมดข้างต้น โซลูชันที่เหมาะสมอาจกำหนดค่าให้ไม่มีรหัสผ่าน ssh โดยใช้คีย์หรือใบรับรอง แต่ใช้เพื่อเรียกใช้งานแพ็คเกจในฐานะรูท อย่างไรก็ตาม สิ่งที่พวกเขาทำในฐานะรูทไม่สามารถถูกจำกัดได้ Ansible สร้างสคริปต์ชั่วคราวเพื่อเรียกใช้โมดูล และไม่มีกฎ sudo ที่ดีในการจำกัดคำสั่งที่มีลักษณะดังนี้ /bin/sh -c '/usr/bin/python3 ~/.ansible/tmp/ansible-tmp-1628781435.871488-116497-130276452381107/AnsiballZ_setup.py'

เรียกใช้ playbooks พิเศษสำหรับผู้ใช้ กระตุ้นให้พวกเขาให้ข้อมูลเกี่ยวกับสิ่งที่ต้องทำ แต่อย่าให้ข้อมูลรับรองให้ทำ ใส่ playbooks ดังกล่าวในการควบคุมเวอร์ชันและยอมรับคำขอเปลี่ยนแปลง เรียกใช้บทละครตามที่คุณต้องการ:

  • ansible-รันเนอร์ กำหนดใน cron
  • จากไปป์ไลน์ที่ทริกเกอร์โดยการผสานไปยังสาขาการผลิตในการควบคุมเวอร์ชัน
  • งานเรียกใช้จากอินเทอร์เฟซผู้ใช้ AWX

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา