Ansible: создать пользователя с привилегиями sudo

Я взял сервер Ubuntu 14.04. У него есть пользователь, называемый "развертыватель" (используется с capistrano), и поэтому ему нужны привилегии sudo. С помощью этой настройки я могу войти на сервер и сделать что-то вроде:

workstation> ssh [email protected]
myserver>  sudo apt-get install git
myserver> exit
workstation>

Я пытаюсь выяснить, как использовать Ansible (версия 2.0.2.0 и python 2.7.3) для создания пользователя, называемого "развертыватель" , и иметь возможность входа на сервер с этим идентификатором, а затем так судо-иш-вещи как "apt-get install". Моя книга выглядит так:

---
- hosts: example
  become: yes
  tasks:
  - name: Update apt cache
    apt:
      update_cache: yes
      cache_valid_time: 3600

  - group: name=sudo state=present

  - name: Add deployer user and add it to sudo
    user: name=deployer
          state=present
          createhome=yes
    become: yes
    become_method: "sudo"

  - name: Set up authorized keys for the deployer user
    authorized_key: user=deployer key="{{item}}"
    with_file:
      - /home/jaygodse/.ssh/id_rsa.pub

После запуска этой пьесы я могу ssh в качестве "развертывателя" (например, ssh deployer @myserver), но если я запустил команду sudo, она всегда запрашивает у меня пароль sudo.

Я понимаю, что пользователь "развертывателя" в конечном итоге должен найти свой путь в файле пользователей visudo, но я не могу понять, какие магические заклинания Ansible вызываются, чтобы я мог ssh войти в машину в качестве развертывателя, а затем запустить команду sudo (например, sudo apt-get install git ") без запроса пароля sudo.

Я искал высокий и низкий, и я не могу найти фрагмент плеера Ansible, который помещает пользователя "развертыватель" в группу sudo, не требуя пароля. Как это делается?

Ответ 1

Иногда это зная, что спросить. Я не знал, что я разработчик, который взял на себя работу DevOps.

По-видимому, "пароль без пароля" или логин NOPASSWD - это то, что вам нужно поместить в файл /etc/sudoers.

Ответ на мой вопрос в Ansible: лучшая практика для ведения списка sudoers.

Фрагмент кода Ansible playbook выглядит следующим образом:

- name: Make sure we have a 'wheel' group
  group:
    name: wheel
    state: present

- name: Allow 'wheel' group to have passwordless sudo
  lineinfile:
    dest: /etc/sudoers
    state: present
    regexp: '^%wheel'
    line: '%wheel ALL=(ALL) NOPASSWD: ALL'
    validate: 'visudo -cf %s'

- name: Add sudoers users to wheel group
  user: name=deployer groups=wheel append=yes state=present createhome=yes


- name: Set up authorized keys for the deployer user
  authorized_key: user=deployer key="{{item}}"
  with_file:
    - /home/railsdev/.ssh/id_rsa.pub

И самое главное, что решение является идемпотентным. Он не добавляет строку

%wheel ALL=(ALL) NOPASSWD: ALL

в/etc/sudoers, когда проигрыватель запускается в следующий раз. И да... Я смог отправить ssh на сервер как "развертыватель" и запустить команды sudo без необходимости указывать пароль.

Ответ 2

Создать пользователя с привилегиями sudo - это поместить пользователя в /etc/sudoers или сделать его членом группы, указанной в /etc/sudoers. И чтобы сделать это без пароля, нужно дополнительно указать NOPASSWD в /etc/sudoers.

Пример /etc/sudoers:

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

## Same thing without a password
%wheel  ALL=(ALL)       NOPASSWD: ALL

И вместо того, чтобы возиться с файлом /etc/sudoers, мы можем создать новый файл в /etc/sudoers.d/ так как этот каталог включен в /etc/sudoers по умолчанию, что исключает возможность поломки существующего файла sudoers, и также устраняет зависимость от содержимого внутри /etc/sudoers.

Чтобы достигнуть выше в Ansible, обратитесь к следующему:

- name: sudo without password for wheel group
  copy:
    content: '%wheel ALL=(ALL:ALL) NOPASSWD:ALL'
    dest: /etc/sudoers.d/wheel_nopasswd
    mode: 0440

Вы можете заменить %wheel другими именами групп, такими как %sudoers или другими именами пользователей, такими как deployer.

Ответ 3

Используя visudo, нажмите Shift+G и добавьте в конец файла:

deployer  ALL=(ALL)       NOPASSWD: ALL

затем написать и выйти (:wq)