ssh_authorized_key
リソースを使用する代わりにauthorized_keys
、1人のユーザーのすべてのSSHキーのリストを取得するリソースを定義することにしました。定義は次のようになります。
define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
# This line allows default homedir based on $title variable.
# If $home is empty, the default is used.
$homedir = $home ? {'' => "/home/${title}", default => $home}
file {
"${homedir}/.ssh":
ensure => "directory",
owner => $title,
group => $title,
mode => 700,
require => User[$title];
"${homedir}/.ssh/authorized_keys":
ensure => $ensure,
owner => $ensure ? {'present' => $title, default => undef },
group => $ensure ? {'present' => $title, default => undef },
mode => 600,
require => File["${homedir}/.ssh"],
content => template("authorized_keys.erb");
}
}
$ssh_keys
パラメータは、必要なすべてのキーをリストとして受け取ります。authorized_keys.erb
テンプレートは次のようになります。
# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>
使用法
user {'mikko':
...
}
authorized_keys {'mikko':
sshkeys => [
'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
],
}
Puppetのおかげで、条件付きで(たとえば、異なるクラスで)SSHキーを追加するのも簡単です +>
オペレーターのです。
Authorized_keys <| title == 'mikko' |> {
sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}
このメソッドを使用すると、ユーザーはPuppet設定で明示的に指定されていないキーを持つことはありません。キー文字列はそのままauthorized_keysで使用されるため、オプションと制限を追加するのは簡単です。
他の人がこの方法をうまく使っているかどうか聞いてうれしいです!