プレーンテキスト版ではなく、ansible_become_passのSHA値を格納域に格納することはできますか?安全なパスワードにSHAパスワードを使用
私の主な使用例は、sudoユーザーをセットアップするために必要なSHA値をすでに持っていることです。同じSHA値を使用してansible_become_passを設定します。これまでのところansible_become_passはプレーンテキストのパスワードしか受け入れていないようです。
これは、ボールト内の2つの異なる方法で同じパスワードを指定するというわずかな不具合を回避します。
plain_beam_passのSHA値をプレーンテキスト版ではなく格納域に格納することはできますか?
いいえ!もちろん、あなたはできません。
ansible_become_passは、他のユーザーに代わってsudoで実行されるアクションを認証するために、ターゲット・オペレーティング・システムにAnsibleが提供するパスワードです。
パスワードを使用する代わりにパスワードハッシュを入力することで、どのシステムにもログインすることはできません。
ハッシュ(一方向性関数)を使用することの全ポイントは、それが侵害されたとしても認証(パスワード検索)に使用できないことです。
[]ボールト内の2つの異なる方法で同じパスワードを指定するのわずかなその場しのぎを避けます。
password_hash filterを使用すると、パスワードのハッシュを取得できます。プレーンテキストのパスワードとともにハッシュ値を保存する必要はありません。
---
- hosts: localhost
gather_facts: no
connection: local
vars:
plain_text_password: secret
tasks:
- debug:
msg: "{{ plain_text_password | password_hash }}"
- debug:
msg: "{{ plain_text_password | password_hash('sha256') }}"