LINUX.ORG.RU
ФорумAdmin

Разграничение прав на исполнение плейбуков Ansible

 


0

2

Добрый день! Мы используем AnsibleAWX , но в предстоящем будущем нам на предприятии, возможно, запретят использовать OpenSource, а только то, что в госреестре или хотя бы присутствует пакетами в окологосударственных репах, соответственно, перейти на феншуйную строку. Сам ансибл кое-где есть.

При этом оболочка AWX предоставляла разграничение прав на выполнение плейбуков или их flow через гибко настраиваемые роли пользователей.

Отсюда возник вопрос, как разграничить права на выполнение того или иного плейбука/flow, чтобы рядовые админы могли в своих пределах возможного выполнять определенные операции и при этом не видеть содержимого самих плейбуков или тех, которые им не полагается видеть и редактировать. Например, создана цепочка из плейбуков для операций ввода хостов из определенной группы в домен, в AWX они ее могут выполнять, при этом сами плейбуки им не видны.

Возможно ли это в командной строке?

Например, если разграничить доступ с помощью системой безопасности линукс, и написать плейбук, импортирующий другие плейбуки, которые размещены в «запретном» для непривилегированного пользователя каталоге. Боюсь, это не прокатит, да и сам «ансибл.экзе» )) тоже ему должен быть доступен.



Последнее исправление: DrBim (всего исправлений: 1)

Перебирай наименования ПО в разрешенном списке и ищи, из чего с минимальными затратами можно слепить RBAC-обертку над произвольнами скриптами. Готовых решений, типа RunDeck, в этом списке наверняка нет.

В крайнем случае, пиши своё, раз уж выбрал путь страданий :-)

si0 ★★★
()