community.general.htpasswd 模块 – 管理用于基本身份验证的用户文件

注意

此模块是 community.general 集合 (版本 10.1.0) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.general。您需要其他要求才能使用此模块,请参阅 要求 获取详细信息。

要在 playbook 中使用它,请指定:community.general.htpasswd

概要

  • 使用 htpasswd 在密码文件中添加和删除用户名/密码条目。

  • 这被 Apache 和 Nginx 等 Web 服务器用于基本身份验证。

要求

在执行此模块的主机上需要以下要求。

  • passlib>=1.6

参数

参数

注释

attributes

别名:attr

字符串

生成的filesystem对象应具有的属性。

要获取支持的标志,请查看目标系统上 *chattr* 的手册页。

此字符串应包含与 *lsattr* 显示的顺序相同的属性。

= 运算符被假定为默认值,否则需要在字符串中包含 +- 运算符。

create

布尔值

state=present 一起使用。如果 true,则如果文件不存在,则会创建该文件。相反,如果设置为 false 且文件不存在,则会失败。

选项

  • false

  • true ← (默认)

group

字符串

应拥有filesystem对象的组的名称,如同传递给 *chown* 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户的当前组,在这种情况下,它可以保留之前的拥有者。

hash_scheme

别名:crypt_scheme

字符串

要使用的哈希方案。除了这里列出的四个选项外,您还可以使用 passlib 支持的任何其他哈希,例如 portable_apache22host_apache24;或 md5_cryptsha256_crypt,它们是 Linux passwd 哈希。除了下面的四个选项之外,只有一部分方案与 Apache 或 Nginx 兼容,支持的方案取决于 passlib 版本及其依赖项。

请参阅 https://passlib.readthedocs.io/en/stable/lib/passlib.apache.html#passlib.apache.HtpasswdFile 参数 default_scheme

一些可用的选项可能是:apr_md5_cryptdes_cryptldap_sha1plaintext

默认值: "apr_md5_crypt"

mode

任意

生成的filesystem对象应具有的权限。

对于习惯使用 * /usr/bin/chmod * 的用户,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收到一个字符串并可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他一些情况下可能会失败。

如果不遵循以上任一规则,而向 Ansible 提供一个数字,则最终会得到一个十进制数,这将导致意外的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定 mode 并且目标filesystem对象**不存在**,则在设置新创建的filesystem对象的模式时,将使用系统上的默认 umask

如果未指定 mode 并且目标filesystem对象**存在**,则将使用现有filesystem对象的模式。

指定 mode 是确保以正确的权限创建filesystem对象的最佳方法。有关更多详细信息,请参阅 CVE-2020-1736。

name

别名:username

字符串 / 必需

要添加或删除的用户名。

owner

字符串

应拥有filesystem对象的用户的名称,如同传递给 *chown* 一样。

如果未指定,则除非您是 root 用户,否则它将使用当前用户,在这种情况下,它可以保留之前的拥有者。

如果用户名为数字,则会被视为用户 ID 而不是用户名。为避免混淆,请避免使用数字用户名。

密码

字符串

与用户关联的密码。

如果用户尚不存在,则必须指定。

路径

别名:dest, destfile

路径 / 必需

包含用户名和密码的文件的路径。

selevel

字符串

SELinux 文件系统对象上下文中的级别部分。

这是 MLS/MCS 属性,有时也称为range

设置为_default时,如果可用,它将使用策略的level部分。

serole

字符串

SELinux 文件系统对象上下文中的角色部分。

设置为_default时,如果可用,它将使用策略的role部分。

setype

字符串

SELinux 文件系统对象上下文中的类型部分。

设置为_default时,如果可用,它将使用策略的type部分。

seuser

字符串

SELinux 文件系统对象上下文中的用户部分。

默认情况下,它使用system策略(如果适用)。

设置为_default时,如果可用,它将使用策略的user部分。

状态

字符串

用户条目是否存在。

选项

  • "present" ← (默认)

  • "absent"

unsafe_writes

布尔值

影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。

默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置错误或损坏,无法执行此操作。一个例子是 docker 挂载的文件系统对象,无法在容器内以原子方式更新,只能以非安全方式写入。

此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全写入)。

重要!不安全写入容易发生竞争条件,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持:完全支持

可以在check_mode下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:不支持

在差异模式下,将返回有关已更改内容(或在check_mode下可能需要更改的内容)的详细信息。

备注

注意

  • 此模块依赖于passlib Python 库,需要在所有目标系统上安装。

  • 在 Debian < 11、Ubuntu <= 20.04 或 Fedora 上:安装python-passlib

  • 在 Debian、Ubuntu 上:安装python3-passlib

  • 在 RHEL 或 CentOS 上:启用 EPEL,然后安装python-passlib

示例

- name: Add a user to a password file and ensure permissions are set
  community.general.htpasswd:
    path: /etc/nginx/passwdfile
    name: janedoe
    password: '9s36?;fyNp'
    owner: root
    group: www-data
    mode: 0640

- name: Remove a user from a password file
  community.general.htpasswd:
    path: /etc/apache2/passwdfile
    name: foobar
    state: absent

- name: Add a user to a password file suitable for use by libpam-pwdfile
  community.general.htpasswd:
    path: /etc/mail/passwords
    name: alex
    password: oedu2eGh
    hash_scheme: md5_crypt

作者

  • Ansible 核心团队