2. 程式人生 > >ansible 用戶批量創建與管理

ansible 用戶批量創建與管理

阿新 發佈:2018-01-23
forever 加密算法 .get sca -- 修改密碼 update 機器 http

本文主要總結如何用ansible 進行用戶管理, 主要包括兩個方面:

  1. 用戶創建,用戶屬性管理,以及批量創建用戶
  2. 批量解決用戶免密碼登錄遠程被控制機器

以下是實驗使用的 /etc/ansible/hosts 文件

cat   /etc/ansible/hosts 
[test]
192.168.188.109
[apps]
192.168.188.110 
192.168.188.108 
192.168.188.109 
192.168.188.111

ansible 用戶創建

當然,在 ansible 裏可以用很多方法創建用戶,例如:

ansible  test  -m  shell  -a  ‘useradd  apple‘ 
說明: 這個相當在遠程主機中用 shell 命令創建用戶,一般不推薦

其實,ansilbe 提供了一個 user 模塊,用於創建和管理用戶。
ansible 官方的user 模塊的說明文檔。

例如,創建一個有登錄shell 的用戶,用戶名是 apple:
ansible  test  -m  user  -a  ‘name=apple  shell=/bin/bash  home=/home/apple  state=present‘
說明:  name 指定創建的用戶名
             shell   指定用戶登錄時獲得的shell 
                         home  為用戶創建 HOME 目錄
                         state    指定是創建還是刪除用戶,當 state=absent 時,為刪除用戶

如果需要在多臺遠程主機中創建用戶

如果需要在多臺遠程主機中創建用戶,只需將所有主機添加到一個主機組,再執行一遍上面的命令就可以了

ansible  apps   -m  user  -a  ‘name=apple  shell=/bin/bash  home=/home/apple/  state=present‘
將所有要操作的遠程主機添加到主機組 apps 中。

如何設置用戶密碼

用 ansible 設置用戶的密碼時,由於需要對傳輸的密碼進行加密,所以要在主機安裝python 的passlib 庫。

安裝方法與生成密碼的方法:

1. 安裝 passlib 要求系統 python 版本在2.7以上。
2. 利用 pip 安裝:
     pip  install  passlib
3. 生成的經過加密的密碼:
    例如,我們想給 apple 設置的密碼是 123456 ,那麽我們在 ansible 命令中,不能直接使用 123456 這樣的明
        文傳輸,要對 123456 這個字符串進行加密再在 ansible 命令中使用。
        那麽,如何對密碼 123456 進行加密呢?
4. 安裝完 passlib 後,生成加密的密碼:
4.1     python 3.x 版本(sha512 加密算法):
         [root@centos_7 ~]  python -c ‘from  passlib.hash  import sha512_crypt;  import  getpass;  print (sha512_crypt.encrypt(getpass.getpass()))‘
Password: 
$6$rounds=656000$3pLHgWNbPxYGlyvP$VsVlECg4v2Gr35XMzWCtLZyPO.l7Fg240/cGZbTI8qDea8fwY3ERSxAompHqQ4bjIlxeLPgWAUj64FMxunOCt.
說明: 在 Password 後輸入我們的密碼"123456",然後再按enter 鍵,就會生成經過加密的密碼了,$6$round....... 這一串字符

4.2     python 3.x 版本(普通加密算法):
     其實就是生成的加密密碼短一點:
         [root@centos_7 ~]  python -c ‘import crypt; print (crypt.crypt("123456","apple"))‘
apnK4rIpkaoHo

說明: "pnK4rIpkaoHo" 就是生成的經過加密的密碼

4.3   python 2.x 版本(sha512 加密算法):
     [root@centos_7 ~]  python -c ‘from  passlib.hash  import sha512_crypt;  import  getpass;  print (sha512_crypt.encrypt(getpass.getpass()))‘

4.4  python 2.x 版本(普通加密算法):
       [root@centos_7 ~]  python -c ‘import crypt; print (crypt.crypt("123456","apple"))‘

小結: 看到上面列出的4種加密方式,發現,其實python3.x 和 python2.x 版本的區別不大,只是加密算法是用 sha512 還是用普通算法的區別而已。

5.  用ansible 設置用戶密碼,下面的命令用於修改已經存在的用戶的密碼也是可以的:
      ansilbe   apps   -m   user  -a   ‘name=apple  shell=/bin/bash   password=pnK4rIpkaoHo 
            update_password=always ‘
          這樣,就可以修改密碼了。使用了普通加密的密文密碼。

小結:以上為止,就是批量創建用戶的方法。並且對用戶的密碼設置方法做了重點說明,其他關於用戶的屬性操作,直接參考ansible 官方的user 模塊的說明文檔,更全面。

如何批量解決免密碼登錄遠程主機的問題

在文章的前半部分,已經在多臺遠程主機上創建了相同的賬號了,那麽怎麽解決登錄這些遠程主機時,需要用戶密碼的問題呢?
一般的辦法就是使用公鑰密鑰對驗證的方法。
一般的原理就是在本地主機創建密鑰對(包含公鑰和私鑰),然後將公鑰放到遠程主機,私鑰留著本地。當本地用戶要登錄遠程主機時,使用私鑰登錄,如何私鑰驗證通過了,登錄就成功。

例如,我們前面創建了 apple 用戶,怎麽樣將使得在本地用 apple 用戶登錄遠程的所有主機都不需要輸入密碼驗證呢?解決辦法:

1. 在本地也創建一個 apple 用戶,並創建 /home/apple/.ssh/ 目錄
useradd apple -s  /bin/bash  -d  /home/apple/

創建 .ssh 目錄
mkdir   /home/apple/.ssh 
修改 .ssh 目錄的權限
chmod  700  /home/apple/.ssh
創建 /home/apple/.ssh/known_hosts 文件
2. 收集所有遠程主機的公鑰,保存在上 /home/apple/.ssh/known_hosts 文件。這一步的作用,是為了在後面第一次ssh 連接時,不需要再輸密碼。
    收集所有遠程主機的 公鑰,主要是利用 ssh-keyscan 命令:
     ssh-keyscan   -f   ip.txt  >> /home/apple/.ssh/known_hosts  # 說明: ip.txt 文件存放所有的遠程主機 ip 地址,一行代表一臺主機。
3.創建公鑰私鑰對:
一般在對應用戶的 /home/apple/.ssh/ 目錄下創建。這也不是強制的,因為在ssh 發起連接時,可以指定使用的私鑰文件。

ssk-keygen  -t  rsa    一直按回車鍵就可以了。但要註意生成的 id_rsa 和 id_rsa.pub 存放的路徑。
4. 將公鑰推送到所有的遠程主機
我們編寫playbook 文件,利用authorized_key 模塊就可以快速完成:
[root@centos_7 roles]   cat ssh-addkey.yml 
---
- hosts: apps        # 對apps 組裏的所有遠程主機
  gather_facts: False
  tasks:
    - name: install sshkey
      authorized_key: 
        user: apple
        key: "{{ lookup(‘file‘, ‘/home/apple/.ssh/id_rsa.pub‘) }}"
        state: present

說明: 在前面1,2,3步中,我們已經準備好了公私鑰對了。推送到遠程主機,可以手動推送,或者使用scp 復制到遠程主機。但是利用scp 復制之後,還需要修改遠程主機上的 /home/apple/.ssh/authorize_keys 文件的權限等等。

ansible 的 authorized_key 模塊就自動幫我們做了這些工作。

執行, ansible-playbook   ssh-addkye.yml
5. 結果

現在,就已經順利地在所有遠程主機上配置了用戶apple 的免密碼登錄了。

測試:
[root@centos_7 roles]   ssh -i  /home/apple/.ssh/id_rsa   [email protected]   # 用 -i 指定私鑰文件
Last login: Mon Jan 22 14:34:45 2018 from 192.168.188.107

查看 ip 地址:
[apple@centos_7_02 ~]$ ip addr
2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:2c:a5:a0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.188.110/24 brd 192.168.188.255 scope global eno16777736
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe2c:a5a0/64 scope link 
       valid_lft forever preferred_lft forever

總結

現在,已經對在ansible 中如何創建和管理用戶有了解了。特別是 user 模塊和 authorize_key 模塊,都是很好用的模塊。可以幫我們順利應付日常的需求。

ansible 用戶批量創建與管理

相關推薦

ansible 批量管理

forever 加密算法 .get sca -- 修改密碼 update 機器 http 本文主要總結如何用ansible 進行用戶管理, 主要包括兩個方面: 用戶創建,用戶屬性管理,以及批量創建用戶 批量解決用戶免密碼登錄遠程被控制機器 以下是實驗使用的 /etc/a

Samba文件共享,及匿名,指定,虛擬管理

技術 客戶機 smb.conf ffffff text 說明 用戶名 yum 客戶 Samba文件共享,及匿名用戶,指定用戶,虛擬用戶的創建和管理 1.安裝samba環境軟件包,如下圖所示(如找不到/mnt/Packages,說明yum倉庫沒有搭建,請先搭建yum倉庫詳情請

Flask中超級使用

.py cep -name mit add pre manage true back @manager.option(‘-n‘, ‘-name‘, dest=‘name‘) @manager.option(‘-p‘, ‘-password‘, dest=‘password‘

AD批量和屬性修改工具推薦-ADBulkAdmin

所有組 ges 天數 批量創建 watermark 均可 rsh 生成 csv 作為企業內部IT系統管理員,對AD肯定不會陌生,每天入職、離職和人員變動都會有大量的AD用戶操作需求,如果公司有上千或上萬用戶則更是如此,微軟自帶的Active Directory 用戶和計算機

linux和組的管理

目錄 警告 創建用戶 天數 覆蓋 image root用戶 最長 img useradd創建用戶,usermod修改用戶屬性,userdel刪除用戶,groupadd創建組,groupmod修改組屬性,groupdel刪除組。 創建用戶命令:useradd   語法:   

Greenplum中定義數據庫對象之管理模式

定義數據 多個 sql master help valid border man -m 創建與管理模式 概述:DB內組織對象的一種邏輯結構。一個DB內能夠有多個模式。在未指定模式時默認放置在public中。能夠通過”\dn”方式查看數據庫中現有模式。

vsphere入門之虛擬交換機管理ESXI網絡

虛擬化 分布式交換機 標準交換機 楊書凡 esxi網絡管理 之前介紹了vSphere虛擬化平臺的ESXi和vCenter的部署方法。本篇博客主要介紹VMware vSphere的網絡管理,網絡是vSphere的基礎,所有ESXi的虛擬機都通過網絡來進行通信。通常在物理網絡中需要使用

oracle表空間、授權、

ger 所在 存儲路徑 分配權限 ora pac from 查看 spa 1.首先我們可以用scott用戶以sysdba的身份登錄oracle. conn scott/tiger as sysdba 2.然後我就可以來創建用戶了. create user zz

cloudmonkey批量虛擬機

pos sha rep har cti root ppr monk entos 需求: 1.root磁盤120G(這個在做鏡像的時候已經做好) 2.需要用到share網絡 3.添加500G磁盤並且掛載早虛擬機上面 #!/bin/bashzone_id=d530fee4-41

MySQL的以及遠程登錄配置

mysql- 安裝 啟動 ice 授權 安裝完成 ive 情況下 數據信息 最近工作中使用HIve工具,因此搭建了一個Hive的測試環境。通常我們都將Hive的元數據信息存儲在外界的MySQL中,因此需要安裝並配置MySQL數據庫。接下來將講解MySQL的安裝以及配置過程。

oracle之子查詢、表、約束

pre 條件 不為 varchar 作用 rim 修改 特點 刪除一個用戶 子查詢 子查詢可以分為單行子查詢和多行子查詢 單行子查詢   [1] 將一個查詢的結果作為另外一個查

mongo數據庫

mongo創建用戶和創建數據庫================================mongo創建用戶和創建數據庫=========================== 1、MongoDB ps -ef | grep mongod 普通用戶啟動方式mongod --config /etc/mong

Linux 之 swap分區管理

SWAPswap分區創建與管理 1.查看swap分區 [root@localhost ~]# free -h total used free shared buffers cached Mem:

ftp服務----基於虛擬

cfb 命令 ftpd 防火墻 ftp服務 存在 建立 win7 轉換成 虛擬用戶是只創建一個系統賬號將所有FTP賬號映射到該用戶訪問FTP時使用的,需要為FTP傳輸服務單獨建立用戶數據庫文件,這些帳號是在服務器系統中不存在的。虛擬的賬號不直接使用系統賬號安全性高,本

mysql數據庫,權限分配,刪除等

ins delete let delet type rev str ges nts 1.創建用戶 CREATE USER 用戶名@‘IP地址‘ identified by ‘密碼‘;CREATE USER 用戶名@‘%‘ identified by ‘密碼‘;ps:%表示所

Linux基礎學習-修改刪除

ont chan 用戶添加 linux基礎 log inux sql inf hang 用戶添加修改刪除 1 useradd添加用戶 添加一個新用戶hehe,指定uid為3000,家目錄為/home/haha [root@qdlinux ~]# useradd -u 300

Windows服務System權限下在當前桌面快捷方式C#實例程序

col .com inf png font system windows服務 href .cn Windows服務一般運行在System權限下,這樣權限比較高,方便執行一些高權限的操作。 但是,Environment.GetFolderPath等函數獲取的也是System用

LVM的管理

text 文件系統 需要 fff log process src 一個 技術 一丶環境準備給虛擬機增加三個硬盤分區二丶創建邏輯卷創建物理卷創建卷組創建邏輯卷格式化並掛載三丶邏輯卷的擴容使用vgs查看是否有充足的空間(有的話就可以直接擴容,沒有的話則需要擴建卷組)這裏以沒有多

實驗二 數據庫和表的管理

gin 數據庫名 order esc mil 數據庫 default 長度 spa 實驗二 數據庫和表的創建與管理 創建用於企業管理的員工管理數據庫,數據庫名為YGGL中,YGGL數據庫中包括三個表:Employees(員工信息表)、Departments(部門信息表

開源私有雲平臺Nano v0.8.1發布 - 批量刪除

需要 sha mark 私有 修正 51cto 登錄用戶 網絡配置 密碼修改 大家好,Nano 0.8.1面世了。 距離1.0發布越來越近,Nano的基本功能和穩定性也逐步完善,我們終於可以有精力開始完善用戶體驗和提升管理效率了。進入新版本,首先看到最大的變化,就是主菜單從