Wpis z mikrobloga

@maniac777: Źle to napisałem.

Jest sobie mój laptop na którym zainstalowane jest ansible. W hostsach mam załóżmy 100 serwerów. Raz na miesiąc trzeba zrobić porządek z kontami użytkowników czy też zmienić hasło. I tu wkracza ansible całe na biało. Nie wiem jaka jest "dobra praktyka". Czy wykonywać playbooki które wymagają konta roota z wymienionymi kluczami ssh czy może bez wymiany kluczy (czyli wymusić przy uruchomieniu playbooka aby podać haslo na root)
@dev-ops: jak odpalasz ansible na zdalnych hostach, to podajesz mu jakim użytkownikiem masz się zalogować, a następnie eskalujesz uprawnienia przez sudo.

Jak chcesz rozwiązać problem zmiany haseł, polityki haseł, itd to odpal sobie na jakimś serwerku freeIPA - problem rozwiązany :)
jak odpalasz ansible na zdalnych hostach, to podajesz mu jakim użytkownikiem masz się zalogować, a następnie eskalujesz uprawnienia przez sudo.


@etch: na zdalnych hostach są tylko konto aplikacyjne i imienne konta użytkowników, dlatego nie wiem czy dodanie mojego klucza publicznego na konto roota na zdalnych serwerach to dobry pomysł, bo przyjdzie student zobaczy ze moze sobie ssh root@serwer i coś popsuje :D a z kolei używanie ansible bez wymiany kluczy a
@dev-ops: zależy :P jak chcesz to zrobić takie "full-auto", że gdzieś tam kiedyś tam, bez Twojej wiedzy odpala się playbook ansibla - to masz racje.

Ale w momencie kiedy chcesz coś zrobić jawnie i to kontrolować - prompt o hasło jest uzasadniony :)