Я ищу способ надежно обрабатывать пароли в анзибле. В принципе, я бы не хотел вводить свой пароль каждый раз, когда на удаленном компьютере требуется доступ root или администратора, но сохраняю некоторое подобие безопасности (я знаю, что любое решение немного снизит безопасность, но это хороший компромисс при выполнении большого количества работы по разработке ).
Что-то вроде ssh-agent было бы идеально, где я могу ввести свой пароль один раз (при начале работы разработчика или при входе в систему), а затем он не будет запрашивать снова, пока я остаюсь в системе. В идеале решение поддерживало бы как Linux, так и Windows.
Я знаю, что могу установить ansible_password в файле конфигурации или установите NOPASSWD на машинах Linux, но ни один из этих параметров не является очень безопасным, и последний не работает для Windows.
Может быть, какое-то зашифрованное хранилище, которое можно один раз расшифровать и сохранить в безопасном месте в памяти, к которому может получить доступ ansible?
Большая часть ваших секретных данных должна быть зашифрована с помощью доступное хранилище. Затем вы просто указываете пароль хранилища при запуске.
Поскольку вы не хотите вводить пароль при каждом запуске, если вы посмотрите, вы можете найти несколько примеров, которые вы можете найти в Интернете о том, как это сделать, но вы можете в основном установить vault_password_file = в вашем ansible.cfg, чтобы указать на скрипт. В этом сценарии вы можете использовать агент GPG для временного хранения учетных данных вашего хранилища на время.