LINUX.ORG.RU
ФорумAdmin

Проблемы с сертификатом ssh в Ansible

 ,


0

1 
Ansible –I hosts.txt all –m ping

работает нормально - pong.

Когда запускаю плейбук: 

---
- name: ping
  hosts: all
  become: yes
  tasks:
- name: ping
  ping:
Выдаёт ошибку от юзера: https://www.radikal.kz/images/2019/08/28/ansible.jpg от рута: https://www.radikal.kz/images/2019/08/28/ansible1.jpg

inventory (файл hosts.txt): 

[comp]
Xenial2 ansible_host=192.168.2.108 ansible_user=user ansible_ssh_private_key_file=/home/user/.ssh/id_rsa.pub

Для создания и копирования ключа на удалённый хост были введены две команды:

ssh-keygen

ssh-copy-id user@192.168.2.108

------

Может я чё-то не правильно сделал с сертификатом? Скинье пожалуйста по пунктам как нужно создавать сертификат и отправлять на хост.



Последнее исправление: chart41 (всего исправлений: 3)
Оснастка для управления файлопомойкой
zfs on linux iscsi - нативно не завезли чтоль?

Выдаёт ошибку от юзера:

Какую?

dexpl ★★★★★
()

ansible_ssh_private_key_file

id_rsa.pub

private
pub

Radjah ★★★★★
()

Зачем ты для пинга become используешь ? Пользователь от которого ансибл запускается имеет право судо без пароля дергать ? Если нет, то копай в эту сторону

--ask-become-pass, -K

Dred ★★★★★
()
Последнее исправление: Dred (всего исправлений: 1)

Здравствуй. Повторил твои шаги по ssh-keygen && ssh-copy-id USERNAME@HOSTNAME

При исполнении команды без ansible_become_pass

 ansible -m ping -i inventory/staging/hosts --limit "HOSTNAME:" all
HOSTNAME | FAILED! => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "module_stderr": "Shared connection to HOSTNAME closed.\r\n",
    "module_stdout": "sudo: a password is required\r\n",
    "msg": "MODULE FAILURE\nSee stdout/stderr for the exact error",
    "rc": 1
}

Исполнение команды с ansible_become_pass

 ansible -m ping -i inventory/staging/hosts --limit "HOSTNAME:" all -bK
BECOME password:
HOSTNAME | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}

P.S. Как думаете. Стоит разделять ansible_ssh_user и ansible_become_user на двох отдельных? В целях секурности канешно.

i3wm
()

Спасибо за ответы. Немного разобрался с этой фигнёй. Сейчас немного другой вопрос. Как создать на сервере ключи и сертификаты openvpn клиента, не переходя по папкам?

Обычно чтобы создать ключи выполняются такие команды:

cd /openvpn-certificates
source vars
./build-key ClientName

Как выполнить эти команды не заходя в папку? Когда пытался сам, не получилось.

Либо может есть другой способ создания сертификатов?

chart41
() автор топика
Ответ на: комментарий от chart41

Обычно чтобы создать ключи выполняются такие команды

Обычно где?

anc ★★★★★
()
Ответ на: комментарий от anonymous

Благодарю за чтиво. Пока не уверен, что ваши ответы помогли, но процесс не стоит на месте =), по этому есть ещё 1 вопрос, возможно последний.

Как в ансибл автоматизировать ответы на вопросы команды?

Например как те, что задаются при создании сертификата:

https://www.radikal.kz/images/2019/08/30/1234.jpg

chart41
() автор топика
Ответ на: комментарий от chart41

Ответы на эти вопросы можно подсунуть в конфиге openssl, например.

man x509v3_config

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Оснастка для управления файлопомойкой
Admin
zfs on linux iscsi - нативно не завезли чтоль?