Телеграмм чат группы saltstack страница 754

2020 February 25

n

{% for user, args in pillar.get('users', {}).items() %}
{{user}}:
  user.present:
    - fullname: {{ args['fullname'] }}
    - home: {{ args['home'] }}
    - shell: /bin/bash

{{user}}_key:
  ssh_auth.present:
    - user: {{user}}
    - names:
      {% for key in args['ssh-keys'] %}
      - {{ key }}
      {% endfor %}

{% for user, args in pillar.get('ops-team', {}).items() %}
{{user}}_root_key:
  ssh_auth.present:
    - user: root
    - names:
      {% for key in args['ssh-keys'] %}
      - {{ key }}
      {% endfor %}
{% endfor %}
{% endfor %}

{% for user, args in pillar.get('fired', {}).items() %}
{{user}}:
  user.absent: []
  group.absent: []
{% if args['ssh-keys'] %}
{{user}}_root_key:
  ssh_auth.absent:
    - user: root
    - user: {{user}}
{% endif %}
{% endfor %}

источник

15:54пожаловаться #1

n

n3 in Saltstack

Обгадился с разметкой, простите. Итак, по моей логике: в пилларах лежат team*.sls ops-team.sls, fired.sls

источник

15:55пожаловаться #2

n

n3 in Saltstack

users:
  v.pupkin:
    fullname: Vasya Pupkin
    home: /home/v.pupkin/
    group: admins
    ssh-keys:
        - ssh-rsa

источник

15:58пожаловаться #3

n

n3 in Saltstack

Пример пиллара.

источник

15:58пожаловаться #4

n

n3 in Saltstack

Я не понимаю (да, именно так, туго догоняю):
1) Я хочу сделать отдельный стэйт типа givesudo.sls чтобы напрямую обращаться к структуре пиллара, брать его аргументы, и временно давать судо на хосте, потом альтернативно отнимать.
2) Как разрулить грэйнсами всех пользаков, которых нет в пилларах. Мне нужно удалять с машин ВСЕХ не валидных (вот тут уже может у кого-то есть решение), уровня, выпиливать из файла судоерс.

источник

16:01пожаловаться #5

n

n3 in Saltstack

Одним словом, втупую разлить пользаков угукая как мартышка на ансибле я могу. Я вот в офигительные конструкции с грамотным подходом - не получается, хотя и пытаюсь. Буду очень признателен за помощь

источник

16:03пожаловаться #6

R

Roman in Saltstack

1) - не видать вопроса, есть только утверждение :)
2) afaik возможности "удалить всех кроме [здесь список]" нельзя используя Солт.
Если судоерс в виде одного файла - то просто надо генерить этот файл каждый раз на основе данных из пилларов и автоматически все кто был исключен.

источник

16:10пожаловаться #7

B

Bandikoot in Saltstack

проще на каждого создавать /etc/sudoers.d/<username>.conf

источник

16:15пожаловаться #8

n

n3 in Saltstack

Пардон, в первом пункте, мне интересно, как джинджей докопаться до нужной мне сущности. Я бы с радостью делал (иногда нужно) только для одного пользака. но я не могу к нему обратиться сквозь пиллар. проще говоря я могу так : salt 'host' pillar.keys users - и он вернёт мне всю пачку, но я не могу так: salt 'host' pillar.keys users.ops-team.username

источник

16:17пожаловаться #9

n

n3 in Saltstack

Bandikoot

проще на каждого создавать /etc/sudoers.d/<username>.conf

Создать можно, мне важно контролировать. Чтобы никто не рисовал себе левых пользаков, нужно чтобы всех отсутствующих в пилларе - убивало. Иначе, ну, сами понимаете

источник

16:19пожаловаться #10

R

Roman in Saltstack

n3

Создать можно, мне важно контролировать. Чтобы никто не рисовал себе левых пользаков, нужно чтобы всех отсутствующих в пилларе - убивало. Иначе, ну, сами понимаете

солт не про это

источник

16:21пожаловаться #11

R

Roman in Saltstack

n3

Пардон, в первом пункте, мне интересно, как джинджей докопаться до нужной мне сущности. Я бы с радостью делал (иногда нужно) только для одного пользака. но я не могу к нему обратиться сквозь пиллар. проще говоря я могу так : salt 'host' pillar.keys users - и он вернёт мне всю пачку, но я не могу так: salt 'host' pillar.keys users.ops-team.username

по умолчанию в солте разделитель двоеточие, так что обратился к нужному ключу в пилларах можно так

pillar.get('users:ops-team:username')

В остальном я не понял идею, создавать отдельный стейт для одного пользователя, но при этом брать данные из пилларов? Зачем?

источник

16:35пожаловаться #12

R

Roman in Saltstack

Bandikoot

проще на каждого создавать /etc/sudoers.d/<username>.conf

Так красивее (я так и делаю например), но в таком случае сложнее удалять старые записи, в случае с одним файлом достаточно выпилить из пилларов элементы и при генерации из шаблона они из конфига так же будут удалены. Если же использовать отдельные файлы то сложнее - надо либо очищать директорию и затем создавать новые файлы в соответствии с данными из пилларов либо в пилларах непременно надо иметь записи помеченные как absent, но даже в этом случае могут остаться левые файлы. Так что по сути единственный надежный вариант - очищать директорию и затем создавать все заново. И так каждый раз, а это уже совсем не красиво.

источник

16:40пожаловаться #13

GG

George Gaál in Saltstack

Roman

1) - не видать вопроса, есть только утверждение :)
2) afaik возможности "удалить всех кроме [здесь список]" нельзя используя Солт.
Если судоерс в виде одного файла - то просто надо генерить этот файл каждый раз на основе данных из пилларов и автоматически все кто был исключен.

2) можно

источник

16:42пожаловаться #14

n

n3 in Saltstack

Идея такая, что время от времени кого-то из разработчиков нужно закинуть на хост с правами судо. В рядовой ситуации ему там делать совсем нечего, его туда и разливать не надо, а вот в виде исключения - да.

источник

16:43пожаловаться #15

GG

George Gaál in Saltstack

Bandikoot

проще на каждого создавать /etc/sudoers.d/<username>.conf

+

источник

16:43пожаловаться #16

B

Bandikoot in Saltstack

Roman

Так красивее (я так и делаю например), но в таком случае сложнее удалять старые записи, в случае с одним файлом достаточно выпилить из пилларов элементы и при генерации из шаблона они из конфига так же будут удалены. Если же использовать отдельные файлы то сложнее - надо либо очищать директорию и затем создавать новые файлы в соответствии с данными из пилларов либо в пилларах непременно надо иметь записи помеченные как absent, но даже в этом случае могут остаться левые файлы. Так что по сути единственный надежный вариант - очищать директорию и затем создавать все заново. И так каждый раз, а это уже совсем не красиво.

- при наличии юзера в пилларе absent можно удостоверяться, что соотв. файл в sudoers.d отсутствует
- солт же вроде умненький и при

  file.directory:
    - clean: True

не пересоздаёт файлы каждый раз

источник

16:43пожаловаться #17

GG

George Gaál in Saltstack

Roman

Так красивее (я так и делаю например), но в таком случае сложнее удалять старые записи, в случае с одним файлом достаточно выпилить из пилларов элементы и при генерации из шаблона они из конфига так же будут удалены. Если же использовать отдельные файлы то сложнее - надо либо очищать директорию и затем создавать новые файлы в соответствии с данными из пилларов либо в пилларах непременно надо иметь записи помеченные как absent, но даже в этом случае могут остаться левые файлы. Так что по сути единственный надежный вариант - очищать директорию и затем создавать все заново. И так каждый раз, а это уже совсем не красиво.

Очищать директорию каждый раз это фу

источник

16:44пожаловаться #18

GG

George Gaál in Saltstack

Bandikoot

- при наличии юзера в пилларе absent можно удостоверяться, что соотв. файл в sudoers.d отсутствует
- солт же вроде умненький и при

  file.directory:
    - clean: True

не пересоздаёт файлы каждый раз

+

источник

16:44пожаловаться #19

n

n3 in Saltstack

У меня видимо неправильная схема пиллара и такое: raise KeyError("Pillar key not found: {0}".format(key))
KeyError: 'Pillar key not found: users:ops-team:username

источник

16:44пожаловаться #20