ansible.builtin.password 查找 - 从文件中检索或生成随机密码
注意
此查找插件是 ansible-core 的一部分,包含在所有 Ansible 安装中。在大多数情况下,您可以使用简短的插件名称 password。但是,我们建议您使用 完全限定的集合名称 (FQCN) ansible.builtin.password 以便轻松链接到插件文档并避免与可能具有相同查找插件名称的其他集合冲突。
概述
生成一个随机明文密码并将其存储在给定文件路径的文件中。
如果文件以前存在,它将检索其内容,行为与 with_file 一样。
在文件路径中使用诸如
"{{ inventory_hostname }}"之类的变量可以用于为每个主机设置随机密码,这简化了"host_vars"变量中的密码管理。一个特殊情况是使用 /dev/null 作为路径。password 查找将每次生成一个新的随机密码,但不会将其写入 /dev/null。当您需要密码但不想将其存储在控制器上时,可以使用此方法。
术语
参数 |
注释 |
|---|---|
存储/将要存储密码的文件的路径 |
关键字参数
这描述了查找的关键字参数。这些是在以下示例中的值 key1=value1、key2=value2 等等:lookup('ansible.builtin.password', key1=value1, key2=value2, ...) 和 query('ansible.builtin.password', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
构成生成密码中自定义字符集的名称列表。 此参数定义生成的密码中可能的字符集,而不是必需的字符集。如果您想为密码要求某些字符集,可以使用 community.general.random_string 查找插件。 默认情况下,生成的密码包含大小写 ASCII 字母、数字 0-9 和标点符号 (”. , : - _”) 的随机组合。 它们可以是 Python 字符串模块属性的一部分,也可以是文字表示 ( :, -)。 虽然字符串模块会因 Python 版本而异,但两个主要版本的有效值包括:‘ascii_lowercase’、‘ascii_uppercase’、‘digits’、‘hexdigits’、‘octdigits’、‘printable’、‘punctuation’ 和 ‘whitespace’。 请注意,Python 的 ‘hexdigits’ 包含 a-f 的大小写版本,因此它不是一个好的选择,因为它会使这些值的出现概率加倍,对于不区分大小写的系统,这会扭曲预期的熵。 使用逗号分隔的字符串时,在某个地方使用两个逗号 ‘,,’ 来输入逗号 - 最好是在末尾。不支持引号和双引号。 默认值: |
|
用于加密返回密码的哈希方案,应为 如果未提供,密码将以纯文本形式返回。 请注意,密码始终以纯文本形式存储,只有返回的密码被加密。 加密还强制保存盐值以实现幂等性。 请注意,在 2.6 之前,此选项被错误地标记为布尔值很长时间。 |
|
在使用 该参数仅适用于 其他哈希类型将简单地忽略此参数。 此参数的有效值为: |
|
生成的密码的长度。 默认值: |
|
用于初始化随机数生成器的种子。 相同的种子将产生相同的密码。 将此用于随机但幂等的密码生成。 |
注释
注意
当关键字参数和位置参数一起使用时,位置参数必须列在关键字参数之前:
lookup('ansible.builtin.password', term1, term2, key1=value1, key2=value2)和query('ansible.builtin.password', term1, term2, key1=value1, key2=value2)如果您不需要按主机生成随机密码,则 password 查找插件的一个很好的替代方案是使用 Vault 在剧本中。阅读那里的文档,并考虑首先使用它,它将更适合大多数应用程序。
如果文件已经存在,则不会向其中写入任何数据。如果文件有内容,则会将其内容作为密码读入。空文件会导致密码返回为空字符串。
与所有查找一样,这在 Ansible 主机上运行,作为运行剧本的用户运行,并且“成为”不适用,目标文件必须可由运行剧本的用户读取,或者,如果它不存在,则运行剧本的用户必须具有足够的权限来创建它。(因此,例如,尝试写入 /etc 之类的区域将失败,除非整个剧本以 root 用户身份运行)。
示例
- name: create a mysql user with a random password
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', 'credentials/' + client + '/' + tier + '/' + role + '/mysqlpassword', length=15) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using only ascii letters
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters']) }}"
priv: '{{ client }}_{{ tier }}_{{ role }}.*:ALL'
- name: create a mysql user with an 8 character random password using only digits
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', length=8, chars=['digits']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create a mysql user with a random password using many different char sets
community.mysql.mysql_user:
name: "{{ client }}"
password: "{{ lookup('ansible.builtin.password', '/tmp/passwordfile', chars=['ascii_letters', 'digits', 'punctuation']) }}"
priv: "{{ client }}_{{ tier }}_{{ role }}.*:ALL"
- name: create lowercase 8 character name for Kubernetes pod name
ansible.builtin.set_fact:
random_pod_name: "web-{{ lookup('ansible.builtin.password', '/dev/null', chars=['ascii_lowercase', 'digits'], length=8) }}"
- name: create random but idempotent password
ansible.builtin.set_fact:
password: "{{ lookup('ansible.builtin.password', '/dev/null', seed=inventory_hostname) }}"
返回值
键 |
描述 |
|---|---|
密码 返回:成功 |