Alih-alih menggunakan ssh_authorized_key
sumber daya, saya memutuskan untuk mendefinisikan authorized_keys
sumber daya, yang mengambil daftar semua kunci SSH untuk satu pengguna. Definisinya terlihat seperti ini:
define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
# This line allows default homedir based on $title variable.
# If $home is empty, the default is used.
$homedir = $home ? {'' => "/home/${title}", default => $home}
file {
"${homedir}/.ssh":
ensure => "directory",
owner => $title,
group => $title,
mode => 700,
require => User[$title];
"${homedir}/.ssh/authorized_keys":
ensure => $ensure,
owner => $ensure ? {'present' => $title, default => undef },
group => $ensure ? {'present' => $title, default => undef },
mode => 600,
require => File["${homedir}/.ssh"],
content => template("authorized_keys.erb");
}
}
$ssh_keys
parameter mengambil semua kunci yang diperlukan sebagai daftar. The authorized_keys.erb
Template terlihat seperti ini:
# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>
Pemakaian
user {'mikko':
...
}
authorized_keys {'mikko':
sshkeys => [
'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
],
}
Menambahkan kunci SSH secara kondisional (misalnya di kelas yang berbeda) juga mudah, terima kasih kepada +>
operator Wayang :
Authorized_keys <| title == 'mikko' |> {
sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}
Dengan metode ini, pengguna tidak akan pernah memiliki kunci yang tidak ditentukan secara eksplisit dalam konfigurasi Wayang. Untaian kunci digunakan dalam otor_keys sebagaimana adanya, sehingga menambahkan opsi dan pembatasan sepele.
Saya akan senang mendengar jika orang lain telah menggunakan metode ini dengan sukses!