我如何指定一个sudo密码Ansible在非交互的方式?
我是这样运行Ansible剧本的:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username --ask-sudo-pass
但我想这样运行它:
$ ansible-playbook playbook.yml -i inventory.ini \
--user=username` **--sudo-pass=12345**
有办法吗?我希望尽可能地自动化我的项目部署。
当前回答
如果您正在使用密码管理器,您可以使用模块passwordstore,这使得这非常容易。
假设您将用户的sudo密码保存为pass as
服务器 1/用户
然后您可以像这样使用解密后的值
{{ lookup('community.general.passwordstore', 'Server1/User')}}"
我在我的清单中使用它:
---
servers:
hosts:
server1:
ansible_become_pass: "{{ lookup('community.general.passwordstore', 'Server1/User')}}"
请注意,您应该运行gpg-agent,这样您就不会在每次运行“成为”任务时看到pinentry提示。
其他回答
我不认为ansible会让你在标志中指定密码,因为你希望这样做。 可能在配置的某个地方可以设置这个,但这将使使用ansible整体不太安全,不建议使用。
您可以做的一件事是在目标计算机上创建一个用户,并向其授予所有命令或受限制的命令列表的无密码sudo特权。
如果你运行sudo visudo并输入如下一行,那么用户'privilegedUser'在运行sudo service xxxx start时应该不需要输入密码:
%privilegedUser ALL= NOPASSWD: /usr/bin/service
文档强烈建议不要将sudo密码设置为明文:
提醒一下,密码永远不应该以纯文本的形式存储。有关使用Ansible Vault加密您的密码和其他秘密的信息,请参见使用Ansible Vault加密内容。
相反,当运行ansible-playbook时,你应该在命令行上使用——ask-become-pass
之前版本的Ansible使用——ask-sudo-pass和sudo来代替become。
你可以在命令行通过——extra-vars "name=value"传递变量。Sudo密码变量为ansible_sudo_pass。所以你的命令看起来像这样:
ansible-playbook playbook.yml -i inventory.ini --user=username \
--extra-vars "ansible_sudo_pass=yourPassword"
2017年更新:Ansible 2.2.1.0现在使用var ansible_become_pass。两种方法似乎都有效。
2021年更新:ansible_become_pass仍然有效,但现在,我们应该使用-e而不是——extra-vars
Ansible vault已经在这里被建议了几次,但我更喜欢git-crypt加密我的剧本中的敏感文件。如果你使用git来保存你的ansible playbook,这是一个snap。我发现ansible vault的问题是,我不可避免地会遇到我想要使用的文件的加密副本,在我工作之前必须解密它。git-crypt提供了一个更好的工作流程。
https://github.com/AGWA/git-crypt
使用这个,你可以把你的密码放在你的剧本的var中,并把你的剧本标记为一个加密文件。gitattributes,像这样:
my_playbook.yml filter=git-crypt diff=git-crypt
你的剧本将在Github上透明加密。然后,您只需要在用于运行ansible的主机上安装加密密钥,或者按照文档上的说明使用gpg进行设置。
这里有一个关于像SSH -agent转发SSH密钥一样转发gpg密钥的很好的问答:https://superuser.com/questions/161973/how-can-i-forward-a-gpg-key-via-ssh-agent。
查看代码(runner/__init__.py),我认为你可以将其设置在你的库存文件中:
[whatever]
some-host ansible_sudo_pass='foobar'
ansible.cfg配置文件中似乎也有一些规定,但现在还没有实现(constants.py)。
