質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

Ansible

Ansibleは、Python で書かれたサーバーの設定を管理するための 構成管理ツールです。

Red Hat Enterprise

Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。

Q&A

解決済

1回答

1912閲覧

Ansibleでパスワード変更の際に、パスワードポリシーを遵守させたい

ntaniuch

総合スコア12

Security+

Security+は、IT業界団体であるCompTIA認定の資格の一つです。ネットワークセキュリティやコンプライアンスと運用セキュリティといったセキュリティ分野における知識・技術の証明になり、セキュリティインシデントに対応するための知識も評価されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

Ansible

Ansibleは、Python で書かれたサーバーの設定を管理するための 構成管理ツールです。

Red Hat Enterprise

Red Hat Enterpriseは、レッドハット社により開発・サポートが行われている業務向けLinuxディストリビューションです。オープンソースで無償で利用することができ、バイナリ版の入手・サポートは有償です。商用ディストリビューションとして人気が高く、代表的なLinuxの選択肢の一つです。

0グッド

0クリップ

投稿2020/05/22 01:36

Ansibleからパスワード変更を行うとOSに設定したパスワードポリシーを無視して設定が出来てしまいます。

パスワードポリシーを遵守させる方法はありますでしょうか。

- name: <lin> modify user passwd user: name: "{{ username }}" password: "{{ passwd | password_hash('sha512')}}" become: yes become_user: root register: result_change failed_when: false tags: - modify - never

■パスワードポリシーの設定
Linux7で以下の通りにパスワードポリシーを設定しています。

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/chap-hardening_your_system_with_tools_and_services#sec-Password_Security

/etc/pam.d/passwd

password required pam_pwquality.so retry=3

/etc/security/pwquality.conf

minlen = 12 minclass = 3

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

参考程度ですが、おそらくuserモジュールはpam経由でユーザを作成していないため、pamで定義されているパスワードポリシーも適用されないと思います。

shellモジュールやcommandモジュールでコマンドを直接実行する。
Ansibleからしかユーザ作成しないのであれば、Ansible側でパスワードチェックを実装する。

投稿2020/05/22 05:16

comefigo

総合スコア1036

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ntaniuch

2020/05/22 05:38

ご回答頂きありがとうございます。 shellモジュールやcommandモジュールからパスワード変更を実装しようかなと考えています。 Ansible側でパスワードチェックをするとしたら、文字列長12文字はクリア出来ても、大文字小文字数字記号から3種類使っていることのチェックの実装が難しいと考えています。 (そうですね。文字種3種使用のチェックが実装出来たら、Ansible側でパスワードチェックをさせてもよいですね。)
comefigo

2020/05/22 06:34

Ansibleの自作モジュールに手を出してみるのもいいかと思います。そうすればお好きな言語で好きなように実装できます。パスワードポリシーを外部ファイルに外だしにするとポリシーが変わった時に都度プログラムの修正しないように実装するのもアリかと思います。
ntaniuch

2020/05/23 23:44

なるほど。ご助言ありがとうございます。 Ansibleは本を読みながらまだ始めたばかりで、自作モジュールは考えてなかったです。 > パスワードポリシーを外部ファイルに外だしにするとポリシーが変わった時に都度プログラムの修正しないように実装するのもアリかと思います。 仰る通りこの考慮は必要ですね。ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問