管理用户基于密钥的 SSH 访问 · Puppet 2.7 Cookbook 中文版

### 管理用户基于密钥的 SSH 访问唯一安全的服务器是关闭的。尽管如此，对于服务器访问控制的一个好方法是，使用经过私钥短语保护的 SSH 密钥的用户帐户，而不是多个用户使用一个共享账号和一个众所周知的口令。 Puppet 使这种管理变得简单，感谢其内置的 ssh_authorized_key 类型。将它与上一节讲述的虚拟用户相结合，你可以创建一个包括 user 和 ssh_authorized_key 的 define。对于需要添加自定义文件和其他每用户自己的资源时，这也会是有用的。 #### 操作步骤 1. 对上一节创建的 user::virtual 类做如下修改： ``` class user::virtual { define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } } ``` 2. 在一个节点上包含如下代码： ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 3. 运行 Puppet： ``` # puppet agent --test info: Retrieving plugin info: Caching catalog for cookbook.bitfieldconsulting.com info: Applying configuration version '1305561740' notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ User[phil]/ensure: created notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ Ssh_authorized_key[phil_key]/ensure: created notice: Finished catalog run in 1.04 seconds ``` #### 工作原理我们创建了一个名为 ssh_user 的 define，它包括用户自身的 user 资源以及与其相关的 ssh_authorized_key 资源，内容如下： ``` define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } ``` 然后我们对用户 phil 创建了 ssh_user 的一个虚拟资源实例： ``` @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } ``` 回顾一下，因为资源是虚拟的，Puppet 会意识到这一点，所以它不会创建任何实际的资源，直到你调用 realize 时才真正创建。最后，我们在节点中添加了如下代码： ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 这会实际创建 user 资源以及包含其公钥的 authorized_keys 资源。 #### 更多用法可以将这种思想应用到上一节提及的 “组织用户到组的类” 中，修改相应类的代码为： ``` class user::sysadmins { search User::Virtual realize( Ssh_user["john"], Ssh_user["graham"] ) } ``` 使用 search User::Virtual 的目的仅仅是为了避免杂乱，这允许你直接引用 Ssh_user，而不用每次都要使用 User::Virtual:: 前缀。另外，你可能会遭遇如下的错误： ``` err: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[graham]/Ssh_ authorized_key[graham_key]: Could not evaluate: No such file or directory - /home/graham/.ssh ``` 这或许是因为你之前已经创建过 graham 用户，但没有使用 Puppet 管理其自家目录。这种情况下，Puppet 不会自动创建 authorized_keys 文件所需的 .ssh 目录。运行如下的命令： ``` # userdel graham ``` 之后再次运行 Puppet 即可解决此问题。