Ansible - MFA ile Bastion Üzerinden Erişim

9

Mevcut ortamımda, tüm Linux sunucularıma yalnızca MFA'nın etkin olduğu bir bastion ana bilgisayarından erişebiliyorum.

Ansible'ı bastion aracılığıyla sunucularla başarılı bir şekilde konuşmayı başardım, tek sorun, her ana bilgisayar için bastion'a yeni bir bağlantı kurması, yani sunucularım kadar çok MFA anahtarı girmek zorunda olduğum. Zor zamanlar. :(

Çoklama çalışmayı denemek için benim ssh config böyle şeyler ile uğraşmayı denedim:

Host bastion
  ControlMaster auto
  ControlPath ~/.ssh/ansible-%r@%h:%p
  ControlPersist 5m

Ne yazık ki öyle görünmüyor. Herkes Ansible dokunduğu her ev sahibi için benim bastion ev sahibi üzerinden bağlantısını yeniden kurmayı nasıl durdurabilir bazı ipuçları var?

Teşekkürler!

ansible  configuration-management  two-factor  bastion 
Paul Kirby
kaynak
Muhtemelen zaten sizin için gerçekleşti, ancak ... Bastion barındırıcınız sadece paket yönlendirmeden ziyade düzenli giriş erişimine izin veriyorsa ve ansible yapılandırmanız büyük miktarda dosya içermiyorsa, yapılandırmanızı doğrudan bastion'dan çalıştırmayı deneyebilirsiniz .
Parthian Shot
Tablonun ana bilgisayarından olması gerekmez, ancak aynı ortamdaki herhangi bir ana bilgisayar olabilir. Ansible kontrol ana bilgisayarlarımız var. Bu, kullanıcıların garip Ansible yapılandırmasına veya desteklenmeyen Ansible sürümüne sahip olmamasını sağlar. Ayrıca bu, playbook hızını çok artırır.
udondan
(MFA nedir bilmiyorum) İş ForwardAgentistasyonunuzun ssh yapılandırmasında (bastion değil) etkinleştirdiniz mi
Baptiste Mille-Mathias

Yanıtlar:

1

Ansible'ı bir burç ev sahibi ile çalıştırmayla ilgili bu blog yazısını tökezledim .

Görünüşe göre, bastion host'u kontrol hostuna eklemeniz gerekiyor ssh_config:

Host 10.10.10.*
  ProxyCommand ssh -W %h:%p bastion.example.com
  IdentityFile ~/.ssh/private_key.pem

Host bastion.example.com
  Hostname bastion.example.com
  User ubuntu
  IdentityFile ~/.ssh/private_key.pem
  ControlMaster auto
  ControlPath ~/.ssh/ansible-%r@%h:%p
  ControlPersist 5m

Edit ssh_argsin ansible.cfg:

[ssh_connection]
ssh_args = -F ./ssh.cfg -o ControlMaster=auto -o ControlPersist=30m control_path = ~/.ssh/ansible-%%r@%%h:%%p

Bu bastion, yapılandırmanın bir kısmını kapsamalıdır . For MFAparçası bunda bazı kullanıcı github sorunu buna 'yanıtlayıcı bir SSH oturumu kullanmak mümkündür iddiaları yanıtlayıcı' dışında açıldı.

2FA olan ana bilgisayara ilk bağlantıyı açın, sonra başka bir pencerede aşağıdaki gibi bir şey çalıştırın:

ansible-playbook thing.yml --ssh-common-args='-o ControlPath=~/.ssh/connshare'

Elimizde bir bastion host kurulumu yok, ancak bu stratejinin denemeye değer olduğunu düşünüyorum.

Henrik Pingel
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.