linux:ansible:playbook_example_13

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
linux:ansible:playbook_example_13 [13.10.2022 18:03. ] – [Ausführung] djangolinux:ansible:playbook_example_13 [28.11.2022 18:48. ] (aktuell) – Playbook mit Hilfe des GH-Plugin eingebunden. django
Zeile 1: Zeile 1:
-====== Ansible - weiterte Beispiele: Admin Benutzer verwalten ======+====== Ansible - weitere Beispiele: Admin Benutzer verwalten ======
 {{:centos:ansible:ansible_logo.png?nolink&125|Bild: Ansible Logo}} \\ \\ {{:centos:ansible:ansible_logo.png?nolink&125|Bild: Ansible Logo}} \\ \\
  
Zeile 50: Zeile 50:
   $6$n9UE0JVV7T.nzFJOdSY1dHDEsbfY3$0SPNKmewfaQ0z5thaRMrrrI9Uig.nzFJOdSY1erIZbw5yzDqeCg4S2oXa8zn2jEf9KDfjg31   $6$n9UE0JVV7T.nzFJOdSY1dHDEsbfY3$0SPNKmewfaQ0z5thaRMrrrI9Uig.nzFJOdSY1erIZbw5yzDqeCg4S2oXa8zn2jEf9KDfjg31
  
-Ferner benötigen wir noch den SSH-Publickey den wir uns ebenso wie das gerade erstellte gehashte Passwort von unseren Andmins auf einem sicheren Kommunikationsweg zukommen.+Ferner benötigen wir noch den SSH-Publickey den wir uns ebenso wie das gerade erstellte gehashte Passwort von unseren Admins auf einem sicheren Kommunikationsweg zukommen.
  
 === Inventory Daten für unsere Admins === === Inventory Daten für unsere Admins ===
Zeile 90: Zeile 90:
 Das Playbook an sich ist relativ unspektakulär, wird doch nur die zugehörige Rolle eingebunden, wie wir hier sehen. Das Playbook an sich ist relativ unspektakulär, wird doch nur die zugehörige Rolle eingebunden, wie wir hier sehen.
    $ vim ~/ansible/playbooks/admin_updates.yml    $ vim ~/ansible/playbooks/admin_updates.yml
-<file c++ admin_updates.yml>--- 
-# Ansible Playbook zum Anlegen, Aktualisieren und Löschen der Administratoren, inkl. der 
-# zugehörigen Passwörter und SSH-Schlüssel, basierend auf den Angaben im Inventory. Admins 
-# mit dem state "present" werden angelegt bzw. deren Passworte und Schlüssel aktualisiert. 
-# Admins mit dem state "absent" werden auf den Hosts gelöscht und könen anschließend aus 
-# dem Inventory entfernt werden. 
-# Aufruf via für alles Hosts: 
-#         $ ansible-playbook playbooks/admin_updates.yml 
-# bzw. für einzelne Hosts: 
-#         $ ansible-playbook playbooks/admin_updates.yml --limit <-hostnames-> 
  
-- name: admin_updates.yml                   # Name des Playbooks +{{gh> https://gitlab.nausch.org/django/example_13/-/blob/main/playbooks/admin_updates.yml }}
-  hosts: DMZ                                # Host-Gruppe für den das Playbook gelten soll+
  
-  roles: 
-    - role: admins                          # Admins anlegne, ändern und|oder löschen 
-      tags: admins                          # Tag-Kennzeichnung der definierten Rolle 
-... 
-</file> 
  
 === Rolle und Tasks === === Rolle und Tasks ===
Zeile 116: Zeile 100:
 Nun legen wir unseren Main-Task an. Nun legen wir unseren Main-Task an.
    $ vim ~/ansible/roles/admins/tasks/main.yml    $ vim ~/ansible/roles/admins/tasks/main.yml
- +{{ghhttps://gitlab.nausch.org/django/example_13/-/blob/main/roles/admins/tasks/main.yml }}
-<file c++ main.yml>--- # User unter Archlinux erstellen +
-- includeuseranlage.yml             # Admin-Gruppe und -User pflegen +
-- include: sudoers.yml                # Admins der Gruppe wheel sudoers zuweisen +
-... +
-</file>+
  
 Was nun noch fehlt sind die beiden eigentlichen Tasks. Als erstes legen wir den Task an, mit Hilfe dessen die jeweilige(n) Admin-Gruppe(n) und User gepflegt werden. Was nun noch fehlt sind die beiden eigentlichen Tasks. Als erstes legen wir den Task an, mit Hilfe dessen die jeweilige(n) Admin-Gruppe(n) und User gepflegt werden.
    $ vim ~/ansible/roles/admins/tasks/useranlage.yml    $ vim ~/ansible/roles/admins/tasks/useranlage.yml
 +{{gh> https://gitlab.nausch.org/django/example_13/-/blob/main/roles/admins/tasks/useranlage.yml }}
  
-<file c++ useranlage.yml>--- +Zu guter Letzt legen wir noch den Task an, damit die Admins, die Mitglied der Gruppe **''wheels''** sind, auch sudo-Rechte erlangen können.
- +
-- name: "Sicherstellen dass die Gruppen für Admin-User existieren" +
-  ansible.builtin.group: +
-    gid: '{{ item.ids }}' +
-    name: '{{ item.name }}' +
-    state: present +
-  with_items: '{{ linux_admins }}' +
- +
-- name: "Sicherstellen dass die Admin-User existieren" +
-  ansible.builtin.user: +
-    append: true +
-    comment: '{{ item.user }}' +
-    create_home: true +
-    force: true +
-    state: '{{ item.state }}' +
-    group: '{{ item.name }}' +
-    groups: '{{ item.groups }}' +
-    name: '{{ item.name }}' +
-    password: '{{ item.pwd }}' +
-    shell: '{{ item.shell }}' +
-    uid: '{{ item.ids }}' +
-    remove: true +
-  with_items: "{{ linux_admins }}" +
- +
-- name: "Gruppe entfernen, sofern der User zum Löschen gekennzeichnet ist mit absent im Inventory/Vault" +
-  ansible.builtin.group: +
-    gid: '{{ item.ids }}' +
-    name: '{{ item.name }}' +
-    state: '{{ item.state }}' +
-  with_items: '{{ linux_admins }}' +
- +
-- name: "SSH-Client-Verzeichnis anlegen" +
-  ansible.builtin.file: +
-    path: /home/{{ item.name }}/.ssh +
-    state: directory +
-    owner: '{{ item.name }}' +
-    group: '{{ item.name }}' +
-    mode: '0700' +
-  when: ' item.state == "present"' +
-  with_items: '{{ linux_admins }}' +
- +
-- name: "SSH-Key des Admins hinterlegen" +
-  ansible.builtin.copy: +
-    dest: /home/{{ item.name }}/.ssh/authorized_keys +
-    content: | +
-      {{ item.key }} +
-    owner: '{{ item.name }}' +
-    group: '{{ item.name }}' +
-    mode: '0600' +
-  when: ' item.state == "present"' +
-  with_items: '{{ linux_admins }}' +
- +
-- name: "SSH-Client-Verzeichnis entfernen, sofern der User zum Löschen gekennzeichnet ist mit absent im Inventory/Vault" +
-  ansible.builtin.file: +
-    path: /home/{{ item.name }}/.ssh +
-    state: absent +
-  when: ' item.state == "absent"+
-  with_items: '{{ linux_admins }}' +
- +
-...</file> +
- +
-Zu guter Letzt legen wir noch den Task an, damit die Admins, die Miitglied der Gruppe **''wheels''** sind, auch sudo-Rechte erlangen können.+
    $ vim ~/ansible/roles/admins/tasks/sudoers.yml    $ vim ~/ansible/roles/admins/tasks/sudoers.yml
- +{{ghhttps://gitlab.nausch.org/django/example_13/-/blob/main/roles/admins/tasks/sudoers.yml }}
-<file c++ sudoers.yml>--- +
- +
-- name"Die Gruppe wheel sudo Rechte zuweisen" +
-  ansible.builtin.copy: +
-    content: "# Generated by Ansible, do not edit manually!\n# Allows people in group wheel to run all command\n%wheel    ALL=(ALL)       ALL\n" +
-    dest: /etc/sudoers.d/10_passwd_sudo_wheel +
-    owner: root +
-    group: root +
-    mode: "0440" +
-    validate: visudo -cf %s +
- +
-...</file>+
  
 ===== Ausführung ===== ===== Ausführung =====
-Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Somit können neue Admins hinzugefügt, SSH-Keys und Passwörter ausgrollt bzw. akualisiert werden und natürlich bestehende Admin-Konten auchbei Bedarf wieder gelöscht werden.+Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Somit können neue Admins hinzugefügt, SSH-Keys und Passwörter ausgerollt bzw. aktualisiert werden und natürlich bestehende Admin-Konten auch bei Bedarf wieder gelöscht werden.
  
 Folgende Schritte werden also mit Hilfe des Playbooks abgearbeitet: Folgende Schritte werden also mit Hilfe des Playbooks abgearbeitet:
Zeile 214: Zeile 120:
   - SSH-Key des Admins hinterlegen   - SSH-Key des Admins hinterlegen
   - SSH-Client-Verzeichnis entfernen, sofern der User zum Löschen gekennzeichnet ist mit **''absent''** im Inventory/Vault.   - SSH-Client-Verzeichnis entfernen, sofern der User zum Löschen gekennzeichnet ist mit **''absent''** im Inventory/Vault.
-  - Der Gruppe wheel sudo Rechte zuweisen.+  - Der Gruppe **''wheel''** sudo Rechte zuweisen.
  
 Entscheidend für das Anlegen bzw. Löschen eines Admins ist die Array-Variable **''state''**; ist ihr der Wert **''present''** zugewiesen wir der Admin neu angelegt und dessen Schlüssel angelegt. Ist der Wert der Vaiable aber **''absent''** wir dessen Gruppe und User auf den Zielsystemen entfernt. Nach einem erfolgreichen Playbooklauf können wir dann anschliessend den Admin wieder aus dem Inventory löschen oder eben solange dort stehen lassen, bis dieser wieder z.B. nach einem [[https://de.wikipedia.org/wiki/Sabbatical|Sabbatical]] seinen Dienst antritt. Entscheidend für das Anlegen bzw. Löschen eines Admins ist die Array-Variable **''state''**; ist ihr der Wert **''present''** zugewiesen wir der Admin neu angelegt und dessen Schlüssel angelegt. Ist der Wert der Vaiable aber **''absent''** wir dessen Gruppe und User auf den Zielsystemen entfernt. Nach einem erfolgreichen Playbooklauf können wir dann anschliessend den Admin wieder aus dem Inventory löschen oder eben solange dort stehen lassen, bis dieser wieder z.B. nach einem [[https://de.wikipedia.org/wiki/Sabbatical|Sabbatical]] seinen Dienst antritt.
Zeile 230: Zeile 136:
   vml000137                  : ok=7    changed=0    unreachable=0    failed=0    skipped=1    rescued=0    ignored=0   vml000137                  : ok=7    changed=0    unreachable=0    failed=0    skipped=1    rescued=0    ignored=0
  
 +===== Zusammenfassung =====
 +<WRAP center round tip 80%>
 +Wir haben nun eine standardisiertes Verfahren für die Pflege unserer Admins, so dass aufwändiges manuelles Anlegen oder Löschen von Admin-Konten nicht mehr wichtige Ressourcen auffrisst. Auch können so unsere Admins ihre Passwörter und|oder SSH-Key sehr einfach auf Dutzenden oder vielen Hunderten Servern austauschen und aktualisieren.
 +</WRAP>
  
 +====== Links ======
 +  * **[[detail|zurück zum Kapitel "Ansible - Erweiterte Konfigurationsbeispiele"]] <= **
 +  * **=> [[playbook_example_10|weiter zum Kapitel "Ansible Controll Node]]**
 +  * **[[start|Zurück zur "Ansible"-Übersicht]]**
 +  * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
 +  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  • linux/ansible/playbook_example_13.1665684228.txt.gz
  • Zuletzt geändert: 13.10.2022 18:03.
  • von django