ansible.builtin.password lookup – 检索或生成存储在文件中的随机密码
注意
此查找插件是 ansible-core 的一部分,包含在所有 Ansible 安装中。在大多数情况下,您可以使用简短的插件名称 password。但是,我们建议您使用 完全限定的集合名称 (FQCN) ansible.builtin.password,以便轻松链接到插件文档并避免与可能具有相同查找插件名称的其他集合发生冲突。
概要
生成一个随机明文密码并将其存储在给定文件路径上的文件中。
如果文件之前存在,它将检索其内容,与 with_file 的行为相同。
在文件路径中使用类似于
"{{ inventory_hostname }}"的变量可以用于为每个主机设置随机密码,这简化了"host_vars"变量中的密码管理。一个特例是使用 /dev/null 作为路径。密码查找将每次生成一个新的随机密码,但不会将其写入 /dev/null。当您需要密码而不将其存储在控制器上时,可以使用此方法。
术语
参数 |
注释 |
|---|---|
存储/将存储密码的文件的路径 |
关键字参数
这描述了查找的关键字参数。这些是在以下示例中的值 key1=value1、key2=value2 等等:lookup('ansible.builtin.password', key1=value1, key2=value2, ...) 和 query('ansible.builtin.password', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
构成在生成的密码中自定义字符集的名称列表。 此参数定义了结果密码中可能的字符集,而不是必需的字符集。如果您想为密码要求某些字符集,可以使用 community.general.random_string 查找插件。 默认情况下,生成的密码包含大小写 ASCII 字母、数字 0-9 和标点符号 (“. , : - _”) 的随机组合。 它们可以是 Python 的字符串模块属性的一部分,也可以直接表示 (:, -)。 虽然字符串模块可能因 Python 版本而异,但两个主要版本的有效值包括:'ascii_lowercase'、'ascii_uppercase'、'digits'、'hexdigits'、'octdigits'、'printable'、'punctuation' 和 'whitespace'。 请注意,Python 的 'hexdigits' 包含 a-f 的大小写版本,因此这不是一个好的选择,因为它会使这些值出现的概率加倍,对于不区分大小写的系统,这会扭曲预期的熵。 使用逗号分隔的字符串时,要在某个地方输入逗号,请使用两个逗号 ',,' - 最好在末尾。不支持引号和双引号。 默认值: |
|
用于加密返回密码的哈希方案,应为 如果未提供,密码将以明文形式返回。 请注意,密码始终以明文形式存储,只有返回的密码被加密。 Encrypt 还强制保存盐值以确保幂等。 请注意,在 2.6 之前,此选项长期被错误地标记为布尔值。 |
|
在使用 该参数仅适用于 其他哈希类型将简单地忽略此参数。 此参数的有效值为: |
|
生成的密码的长度。 默认值: |
|
用于初始化随机数生成器的种子。 相同的种子将产生相同的密码。 将其用于生成随机但幂等的密码。 |
注释
注意
当关键字和位置参数一起使用时,位置参数必须列在关键字参数之前:
lookup('ansible.builtin.password', term1, term2, key1=value1, key2=value2)和query('ansible.builtin.password', term1, term2, key1=value1, key2=value2)如果您不需要按主机生成随机密码,密码查找插件的一个很好的替代方法是使用剧本中的 Vault。阅读那里的文档,并考虑先使用它,它将更适合大多数应用程序。
如果文件已存在,则不会向其写入任何数据。如果文件有内容,则这些内容将作为密码读入。空文件会导致密码返回为空字符串。
作为所有查找,这在 Ansible 主机上作为运行剧本的用户运行,并且“become”不适用,目标文件必须可供运行剧本的用户读取,或者,如果它不存在,运行剧本的用户必须具有足够的权限来创建它。(因此,例如,尝试写入 /etc 之类的区域将失败,除非整个剧本以 root 身份运行)。
示例
- name: create a mysql user with a random password
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', 'credentials/' + client + '/' + tier + '/' + role + '/mysqlpassword', length=15) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using only ascii letters
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters']) }}"
priv: '{{ client }}_{{ tier }}_{{ role }}.*:ALL'
- name: create a mysql user with an 8 character random password using only digits
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', length=8, chars=['digits']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using many different char sets
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters', 'digits', 'punctuation']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create lowercase 8 character name for Kubernetes pod name
ansible.builtin.set_fact:
random_pod_name: "web-{{ lookup('ansible.builtin.password', '/dev/null', chars=['ascii_lowercase', 'digits'], length=8) }}"
- name: create random but idempotent password
ansible.builtin.set_fact:
password: "{{ lookup('ansible.builtin.password', '/dev/null', seed=inventory_hostname) }}"
返回值
键 |
描述 |
|---|---|
一个密码 返回:成功 |