жыр. спасибо огромное

https://docs.ansible.com/ansible/become.html#becoming-an-unprivileged-user

Господа, тут кто-нибудь использует модуль для взаимодействия с FreeIPA?

да, но только для добавления хостов в ipa

да, но только для добавления хостов в ipa

+1

Поцоны, расскажите есть ли способ зашифровать плейбук и выполнять его без запроса пароля?

да есть отличный способ

какого пароля ?

Ваулт

base64 как раз делает такое шифрование

--ask password

base64 как раз делает такое шифрование

base64 восстанавливается

я уж думаю бинарь на гоу написать

Думаю это был сарказм)

--ask password

используй ключи

не могу

компания оч. большая

что вообще может быть секретного в плейбуке, чтобы его нужно было шифровать

Думаю это был сарказм)

;)

ну, например wget

ansible-vault --vault-password-file=<secret file>

пусть никто не узнает что я там такое делаю ?

Ну по колхозному можно как-то так, через волт с паролем в файле

Поцоны, все верно... Есть способы с ключами и паролями

пусть никто не узнает что я там такое делаю ?

Да! Нужен именно один такой плейбук

Используй единую систему авторизации и аутентификации, делай всё из под одного пользователя с достаточными правами

@mangoat я рекомендую просто перейти на паппет. или на cfengine

там как раз такой паттерн

@mangoat я рекомендую просто перейти на паппет. или на cfengine

Слишком больно будет

исходники есть — прочитать нельзя

исходники есть — прочитать нельзя

Значит бинарь на go в локальной репе лучший способ ?

Значит бинарь на go в локальной репе лучший способ ?

лучший способ понять почему у тебя такая проблема есть и решить оноую

https://tproger.ru/explain/xyproblem/

лучший способ понять почему у тебя такая проблема есть и решить оноую

Плейбуками пользуется множество народу, одна из ролей установка сертификатов. Не хочется, что бы кто-то видел в репе пароли на скачивание сертификатов (там basic-auth). Шифровать паролем тоже не вариант, ибо много народу пользуется. Может LDAP ?

Это защита от добрых людей.

Плейбуками пользуется множество народу, одна из ролей установка сертификатов. Не хочется, что бы кто-то видел в репе пароли на скачивание сертификатов (там basic-auth). Шифровать паролем тоже не вариант, ибо много народу пользуется. Может LDAP ?

шифровать весь плейбук плохая затея.

серкреты как правило маленькие

установленные сертифкаты прочитать нельзя ?

как будут раздоваться права на факт скачивания плейбука ?

если пароль не спрашивается резделяемого секрета нету. значит кто угодно может выполнить оный

как будут раздоваться права на факт скачивания плейбука ?

Тут проблема, плейбуки видят все полу публичная репа, хоть и с LDAP доступом

текст ансибла не секрет. текст роли не секрет. тест таска тоже не он.

В vault можно положить только пароль, а пароль этот подставлять в плейбук как переменную. Этот пароль не увидит никто

Плейбуками пользуется множество народу, одна из ролей установка сертификатов. Не хочется, что бы кто-то видел в репе пароли на скачивание сертификатов (там basic-auth). Шифровать паролем тоже не вариант, ибо много народу пользуется. Может LDAP ?

Выше было. Система авторизации и аутентификации. AD или FreeIPA или связка

секрет это пароль. пароль это то что дает возможность выполнить роль. и ты хочешь оный не спрашивать.

В vault можно положить только пароль, а пароль этот подставлять в плейбук как переменную. Этот пароль не увидит никто

Vault поросит пароль

Спасибо за идеи парни!

Может действительно бинарь на go написать...

Засунуть вызов ансибла в CI или Tower и все

Может действительно бинарь на go написать...

а что бинарь то на го уже не пропустить через strings ?

а что бинарь то на го уже не пропустить через strings ?

base64 ;)

base64 ;)

ну я с этого и начал... сама задча решена не верно...

сейчас ты вместо гарантирования результата просто усложняешь задачу по добыванию данных...

Если я правильно понял автора, на сервер надо поставить ключи, причём ни содержимое ключей ни пароли доступа к серверу с ключами светить в публичной репе нежелательно.

Если я правильно понял автора, на сервер надо поставить ключи, причём ни содержимое ключей ни пароли доступа к серверу с ключами светить в публичной репе нежелательно.

верно

сейчас ты вместо гарантирования результата просто усложняешь задачу по добыванию данных...

Согласен, но пока не вижу однозначного ответа кроме вайлта

так что бинарь на го потом upx для запаковки бинаря. а поверх крипту типа aspprotect или что там сейчас модно

пусть оно через lookup их достает откуда угодно - из закрытого гитрепа, S3 смонтированного локально и т.д.

В таком случае проще всего организовать доступ с целевых серверов по ключу, ключи генерить на них же отдельным плейбуком. Сервер будет сам ломиться куда надо и получать сертификат, никакая секретная информация не утечёт в репы

Поговорю с безопасниками, может получится ограничить доступ к плейбуку

Спасибо, господа!

В плейбуке просто будет: scp {servername}@{keyshost}:certs/meycert.crt /etc/pki/.... А учётка и ключи - на сервере, на котором этот плейбук выполняется

А кто как деплоит сертификаты ?

Ни у кого таких проблем нет?

Можно сертификат и в темплейт включить :)

А кто как деплоит сертификаты ?

freeIPA сервер-клиент, где нет клиентов, там sssd

Интернет скоро сдохнет, кому нужны какие-то сертификаты))

эт у вас сдохнет

Интернет сдохнет, но админить машинки в локальной сети надо.

Интернет сдохнет, но админить машинки в локальной сети надо.

за дошик? или думаешь так же будут платить за админство?

8к как и раньше

ну за 400 машинок на линупсе может быть будут немного больше платить

с ансиблом?)

Но это не точно, линупс же не ломается.

Анисбле не решает проблем с руками пользователей

Пора форкать себе на память ансибл

пора фоткать Ansible Doc пока его не заблочили

скоро будим на CD обмениваться новой версей Ansible Doc

Зачем, будет своя православная документация

Зачем, будет своя православная документация

скрепками скрепленная, да?

главное что бы они stackoverflow.com не заблочили пойду пожалуй начну его кешировать

скоро будим на CD обмениваться новой версей Ansible Doc

рекомендую dash

блок стаковерфлоу остановит работу по всей стране..

не то что работу страна потеряет высококлафицированных специалистов

напишем бота тогда, заодно поржем, читая что народ ищет

Свой линкедин уже есть, стековерфлоу не проблема добавить

добавить?

Свой линкедин уже есть, стековерфлоу не проблема добавить

добавить да но как же знания которые там уже есть или будим свое по новой писать ?

Это будут посконные православные знания

добавить да но как же знания которые там уже есть или будим свое по новой писать ?

у нас свой путь. зачем нам чужой? когда компы появились? вот и будем 80 лет за 5 лет наверстывать

Из серии «я слышал, что это так нужно делать» и дальше какая-то дичь

Это будут посконные православные знания

не ансибл, а правьсибл)

за дошик? или думаешь так же будут платить за админство?

СЕО будут плейбуки запускать

игрокниги

Ветвление от корня ствола

есть такой вопрос: есть такие переменные: name_id: abc ids: {aaa: 1, aab: 2, aac: 3, abc: 4, abb: 5 } как мне достать такую переменную: ids[name_id] оно будет "4" ?