Red Hat Training

A Red Hat training course is available for RHEL 8

9.2. 提供 ansible-freeipa playbook 所需的凭证的不同方法

不同的方法都有一些优点和缺点,为运行使用 ansible-freeipa 角色和模块的 playbook 提供所需的凭证。

在 playbook 中以纯文本形式存储密码

优点

  • 运行 playbook 时,不会显示所有。
  • 易于实施。

缺陷

  • 有权访问该文件的人都可以读取密码。设置错误的权限和共享文件(例如在内部或外部存储库中)可能会破坏安全性。
  • 高维护工作:如果更改了密码,则需要在所有 playbook 中进行更改。

执行 playbook 时以交互方式输入密码

优点

  • 无人可以窃取密码,因为它不在任何位置存储。
  • 您可以轻松更新密码。
  • 易于实施。

缺陷

  • 如果您在脚本中使用 Ansible playbook,以交互方式输入密码的要求可能比较不方便。

将密码存储在 Ansible vault 中,并将 vault 密码存储在一个文件中:

优点

  • 用户密码以加密方式存储。
  • 您可以通过创建新的 Ansible vault 来轻松更新用户密码。
  • 您可以使用 ansible-vault rekey --new-vault-password-file=NEW_VAULT_PASSWORD_FILE secret.yml 命令来轻松更新保护 ansible vault 的密码文件。
  • 如果您在脚本中使用 Ansible playbook,则不必以交互方式输入密码。

缺陷

  • 务必要确保包含敏感纯文本密码的文件通过文件权限和其他安全措施进行保护。

将密码存储在 Ansible 库中,并以交互方式输入 vault 密码

优点

  • 用户密码以加密方式存储。
  • 无人可以窃取 vault 密码,因为它不在任何位置存储。
  • 您可以通过创建新的 Ansible vault 来轻松更新用户密码。
  • 您还可以使用 ansible-vault rekey file_name 命令,轻松更新 vault 密码。

缺陷

  • 如果您在脚本中使用 Ansible playbook,则需要以交互方式输入 vault 密码。