我的團隊有一個 Ansible 中心,我們透過它管理多個節點。為此,我們 ssh 到集線器,並 sudo 到共享的「ansible」用戶。該使用者有一個 ssh 金鑰對,所有節點的authorized_keys 檔案中都有該金鑰對。
這是可行的,但這意味著每個人都可以隨時存取所有節點。
我想要的是某種方法,讓我們限制用戶,使他們只能存取某些節點。我們可以根據需要從每個節點的authorized_keys中新增/刪除個人的金鑰,但這似乎需要管理很多。我想要一些易於管理的東西,以便我們可以快速地為不同節點授權/取消授權用戶。
有人有這樣的策略嗎?我正在考慮使用簽署的 ssh 金鑰授予臨時存取權限,但尚未真正探索過。
答案1
你有 Ansible - 所以有一個快速的解決方案 - 使用 Ansible ......
如果集線器上的所有使用者都有公鑰,您可以使用該公鑰和 ansible 使用者將使用者公鑰發佈到目標主機。
如果您想限制每台電腦的訪問,您可以配置每個主機或主機群組的使用者列表,並僅將公鑰填入該群組中的主機。此外,從目標主機中刪除使用者也很容易,可以使用映射和模板(而不是附加公鑰)或建立否定清單。
因此,使用者可以直接從集線器跳到目標機器,而無需 Ansible 使用者。