ansible笔记（8）：常用模块之系统类模块（二）

ansible笔记（）：常用模块之系统类模块（二）

user模块
user模块可以帮助我们管理远程主机上的用户，比如创建用户、修改用户、删除用户、为用户创建密钥对等操作。

此处我们介绍一些user模块的常用参数，你可以先对这些参数有一个大概了解，然后再看小示例。

name参数：必须参数，用于指定要操作的用户名称，可以使用别名user。

group参数：此参数用于指定用户所在的基本组

gourps参数：此参数用于指定用户所在的附加组，注意，如果说用户已经存在并且已经拥有多个附加组，那么如果想要继续添加新的附加组，需要结合append参数使用，否则在默认情况下，当再次使用groups参数设置附加组时，用户原来的附加组会被覆盖。

append参数：如果用户原本就存在多个附加组，那么当使用groups参数设置附加组时，当前设置会覆盖原来的附加组设置，如果不想覆盖原来的附加组设置，需要结合append参数，将append设置为yes，表示追加附加组到现有的附加组设置，append默认值为no。

shell参数：此参数用于指定用户的默认shell

uid参数：此参数用于指定用户的uid号

expires参数：此参数用于指定用户的过期时间，相当于设置/etc/shadow文件中的的第8列，比如，你想要设置用户的过期日期为2018年12月31日，那么你首先要获取到2018年12月31日的unix时间戳，使用命令"date -d 2018-12-31 +%s"获取到的时间戳为1546185600，所以，当设置expires=1546185600时，表示用户的过期时间为2018年12月31日0点0分，设置成功后，查看远程主机的/etc/shadow文件，对应用户的第八列的值将变成17895（表示1970年1月1日到2018年12月31日的天数，unix时间戳的值会自动转换为天数，我们不用手动的进行换算），目前此参数只支持在Linux和FreeBSD系统中使用。

comment参数：此参数用于指定用户的注释信息

state参数：此参数用于指定用户是否存在于远程主机中，可选值有present、absent，默认值为present，表示用户需要存在，当设置为absent时表示删除用户。

remove参数：当state的值设置为absent时，表示要删除远程主机中的用户，但是在删除用户时，不会删除用户的家目录等信息，这是因为remoove参数的默认值为no，如果设置为yes，在删除用户的同时，会删除用户的家目录，当state=absent并且remove=yes时，相当于执行"userdel --remove"命令

password参数：此参数用于指定用户的密码，但是这个密码不能是明文的密码，而是一个对明文密码"加密后"的字符串，相当于/etc/shadow文件中的密码字段，是一个对明文密码进行哈希后的字符串，你可以在python的命令提示符下输入如下命令，生成明文密码对应的加密字符串。

import crypt; crypt.crypt('')

输入上述命令后，即可得到明文密码666666对应的加密字符串。

update_password参数：此参数有两个值可选，always和on_create，当此参数的值设置为always时表示，如果password参数设置的值与用户当前的加密过的密码字符串不一致，则直接更新用户的密码，默认值即为always，但是当此参数设置为on_create时，如果password参数设置的值与用户当前的加密过的密码字符串不一致，则不会更新用户的密码字符串，保持之前的密码设定，如果是新创建的用户，即使此参数设置为on_create，也会将用户的密码设置为password参数对应的值。

generate_ssh_key参数：此参数默认值为no，如果设置为yes，表示为对应的用户生成ssh密钥对，默认在用户家目录的./ssh目录中生成名为id_rsa的私钥和名为id_rsa.pub的公钥，如果同名的密钥已经存在与对应的目录中，原同名密钥并不会被覆盖(不做任何操作)

ssh_key_file参数：当generate_ssh_key参数的值为yes时，使用此参数自定义生成ssh私钥的路径和名称，对应公钥会在同路径下生成，公钥名以私钥名开头，以".pub"结尾。

ssh_key_comment参数：当generate_ssh_key参数的值为yes时，在创建证书时，使用此参数设置公钥中的注释信息，但是如果同名的密钥对已经存在，则并不会修改原来的注释信息，即不做任何操作，当不指定此参数时，默认的注释信息为"ansible-generated on 远程主机的主机名"

ssh_key_passphrase参数：当generate_ssh_key参数的值为yes时，在创建证书时，使用此参数设置私钥的密码，但是如果同名的密钥对已经存在，则并不会修改原来的密码，即不做任何操作

ssh_key_type参数：当generate_ssh_key参数的值为yes时，在创建证书时，使用此参数设置密钥对的类型，默认密钥类型为rsa，但是如果同名的密钥对已经存在，并不会对同名密钥做任何操作

user模块的ad-hoc示例命令如下：

在test211主机上创建名为tom的用户，如果用户已经存在，则不进行任何操作

[root@node1 data]# ansible test211 -m user -a 'name=tom'

在test211主机上删除名为tom的用户，但是不会删除tom用户的家目录

[root@node1 data]# ansible test211 -m user -a "name=tom state=absent"

在test211主机上删除名为tom的用户，同时会删除tom用户的家目录等信息
[root@node1 data]# ansible test211 -m user -a 'name=tom state=absent remove=yes'

指定test211主机上的tom用户的主组为chinasoft，chinasoft组需要提前存在，当不使用group设置主组时，不会创建用户

[root@node1 data]# ansible test211 -m user -a "name=tom group=chinasoft"

指定test211主机上的tom用户的附加组为china，china组需要提前存在，当不使用groups设置附属组时，默认附加组与用户名相同，注意，为了保险起见，在不知道用户原来的附加组设定的情况下，最好将append参数设置为yes，我们也可以一次性设置多个附加组，附加组之间用逗号隔开，比如groups=tom,chinasoft,root  示例命令如下

[root@node1 data]# ansible test211 -m user -a "name=tom groups=china append=yes"

指定test211主机上的zsy用户使用/bin/csh作为默认shell

[root@node1 data]# ansible test211 -m user -a "name=tom shell=/bin/csh"

指定test211主机上的tom用户的uid为2018

[root@node1 data]# ansible test211 -m user -a "name=tom uid=2018"

指定test211主机上的tom用户的过期时间为2018年12月31日，使用"date -d 2018-12-31 +%s"命令可以获取到对应日期的unix时间戳

[root@node1 data]# ansible test211 -m user -a "name=tom expires=1546185600"

指定test211主机上的zsy用户的注释信息

[root@node1 data]# ansible test211 -m user -a "name=tom comment='www.chinasoft.com'"

将test211主机上的tom用户的密码设置为666666

首先生成666666的加密字符串
[root@node1 ~]# python
Python 2.7. (default, Apr  , ::)
[GCC 4.8.  (Red Hat 4.8.-)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import crypt
>>> crypt.crypt('')
'$6$mEdCfuWJogc15Sl.$M2UafBbNbRtVkX1HIs4nXX0AtQWEk/VMiLNGNvLLu1udhtmEhO8R5m578qsjQrLAG7NUPpla8SLI3wOGz40Jn.

使用生成的密码字符串设置用户密码

[root@node1 data]# ansible test211 -m user -a "name=tom password='$6$mEdCfuWJogc15Sl.$M2UafBbNbRtVkX1HIs4nXX0AtQWEk/VMiLNGNvLLu1udhtmEhO8R5m578qsjQrLAG7NUPpla8SLI3wOGz40Jn.'"

如下命令表示设置test211主机上的zsy用户的密码，但是如果用户当前的加密字符串与命令中设置的加密字符串不一致，则不进行密码更新的操作。

[root@node1 data]# ansible test211 -m user -a "name=tom password='$6$CNbf7EXv/5VoyIhl$shfLC.nsVwKHio6D/iYgXri5Zn4g7oS66tD4FwThMozAvfhxYaWVHx5HgSgz2/w7Opi0iv4ePK6GxWibz9L5Q/'"

为test211上的zsy用户生成ssh密钥对，默认在用户家目录的./ssh目录中生成名为id_rsa的私钥和名为id_rsa.pub的公钥，如果已经存在同名密钥，并不会覆盖原来的密钥，即不做任何操作。

[root@node1 data]# ansible test211 -m user -a "name=tom generate_ssh_key=yes ssh_key_file=/opt/id_rsa_tom"

为test211上的zsy用户生成ssh密钥对，同时指定公钥中的注释信息为"www.chinasoft.net"，此参数只能在创建密钥时使用才会生效，并不能操作同名的老密钥
[root@node1 data]# ansible test211 -m user -a "name=tom generate_ssh_key=yes ssh_key_comment='www.chinasoft.com'"

为test70上的zsy用户生成ssh密钥对，同时指定私钥的密码为123456，此参数只能在创建密钥时使用才会生效，并不能操作同名的老密钥

[root@node1 data]# ansible test211 -m user -a "name=tom generate_ssh_key=yes ssh_key_passphrase='123456'"

为test70上的zsy用户生成ssh密钥对，同时指定密钥对的类型为dsa，当不显式指定密钥类型时，默认类型为rsa，此参数只能在创建密钥时使用才会生效，并不能操作同名的老密钥

[root@node1 data]# ansible test211 -m user -a 'name=tom generate_ssh_key=yes ssh_key_type=dsa'

group模块
group模块可以帮助我们管理远程主机上的组。

此处我们介绍一些group模块的常用参数，你可以先对这些参数有一个大概了解，然后再看小示例。

name参数：必须参数，用于指定要操作的组名称。

state参数：用于指定组的状态，两个值可选，present，absent，默认为present，设置为absent表示删除组。

gid参数：用于指定组的gid

group模块的ad-hoc示例命令如下：

确保test211主机中存在名为chinasoft的组
[root@node1 data]# ansible test211 -m group -a 'name=chinasoft'

删除test211主机中存在名为zsythink的组，删除成功的前提是不能有用户把被删除的组当成主组。

[root@node1 data]# ansible test211 -m group -a "name=chinasoft state=absent"

确保test211主机中存在名为zsythink的组，并且确定zsythink组的组id为1008

[root@node1 data]# ansible test211 -m group -a "name=chinasoft gid=2018"