community.general.htpasswd 模块 – 管理用于基本身份验证的用户文件

注意

此模块是 community.general 集合 (版本 10.1.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.general。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求

要在 playbook 中使用它,请指定: community.general.htpasswd

概要

  • 使用 htpasswd 在密码文件中添加和删除用户名/密码条目。

  • 这被诸如 Apache 和 Nginx 之类的 Web 服务器用于基本身份验证。

要求

执行此模块的主机需要以下要求。

  • passlib>=1.6

参数

参数

注释

attributes

别名:attr

字符串

生成的 filesystem 对象应具有的属性。

要获取支持的标志,请查看目标系统上 chattr 的手册页。

此字符串应按 lsattr 显示的相同顺序包含属性。

默认情况下假定使用 = 运算符,否则需要在字符串中包含 +- 运算符。

create

布尔值

state=present 一起使用。如果为 true,则如果文件不存在,则会创建该文件。反之,如果设置为 false 并且文件不存在,则会失败。

选项

  • false

  • true ← (默认)

group

字符串

应拥有 filesystem 对象的组的名称,如同传递给 chown 一样。

如果未指定,它将使用当前用户的当前组,除非您是 root 用户,在这种情况下,它可以保留之前的拥有权。

hash_scheme

别名:crypt_scheme

字符串

要使用的哈希方案。除了这里列出的四个选项外,您还可以使用 passlib 支持的任何其他哈希,例如 portable_apache22host_apache24;或 md5_cryptsha256_crypt,它们是 Linux passwd 哈希。除了以下四个选项外,只有某些方案才能与 Apache 或 Nginx 兼容,并且支持的方案取决于 passlib 版本及其依赖项。

参见 https://passlib.readthedocs.io/en/stable/lib/passlib.apache.html#passlib.apache.HtpasswdFile 参数 default_scheme

一些可用的选项可能包括:apr_md5_cryptdes_cryptldap_sha1plaintext

默认: "apr_md5_crypt"

mode

任意

生成的 filesystem 对象应具有的权限。

对于那些习惯使用 /usr/bin/chmod 的人,请记住模式实际上是八进制数。您必须向 Ansible 提供足够的信息才能正确解析它们。为了获得一致的结果,请引用八进制数(例如,'644''1777'),以便 Ansible 接收到字符串并可以自行将字符串转换为数字。添加前导零(例如,0755)有时有效,但在循环和其他一些情况下可能会失败。

如果为 Ansible 提供一个数字,但不遵循以上任一规则,最终将得到一个小数,这会导致意外的结果。

从 Ansible 1.8 开始,模式可以指定为符号模式(例如,u+rwxu=rw,g=r,o=r)。

如果未指定mode,并且目标文件系统对象**不存在**,则在设置新创建的文件系统对象的模式时,将使用系统上的默认umask

如果未指定mode,并且目标文件系统对象**存在**,则将使用现有文件系统对象的模式。

指定mode 是确保以正确的权限创建文件系统对象的最佳方法。有关更多详细信息,请参阅 CVE-2020-1736。

name

别名:username

字符串 / 必需

要添加或删除的用户名。

owner

字符串

应该拥有文件系统对象的用户名,如同传递给chown一样。

如果未指定,则使用当前用户,除非您是 root 用户,在这种情况下,它可以保留之前的拥有者。

指定数字用户名将被认为是用户 ID 而不是用户名。避免使用数字用户名以避免此混淆。

password

字符串

与用户关联的密码。

如果用户尚不存在,则必须指定。

path

别名:dest, destfile

路径 / 必需

包含用户名和密码的文件的路径。

selevel

字符串

SELinux 文件系统对象上下文中的级别部分。

这是 MLS/MCS 属性,有时称为range

设置为_default时,如果可用,它将使用策略的level部分。

serole

字符串

SELinux 文件系统对象上下文中的角色部分。

设置为_default时,如果可用,它将使用策略的role部分。

setype

字符串

SELinux 文件系统对象上下文中的类型部分。

设置为_default时,如果可用,它将使用策略的type部分。

seuser

字符串

SELinux 文件系统对象上下文中的用户部分。

默认情况下,它使用system策略(如果适用)。

设置为_default时,如果可用,它将使用策略的user部分。

state

字符串

用户条目是否存在。

选项

  • "present" ← (默认)

  • "absent"

unsafe_writes

布尔值

影响何时使用原子操作来防止目标文件系统对象的数据损坏或不一致读取。

默认情况下,此模块使用原子操作来防止目标文件系统对象的数据损坏或不一致读取,但有时系统配置存在问题或已损坏,从而阻止此操作。一个示例是 docker 挂载的文件系统对象,无法从容器内部以原子方式更新,只能以不安全的方式写入。

此选项允许 Ansible 在原子操作失败时回退到不安全的文件系统对象更新方法(但是,它不会强制 Ansible 执行不安全写入)。

重要!不安全写入容易出现竞争条件,并可能导致数据损坏。

选项

  • false ← (默认)

  • true

属性

属性

支持

描述

check_mode

支持:完全支持

可以在check_mode下运行,并在不修改目标的情况下返回更改状态预测。

diff_mode

支持:不支持

在差异模式下,将返回有关已更改内容(或可能需要在check_mode中更改的内容)的详细信息。

备注

注意

  • 此模块依赖于passlib Python 库,需要在所有目标系统上安装。

  • 在 Debian < 11、Ubuntu <= 20.04 或 Fedora 上:安装python-passlib

  • 在 Debian、Ubuntu 上:安装python3-passlib

  • 在 RHEL 或 CentOS 上:启用 EPEL,然后安装python-passlib

示例

- name: Add a user to a password file and ensure permissions are set
  community.general.htpasswd:
    path: /etc/nginx/passwdfile
    name: janedoe
    password: '9s36?;fyNp'
    owner: root
    group: www-data
    mode: 0640

- name: Remove a user from a password file
  community.general.htpasswd:
    path: /etc/apache2/passwdfile
    name: foobar
    state: absent

- name: Add a user to a password file suitable for use by libpam-pwdfile
  community.general.htpasswd:
    path: /etc/mail/passwords
    name: alex
    password: oedu2eGh
    hash_scheme: md5_crypt

作者

  • Ansible 核心团队