質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.06%

Ansibleでローカルの別ユーザの公開鍵にアクセスできない

受付中

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 2,515

devron

score 10

問題

Ansibleで踏み台サーバでユーザとそのユーザの鍵を生成し、Ansibleで別サーバに同一のユーザを作成し、踏み台サーバで作成した公開鍵を配置したいと思っています。

しかしauthorized_keysモジュールでローカルの/home/tom/.ssh/id_rsa.pubを読みに行けません。

- name: cp id_rsa.pub to authorized_keys
    authorized_key:
     user=tom
     key="{{ lookup('file', '/home/tom/.ssh/id_rsa.pub')}}"
     manage_dir=yes
TASK [cp authorized_keys] ******************************************************
fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"}


もちろんパーミッションは

drwx------.  2 tom  tom    36 Oct 11 17:24 .ssh

なのでansibleユーザでは読めないのはわかるのですが、authorized_moduleではplaybook実行ユーザはローカルでrootになることはできないのでしょうか。

質問

もしauthorized_keysモジュールでremoteにauthorized_keysを配置するために別ユーザの公開鍵にアクセスするためにroot権限は適用されないのであれば、何か良い別の手段はありますでしょうか。
(※セキュリティ上rootでのsshはしないので実行ユーザをrootに変えるというのはできません)
Ansibleのような構成管理ツール歴2日目なので何か見当違いなことを書いているかもしれませんが何卒ご教授のほどよろしくお願いします。

ドキュメントだと

# Example using key data from a local file on the management machine
- authorized_key: user=charlie key="{{ lookup('file', '/home/charlie/.ssh/id_rsa.pub') }}"

としてローカルの公開鍵にアクセスしていますが、この例だとcharlieユーザで実行しているということなのでしょうか。

test.yml

- hosts: remote
  user: ansible
  become: True
  tasks:
    - name: add a new user
      user: name=tom state=present groups=wheel

    - name: cp id_rsa.pub to authorized_keys
      authorized_key:
        user=tom
        key="{{ lookup('file', '/home/tom/.ssh/id_rsa.pub')}}"
        manage_dir=yes


※実際のplaybookではローカルでのユーザ作成も行っていますが、簡略化のため該当箇所のみ載せますが、同一の結果となります。
※実行ユーザはansibleユーザでローカル・リモートにユーザ作成、鍵配置しssh接続は確認できでいます。root権限も確認済みです。
※ローカルへのアクセスはsshもそうでないのも試しました。

発生している問題・エラーメッセージ

[ansible@humidai ~]$ ansible-playbook test.yml
SUDO password:

PLAY [web] *********************************************************************

TASK [setup] *******************************************************************
ok: [remote]

TASK [add a new user] **********************************************************
changed: [remote]

TASK [cp authorized_keys] ******************************************************
fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"}

NO MORE HOSTS LEFT *************************************************************

PLAY RECAP *********************************************************************
remote                  : ok=3    changed=2    unreachable=0    failed=1

補足

CentOS Linux release 7.2.1511 (Core)
ansible 2.1.1.0

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

0

become: True なので、公開鍵のコピーは Ansible 内では sudo を使って行われそうな気がします。tom ユーザの公開鍵を置きたいのであれば、become_user: tom を指定してうまく動くか試せるでしょうか?

ansible-playbook -vvvv test.yml のようにしたときの該当タスクの結果があるともう少し何か分かるかもしれないです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/13 01:09 編集

    ご回答ありがとうございます!!

    become_userをtomで指定しても改めてrootと指定しても結果は変わらずでした。
    ansible-playbook test.yml -vvvv
    でやっても有力な情報は掴めずです・・・

    ----------
    TASK [cp authorized_keys] ******************************************************
    task path: /home/ansible/test.yml:9
    File lookup using /home/tom/.ssh/id_rsa.pub as file
    fatal: [remote]: FAILED! => {"failed": true, "msg": "the file_name '/home/tom/.ssh/id_rsa.pub' does not exist, or is not readable"}
    -----------

    果たしてドキュメントのExamplesでの
    (http://docs.ansible.com/ansible/authorized_key_module.html)

    ---------
    # Example using key data from a local file on the management machine
    - authorized_key: user=charlie key="{{ lookup('file', '/home/charlie/.ssh/id_rsa.pub') }}"
    ----------
    はどうやって実行していることになっているのでしょうか。
    やはりrootで実行しているということなのでしょうか。。。。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.06%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る