如何使ansible仅在需要时要求成为密码

Question

我正在使用 ansible 2.0.2.0 从任何计算机更新我的静态网站。我的剧本只在本地主机上运行，​​基本上有两个部分：

• 特权部分：确保安装包，基本上是apt 任务与become: true
• 非特权部分：填写模板，缩小并与网络托管服务同步，基本上是command 任务，没有become。

我希望将这两个部分放在同一个剧本中，这样我在切换计算机时就不必担心依赖关系。理想情况下，我想检查 apt 软件包是否已安装，并且仅在需要安装时才要求输入密码。

到目前为止，我已经探索过其他不太令人满意的替代方案，它们的缺点突出显示如下：

• sudo ansible-playbook ...：以root运行非特权部分，不需要时询问sudo密码；
• ansible-playbook --ask-become-pass ...: 总是询问 sudo 密码，即使不需要安装新的包；
• ansible-playbook ...：以sudo: a password is required 失败。

有什么方法可以将特权部分和非特权部分保留在同一个剧本中，而无需输入 sudo 密码，也无需为非特权部分提供不必要的特权？

Answer 1

如果您使用--ask-sudo-pass 参数运行ansible-playbook，那么您的第二个选项将要求您输入一次密码，并在每次需要时重复使用该密码。

如果确实像第一种情况那样以 sudo 运行，那么您可以在脚本中使用 become 来失去您的特权状态，因为您需要它。

但是，您可以设置 ansible.cfg 以远程安装到 localhost。因此，您可以设置一个非特权的 ansible 用户（我使用centos），该用户无需密码即可设置为sudo。然后我在authorized_keys 中为centos 用户设置我的本地用户。

因此你运行无特权（如centos），但当你需要sudo时，你可以使用become_method: sudo成为root。

使用这种方法，我使用相同的 ansible playbook 进行裸机安装，就像我进行远程 AWS 安装一样。

看着我的ansible.cfg 我有：-

[defaults]
hostfile = inventory
# use local centos account, and ask for sudo password
remote_user = centos
#ask_pass = true
#private_key_file = ~/packer/ec2_amazon-ebs.pem

我的inventory.yml 包含：-

[webservers]
  localhost

我的setup.sh 包含：-

ansible-playbook playbook.yml -vvv
#ansible-playbook --ask-sudo-pass playbook.yml

因此，所有密码询问语句都已关闭。请记住，由于我没有在默认值中指定 private_key_file，它假定正在运行的用户有权 ssh 到 centos@localhost 而无需密码