Como alternar um usuário por tarefa ou conjunto de tarefas?

Um tema recorrente que está nos meus playbooks ansíveis é que muitas vezes devo executar um comando com privilégios sudo ( sudo: yes) porque gostaria de fazê-lo para um determinado usuário. Idealmente, prefiro usar o sudo para alternar para esse usuário e executar os comandos normalmente. Porque então não precisarei limpar meus comandos de postagem habituais, como diretórios de chowning. Aqui está um trecho de um dos meus playbooks:

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  sudo: yes
- name: change perms
  file: dest={{ dst }} state=directory mode=0755 owner=some_user
  sudo: yes

Idealmente, eu poderia executar comandos ou conjuntos de comandos como um usuário diferente, mesmo que exija que o sudo su para esse usuário.

Com Ansible 1.9 ou posterior

Usos o ansible become, become_user, e become_methoddirectivas para alcançar escalação de privilégios. Você pode aplicá-los a uma play ou playbook inteira, configurá-los em um playbook incluído ou configurá-los para uma tarefa específica.

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  become: yes
  become_user: some_user

Você pode usar become_withpara especificar como a escalação de privilégios é alcançada, sendo o padrão sudo.

A diretiva está em vigor para o escopo do bloco em que é usado ( exemplos ).

Consulte Hosts e Usuários para obter alguns exemplos adicionais e Tornar - se (Escalonamento de Privilégios) para obter uma documentação mais detalhada.

Além do escopo da tarefa becomeebecome_user diretivas , o Ansible 1.9 adicionou algumas novas variáveis ​​e opções de linha de comando para definir esses valores pela duração de uma reprodução na ausência de diretivas explícitas:

• Opções de linha de comando para o equivalente become/become_user diretivas.
• Variáveis ​​específicas de conexão que podem ser definidas por host ou grupo.

No Ansible 2.0.2.0, os mais antigos sudo / sudo_usersintaxe descrita abaixo ainda funciona, mas os estados Aviso depreciação, "Este recurso será removido em uma versão futura."

Sintaxe anterior, descontinuada a partir do Ansible 1.9 e agendada para remoção:

- name: checkout repo
  git: repo=https://github.com/some/repo.git version=master dest={{ dst }}
  sudo: yes
  sudo_user: some_user

No Ansible 2.x, você pode usar o blockgrupo de tarefas:

- block:
    - name: checkout repo
      git:
        repo: https://github.com/some/repo.git
        version: master
        dest: "{{ dst }}"
    - name: change perms
      file:
      dest: "{{ dst }}"
      state: directory
      mode: 0755
      owner: some_user
  become: yes
  become_user: some user

No Ansible> 1.4, você pode realmente especificar um usuário remoto no nível da tarefa, o que deve permitir que você efetue login como usuário e execute esse comando sem recorrer ao sudo. Se você não conseguir fazer o login como esse usuário, a solução sudo_user também funcionará.

---
- hosts: webservers
  remote_user: root
  tasks:
    - name: test connection
      ping:
      remote_user: yourname

Consulte http://docs.ansible.com/playbooks_intro.html#hosts-and-users

Uma solução é usar a includeinstrução com remote_uservar (descreva lá: http://docs.ansible.com/playbooks_roles.html ), mas isso deve ser feito no playbook em vez de no nível da tarefa.

Você pode especificar become_methodpara substituir o método padrão definido em ansible.cfg(se houver) e qual pode ser definido como um dos sudo, su, pbrun, pfexec, doas, dzdo, ksu.

- name: I am confused
  command: 'whoami'
  become: true
  become_method: su
  become_user: some_user
  register: myidentity

- name: my secret identity
  debug:
    msg: '{{ myidentity.stdout }}'

Deve exibir

TASK [my-task : my secret identity] ************************************************************
ok: [my_ansible_server] => {
    "msg": "some_user"
}