❝
大家好!我是一个热衷于分享IT技术的up主。在这个公众号里,我将为大家带来最新、最实用的技术干货,从编程语言到前沿科技,从软件开发到网络安全。希望通过我的分享,能够帮助更多的小伙伴提升技术水平,共同成长!欢迎关注,一起探索科技的魅力吧!
在企业运维环境中,服务器的用户管理是一项基础但非常重要的任务。比如,当有新员工加入时,我们需要在多台服务器上为他们创建账户并分配合适的权限。而当员工离职或岗位发生变化时,我们也需要迅速禁用或删除他们的账户,以避免潜在的安全风险。
如果采用手动方式来完成这些任务,就需要在每台服务器上逐一执行一系列命令,比如 useradd、passwd 和 chage 等,这不仅耗时费力,还容易出现错误。幸运的是,Ansible提供了一个非常方便的 user 模块,可以帮助我们高效地进行批量用户管理,从而确保操作的安全性和一致性。
⚓user模块的核心功能
要了解user模块的详细用法,我们可以使用ansible-doc命令。只需运行以下命令即可查看相关信息:
ansible-doc -s user成功执行上述命令后,会展示如下图的结果:
user模块提供了许多实用的功能,主要包括以下几点:
-
创建或删除用户
-
设置密码
-
指定用户的
UID、GID -
指定用户所属组
-
创建
home目录 -
设定
Shell -
设定
SSH公钥认证
常用参数说明:
|
|
|
|---|---|
name |
|
state |
present(创建用户)或 |
password |
|
uid |
UID |
group |
|
groups |
|
home |
home目录路径 |
shell |
Shell,如 /bin/bash |
create_home |
home目录(默认yes) |
remove |
absent时是否删除 |
expires |
|
⚓实战案例分析
📝案例 1:批量创建开发团队账户
需求:为3名新入职开发人员创建账户,要求:
-
创建主目录
/home/dev_username -
加入
docker、git附加组 -
禁止
SSH密码登录 -
设置初始密码
-name:Createdeveloperaccountshosts:dev_serversbecome:yesvars:developers:-{name:'alice',uid:2001}-{name:'bob',uid:2002}-{name:'charlie',uid:2003}tasks:-name:Createdeveloperusersansible.builtin.user:name:"{{ item.name }}"uid:"{{ item.uid }}"groups:docker,gitappend:yesshell:/bin/bashpassword:"$6$rounds=656000$SAlt1234$XH6X8L8Dz4tdj.7WZ2TvWUDO2w/lk5sABC1234ABCDefgHIJKLmnopqrSTUVWXYZ"generate_ssh_key:yesssh_key_bits:4096create_home:yesloop:"{{ developers }}"❝
关键点说明:
使用
loop实现批量创建
password参数使用python中crypt生成的哈希密文自动生成
4096位RSA密钥对保持默认主组,同时附加到
docker和git组
通过执行如下命令,即可批量创建用户:
ansible-playbook Create_developer_accounts.yml创建成功后可以看到如下图的结果:
📝案例 2:为运维账户配置Sudo权限
创建opsadmin账户并授予免密sudo权限
-name:Configureopsadminhosts:dev_serversbecome:yestasks:-name:Createopsuseransible.builtin.user:name:opsadmingroups:wheelshell:/bin/bashcomment:"Operations Administrator"-name:Configurepasswordlesssudoansible.builtin.lineinfile:path:/etc/sudoersline:'opsadmin ALL=(ALL) NOPASSWD:ALL'validate:'visudo -cf %s'❝
validate: 'visudo -cf %s':
在修改前使用
visudo -cf /etc/sudoers进行语法检查。防止
sudoers文件写错,避免系统无法使用sudo。
ansible-playbook Configure_ops_admin.yml成功执行上述命令后,您将会看到如下图所示的结果:
📝案例3:安全删除离职用户
需求:安全移除已离职员工账户,删除用户但保留主目录。
-name:Removedeprecatedusershosts:dev_serversbecome:yesvars:departed_users:['alice','bob']tasks:-name:Removeuseraccountsansible.builtin.user:name:"{{ item }}"state:absentremove:no# 不删除主目录loop:"{{ departed_users }}"成功执行下面的命令后,会把定义的用户删除,但是会保留删除用户的家目录,如下图所示:
ansible-playbookRemove_deprecated_users.yml
📝案例 4:禁用用户
需求:禁用 charlie账户,但不删除,确保其 home 目录仍然保留。
-name:禁用用户hosts:dev_serversbecome:yestasks:-name:锁定charlie账户ansible.builtin.user:name:charliepassword_lock:yes成功执行如下命令会输入如下图的结果:
ansible-playbook lock_charlie.yml
⚓总结
Ansible的user模块为 Linux 服务器的用户管理提供了强大的自动化能力,可以大幅提升运维效率并减少人为失误。本文通过典型场景展示了以下关键功能:
-
创建批量用户并分配权限
-
为运维账号配置
Sudo权限 -
禁用用户
-
删除用户并保留
home目录
通过这些案例,相信你已经掌握了 user 模块的基本用法,并能在实际工作中灵活应用。希望这篇教程能帮助你更轻松地管理服务器用户,提高运维自动化能力! 🚀
往期 · 推荐
RECRUIT
关注我们
博客 | didiplus.kwpmp.cn
原文始发于微信公众号(攻城狮成长日记):告别手动操作!用Ansible user模块高效管理 Linux账户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论