与Ansible接触的用户添加和编辑

#1 楼

如果在一个地方跨多个服务器编辑关键的平面文件太吓人了。.

我经常建议的一种方法是让系统用户驻留在/ etc / passwd文件中，并添加一个附加名称。 nss_db + pam_userdb用于需要登录的人员的服务切换（NSS）源。对于大型项目（大量用户通过PAM用户数据进行身份验证），这意味着LDAP；对于小型项目（很少有数百个此类用户），则为nss_db + pam_userdb 。

使用多个NSS和PAM用户源，您可以避免在人工用户帐户分发由于任何原因而失败时禁用服务器。服务（例如您的特权Ansible帐户）应始终仅取决于标准的/ etc / passwd文件。在某些情况下（例如您的情况），LDAP（甚至MySQL）可能会显得有些过时。

考虑一下旧的BDB支持的gems，它最初是为大型FTP文件分发服务器而设计的，其登录速度比/ etc文件要快，但在其他方面却几乎相同。它们存储相同的passwd并将分组平面文件的内容分组，但是被加载到（现在是非GPL）BerkeleyDB NOSQL键/值数据库文件中，该文件读取速度更快。为此，它只是存储用户/组身份验证/授权数据的额外地方。

NSS

https://en.wikipedia.org/wiki/Name_Service_Switch

https://www.systutorials.com/docs/linux/man/5-nsswitch.conf/

https://sourceforge.net/p/nssdb/home / Home /

PAM

https://en.wikipedia.org/wiki/Linux_PA

https://www.systutorials.com / docs / linux / man / 8-pam_userdb /

https://www.cyberciti.biz/tips/centos-redhat-vsftpd-ftp-with-virtual-users.html

步骤


使用nss_db Makefile在安全的服务器上收集密码，影子和组文件
构建nss密码和组db文件使用提供的nss_db
Makefile

从影子文件中提取用户和密码散列并构建PAM数据库文件

awk -F: '{print ;print}' shadow > users.txt # used like the vsftpd vusers.txt example

db_load -T -t hash -f users.txt pam-users.db

将文件分发到目标服务器上的适当位置
（也许/var/db/authdb/*.db）
设置目标服务器的pam.conf和nsswitch.conf文件以使用
这些数据库文件
步骤1-4是可重复的构建/部署过程。

为什么？ ，通过更新/破坏用户auth / auth破坏服务的风险非常低。
用户身份验证将在没有外部网络依赖性（例如LDAP或MySQL等）的每台服务器上运行。
您可以将数据库文件视为服务器场上的不可变工件，即使您没有不可变服务器，也可以减少/防止用户身份验证雪花。