No encontré en ninguna parte cuál es la mejor práctica para usar Ansible por parte de varios administradores. Nos gustaría iniciar sesión con claves SSH tanto para controlar la máquina como para los controles remotos.
Es la mejor manera de hacer esto:
¿Crear cada administrador su propia cuenta en la máquina de control y luego simplemente usar BECOME to SSH para hosts remotos con una cuenta general con derechos sudo en controles remotos? Con esta solución, solo la clave privada almacenada en la máquina de control sería para el usuario general.
¿Crear una cuenta propia para cada administrador en máquinas remotas y de control y permitirles SSH en controles remotos con su propia cuenta? Esta solución básicamente significa que tendríamos que almacenar claves privadas para cada administrador en la máquina de control.
Gracias por su ayuda.
Respuesta1
yo digoOpción 1. Para la auditoría usted puede fijar su mirada en elTorreservidor de control para ver qué trabajos se han ejecutado y qué hicieron, y quién los activó.
opcion 2apesta porque:
- No escala bien, agregar y eliminar administradores de su equipo de administración ansible requiere que actualice cada nodo nuevamente.
- No aumenta la visibilidad porque ya sabes quién ejecutó qué desde el servidor de control.
- No aumenta la seguridad, ya que cada usuario pasa por el
becomemódulo antes de realizar una acción.