Zamiast korzystać z ssh_authorized_key
zasobów, postanowiłem zdefiniować authorized_keys
zasób, który pobiera listę wszystkich kluczy SSH dla jednego użytkownika. Definicja wygląda następująco:
define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
# This line allows default homedir based on $title variable.
# If $home is empty, the default is used.
$homedir = $home ? {'' => "/home/${title}", default => $home}
file {
"${homedir}/.ssh":
ensure => "directory",
owner => $title,
group => $title,
mode => 700,
require => User[$title];
"${homedir}/.ssh/authorized_keys":
ensure => $ensure,
owner => $ensure ? {'present' => $title, default => undef },
group => $ensure ? {'present' => $title, default => undef },
mode => 600,
require => File["${homedir}/.ssh"],
content => template("authorized_keys.erb");
}
}
$ssh_keys
parametr przyjmuje wszystkie niezbędne klucze jako listę. authorized_keys.erb
Szablon wygląda tak:
# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>
Stosowanie
user {'mikko':
...
}
authorized_keys {'mikko':
sshkeys => [
'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
],
}
Warunkowe dodawanie kluczy SSH (na przykład w różnych klasach) jest również łatwe dzięki +>
operatorowi Puppet :
Authorized_keys <| title == 'mikko' |> {
sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}
Dzięki tej metodzie użytkownik nigdy nie będzie miał kluczy, które nie są wyraźnie określone w konfiguracji Puppet. Ciąg kluczy jest używany w uprawnionych kluczach tak, jak jest, więc dodawanie opcji i ograniczeń jest banalne.
Z przyjemnością usłyszę, czy inni z powodzeniem zastosowali tę metodę!