1 votos

Modificación de pam con Ansible

Como parte de una nueva instalación de servidor, me provisión /etc/security/access.conf con usuario/grupo y src direcciones IP de los inicios de sesión ssh. Esto requiere habilitar pam_access en la /etc/pam.d/login y /etc/pam.d/sshd archivos (en Ubuntu, de todos modos)

Se parece Ansible tiene un módulo para la modificación de algunas de estas reglas, pero no puedo conseguir que funcione. Una estipulación de los módulos es: "para que una PAM regla para ser modificado, el tipo, el control y la module_path debe coincidir con una regla existente." ¿Eso significa que si una regla está comentado, el pamd módulo no funcionará para permitir que la línea?

Este es mi actual playbook. He probado la eliminación de la with_items línea en la tarea y el uso de login de la name: parámetro, pero que parece que no funciona bien:

---
- hosts: all
  gather_facts: False
  tasks:
    - name: modify pam_access in /etc/pam.d for sshd and login
      pamd:
        name   : "{{ item }}"
        type   : account
        control: required
        module_path: pam_access.so
      with_items:
        - login
        - sshd

Y este el resultado de la ejecución. No, no me dan mucho para ir en:

$ ansible-playbook tests/pam-access.yml -i 192.168.24.66,                                                             
SUDO password: 

PLAY [all] ***********************************************************************************************************

TASK [modify pam_access in /etc/pam.d for sshd and login] ************************************************************
ok: [192.168.24.66] => (item=login)
failed: [192.168.24.66] (item=sshd) => {"changed": false, "item": "sshd", "module_stderr": "Shared connection to 192.168.24.66 closed.\r\n", "module_stdout": "\r\nTraceback (most recent call last):\r\n  File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 691, in <module>\r\n    main()\r\n  File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 645, in main\r\n    pamd.load_rules_from_file()\r\n  File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 361, in load_rules_from_file\r\n    self.load_rules_from_string(stringline.replace(\"\\\\\\n\", \"\"))\r\n  File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 380, in load_rules_from_string\r\n    self.rules.append(PamdRule.rulefromstring(stringline))\r\n  File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 312, in rulefromstring\r\n    rule_type = result.group(1)\r\nAttributeError: 'NoneType' object has no attribute 'group'\r\n", "msg": "MODULE FAILURE", "rc": 1}

PLAY RECAP ***********************************************************************************************************
192.168.24.66              : ok=0    changed=0    unreachable=0    failed=1   

0voto

rizidoro Puntos 1993
<p>Terminó yendo con <code></code> . Si alguien tiene una mejor solución, le encantaría verlo.<pre><code></code></pre></p>

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: