ansible 指定用户密码 ansible指定用户执行

一、简介

很多时候，在生产环境中，root用户是不一定是可以直接登录的。那么，针对此种场景，我们该如何使用ansible实现自动化批量操作呢？

具体，可分为以下几种场景：

类型	主控端用户	被控端用户	被控端用户是否需要sudo提权
场景一	ROOT用户	ROOT用户	不需要
场景二	ROOT用户	普通用户	需要
场景二	普通用户	ROOT用户	不需要
场景二	普通用户	普通用户	需要

---

二、场景一

说明：在一些场景中，主控端和被控端的root用户都是可以直接登录的。

方法一：在主机清单文件中定义被控端主机用户、密码、ssh端口

1、ansible.cfg配置文件：

[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false 
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False

2、主机清单文件：

[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456 

[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456 

[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=root ansible_ssh_pass=123456

3、一个简单的playbook

---
- name: Execute command
  hosts: mysql_cluster_1
  tasks:
    - name: Run command
      command: ip a

4、执行结果如下所示：

---

三、场景二

说明：在一些场景中，远程部署某些应用需要root权限，但是root用户不能直接登录，可以通过普通用户提权实现root用户管理权限。

2.1、对单个playbook剧本任务定义被控端普通用户提权

1、被控端创建普通用户

[root@localhost ~]# useradd lolaage
[root@localhost ~]# echo "123456" | passwd --stdin lolaage

2、被控端普通用户提权

[root@localhost ~]# vi /etc/sudoers
lolaage ALL=(ALL)       NOPASSWD: ALL

3、ansible.cfg配置文件：

[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false 
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False

4、主机清单文件如下所示：

[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456 

[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456 

[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456

5、一个简单的playbook如下所示：

- hosts: mysql_cluster_1
  become: true
  become_user: root
  become_method: sudo
  tasks:
    - name: Execute whoami command
      shell: whoami

6、执行结果如下所示：

---

2.2、对所有的playbook剧本任务定义被控端普通用户提权

1、被控端创建普通用户

[root@localhost ~]# useradd lolaage
[root@localhost ~]# echo "123456" | passwd --stdin lolaage

2、被控端普通用户提权

[root@localhost ~]# vi /etc/sudoers
lolaage ALL=(ALL)       NOPASSWD: ALL

3、ansible.cfg配置文件：

[defaults]
#每次执行ansible命令是否使用需要提示输入SSH密码
ask_pass = false 
#不进行host_key检查,省去目标key发生变化时输入(yes/no)的步骤
host_key_checking = False 

[privilege_escalation]
#连接到受管主机后，是否需要切换用户，需要ture,不需要false
become=True
#指定特权升级的方法，例如sudo或su
become_method=sudo
#指定要升级到的用户
become_user=root
#是否需要为become_method切换用户时提供密码，要ture,不需要false
become_ask_pass=False

4、主机清单文件如下所示：

[mysql_cluster_1]
192.168.1.191 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456 

[mysql_cluster_2]
192.168.1.192 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456 

[mysql_cluster_3]
192.168.1.193 ansible_ssh_port=22 ansible_ssh_user=lolaage ansible_ssh_pass=123456

5、一个简单的playbook如下所示：

- hosts: mysql_cluster_1
  tasks:
    - name: Execute whoami command
      shell: whoami

6、执行结果如下所示：

---

四、场景三

场景三的操作与场景一是一样的，唯一要注意的是，如果主控端是以普通用户登录，如果是执行playbook过程中，需要拷贝文件到受控端，则需要将文件的属主和属组修改为普通用户，或者将权限修改为777，否则会拷贝失败。

以下是以普通用户执行playbook，执行结果如下：

---

五、场景四

场景四的操作与场景二是一样的，唯一要注意的是，如果主控端是以普通用户登录，如果是执行playbook过程中，需要拷贝文件到受控端，则需要将文件的属主和属组修改为普通用户，或者将权限修改为777，否则会拷贝失败。

以下是以root用户执行playbook，执行结果如下：

---