了解权限提升:become
Ansible 使用现有的权限提升系统来执行具有 root 权限或使用另一个用户的权限的任务。因为此功能允许您“become”另一个用户,与登录到机器的用户(远程用户)不同,所以我们称之为 become。become 关键字使用现有的权限提升工具,如 sudo、su、pfexec、doas、pbrun、dzdo、ksu、runas、machinectl 等。
使用 become
您可以使用 playbook 或任务指令、连接变量或命令行来控制 become 的使用。 如果您以多种方式设置权限提升属性,请查看一般优先级规则,以了解将使用哪些设置。
Ansible 中包含的所有 become 插件的完整列表可以在插件列表中找到。
Become 指令
您可以在 playbook 或任务级别设置控制 become 的指令。 您可以通过设置连接变量来覆盖这些指令,这些变量通常在不同的主机上有所不同。 这些变量和指令是独立的。 例如,设置 become_user 不会设置 become。
- become
设置为
true以激活权限提升。- become_user
设置为具有所需权限的用户 — 您 become 的用户,而不是您登录的用户。 不表示
become: true,允许在主机级别进行设置。 默认值为root。- become_method
(在 playbook 或任务级别)覆盖
ansible.cfg中设置的默认方法,设置为使用任何Become 插件。- become_flags
(在 playbook 或任务级别)允许为任务或角色使用特定标志。 一个常见的用途是将用户更改为 nobody,当 shell 设置为 nologin 时。 在 Ansible 2.2 中添加。
例如,当以非 root 用户连接时,要管理系统服务(这需要 root 权限),您可以使用 become_user 的默认值(root)
- name: Ensure the httpd service is running
service:
name: httpd
state: started
become: true
要以 apache 用户身份运行命令
- name: Run a command as the apache user
command: somecommand
become: true
become_user: apache
当 shell 为 nologin 时,要以 nobody 用户身份执行某些操作
- name: Run a command as nobody
command: somecommand
become: true
become_method: su
become_user: nobody
become_flags: '-s /bin/sh'
要为 sudo 指定密码,请使用 --ask-become-pass(简写为 -K)运行 ansible-playbook。 如果您运行的 playbook 利用 become 并且 playbook 似乎挂起,则很可能它停留在权限提升提示符处。 使用 CTRL-c 停止它,然后使用 -K 和适当的密码执行 playbook。
Become 连接变量
您可以为每个受管节点或组定义不同的 become 选项。 您可以在清单中定义这些变量,也可以将它们用作普通变量。
- ansible_become
覆盖
become指令,并决定是否使用权限提升。- ansible_become_method
应该使用哪种权限提升方法
- ansible_become_user
设置您通过权限提升成为的用户; 不表示
ansible_become: true- ansible_become_password
设置权限提升密码。 有关如何避免在纯文本中包含密钥的详细信息,请参阅使用加密变量和文件
- ansible_common_remote_group
确定如果
setfacl和chown都失败,Ansible 是否应尝试将其临时文件chgrp到一个组。 有关详细信息,请参阅成为非特权用户的风险。 在 2.10 版本中添加。
例如,如果您想在名为 webserver 的服务器上以 root 身份运行所有任务,但您只能以 manager 用户身份连接,您可以使用如下所示的清单条目
webserver ansible_user=manager ansible_become=true
注意
上面定义的变量对于所有 become 插件都是通用的,但也可以设置特定于插件的变量。 请参阅每个插件的文档,以获取插件的所有选项列表以及如何定义它们。 Ansible 中 become 插件的完整列表可以在 Become 插件 中找到。
Become 命令行选项
- --ask-become-pass、-K
要求输入权限提升密码; 不表示将使用 become。 请注意,此密码将用于所有主机。
- --become、-b
使用 become 运行操作(不暗示密码)
- --become-method=BECOME_METHOD
要使用的权限提升方法(默认值=sudo),有效选项:[ sudo | su | pbrun | pfexec | doas | dzdo | ksu | runas | machinectl ]
- --become-user=BECOME_USER
以此用户身份运行操作(默认值=root),不表示
--become/-b
Become 的风险和限制
虽然权限提升在大多数情况下都是直观的,但其工作方式仍有一些限制。 用户应了解这些限制,以避免出现意外。
成为非特权用户的风险
Ansible 模块通过首先将参数替换到模块文件中,然后将文件复制到远程机器,最后在那里执行它来在远程机器上执行。
如果模块文件在不使用 become 的情况下执行,当 become_user 为 root 时,或者当与远程机器的连接以 root 身份建立时,一切都很好。 在这些情况下,Ansible 创建的模块文件的权限仅允许用户和 root 读取,或者仅允许切换到的非特权用户读取。
但是,当连接用户和 become_user 都是非特权用户时,模块文件将以 Ansible 连接的用户的身份(remote_user)写入,但该文件需要由 Ansible 设置为 become 的用户读取。 Ansible 如何解决此问题的细节因平台而异。 但是,在 POSIX 系统上,Ansible 通过以下方式解决此问题
首先,如果远程 PATH 中安装并提供了 setfacl,并且远程主机上的临时目录使用 POSIX.1e 文件系统 ACL 支持进行挂载,则 Ansible 将使用 POSIX ACL 与第二个非特权用户共享模块文件。
接下来,如果 POSIX ACL 不可用 或者无法运行 setfacl,则 Ansible 将尝试使用 chown 更改模块文件的所有权,以用于支持以非特权用户身份执行此操作的系统。
Ansible 2.11 中的新增功能,此时,Ansible 将尝试 chmod +a,这是一种 macOS 特有的在文件上设置 ACL 的方法。
在 Ansible 2.10 中新增的功能是,如果以上所有方法都失败,Ansible 将会检查配置设置 ansible_common_remote_group 的值。许多系统允许给定用户将其文件的组所有权更改为该用户所属的组。因此,如果第二个非特权用户(即 become_user)与 Ansible 连接的用户(即 remote_user)拥有共同的 UNIX 组,并且如果 ansible_common_remote_group 被定义为该组,则 Ansible 可以尝试使用 chgrp 将模块文件的组所有权更改为该组,从而使其很可能对 become_user 可读。
此时,如果定义了 ansible_common_remote_group 并且 chgrp 尝试成功并返回,则 Ansible 会假设(但重要的是,它不会检查)新的组所有权已足够,并且不会进一步回退。也就是说,Ansible 不会检查 become_user 是否确实与 remote_user 共享一个组;只要命令成功退出,Ansible 就认为结果成功,并且不会继续检查下面的 world_readable_temp。
如果 ansible_common_remote_group 未设置,且其上方的 chown 失败,或者如果 ansible_common_remote_group 已设置,但 chgrp(或随后的组权限 chmod)返回了不成功的退出代码,则 Ansible 最后会检查 world_readable_temp 选项。如果设置了此选项,Ansible 将把模块文件放置在全局可读的临时目录中,并赋予全局可读的权限,以允许 become_user(以及系统上的任何其他用户)读取文件的内容。如果传递给模块的任何参数本质上是敏感的,并且您不信任远程机器,那么这可能存在安全风险。
模块执行完毕后,Ansible 会删除临时文件。
存在几种方法可以完全避免上述逻辑流程
使用管道。启用管道时,Ansible 不会将模块保存到客户端的临时文件中。相反,它会将模块通过管道传输到远程 Python 解释器的 stdin。管道不适用于涉及文件传输的 Python 模块(例如:copy、fetch、template)或非 Python 模块。
避免成为非特权用户。当您
become为 root 用户或不使用become时,临时文件受 UNIX 文件权限保护。在 Ansible 2.1 及更高版本中,如果您以 root 用户身份连接到受管机器,然后使用become访问非特权帐户,则 UNIX 文件权限也是安全的。
警告
尽管 Solaris ZFS 文件系统具有文件系统 ACL,但这些 ACL 不是 POSIX.1e 文件系统 acl(它们是 NFSv4 ACL)。Ansible 不能使用这些 ACL 来管理其临时文件权限,因此如果远程机器使用 ZFS,您可能必须使用 world_readable_temp 选项。
在 2.1 版本中更改。
Ansible 使得在不知情的情况下不安全地使用 become 变得困难。从 Ansible 2.1 开始,如果无法安全地使用 become 执行,Ansible 默认会发出错误。如果您不能使用管道或 POSIX ACL,必须以非特权用户身份连接,必须使用 become 以不同的非特权用户身份执行,并且确定您的受管节点对于您想要在那里运行的模块来说足够安全,可以全局读取,您可以启用 world_readable_temp 选项,这将把错误更改为警告,并允许任务像 2.1 之前那样运行。
在 2.10 版本中更改。
Ansible 2.10 引入了上述 ansible_common_remote_group 回退。如上所述,如果启用,则当 remote_user 和 become_user 都是非特权用户时,将使用它。有关何时发生此回退的详细信息,请参阅上面的文本。
警告
如上所述,如果 ansible_common_remote_group 和 world_readable_temp 都已启用,则全局可读的回退不太可能触发,但 Ansible 仍然可能无法访问模块文件。这是因为在组所有权更改成功后,Ansible 不会进一步回退,也不会进行任何检查以确保 become_user 实际上是“公共组”的成员。这是一个设计决策,原因是为了执行这样的检查,需要与远程机器进行另一轮往返连接,这是一个耗时的操作。但是,Ansible 在这种情况下会发出警告。
并非所有连接插件都支持
特权提升方法还必须受所使用的连接插件支持。大多数连接插件会在不支持 become 时发出警告。有些插件会直接忽略它,因为它们始终以 root 身份运行(jail、chroot 等)。
每个主机只能启用一种方法
方法不能链接。您不能使用 sudo /bin/su - 来成为用户,您需要有权限在 sudo 中以该用户身份运行命令或能够直接 su 到该用户(pbrun、pfexec 或其他支持的方法也是如此)。
特权提升必须是通用的
您不能将特权提升权限限制为某些命令。Ansible 并非总是使用特定命令来执行某些操作,而是从一个每次都会更改的临时文件名运行模块(代码)。如果您有 '/sbin/service' 或 '/bin/chmod' 作为允许的命令,这将无法在 Ansible 中正常工作,因为这些路径与 Ansible 创建的用于运行模块的临时文件不匹配。如果您的安全规则限制您的 sudo/pbrun/doas 环境只能运行特定的命令路径,请从没有此限制的特殊帐户中使用 Ansible,或使用 AWX 或 Red Hat Ansible Automation Platform 来管理对 SSH 凭据的间接访问。
可能无法访问 pamd_systemd 填充的环境变量
对于大多数使用 systemd 作为其 init 的 Linux 发行版,become 使用的默认方法不会打开一个新的“会话”,即 systemd 的意义上的会话。因为 pam_systemd 模块不会完全初始化新会话,因此与通过 ssh 打开的普通会话相比,您可能会遇到意外情况:由 pam_systemd 设置的一些环境变量,最值得注意的是 XDG_RUNTIME_DIR,不会为新用户填充,而是继承或只是清空。
当尝试调用依赖 XDG_RUNTIME_DIR 来访问总线的 systemd 命令时,这可能会导致问题
$ echo $XDG_RUNTIME_DIR
$ systemctl --user status
Failed to connect to bus: Permission denied
要强制 become 打开一个经过 pam_systemd 的新 systemd 会话,您可以使用 become_method: machinectl。
有关更多信息,请参阅此 systemd 问题。
解决临时文件错误消息
“在成为非特权用户时,无法设置 Ansible 需要创建的临时文件的权限”
可以通过安装提供
setfacl命令的软件包来解决此错误。(这通常是acl软件包,但请查看您的操作系统文档。)
Become 和网络自动化
从 2.6 版本开始,Ansible 支持在所有支持 enable 模式的 Ansible 维护的网络平台上使用 become 进行特权提升(进入 enable 模式或特权 EXEC 模式)。在 provider 字典中使用 become 可以替换 authorize 和 auth_pass 选项。
您必须将连接类型设置为 connection: ansible.netcommon.network_cli 或 connection: ansible.netcommon.httpapi 才能在网络设备上使用 become 进行特权提升。有关详细信息,请查看 平台选项文档。
您可以在需要时,仅在特定任务、整个 playbook 或所有 playbook 上使用提升的权限。添加 become: true 和 become_method: enable 指示 Ansible 在执行设置这些参数的任务、play 或 playbook 之前进入 enable 模式。
如果您看到此错误消息,则生成该错误的任务需要 enable 模式才能成功。
Invalid input (privileged mode required)
要为特定任务设置 enable 模式,请在任务级别添加 become。
- name: Gather facts (eos)
arista.eos.eos_facts:
gather_subset:
- "!hardware"
become: true
become_method: enable
要为单个 play 中的所有任务设置 enable 模式,请在 play 级别添加 become。
- hosts: eos-switches
become: true
become_method: enable
tasks:
- name: Gather facts (eos)
arista.eos.eos_facts:
gather_subset:
- "!hardware"
为所有任务设置 enable 模式
通常,您希望所有 play 中的所有任务都使用特权模式运行,这最好通过使用 group_vars 来实现。
group_vars/eos.yml
ansible_connection: ansible.netcommon.network_cli
ansible_network_os: arista.eos.eos
ansible_user: myuser
ansible_become: true
ansible_become_method: enable
enable 模式的密码
如果您需要密码才能进入 enable 模式,您可以通过以下两种方式之一指定它:
提供
--ask-become-pass命令行选项。设置
ansible_become_password连接变量。
警告
请注意,密码绝不应以明文形式存储。有关使用 Ansible Vault 加密密码和其他机密的信息,请参阅 Ansible Vault。
Become 和 Windows
自 Ansible 2.3 起,可以通过 runas 方法在 Windows 主机上使用 become。Windows 上的 Become 使用与非 Windows 主机上 become 相同的清单设置和调用参数,因此设置和变量名称与本文档中定义的相同,但 become_user 除外。由于在 Windows 上 become_user 没有合理的默认值,因此在使用 become 时它是必需的。有关详细信息,请参阅 ansible.builtin.runas become 插件。
虽然 become 可以用于承担另一个用户的身份,但它在 Windows 主机上还有其他用途。一个重要的用途是绕过在 WinRM 上运行时施加的一些限制,例如受限的网络委托或访问禁止的系统调用(如 WUA API)。您可以使用与 ansible_user 相同的用户使用 become 来绕过这些限制,并运行通常在 WinRM 会话中无法访问的命令。
注意
在 Windows 上,您不能使用非特权帐户连接并使用 become 来提升您的权限。只有当您的连接帐户已经是目标主机的管理员时,才能使用 Become。
管理权限
Windows 中的许多任务需要管理员权限才能完成。使用 runas become 方法时,Ansible 将尝试使用 become 用户可用的全部权限来运行该模块。如果它未能提升用户令牌,它将继续在执行期间使用受限的令牌。
用户必须具有 SeDebugPrivilege 才能运行具有提升权限的 become 进程。默认情况下,此权限会分配给管理员。如果调试权限不可用,则 become 进程将使用一组有限的权限和组运行。
要确定 Ansible 能够获取的令牌类型,请运行以下任务:
- name: Check my username
ansible.windows.win_whoami:
become: true
输出将类似于以下内容:
ok: [windows] => {
"account": {
"account_name": "vagrant-domain",
"domain_name": "DOMAIN",
"sid": "S-1-5-21-3088887838-4058132883-1884671576-1105",
"type": "User"
},
"authentication_package": "Kerberos",
"changed": false,
"dns_domain_name": "DOMAIN.LOCAL",
"groups": [
{
"account_name": "Administrators",
"attributes": [
"Mandatory",
"Enabled by default",
"Enabled",
"Owner"
],
"domain_name": "BUILTIN",
"sid": "S-1-5-32-544",
"type": "Alias"
},
{
"account_name": "INTERACTIVE",
"attributes": [
"Mandatory",
"Enabled by default",
"Enabled"
],
"domain_name": "NT AUTHORITY",
"sid": "S-1-5-4",
"type": "WellKnownGroup"
},
],
"impersonation_level": "SecurityAnonymous",
"label": {
"account_name": "High Mandatory Level",
"domain_name": "Mandatory Label",
"sid": "S-1-16-12288",
"type": "Label"
},
"login_domain": "DOMAIN",
"login_time": "2018-11-18T20:35:01.9696884+00:00",
"logon_id": 114196830,
"logon_server": "DC01",
"logon_type": "Interactive",
"privileges": {
"SeBackupPrivilege": "disabled",
"SeChangeNotifyPrivilege": "enabled-by-default",
"SeCreateGlobalPrivilege": "enabled-by-default",
"SeCreatePagefilePrivilege": "disabled",
"SeCreateSymbolicLinkPrivilege": "disabled",
"SeDebugPrivilege": "enabled",
"SeDelegateSessionUserImpersonatePrivilege": "disabled",
"SeImpersonatePrivilege": "enabled-by-default",
"SeIncreaseBasePriorityPrivilege": "disabled",
"SeIncreaseQuotaPrivilege": "disabled",
"SeIncreaseWorkingSetPrivilege": "disabled",
"SeLoadDriverPrivilege": "disabled",
"SeManageVolumePrivilege": "disabled",
"SeProfileSingleProcessPrivilege": "disabled",
"SeRemoteShutdownPrivilege": "disabled",
"SeRestorePrivilege": "disabled",
"SeSecurityPrivilege": "disabled",
"SeShutdownPrivilege": "disabled",
"SeSystemEnvironmentPrivilege": "disabled",
"SeSystemProfilePrivilege": "disabled",
"SeSystemtimePrivilege": "disabled",
"SeTakeOwnershipPrivilege": "disabled",
"SeTimeZonePrivilege": "disabled",
"SeUndockPrivilege": "disabled"
},
"rights": [
"SeNetworkLogonRight",
"SeBatchLogonRight",
"SeInteractiveLogonRight",
"SeRemoteInteractiveLogonRight"
],
"token_type": "TokenPrimary",
"upn": "[email protected]",
"user_flags": []
}
在 label 键下,account_name 条目确定用户是否具有管理员权限。以下是可以返回的标签及其代表的含义:
Medium: Ansible 未能获取提升的令牌,并在受限令牌下运行。在模块执行期间,仅可以使用分配给用户的权限的子集,并且该用户没有管理员权限。High: 使用了提升的令牌,并且在模块执行期间可以使用分配给用户的所有权限。System: 使用了NT AUTHORITY\System帐户,并且具有可用的最高级别的权限。
输出还将显示已授予用户的权限列表。当权限值为 disabled 时,该权限会分配给登录令牌,但尚未启用。在大多数情况下,这些权限会在需要时自动启用。
如果在比 2.5 更早版本的 Ansible 上运行或者正常的 runas 提升过程失败,则可以通过以下方式检索提升的令牌:
将
become_user设置为System,它对操作系统具有完全控制权。将
SeTcbPrivilege授予在 WinRM 上与 Ansible 连接的用户。SeTcbPrivilege是一项高级别权限,它授予对操作系统的完全控制权。默认情况下,没有任何用户具有此权限,如果将此权限授予用户或组,则应谨慎操作。有关此权限的更多信息,请参阅 作为操作系统的一部分进行操作。您可以使用以下任务在 Windows 主机上设置此权限:- name: grant the ansible user the SeTcbPrivilege right ansible.windows.win_user_right: name: SeTcbPrivilege users: '{{ansible_user}}' action: add
在尝试成为用户之前,请关闭主机上的 UAC 并重新启动。UAC 是一种安全协议,旨在以
最低权限原则运行帐户。您可以通过运行以下任务来关闭 UAC:- name: turn UAC off win_regedit: path: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system name: EnableLUA data: 0 type: dword state: present register: uac_result - name: reboot after disabling UAC win_reboot: when: uac_result is changed
注意
授予 SeTcbPrivilege 或关闭 UAC 可能会导致 Windows 安全漏洞,如果采取这些步骤,应谨慎操作。
本地服务帐户
在 Ansible 2.5 版本之前,become 仅适用于 Windows 中的本地或域用户帐户。在这些较旧版本中,像 System 或 NetworkService 这样的本地服务帐户不能用作 become_user。自 Ansible 2.5 版本发布以来,此限制已被解除。可以在 become_user 下设置的三个服务帐户是:
System
NetworkService
LocalService
由于本地服务帐户没有密码,因此不需要 ansible_become_password 参数,如果指定了该参数,则会被忽略。
在不设置密码的情况下使用 Become
自 Ansible 2.8 起,可以使用 become 成为 Windows 本地或域帐户,而无需该帐户的密码。为了使此方法起作用,必须满足以下要求:
连接用户已分配了
SeDebugPrivilege权限。连接用户是
BUILTIN\Administrators组的成员。become_user具有SeBatchLogonRight或SeNetworkLogonRight用户权限。
在不使用密码的情况下使用 become 可以通过以下两种不同的方法之一实现:
如果帐户已登录,则复制现有登录会话的令牌。
使用 S4U 生成仅在远程主机上有效的登录令牌。
在第一种情况下,become 进程是从该用户帐户的另一个登录派生的。这可能是现有的 RDP 登录、控制台登录,但这不能保证始终发生。这类似于计划任务的 仅在用户登录时运行 选项。
如果目标账户的另一个登录会话不存在,则会使用 S4U 创建一个新的登录会话,并通过该会话运行模块。这类似于计划任务中“无论用户是否已登录”的“运行”选项,并勾选了“不存储密码”。在这种情况下,become 进程将无法像正常的 WinRM 进程那样访问任何网络资源。
为了区分不使用密码的 become 和成为一个没有密码的账户,请确保 ansible_become_password 未定义或设置为 ansible_become_password:。
注意
由于无法保证 Ansible 运行时用户是否存在现有的令牌,因此 become 进程很可能只能访问本地资源。如果任务需要访问网络资源,请使用带密码的 become。
没有密码的账户
警告
作为一般的安全最佳实践,您应该避免允许没有密码的账户。
Ansible 可以用来成为一个没有密码的 Windows 账户(例如 Guest 账户)。要成为一个没有密码的账户,请像正常情况下那样设置变量,但将 ansible_become_password: '' 设置为空字符串。
在 become 可以在这样的账户上工作之前,必须禁用本地策略账户:限制本地账户使用空白密码仅用于控制台登录。这可以通过组策略对象 (GPO) 或使用此 Ansible 任务来完成
- name: allow blank password on become
ansible.windows.win_regedit:
path: HKLM:\SYSTEM\CurrentControlSet\Control\Lsa
name: LimitBlankPasswordUse
data: 0
type: dword
state: present
注意
这仅适用于没有密码的账户。如果 become_user 有密码,您仍然需要在 ansible_become_password 下设置账户的密码。
Windows 的 Become 标志
Ansible 2.5 为 runas become 方法添加了 become_flags 参数。可以使用 become_flags 任务指令设置此参数,也可以使用 ansible_become_flags 在 Ansible 的配置中设置。此参数最初支持的两个有效值是 logon_type 和 logon_flags。
注意
这些标志只应在成为普通用户账户时设置,而不应在成为 LocalSystem 等本地服务账户时设置。
键 logon_type 设置要执行的登录操作的类型。该值可以设置为以下之一
interactive:默认的登录类型。该进程将在与本地运行进程时相同的上下文中运行。这绕过了所有 WinRM 限制,是推荐使用的方法。batch:在批处理上下文中运行进程,类似于设置了密码的计划任务。这应该绕过大多数 WinRM 限制,并且如果become_user不允许以交互方式登录,则非常有用。new_credentials:以调用用户的相同凭据运行,但出站连接在become_user和become_password的上下文中运行,类似于runas.exe /netonly。logon_flags标志也应设置为netcredentials_only。如果进程需要使用不同的凭据访问网络资源(例如 SMB 共享),请使用此标志。network:在没有任何缓存凭据的网络上下文中运行进程。这导致与运行不带凭据委派的普通 WinRM 进程相同的登录会话类型,并在相同的限制下运行。network_cleartext:类似于network登录类型,但会缓存凭据,以便它可以访问网络资源。这与运行带有凭据委派的普通 WinRM 进程的登录会话类型相同。
有关详细信息,请参阅 dwLogonType。
logon_flags 键指定 Windows 在创建新进程时如何登录用户。该值可以设置为 none 或以下多个值
with_profile:默认设置的登录标志。该进程会将用户的配置文件加载到HKEY_USERS注册表项中,并映射到HKEY_CURRENT_USER。netcredentials_only:该进程将使用与调用者相同的令牌,但在访问远程资源时将使用become_user和become_password。这在没有信任关系的域间场景中非常有用,并且应与new_credentialslogon_type一起使用。
默认情况下,设置了 logon_flags=with_profile,如果不应加载配置文件,请设置 logon_flags=;如果应使用 netcredentials_only 加载配置文件,请设置 logon_flags=with_profile,netcredentials_only。
有关详细信息,请参阅 dwLogonFlags。
以下是一些如何在 Windows 任务中使用 become_flags 的示例
- name: copy a file from a fileshare with custom credentials
ansible.windows.win_copy:
src: \\server\share\data\file.txt
dest: C:\temp\file.txt
remote_src: true
vars:
ansible_become: true
ansible_become_method: runas
ansible_become_user: DOMAIN\user
ansible_become_password: Password01
ansible_become_flags: logon_type=new_credentials logon_flags=netcredentials_only
- name: run a command under a batch logon
ansible.windows.win_whoami:
become: true
become_flags: logon_type=batch
- name: run a command and not load the user profile
ansible.windows.win_whomai:
become: true
become_flags: logon_flags=
Windows 上 become 的限制
在 Windows Server 2008、2008 R2 和 Windows 7 上,只有在使用 Ansible 2.7 或更高版本时,才能使用
async和become运行任务。默认情况下,become 用户以交互式会话登录,因此它必须有权在 Windows 主机上执行此操作。如果它没有继承
SeAllowLogOnLocally权限或继承了SeDenyLogOnLocally权限,则 become 进程将失败。可以添加权限或设置logon_type标志以更改使用的登录类型。在 Ansible 2.3 版本之前,只有当
ansible_winrm_transport为basic或credssp时,become 才能工作。自 Ansible 2.4 版本以来,除了 Windows Server 2008(非 R2 版本)以外的所有主机都取消了此限制。必须运行 Secondary Logon 服务
seclogon才能使用ansible_become_method: runas连接用户必须已经是 Windows 主机上的管理员才能使用
runas。但目标 become 用户不需要是管理员。
另请参阅
- 沟通
有疑问?需要帮助?想分享您的想法?请访问 Ansible 沟通指南