Коллеги, как можно сделать, чтобы при использовании модуля git: делать clone по https, и чтобы в командной строке ansible спрашивал логин/пароль?

что-то типа как стандартный git клиент спрашивает. Чтобы обойтись без ssh ключей

http://stackoverflow.com/a/37851105

http://docs.ansible.com/ansible/playbooks_prompts.html

что-то типа как стандартный git клиент спрашивает. Чтобы обойтись без ssh ключей

Изначально плохая идея

Изначально плохая идея

Почему плохая? Я плейбук пишу, чтобы много людей могли им пользоваться и использовать свой логин/пасс.

http://stackoverflow.com/a/37851105

спасбо

Почему плохая? Я плейбук пишу, чтобы много людей могли им пользоваться и использовать свой логин/пасс.

Гит по хттпс не есть хорошо

У людей ключи не привязаны к аккаунтам в гитлабе или чо там у вас?

дык мне только clone делать

Дык деплой кей есть

могут быть у людей и не привязаны

Только клон

Если это публичный репозиторий и не хочется работать с ключами - лучше уж тарболл качать и проверять sha256

Если это публичный репозиторий и не хочется работать с ключами - лучше уж тарболл качать и проверять sha256

+1

key_file - Specify an optional private key file to use for the checkout. оно?

При условии что файл на целевом хосте

да, я понимаю, спасибо, надо обдумать тогда )

Можно просто сгенерить ключи на серверах, добавить их как деплой кей для репы и юзать

А ещё кошернее юзать дженкинс для запуска всей этой ебалы

Ну, дженкинс рулит, да, но пока я до него не добрался +)

Тогда ещё и доступ по SSH на хост давать не нужно

Просто я не вижу смысла в плейбуке, который позволяет кому то ходить на хост по ссх и не давать доступ по ссх в репу при этом

Да, согласен, надо заюзать deploykeys =)

Спасибо!)

Почему плохая? Я плейбук пишу, чтобы много людей могли им пользоваться и использовать свой логин/пасс.

Если люди могут пользоваться плейбуком - могут и в файл свой логин/пароль прописать. Да, несекурно, но можно и в Ansible Vault положить. Простой и надёжный способ избежать этих приседаний и не использовать deploy keys - по https забирать файл с SHA и сверять её с рассчитанным хэшем архива. Позволяет работать с приличными паблик-репозиториям (коду-то всё равно приходится доверять?).

Если люди могут пользоваться плейбуком - могут и в файл свой логин/пароль прописать. Да, несекурно, но можно и в Ansible Vault положить. Простой и надёжный способ избежать этих приседаний и не использовать deploy keys - по https забирать файл с SHA и сверять её с рассчитанным хэшем архива. Позволяет работать с приличными паблик-репозиториям (коду-то всё равно приходится доверять?).

Это если проект открытый

Тут то скорее речь идёт о закрытом

проект закрытый, но люди могут тупо вписать логин с паролем и пользоваться репой? Это уже получается как в шутке "секрет знали трое: ты, я и весь город"

Deploy keys, без вариантов

проект закрытый, но люди могут тупо вписать логин с паролем и пользоваться репой? Это уже получается как в шутке "секрет знали трое: ты, я и весь город"

Имелось ввиду, у каждого свой логин/пароль. Но я выбрал deploy keys, да =)

Deploy keys, без вариантов

дык я сразу сказаль....

Кстати, коллеги

а default/main.yml файл поддерживает конструкции "{{ var }}"?

да, причём это lazy подстановка

а можно наживую поменять путь до директории с модулями?

Всем привет! Подскажите плз по вопросу как сменить рутовый пароль на ноде? Через user: пароль вроде меняется но зайти по нему не дает.

не ходить рутом по нодам.. ключи же есть!

а вообще, chpasswd в помощь

Рутом ходить не собирался, но пароль на рута нужен. Неужели у А нет лучше способа чем chpasswd?

а что не так? там можно хэш передавать

echo 'someuser:$6$T9KIiks6$I3r......' | chpasswd -e

в общем, может и есть модули, но мне такие неведомы

ansible и 2fa - как ждать пока keyb-interactive не введут?

Всем привет! Подскажите плз по вопросу как сменить рутовый пароль на ноде? Через user: пароль вроде меняется но зайти по нему не дает.

пароль надо менять через user подставляя хеш. И что значит "зайти не даёт"? Зайти как? по ssh? Если да, может у тебя вход под рутом по ssh отключен

- name: Change pass user: name: test password: "{{ upassword }}" где upassword - переменная с хешем

Скорей всего у меня ошибка в хеше. Пробовал генерировать хеш сам sha 512 . Вход под рутом по сертификату работает

sshd_config покажи

Ошибка была в параметрах хеширования пароля на ноде. Был выставлен sha256

ERROR: S client not available

а какой есть воркараунд для того чтобы запустить таск только один раз? run_once не работает с serial. метод предлагаемые авторами – типа запустите отдельным плеем не подходит

when inventory_hostname == groups.your_group.0

спасибо, а значение your_group можно достать в рантайме?

не знаю

вроде бы нет. похоже ансибл опять подкинул проблем, надо перепридумать логику

Ребята, а ансибл умеет в битбакет в репу добавлять публичный ключ ?

как минимум у bitbucket есть API для этого https://confluence.atlassian.com/bitbucket/ssh-keys-resource-296911735.html

Я вот что имел ввиду

https://confluence.atlassian.com/bitbucket/deploy-keys-resource-296095243.html

Вот эта штука помочь может - http://docs.ansible.com/ansible/uri_module.html Поговнокодить придётся немного, факт. Ну или сделать всем хорошо - написать соответствующий модуль.

приветствую, правлю модуль под свои нужды- он падает , но вместо трейса получаю ошибку ssh

пытался перехватывать exception и выводить в module.exit_json(changed=False, msg="Exception ({0}): {1}".format(e.errno, e.strerror)) - все равно вижу ошибку выге

если бы ещё было хоть что-то видно на картинке

никто не вкурсе как заставить ansible писать вывод exception?

https://paste.fedoraproject.org/paste/SsI3gePUxPm6EiW5XBi9015M1UNdIGYhyRLivL9gydE=

ControlMaster в ssh используется?

да

может не надо?

может для дебага и не надо- попробую, а так надо.

нет- не может. https://paste.fedoraproject.org/paste/5G7jlL9sRBZHT9QKcpSWw15M1UNdIGYhyRLivL9gydE=

может кому будет полезно - exception не было- ошибка из-за того что модуль ничего не выводит, вариант дебага- export ANSIBLE_KEEP_REMOTE_FILES=1, запус бука, затем запуск скрипта(видно в логах), который ансибл пытался выполнять, локально на ноде.

;)