Ansibleでローカルの別ユーザの公開鍵にアクセスできない

###問題
Ansibleで踏み台サーバでユーザとそのユーザの鍵を生成し、Ansibleで別サーバに同一のユーザを作成し、踏み台サーバで作成した公開鍵を配置したいと思っています。

しかしauthorized_keysモジュールでローカルの/home/tom/.ssh/id_rsa.pubを読みに行けません。

- name: cp id_rsa.pub to authorized_keys
    authorized_key:
     user=tom
     key="{{ lookup('file', '/home/tom/.ssh/id_rsa.pub')}}"
     manage_dir=yes

TASK [cp authorized_keys] ******************************************************
fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"}

もちろんパーミッションは

drwx------.  2 tom  tom    36 Oct 11 17:24 .ssh

なのでansibleユーザでは読めないのはわかるのですが、authorized_moduleではplaybook実行ユーザはローカルでrootになることはできないのでしょうか。

##質問
もしauthorized_keysモジュールでremoteにauthorized_keysを配置するために別ユーザの公開鍵にアクセスするためにroot権限は適用されないのであれば、何か良い別の手段はありますでしょうか。
（※セキュリティ上rootでのsshはしないので実行ユーザをrootに変えるというのはできません）
Ansibleのような構成管理ツール歴2日目なので何か見当違いなことを書いているかもしれませんが何卒ご教授のほどよろしくお願いします。

###ドキュメントだと

# Example using key data from a local file on the management machine
- authorized_key: user=charlie key="{{ lookup('file', '/home/charlie/.ssh/id_rsa.pub') }}"

としてローカルの公開鍵にアクセスしていますが、この例だとcharlieユーザで実行しているということなのでしょうか。

###test.yml

- hosts: remote
  user: ansible
  become: True
  tasks:
    - name: add a new user
      user: name=tom state=present groups=wheel

    - name: cp id_rsa.pub to authorized_keys
      authorized_key:
        user=tom
        key="{{ lookup('file', '/home/tom/.ssh/id_rsa.pub')}}"
        manage_dir=yes

※実際のplaybookではローカルでのユーザ作成も行っていますが、簡略化のため該当箇所のみ載せますが、同一の結果となります。
※実行ユーザはansibleユーザでローカル・リモートにユーザ作成、鍵配置しssh接続は確認できでいます。root権限も確認済みです。
※ローカルへのアクセスはsshもそうでないのも試しました。

###発生している問題・エラーメッセージ

[ansible@humidai ~]$ ansible-playbook test.yml
SUDO password:

PLAY [web] *********************************************************************

TASK [setup] *******************************************************************
ok: [remote]

TASK [add a new user] **********************************************************
changed: [remote]

TASK [cp authorized_keys] ******************************************************
fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"}

NO MORE HOSTS LEFT *************************************************************

PLAY RECAP *********************************************************************
remote                  : ok=3    changed=2    unreachable=0    failed=1

###補足
CentOS Linux release 7.2.1511 (Core)
ansible 2.1.1.0

行動規範の内容に同意します

回答1件

become: True なので、公開鍵のコピーは Ansible 内では sudo を使って行われそうな気がします。tom ユーザの公開鍵を置きたいのであれば、become_user: tom を指定してうまく動くか試せるでしょうか?

ansible-playbook -vvvv test.yml のようにしたときの該当タスクの結果があるともう少し何か分かるかもしれないです。

投稿2016/10/12 14:43

mahata

総合スコア62

devron

2016/10/12 16:12 編集

ご回答ありがとうございます!! become_userをtomで指定しても改めてrootと指定しても結果は変わらずでした。 ansible-playbook test.yml -vvvv でやっても有力な情報は掴めずです・・・ ---------- TASK [cp authorized_keys] ****************************************************** task path: /home/ansible/test.yml:9 File lookup using /home/tom/.ssh/id_rsa.pub as file fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"} ----------- 果たしてドキュメントのExamplesでの (http://docs.ansible.com/ansible/authorized_key_module.html) --------- # Example using key data from a local file on the management machine - authorized_key: user=charlie key="{{ lookup('file', '/home/charlie/.ssh/id_rsa.pub') }}" ---------- はどうやって実行していることになっているのでしょうか。やはりrootで実行しているということなのでしょうか。。。。

行動規範の内容に同意します