Ich habe nirgendwo gefunden, was die beste Vorgehensweise für die Verwendung von Ansible durch mehrere Administratoren ist. Wir möchten uns mit SSH-Schlüsseln anmelden, um sowohl die Steuermaschine als auch die Remotes zu steuern.
So geht man am besten:
Erstellen Sie für jeden Administrator ein eigenes Konto auf der Steuermaschine und verwenden Sie dann einfach BECOME, um mit einem allgemeinen Konto mit Sudo-Rechten auf Remote-Hosts per SSH auf Remote-Hosts zuzugreifen. Mit dieser Lösung wäre nur der auf der Steuermaschine gespeicherte private Schlüssel einer für den allgemeinen Benutzer.
Für jeden Administrator auf Kontroll- und Remote-Rechnern ein eigenes Konto erstellen und ihnen SSH mit Remotes über ihr eigenes Konto ermöglichen? Diese Lösung bedeutet im Wesentlichen, dass wir private Schlüssel für jeden Administrator auf dem Kontrollrechner speichern müssten.
Ich danke Ihnen für Ihre Hilfe.
Antwort1
ich sageOption 1. Für die Prüfung können Sie sich auf dieTurmKontrollserver, um zu sehen, welche Jobs ausgeführt wurden, was sie bewirkt haben und wer sie ausgelöst hat.
Option 2stinkt, weil es:
- Lässt sich nicht gut skalieren. Das Hinzufügen und Entfernen von Administratoren aus Ihrem Ansible-Administratorteam erfordert, dass Sie jeden Knoten erneut aktualisieren.
- Verbessert die Sichtbarkeit nicht, da Sie bereits wissen, wer was vom Kontrollserver aus ausgeführt hat
- Erhöht die Sicherheit nicht, da jeder Benutzer das Modul durchläuft,
becomebevor er eine Aktion ausführt.