Ich möchte, dass Puppet kein Passwort verwaltet (dh es zurücksetzt, wenn es geändert wird), sondern das ursprüngliche Passwort festlegt, wenn Puppet den Benutzer erstellt.
Ich habe überlegt notify, eine ExecRessource zu erstellen, die das Kennwort festlegt. Dies wird jedoch ausgelöst, wenn eine von Puppet verwaltete Eigenschaft geändert wird (z. B. Gruppenmitgliedschaft, Basisverzeichnis usw.). Ich möchte das nicht.
Irgendwelche Ideen?
Antworten:
Puppet selbst unterstützt "Kennwort bei Benutzererstellung festlegen, aber nicht anders".
Eine Möglichkeit wäre, eine externe Authentifizierungsquelle wie LDAP einzurichten.
Eine andere Möglichkeit wäre Ihr sein , notifyum eine ExecIdee, aber die , die machen Execein wenig schlauer.
exec {
"/usr/sbin/usermod -p '${password}' ${user}":
onlyif => "/bin/egrep -q '^${user}:[*!]' /etc/shadow",
require => User[$user];
}
Ich habe das nicht getestet, aber wenn Sie überprüfen, ob das Kennwort nicht in der ExecRessource festgelegt wurde, sollten Sie das gewünschte Ergebnis erhalten. Ich denke, so eingerichtet, das notify/ refreshonlyZeug ist nicht notwendig, würde aber wahrscheinlich nicht schaden.
egrep '^${username}:!!:.*:' /etc/shadow
grep -Eq '^${user}:[*!]!?:' /etc/shadow"scheint am portabelsten zu sein und setzt Benutzer mit einem gesperrten Passwort nicht zurück.
!für das Nicht-Passwort-Set verwendet werden. In diesem Fallegrep -q '^${user}:[*!]:' /etc/shadowfunktioniert es besser.