ansible 批量公钥认证

本文链接：https://www.jianshu.com/p/e1363462209d
作者：西瓜甜

目的是不使用 expect 程序，给远程服务器的任意用户批量推送公钥，进行免密登录，也就是可以不使用初始化脚本了，使用 ansible 的模块就可以办到。

总体思路是这样的：

首先创建一个加密的文件，并且把我们使用的变量和值（就是连接到远程服务的ssh 用户名的密码）编辑到这个加密的文件种。之后让 ansible 使用，这样可以保护我们ssh 用户的密码不被泄露。
之后在 playbook 中使用这个加密文件，并且在使用模块 authorized_key给指定的远程主机用户发送用于认证的公钥。

1 首先配置不检测对方主机公钥

在 ansible.cfg 文件中设置如下内容

[defaults]
host_key_checking = False

2 创建加密文件

使用 ansible-vault create 命令可以创建一个经过加密的文件。
此时会提示输入解密这个加密文件的密码，输入两次密码后，会调用默认的 vi 编辑器编辑这个文件，此时就可以把需要加密的变量等数据写到这个文件中，写完后保存退出即可。

创建加密文件

[root@qfedu ~]# ansible-vault create vault-foo.yml
New Vault password:                         # 输入解密这个这文件的密码
Confirm New Vault password:            # 再次确认密码

编辑内容

ansible_ssh_pass: upsa

验证是否加密

[root@xiuyun ~]# cat vault-foo.yml
$ANSIBLE_VAULT;1.1;AES256
36643038636237353237313537366136633865346165336366346530326633343530306637666262
3839353230363763376438396438393538343065363564370a343163306161643063333239306537
66616562613931396338336437656237366261376235326265383334363462646262303864633864
3962353863656633360a343863613337643239633136663631636462613132613763393638353866
35653661326264656130323165663031653430383934623135633539643661333434

可以再次编辑这个加密文件

需要提供解密这个被加密的文件的密码，就是之前创建时候输入的密码

[root@qfedu ~]# ansible-vault edit vault-foo.yml
Vault password:    

接下来可以继续编辑这个文件:

image.png

3 在playbook 中使用这个加密文件

playbook

[root@qfedu ~]# cat send-pubkey.yml
- hosts: all
  remote_user: root   # 连接远程主机的用户，密码就是加密文件中设置好的 ansible_ssh_pass 的值
  vars_files:
    - foo.yml    # 加密文件
  tasks:
  - name: Set authorized key taken from file
    authorized_key:    # 发送公钥的模块
      user: root            # 给这个用户发送公钥
      state: present
      key: "{{ lookup('file', '/root/.ssh/id_rsa.pub') }}"    # 发送本地用户的公钥路径

执行 playbook

需要使用 --ask-vault-pass 参数指定一下解密密码

ansible-playbook -i hosts send-pubkey.yml --limit dbservers --ask-vault-pass
Vault password:

也可以在 ansible.cfg 文件中配置 DEFAULT_VAULT_PASSWORD_FILE 的值指向一个文件，这个文件中保存了解密的密码

vault_password_file = /path/to/vault_password_file

这样执行 playbook 时就不用使用 --ask-vault-pass 参数了

[root@xiuyun ~]# ansible-playbook -i hosts send-pubkey.yml --limit dbservers

PLAY [all] *********************************************************************

TASK [Gathering Facts] *********************************************************
ok: [172.18.0.3]

TASK [Set authorized key taken from file] **************************************
changed: [172.18.0.3]

PLAY RECAP *********************************************************************
172.18.0.3                 : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

验证

[root@xiuyun ~]# ssh root@172.18.0.3  "hostname -i;ls ~/.ssh"
172.18.0.3
authorized_keys