《Ansible权威指南》一3.4 Ad-Hoc用户与组管理

    xiaoxiao2024-03-26  124

    本节书摘来自华章出版社《Ansible权威指南》一书中的第3章,第3.4节,作者 李松涛 魏 巍 甘 捷 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

    3.4 Ad-Hoc用户与组管理

    用户权限管理是运维日常最重要的管理工作之一,如生产环境禁用开发和测试人员登录变更,但测试环境的用户权限仍需耗费精力维护,这项工作大公司也存在(将测试环境交给测试或开发管理并不是每个公司都能做到的,但未来是趋势)。所以掌握Ad-Hoc用户与组管理很有用,如笔者现在的公司每次大版本更新后都会大量修改所有服务器密码。每次需要修改数十台服务器环境密码,若手动单台登录修改可是一项不小的工作,并且手动方式难免会出错误。本节为大家介绍Ad-Hoc用户与组管理。

    Ansible系统用户模块有如下两个:

    Linux系统用户管理:user。

    Windows系统用户管理:win_user。

    3.4.1 Linux用户管理

    User模块功能诸多,各功能作用几乎完全覆盖平时工作常规及非常规场景。模块所有属性如表3-2所示。

    表3-2 user模块属性

    参 数  必填项  默认值  选 项  注 释

    append no  no  yes

    no  Yes:增量添加group

    no:全量变更group,只设置groups指定的group组

    comment    no             可选设置用户账户的描述(又名GECOS)

    createhome no  yes yes

    no  默认yes,当创建用户期时或家目录不存在时为用户创建HOME目录

    expires(1.9版本增加) no  无        1.9版本的新增功能,用户过期时间,不支持的平台该参数将被忽略,现在支持Linux和FreeBSD

    force    no  no  yes

    no  强制,当和state=absent结合使用时,效果等同于userdel --force

    generate_ssh_key    no  no  yes

    no  是否生成SSH key,不会覆盖已有的SSH key

    group   no             (可选)设置用户属组

    groups  no             设置用户附加群组,使用逗号分隔多个群组,如果参数为空(即'groups='),则删除用户所有附加组(属组不受影响)

    home    no             (可选)设置用户家目录

    login_class   no             (可选)设置FreeBSD、OpenBSD、NetBSD系统的用户登录class

    move_home      no  no  yes

    no  如设置为yes,结合使用home=,临时迁移用户家目录到特定目录

    name    yes            用户名

    non_unique  no  no  yes

    no  (可选)和-u结合使用,允许改变用户ID为非唯一值

    password    no             (可选)设置用户密码为该项指定的密码(加密后的密码),详细请参考httpdocs.ansible.comansiblefaq.html# how-do-i-generate-crypted-passwords-for-the-user-module

    需要注意的是,在Darwin系统,该选项必须是明文,请注意安全问题

    remove no  no  yes

    no  结合state=absent使用相当于userdel --remove

    seuser   no             (可选)设置seuser类型启用SELinux

    (2.1版本增加)                     

    shell     no             (可选)设置用户shell

    skeleton      no             (可选)设置用户的skel目录,需和createhome参数结合使用

    ssh_key_bits     no  2048          (可选)指定生成的SSH key加密位数

    ssh_key_comment   no  ansible-generated on $HOSTNAME          (可选)定义SSH key注释

    ssh_key_file no  .sshid_rsa         (可选)指定SSH key文件名,如果该文件名是相对路径,则默认路径为用户家目录

    ssh_key_passphrase no             设置SSH key密码,如果没有提供密码,则默认没有加密

    ssh_key_type    no  rsa       (可选)指定SSH key类型,具体可用的SSH key类型取决于目标主机

    state     no  present present

    absent  Present:新建(使存在)用户

    absent:删除用户

    system  no  no  yes

    no  当创建新账户时,该选项为yes,为用户设置系统账户,该设置对已经存在的用户无效

    uid  no             (可选)设置用户UID

    update_password(1.3版本增加)    no  always  always

    on_create    always:只有当密码不相同时才会更新密码

    on_create:只为新用户设置密码

     

    日常工作所需功能几乎均囊括在内,接下来为大家介绍用户相关的五大场景应用,以供参考。

    场景1:新增用户。

    需求描述:新增用户dba,使用BASH Shell,附加组为admins, dbagroup,家目录为homedba。

    该场景中我们可以掌握如下技能点。

    1)groups设定:groups=用户组1,用户组2……

    2)增量添加属组:append=yes

    3)表明属组状态为新建:state=present

    执行命令:

    ansibledb -m user -a name=dba shell=binbash groups=admins,dbagroup append=yes home=homedba state=present

    返回结果如下:

    192.168.37.142  success  {

        changed true,

        comment ,

        createhome true,

        group 503,

        groups admins,dbagroup,

        home homedba,

        name dba,

        shell binbash,

        state present,

        system false,

        uid 501

    }

    返回结果信息非常简洁明了,这里不再一一做解释

    场景2:修改用户属组。

    需求描述:修改DBA附件组为dbagroups(即删除admins组权限)。

    该场景中我们可以掌握如下技能点。

    全量变更属组信息:append=no

    执行命令:

    ansibledb -m user -a name=dba groups=dbagroup append=no

    返回结果如下:

    192.168.37.142  success  {

        append false,

        changed true,

        comment ,

        group 503,

        groups dbagroup,

        home homedba,

        move_home false,

        name dba,

        shell binbash,

        state present,

        uid 501

    }

    删除admins组权限的命令中 append值为no。 另外,细心的朋友会发现,新增用户时,Ansible默认为用户添加用户组(primary group)。

    场景3:修改用户属性。

    需求描述:设置dba用户的过期时间为201661 180000 (UNIXTIME 1464775200)。

    该场景中我们可以掌握如下技能点。

    1)设置用户登录过期时间:expire=1464775200

    2)UNIX时间转换:201661 180000需转换为UNIXTIME格式(不做介绍,请自行百度)

    执行命令:

    ansibledb -m user -a name=dba  expires=1464775200

    这样,我们已经完成了DBA用户的过期时间设置。

    场景4:删除用户。

    需求描述:删除用户DBA,并删除其家目录和邮件列表。

    该场景中我们可以掌握如下技能点:

    1)表明属组状态为删除:state=absent

    2)设定remove=yes:remove=yes

    执行命令:

    ansibledb -m user -a name=dba state=absent remove=yes

    结果检查:到对应主机使用ROOT用户查看etcpasswd是否存在dba用户,或执行命令id dba确认是否有结果返回。

    场景5:变更用户密码。

    需求描述:设置系统用户tom的密码为redhat123。

    执行命令:

    ansibledb -m user -a name=tom shell=binbash password=to46pW3GOukvA update_password=always

    请注意,password后的字符串to46pW3GOukvA并非真正的密码,而是经过加密后的密码。Ansible变更用户密码方式与直接通过系统命令passwd修改密码有较大差别。Ansible变更密码时所使用的密码是将明文密码加密后的密码(有些拗口)。官网上介绍了两种密码加密方式,笔者建议使用方式2 passlib,因为mkpasswd方式因系统而异,功能差异较大。

    方式1:使用命令mkpasswd生成密码。

    步骤1:查找安装包名称。

    执行命令:yum whatprovides mkpasswd,结果如下。

    epelfilelists_db                                          8.0 MB

    expect-5.44.1.15-5.el6_4.x86_64  A program-script interaction and testing utility

    Repo         base

    Matched from

    Filename     usrbinmkpasswd

    步骤2:安装软件包。

    centos 6.5执行命令:yum install expect

    Debian6 Ubuntu 12.04执行命令:sudo apt-get install whois

    步骤3:使用mkpasswd生成密码。

    执行命令:mkpasswd --method=SHA-512

    笔者也对安装的软件包(centos安装expect, debian&ubuntu安装whois)感觉诧异,一番Google查询也没有结果。因为这与本书内容关系不大所以没有深究,感兴趣的朋友自行研究后可告知笔者,以便后续补充给用户。

    方式2:使用Python的passlib、getpass库生成密码。

    步骤1:安装passlib(Python版本建议2.7以上)。

    执行命令:

    pip install passlib

    步骤2:生成密码。

    Python 3.X系列版本请使用如下命令(sha512加密算法)。

    python -c from passlib.hash import sha512_crypt; import getpass; print (sha512_crypt.encrypt(getpass.getpass()))

    Python 3.X系列版本请使用如下命令(普通加密算法)。

    python -c 'import crypt; print (crypt.crypt(redhat123, dba))'

    Python 2.X系列版本请使用如下命令(sha512加密算法)。

    python -c from passlib.hash import sha512_crypt; import getpass; print sha512_crypt.encrypt(getpass.getpass())

    Python 2.X系列版本请使用如下命令(普通加密算法)。

    python -c 'import crypt; print (crypt.crypt(redhat123, dba))'

    生成的密码如图3-7所示。

    1)同样密码多次加密结果不一样属正常情况,想深入了解的朋友可自行研究加密算法及原理。

    2)Ad-Hoc方式建议使用普通算法加密,sha512加密后的密码包括诸多特殊元字符,传输至远程服务器会有密码被转义截断的问题。sha512加密算法建议在playbook中使用。

    Linux系统下的用户与组管理涉及的各类场景本节均有介绍,作为运维日常最重要的工作之一,希望本节内容对相关人员会有帮助。

    3.4.2 Windows用户管理

    如第1章所介绍,作为关注度最高的集中化管理工具,Ansible同样支持Windows系统。但考虑Windows不开源的特殊性及服务器市场的占有率,使得Ansible与Windows的结合使用时总是会出问题,但其实类似问题其他工具也同样存在,这是Windows特性使然。本章我们只做简单演示,第10章我们还介绍Windows相关内容。

    场景:新增用户stanley,密码为magedu@123,属组为Administrators。

    执行命令:

    ansible windows -m win_user -a name=stanley passwd=magedu@123 group=Administrators

    返回结果:

    192.168.37.146  success  {

        account_disabled false,

        account_locked false,

        changed true,

        description ,

        fullname stanley,

        groups [

            {

                name Administrators,

                path WinNT WORKGROUPLINUXLSTAdministrators

            }

        ],

        name stanley,

        password_expired true,

        password_never_expires false,

        path WinNT WORKGROUPLINUXLSTstanley,

        sid S-1-5-21-3965499365-1200628009-3594530176-1004,

        state present,

        user_cannot_change_password false

    }

    部分返回结果诠释:

    account_disabled——禁用用户登录;

    account_locked——解锁用户;

    groups——用户所属组;

    name——用户名;

    password_expired——下次登录修改密码;

    user_cannot_change_password——用户是否可修改密码。

    仅从操作上即可看出,Ansible对Windows的用户管理也是基于Linux管理方式的沿用,旨在简单易用。

    3.4.3 应用层用户管理

    前面两小节为大家介绍了Ansible基于Linux和Windows的系统管理。事实上,除开源系统类UNIX系统和大家耳熟能详的Windows系统以外,Ansible也支持商业系统或产品类应用,系统如AWS的IAM,MAC的OSX;软件如Apache CloudStack、Jabberd、OpenStack、MongoDB、MySQL、PostgreSQL、RabbitMQ、Vertica。本节我们以MySQL用户管理为例介绍。

    情景:新增MySQL用户stanley,设置登录密码为magedu@bj,对zabbix.表有ALL权限。

    执行命令:

    ansible db -m mysql_user -a 'login_host=localhost login_password=magedu login_user=root name=stanley password=magedu@bj priv=zabbix.ALL state=present'

    返回结果:

    192.168.37.142  success  {

        changed true,

        user stanley

    }

    登录验证步骤如下。

    1)在db服务器上测试登录。

    mysql -ustanley -pmagedu@bj

    2)执行命令:show grants for 'stanley'@'localhost';验证权限是否正确。

    其实如上命令存在很大的安全隐患,因为MySQL的登录信息完全暴露在命令台。Ansible建议的使用方式如下。

    1)在远程主机的~.my.cnf文件中配置root的登录信息,配置信息如下:

        [client]

    user=root

    password=magedu

    2)命令行执行命令如下:

    ansible db -m mysql_user -a 'name=stanley password=magedu@bj priv=zabbix.ALL state=present'

    此方式密码将不再暴露在控制台,在一定程度上提高了服务安全性。

     

    最新回复(0)