我正在使用Ansible 1.5.3和Git与ssh代理转发(https://help.github.com/articles/using-ssh-agent-forwarding)。我可以登录我使用Ansible管理的服务器并测试我与git的连接是否正确配置:
ubuntu@test:~$ ssh -T git@github.com
Hi gituser! You've successfully authenticated, but GitHub does not provide shell access.
我也可以使用这个帐户克隆和更新我的一个repos,这样我的git配置看起来不错,当我通过ssh直接登录我的服务器时使用ssh转发。
问题:当我使用Ansible命令模块尝试上面显示的相同测试时。它以“Permission denied”失败。 Ansible输出的一部分(具有详细日志记录)如下所示:
failed: [xxx.xxxxx.com] => {"changed": true, "cmd": ["ssh", "-T", "git@github.com"], "delta": "0:00:00.585481", "end": "2014-06-09 14:11:37.410907", "rc": 255, "start": "2014-06-09 14:11:36.825426"}
stderr: Permission denied (publickey).
这是运行此命令的简单剧本:
- hosts: webservers
sudo: yes
remote_user: ubuntu
tasks:
- name: Test that git ssh connection is working.
command: ssh -T git@github.com
问题:为什么当我通过ssh手动登录并运行命令时一切正常,但是当通过Ansible运行相同的用户运行相同的命令时失败?
如果没有其他人打败我,我会很快发布答案。虽然我使用git来演示问题,但是任何依赖于ssh代理转发的模块都可能发生这种情况。它不是Ansible特有的,但我怀疑很多人会在这种情况下首先遇到问题。
答案 0 :(得分:48)
通过从剧本中删除此行来解决问题:
sudo: yes
当在远程主机上运行sudo时,登录期间由ssh设置的环境变量不再可用。特别是,SSH_AUTH_SOCK,“标识用于与代理通信的UNIX域套接字的路径”不再可见,因此ssh代理转发不起作用。
当您不需要sudo时避免使用sudo是解决问题的一种方法。另一种方法是通过创建sudoers文件来确保在sudo会话期间SSH_AUTH_SOCK保持不变:
/etc/sudoers:
Defaults env_keep += "SSH_AUTH_SOCK"
答案 1 :(得分:28)
这里有一些非常有用的部分答案,但在多次遇到这个问题后,我认为概述会有所帮助。
首先,从运行Ansible的客户端连接到目标计算机时,需要确保启用SSH代理转发。即使使用transport=smart,也可能无法自动启用SSH代理转发,具体取决于客户端的SSH配置。为确保实现这一目标,您可以更新~/.ansible.cfg以包含此部分:
[ssh_connection]
ssh_args=-o ControlMaster=auto -o ControlPersist=60s -o ControlPath=/tmp/ansible-ssh-%h-%p-%r -o ForwardAgent=yes
接下来,您可能必须处理become: yes(和become_user: root)通常会禁用代理转发的事实,因为SSH_AUTH_SOCK环境变量已重置。 (我发现令人震惊的是Ansible seems to assume人们将以root身份SSH,因为这使得任何有用的审计都不可能。)有几种方法可以解决这个问题。从Ansible 2.2开始,最简单的方法是在使用sudo时通过指定-E标志来保留(整个)环境:
become_flags: "-E"
但是,通过保留PATH等变量,可能会产生不必要的副作用。最干净的方法是仅将SSH_AUTH_SOCK保存在您env_keep文件的/etc/sudoers中,以保留Defaults env_keep += "SSH_AUTH_SOCK"
:
- name: enable SSH forwarding for sudo
lineinfile:
dest: /etc/sudoers
insertafter: '^#?\s*Defaults\s+env_keep\b'
line: 'Defaults env_keep += "SSH_AUTH_SOCK"'
使用Ansible执行此操作:
env_keep这个playbook任务比其他一些建议更加保守,因为它在任何其他默认env_keep设置之后(或者在文件末尾,如果没有找到)添加它,而不更改任何现有SSH_AUTH_SOCK设置或假设Observables已存在。
答案 2 :(得分:26)
您问题的另一个答案(我使用Ansible 1.9除外)可能如下:
您可能需要检查transport=smart的/etc/ansible/ansible.cfg(或可覆盖配置设置的其他三个可能位置)
按照建议in the ansible docs。在上一次安装尝试期间,我的某个时刻违反了transport=paramiko,导致我的控制机器无法使用OpenSSH,从而阻止代理转发。这可能是一个巨大的边缘案例,但谁知道呢?可能是你!
虽然我没有发现我的配置是必要的,但我应该注意到其他人已经提到你应该在同一个文件中的ssh_args设置中添加-o ForwardAgent=yes,如下所示:
[ssh_connection]
ssh_args=-o ForwardAgent=yes
为了完整起见,我在这里只提到它。
答案 3 :(得分:17)
要扩展@ j.freckle的答案,更改sudoers文件的安全方式是:
- name: Add ssh agent line to sudoers
lineinfile:
dest: /etc/sudoers
state: present
regexp: SSH_AUTH_SOCK
line: Defaults env_keep += "SSH_AUTH_SOCK"