憑證
啟動作業(yè)迂求,同步playbook腳本窜醉,導(dǎo)入項(xiàng)目內(nèi)容時(shí)采转,需要使用憑證進(jìn)行身份驗(yàn)證斥季。
可以授予用戶和團(tuán)隊(duì)使用這些憑據(jù)的權(quán)限舷丹,而無需將憑據(jù)公開給用戶痹升。
添加到團(tuán)隊(duì)的憑據(jù)可供團(tuán)隊(duì)的所有成員使用沈自,而添加到用戶的憑據(jù)默認(rèn)情況下僅對該特定用戶可用毡代。
原理
Ansible Tower使用SSH連接到遠(yuǎn)程主機(jī)(或Windows等效主機(jī))劫拗。為了將密鑰從Tower傳遞到SSH间校,必須先解密密鑰,然后才能寫入命名管道页慷。然后tower使用該管道將密鑰發(fā)送到SSH(因此它永遠(yuǎn)不會寫入磁盤)憔足。
如果使用密碼,Ansible Tower會通過直接響應(yīng)提示密碼并在將密碼寫入的提示之前解密密碼來處理這些密碼酒繁。
添加新的憑證
- 詳細(xì)信息
- “ 名稱”字段中輸入新憑據(jù)的名稱滓彰。
- (可選)輸入或選擇與憑證關(guān)聯(lián)的組織的名稱。
- 輸入或選擇要創(chuàng)建的憑據(jù)類型州袒。
- 權(quán)限
顯示與此憑證相關(guān)聯(lián)的用戶和團(tuán)隊(duì)揭绑,并為他們授予角色(所有者,管理者郎哭,審計(jì)員)
憑證類型
- Machine
計(jì)算機(jī)憑據(jù)使Tower能夠在您管理的主機(jī)上調(diào)用Ansible洗做。就像在命令行上使用Ansible一樣弓叛,您可以指定SSH用戶名,可選的提供密碼诚纸,SSH密鑰撰筷,密鑰密碼,甚至讓Tower在部署時(shí)提示用戶輸入密碼畦徘。它們?yōu)閜laybooks定義ssh和用戶級權(quán)限升級訪問毕籽,并在提交作業(yè)以在遠(yuǎn)程主機(jī)上運(yùn)行playbooks時(shí)使用。網(wǎng)絡(luò)連接(httpapi井辆,netconf和network_cli)使用Machine作為憑證類型关筒。
計(jì)算機(jī)/ SSH憑據(jù)不使用環(huán)境變量。相反杯缺,它們通過Ansible -u標(biāo)志傳遞用戶名蒸播,并在底層SSH客戶端提示輸入時(shí)交互地寫入SSH密碼。
用戶名:用于SSH身份驗(yàn)證的用戶名萍肆。
密碼:用于SSH身份驗(yàn)證的實(shí)際密碼袍榆。如果輸入,此密碼將以加密方式存儲在Tower數(shù)據(jù)庫中塘揣“福或者,您可以通過選擇啟動時(shí)提示亲铡,將Tower配置為在啟動時(shí)向用戶詢問密碼才写。在這些情況下,啟動作業(yè)時(shí)會打開一個對話框奖蔓,提示用戶輸入密碼和密碼確認(rèn)赞草。
SSH私鑰:復(fù)制或拖放機(jī)器憑據(jù)的SSH私鑰。
私鑰密碼:如果使用的SSH私鑰受密碼保護(hù)吆鹤,則可以為私鑰配置密鑰密碼厨疙。如果輸入,此密碼將以加密方式存儲在Tower數(shù)據(jù)庫中檀头『湟欤或者岖沛,您可以通過選擇啟動時(shí)提示暑始,將Tower配置為在啟動時(shí)向用戶詢問密碼。在這些情況下婴削,啟動作業(yè)時(shí)會打開一個對話框廊镜,提示用戶輸入密碼和密碼確認(rèn)。
-
權(quán)限提升方法:指定要分配給特定用戶的提升權(quán)限的類型唉俗。這相當(dāng)于指定--become-method=BECOME_METHOD參數(shù)嗤朴,其中BECOME_METHOD可以是配椭。sudo | su | pbrun | pfexec | dzdo | pmrun
- 空選擇:不為此憑據(jù)分配權(quán)限提升。
- sudo:使用超級用戶(root用戶)權(quán)限執(zhí)行單個命令
- su:切換到超級用戶(root用戶)帳戶(或其他用戶帳戶)
- pbrun:請求在受控帳戶中運(yùn)行應(yīng)用程序或命令雹姊,并提供高級root權(quán)限委派和鍵盤記錄股缸。
- pfexec:使用預(yù)定義的進(jìn)程屬性(例如特定用戶或組ID)執(zhí)行命令。
- dzdo:在Centrify的Active Directory服務(wù)中使用RBAC信息的增強(qiáng)版sudo(參見Centrify 在DZDO上的站點(diǎn))
- pmrun:請求應(yīng)用程序在受控帳戶中運(yùn)行(請參閱Unix 6.0權(quán)限管理器)
- runas:允許您以當(dāng)前用戶身份運(yùn)行吱雏。
僅當(dāng)選擇了權(quán)限提升選項(xiàng)時(shí)敦姻,才會看到權(quán)限提升用戶名字段。輸入要在遠(yuǎn)程系統(tǒng)上使用升級權(quán)限的用戶名歧杏。
Privilege Escalation Password:僅在選擇了權(quán)限提升選項(xiàng)時(shí)才會看到該字段镰惦。輸入用于通過遠(yuǎn)程系統(tǒng)上選定的權(quán)限提升類型對用戶進(jìn)行身份驗(yàn)證的實(shí)際密碼。如果輸入犬绒,此密碼將以加密方式存儲在Tower數(shù)據(jù)庫中旺入。或者凯力,您可以通過選擇啟動時(shí)提示茵瘾,將Tower配置為在啟動時(shí)詢問用戶密碼。在這些情況下沮协,啟動作業(yè)時(shí)會打開一個對話框龄捡,提示用戶輸入密碼和密碼確認(rèn)。
Sudo密碼必須與SSH密碼或SSH私鑰結(jié)合使用慷暂,因?yàn)樵谡{(diào)用sudo以更改為sudo用戶之前聘殖,Tower必須首先與主機(jī)建立經(jīng)過身份驗(yàn)證的SSH連接。
- Amazon Web Services 選擇此憑據(jù)類型可實(shí)現(xiàn)云主機(jī)列表與Amazon Web Services的同步行瑞。
- Ansible Tower 選擇此憑據(jù)可以訪問另一個Tower實(shí)例
- Google Compute Engine 選擇此憑據(jù)類型可以將云主機(jī)列表與Google Compute Engine(GCE)同步奸腺。
- Insights 選擇此憑據(jù)類型可以使云主機(jī)列表與Red Hat Insights同步。
- Microsoft Azure Resource Manager選擇此憑據(jù)類型可以使云主機(jī)列表與Microsoft Azure資源管理器同步
- Network
僅當(dāng)您使用與提供商的本地連接時(shí)才選擇網(wǎng)絡(luò)憑據(jù)類型血久,以使用Ansible網(wǎng)絡(luò)模塊連接和管理網(wǎng)絡(luò)設(shè)備突照。連接到網(wǎng)絡(luò)設(shè)備時(shí),憑據(jù)類型必須與連接類型匹配:
對于local使用的連接provider氧吐,憑證類型應(yīng)為網(wǎng)絡(luò)
對于所有其他網(wǎng)絡(luò)連接(httpapi讹蘑,netconf和network_cli),憑證類型應(yīng)為Machine - OpenStack 選擇此憑據(jù)類型可以使云主機(jī)清單與OpenStack同步筑舅。
- Red Hat CloudForms選擇此憑據(jù)類型可實(shí)現(xiàn)云主機(jī)清單與Red Hat CloudForms的同步座慰。
- Red Hat Satellite 6選擇此憑據(jù)類型可以使云存儲與Red Hat Satellite 6同步。
- Red Hat Virtualization此憑證允許Tower訪問Ansible的oVirt4.py動態(tài)庫存插件翠拣,該插件由Red Hat Virtualization(RHV)管理版仔。
- Source ControlSCM(源代碼管理)憑據(jù)與Projects一起使用,以從遠(yuǎn)程修訂控制系統(tǒng)(如Git,Subversion或Mercurial)克隆和更新本地源代碼存儲庫蛮粮。
- Vault選擇此憑據(jù)類型可以使庫存與Ansible Vault同步益缎。
- VMware vCenter選擇此憑據(jù)類型可以使庫存與VMware vCenter同步。
自定義憑證類型
作為具有超級用戶訪問權(quán)限的Tower管理員然想,您可以使用類似YAML / JSON的定義以標(biāo)準(zhǔn)格式定義自定義憑據(jù)類型莺奔,從而允許為作業(yè)和庫存更新分配新憑據(jù)類型。
自定義憑據(jù)支持以下注入其身份驗(yàn)證信息的方法:
- 環(huán)境變量
- Ansible額外變量
- 基于文件的模板(即生成.ini或.conf包含憑證值的文件)
您可以將一個SSH和多個云憑據(jù)附加到作業(yè)模板变泄。每個云憑證必須是不同的類型弊仪。換句話說,只允許一個AWS憑證杖刷,一個GCE憑證等励饵。在Ansible Tower 3.2及更高版本中,value憑證和machine憑證是單獨(dú)的實(shí)體滑燃。
注意:當(dāng)創(chuàng)建一個新的證書類型役听,您有責(zé)任避免碰撞extra_vars,env以及文件的命名空間表窘。此外典予,請避免使用環(huán)境變量或額外的變量名稱,ANSIBLE_因?yàn)樗鼈兪潜A舻睦盅稀D仨毦哂谐売脩魴?quán)限才能創(chuàng)建和編輯憑據(jù)類型(CredentialType)并能夠查看該CredentialType.injection字段瘤袖。
