我有一个用例,我有一个承包商需要ssh和sudo访问一个服务器,但不能访问我们的其他服务器。我们所有的服务器都由Chef管理,我们使用数据标签来配置每个用户。有关最佳方法的任何提示吗?
答案 0 :(得分:2)
一如既往,有各种各样的可能性:-)
repeatInterval,我们如何根据users数据包配置每节点用户访问权限。
group: sysadmin的所有用户都会自动分配到具有 sudo 权限的所有节点。users数据包是。{
在数据包的node['fqdn']键中搜索包含"nodes"条目的项目:{
"id": "a-srv123-admin",
...
"nodes": {
"srv123.typo3.org": {
"sudo": "true"
}
}
}
为了从所有节点中删除用户,可以设置action: remove
在最高级别:
{
"id": "a-user-to-remove",
"action": "remove"
}
要从某个节点中删除用户,可以设置action: remove
在节点级别:
{
"id": "a-user-to-remove",
...
"nodes": {
"srv123.typo3.org": {
"action": "remove"
}
}
}
Here is(不幸的是,实际上不是很干净),只搜索与node[fqdn]相关联的所有用户:
node_attribute = "fqdn"
log "Searching for users associated with node #{node[node_attribute]}"
begin
users = search(users_databag_name, "nodes:#{node[node_attribute]}")
rescue Net::HTTPServerException
Chef::Log.warn "Searching for users in the 'users' databag failed, search for users associated with node '#{node[node_attribute]}'"
users = {}
end
users.each do |u|
node_options = u['nodes'][node[node_attribute]]
Chef::Log.info "Got node options: #{node_options}"
if u['action'] == "remove" || node_options['action'] == "remove"
user u['username'] ||= u['id'] do
action :remove
end
else
# snip...
# Create user object.
user u['username'] do
uid u['uid'] if u['uid']
gid u['gid'] if u['gid']
shell u['shell']
comment u['comment']
password u['password'] if u['password']
supports manage_home: true
home home_dir
action u['action'] if u['action']
end
# sudo management
if node_options['sudo'] == "true"
sudo u['username'] do
nopasswd true
user u['username']
end
else
sudo u['username'] do
action :remove
end
end
end
end
编辑:警告任何有权访问Chef的客户端证书的用户都可以根据客户端可以读取的内容查询数据。这可以包括存储在其他节点属性中的密码。 RBAC或厨师保险库可以减轻这种影响。