5.2. Différentes méthodes pour fournir les informations d'identification requises pour les playbooks ansible-freeipa
Cette section présente les avantages et les inconvénients des différentes méthodes permettant de fournir les informations d'identification requises pour l'exécution des playbooks qui utilisent les rôles et les modules ansible-freeipa.
Stockage des mots de passe en texte clair dans un cahier de jeu
Benefits:
- Ne pas être invité tout le temps à exécuter le manuel de jeu.
- Facile à mettre en œuvre.
Drawbacks:
- Toute personne ayant accès au fichier peut lire le mot de passe. Le fait de définir des autorisations erronées et de partager le fichier, par exemple dans un référentiel interne ou externe, peut compromettre la sécurité.
- Travail de maintenance important : si le mot de passe est modifié, il doit l'être dans tous les playbooks.
Saisie interactive des mots de passe lors de l'exécution d'un playbook
Benefits:
- Personne ne peut voler le mot de passe car il n'est stocké nulle part.
- Vous pouvez facilement mettre à jour le mot de passe.
- Facile à mettre en œuvre.
Drawbacks:
- Si vous utilisez des playbooks Ansible dans des scripts, l'obligation de saisir le mot de passe de manière interactive peut s'avérer gênante.
Stockage des mots de passe dans un coffre-fort Ansible et du mot de passe du coffre-fort dans un fichier :
Benefits:
- Le mot de passe de l'utilisateur est stocké de manière cryptée.
- Vous pouvez facilement mettre à jour le mot de passe de l'utilisateur en créant un nouveau coffre-fort Ansible.
-
Vous pouvez mettre à jour le fichier de mots de passe qui protège le coffre-fort ansible facilement, en utilisant la commande
ansible-vault rekey --new-vault-password-file=NEW_VAULT_PASSWORD_FILE secret.yml. - Si vous utilisez des playbooks Ansible dans des scripts, il est pratique de ne pas avoir à saisir le mot de passe protégeant le coffre-fort Ansible de manière interactive.
Drawbacks:
- Il est essentiel que le fichier contenant le mot de passe sensible en texte clair soit protégé par des autorisations de fichiers et d'autres mesures de sécurité.
Stocker les mots de passe dans un coffre-fort Ansible et saisir le mot de passe du coffre-fort de manière interactive
Benefits:
- Le mot de passe de l'utilisateur est stocké de manière cryptée.
- Personne ne peut voler le mot de passe du coffre-fort car il n'est stocké nulle part.
- Vous pouvez facilement mettre à jour le mot de passe de l'utilisateur en créant un nouveau coffre-fort Ansible.
-
Vous pouvez également mettre à jour le mot de passe de l'espace de stockage facilement, en utilisant la commande
ansible-vault rekey file_nameen utilisant la commande
Drawbacks:
- Si vous utilisez des playbooks Ansible dans des scripts, la nécessité de saisir le mot de passe de l'espace de stockage de manière interactive peut s'avérer gênante.
