ansible.builtin.password 查找 - 从文件中检索或生成随机密码
注意
此查找插件是 ansible-core 的一部分,包含在所有 Ansible 安装中。在大多数情况下,可以使用简短的插件名称 password。但是,我们建议您使用 完全限定的集合名称 (FQCN) ansible.builtin.password 以便轻松链接到插件文档,并避免与可能具有相同查找插件名称的其他集合冲突。
概要
生成一个随机明文密码,并将其存储在给定文件路径的文件中。
如果文件先前存在,它将检索其内容,行为与 with_file 一样。
可以在文件路径中使用诸如
"{{ inventory_hostname }}"之类的变量来为每个主机设置随机密码,这简化了"host_vars"变量中的密码管理。一个特殊情况是使用 /dev/null 作为路径。密码查找将每次生成一个新的随机密码,但不会将其写入 /dev/null。当您需要一个密码而不将其存储在控制器上时,可以使用此方法。
术语
参数 |
注释 |
|---|---|
存储/将存储密码的文件的路径 |
关键字参数
这描述了查找的关键字参数。这些是在以下示例中 key1=value1、key2=value2 等等的值:lookup('ansible.builtin.password', key1=value1, key2=value2, ...) 和 query('ansible.builtin.password', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
构成生成的密码中自定义字符集的名称列表。 此参数定义结果密码中可能的字符集,而不是必需的字符集。如果您想为密码要求某些字符集,可以使用 community.general.random_string 查找插件。 默认情况下,生成的密码包含大小写 ASCII 字母、数字 0-9 和标点符号(”. , : - _”)的随机组合。 它们可以是 Python 字符串模块属性的一部分,也可以直接表示(:, -)。 尽管字符串模块可能因 Python 版本而异,但两个主要版本的有效值包括:‘ascii_lowercase’、‘ascii_uppercase’、‘digits’、‘hexdigits’、‘octdigits’、‘printable’、‘punctuation’ 和 ‘whitespace’。 请注意,Python 的 ‘hexdigits’ 包含 a-f 的大小写版本,因此它不是一个好选择,因为它会使这些值的可能性增加一倍,对于不会区分大小写的系统来说,这会扭曲预期的熵。 使用逗号分隔的字符串时,要在某处输入逗号,请使用两个逗号 ‘,,’ - 最好在末尾。不支持引号和双引号。 默认值: |
|
用于加密返回密码的哈希方案,应该是 如果未提供,密码将以纯文本形式返回。 请注意,密码始终以纯文本形式存储,只有返回的密码会被加密。 加密还会强制保存盐值以实现幂等性。 请注意,在 2.6 之前,此选项被错误地标记为布尔值很长时间。 |
|
指定使用 此参数仅适用于 其他哈希类型将简单地忽略此参数。 此参数的有效值为: |
|
生成的密码的长度。 默认值: |
|
初始化随机数生成器的种子。 相同的种子将产生相同的密码。 将其用于随机但幂等的密码生成。 |
注意
注意
当关键字和位置参数一起使用时,位置参数必须列在关键字参数之前:
lookup('ansible.builtin.password', term1, term2, key1=value1, key2=value2)和query('ansible.builtin.password', term1, term2, key1=value1, key2=value2)如果不需要按主机生成随机密码,密码查找插件的一个很好的替代方案是使用剧本中的 Vault。阅读那里的文档,并考虑首先使用它,它将更适合大多数应用程序。
如果文件已存在,将不会写入任何数据。如果文件有内容,这些内容将被读取为密码。空文件会导致密码返回为空字符串。
作为所有查找,这在 Ansible 主机上运行,作为运行剧本的用户,并且“become”不适用,目标文件必须可由剧本用户读取,或者,如果它不存在,剧本用户必须具有足够的权限来创建它。(因此,例如,尝试写入 /etc 等区域将失败,除非整个剧本以 root 身份运行)。
示例
- name: create a mysql user with a random password
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', 'credentials/' + client + '/' + tier + '/' + role + '/mysqlpassword', length=15) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using only ascii letters
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters']) }}"
priv: '{{ client }}_{{ tier }}_{{ role }}.*:ALL'
- name: create a mysql user with an 8 character random password using only digits
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', length=8, chars=['digits']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using many different char sets
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters', 'digits', 'punctuation']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create lowercase 8 character name for Kubernetes pod name
ansible.builtin.set_fact:
random_pod_name: "web-{{ lookup('ansible.builtin.password', '/dev/null', chars=['ascii_lowercase', 'digits'], length=8) }}"
- name: create random but idempotent password
ansible.builtin.set_fact:
password: "{{ lookup('ansible.builtin.password', '/dev/null', seed=inventory_hostname) }}"
返回值
键 |
描述 |
|---|---|
密码 返回: 成功 |