Come cambiare un utente per attività o set di attività?

Un tema ricorrente presente nei miei libri di risposta è che spesso devo eseguire un comando con i privilegi di sudo ( sudo: yes) perché mi piacerebbe farlo per un determinato utente. Idealmente preferirei usare sudo per passare a quell'utente ed eseguire i comandi normalmente. Perché allora non dovrò fare i miei soliti comandi post come ripulire le directory di chowning. Ecco uno snippet da uno dei miei playbook:

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  sudo: yes
- name: change perms
  file: dest={{ dst }} state=directory mode=0755 owner=some_user
  sudo: yes

Idealmente, potrei eseguire comandi o serie di comandi come un utente diverso anche se richiede sudo per su per quell'utente.

Con Ansible 1.9 o successivo

Usi il ansible become, become_user, e become_methoddirettive per ottenere privilegi. Puoi applicarli a un intero play o playbook, impostarli in un playbook incluso o impostarli per un'attività specifica.

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  become: yes
  become_user: some_user

È possibile utilizzare become_withper specificare come ottenere l'escalation dei privilegi, l'impostazione predefinita sudo.

La direttiva è in vigore per l'ambito del blocco in cui viene utilizzata ( esempi ).

Consulta Host e utenti per alcuni esempi aggiuntivi e Diventa (escalazione di privilegi) per una documentazione più dettagliata.

Oltre all'ambito delle attività becomee alle become_userdirettive, Ansible 1.9 ha aggiunto alcune nuove variabili e opzioni della riga di comando per impostare questi valori per la durata di un gioco in assenza di direttive esplicite:

• Opzioni della riga di comando per l'equivalente become/ become_userdirettive.
• Variabili specifiche della connessione che possono essere impostate per host o gruppo.

A partire da Ansible 2.0.2.0, la vecchia sudo/ sudo_usersintassi descritta di seguito funziona ancora, ma l'avviso di deprecazione indica "Questa funzione verrà rimossa in una versione futura".

Sintassi precedente, obsoleta a partire da Ansible 1.9 e pianificata per la rimozione:

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  sudo: yes
  sudo_user: some_user

In Ansible 2.x, è possibile utilizzare il blockgruppo per attività:

- block:
    - name: checkout repo
      git:
        repo: https://github.com/some/repo.git
        version: master
        dest: "{{ dst }}"
    - name: change perms
      file:
      dest: "{{ dst }}"
      state: directory
      mode: 0755
      owner: some_user
  become: yes
  become_user: some user

In Ansible> 1.4 puoi effettivamente specificare un utente remoto a livello di attività che dovrebbe permetterti di accedere come quell'utente ed eseguire quel comando senza ricorrere a sudo. Se non riesci ad accedere come quell'utente, funzionerà anche la soluzione sudo_user.

---
- hosts: webservers
  remote_user: root
  tasks:
    - name: test connection
      ping:
      remote_user: yourname

Vedi http://docs.ansible.com/playbooks_intro.html#hosts-and-users

Una soluzione consiste nell'utilizzare la includedichiarazione con remote_uservar (descriverla qui: http://docs.ansible.com/playbooks_roles.html ) ma deve essere eseguita a playbook anziché a livello di attività.

È possibile specificare become_methoddi sovrascrivere il metodo predefinito impostato ansible.cfg(se presente) e che può essere impostato su uno dei sudo, su, pbrun, pfexec, doas, dzdo, ksu.

- name: I am confused
  command: 'whoami'
  become: true
  become_method: su
  become_user: some_user
  register: myidentity

- name: my secret identity
  debug:
    msg: '{{ myidentity.stdout }}'

Dovrebbe visualizzare

TASK [my-task : my secret identity] ************************************************************
ok: [my_ansible_server] => {
    "msg": "some_user"
}