Início / server / Perguntas / 1095159
Accepted
Nstevens
Asked: 2022-03-03 05:12:34 +0800 CST

Como adicionar chaves ssh via Ansible quando AuthorizedKeysFile está definido?

  • 772

Como posso obter o Ansible para preencher o arquivo correto quando meu /etc/ssh/sshd_config tem AuthorizedKeysFile definido como /etc/ssh/authorized_keys/%u ? O Ansible parece ignorar a configuração e coloca as chaves em $HOME/.ssh/authorized_keys

cartilha :

---
- hosts: all
  vars:
  vars_files:
    - ../group_vars/ssh_root_authorized_keys.yml
  gather_facts: false

  tasks:
    - name: Set up multiple authorized keys
      authorized_key:
        user: root
        state: present
        key: '{{ item.key }}'
      with_items: "{{ root_auth_keys }}"

ssh_root_authorized_keys.yml

root_auth_keys:
  - name: backup@host
    key : "{{ lookup('file', '../group_vars/pubkeys/[email protected]') }}"

  - name: nagios@host
    key : "{{ lookup('file', '../group_vars/pubkeys/[email protected]') }}"
ssh ansible

2 respostas

  1. Best Answer

    Da documentação :

    path: caminho alternativo para o arquivo authorized_keys

      tasks:
    - name: Set up multiple authorized keys
      authorized_key:
        user: root
        state: present
        key: '{{ item.key }}'
        path: '/etc/ssh/authorized_keys/root'
      with_items: "{{ root_auth_keys }}"
    • 1

  2. Há algumas etapas para preparar essa funcionalidade. Primeiro, obtenha o valor do parâmetro. Pode haver mais opções, por exemplo, por padrão

    shell> sudo sshd -T | grep authorizedkeysfile
authorizedkeysfile .ssh/authorized_keys .ssh/authorized_keys2

    Por exemplo, pegue o primeiro

        - shell: sshd -T | grep authorizedkeysfile
      register: result
      become: true
    - set_fact:
        AuthorizedKeysFile: "{{ (result.stdout|split)[1] }}"


      AuthorizedKeysFile: .ssh/authorized_keys

    O parâmetro AuthorizedKeysFile pode conter %ue %h. Veja a localização do arquivo de chaves autorizadas

    %h será substituído pelo diretório inicial do usuário que está sendo autenticado e %u pelo nome de login do usuário

    Preparar o banco de dados dos diretórios pessoais

        - getent:
        database: passwd

    Por padrão, o módulo getent armazena o banco de dados passwd no dicionário getent_passwd . Home é o 4º atributo, por exemplo

        - debug:
        var: getent_passwd['root'][4]


      getent_passwd['root'][4]: /root

    Agora, dados os dados

        auth_keys:
      root: [key1, key2, key3]

    você pode testar a funcionalidade

        - shell: sshd -T | grep authorizedkeysfile
      register: result
      become: true
    - set_fact:
        AuthorizedKeysFile: "{{ (result.stdout|split)[1] }}"
    - getent:
        database: passwd
    - debug:
        msg: |
          path: {{ _path }}
          keys: {{ item.value }}
      loop: "{{ auth_keys|dict2items }}"
      vars:
        _user: "{{ item.key }}"
        _home: "{{ getent_passwd[item.key][4] }}"
        _akf: "{{ AuthorizedKeysFile|regex_replace('%u', _user)|
                                     regex_replace('%h', _home) }}"
        _path: "{{ (_akf.0 == '/')|ternary(_akf, [_home, _akf]|join('/')) }}"


      msg: |-
    path: /root/.ssh/authorized_keys
    keys: ['key1', 'key2', 'key3']

    Se você alterar o parâmetro

    shell> sudo sshd -T | grep authorizedkeysfile
authorizedkeysfile /etc/ssh/authorized_keys/%u

    o jogo obterá a localização correta do arquivo de chaves autorizadas

      msg: |-
    path: /etc/ssh/authorized_keys/root
    keys: ['key1', 'key2', 'key3']
    • 0

relate perguntas