管理用户基于密钥的 SSH 访问

唯一安全的服务器是关闭的。尽管如此，对于服务器访问控制的一个好方法是， 使用经过私钥短语保护的 SSH 密钥的用户帐户， 而不是多个用户使用一个共享账号和一个众所周知的口令。 Puppet 使这种管理变得简单，感谢其内置的 ssh_authorized_key 类型。

将它与上一节讲述的虚拟用户相结合，你可以创建一个包括 user 和 ssh_authorized_key 的 define。 对于需要添加自定义文件和其他每用户自己的资源时，这也会是有用的。

操作步骤

1. 对上一节创建的 user::virtual 类做如下修改：

   class user::virtual
   {
       define ssh_user( $key )
       {
           user { $name:
               ensure => present,
               managehome => true,
                }
   
           ssh_authorized_key { "${name}_key":
               key => $key,
               type => "ssh-rsa",
               user => $name,
                               }
       }
   
       @ssh_user { "phil":
           key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW
    ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT
    XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/
    NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=",
       }
   }
   

2. 在一个节点上包含如下代码：

   realize( User::Virtual::Ssh_user["phil"] )
   

3. 运行 Puppet：

   # puppet agent --test
   info: Retrieving plugin
   info: Caching catalog for cookbook.bitfieldconsulting.com
   info: Applying configuration version '1305561740'
   
   notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/
   User[phil]/ensure: created
   
   notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/
   Ssh_authorized_key[phil_key]/ensure: created
   
   notice: Finished catalog run in 1.04 seconds
   

工作原理

我们创建了一个名为 ssh_user 的 define，它包括用户自身的 user 资源以及与其相关的 ssh_authorized_key 资源，内容如下：

define ssh_user( $key )
{
    user { $name:
        ensure => present,
        managehome => true,
         }

    ssh_authorized_key { "${name}_key":
        key  => $key,
        type => "ssh-rsa",
        user => $name,
                        }
}

然后我们对用户 phil 创建了 ssh_user 的一个虚拟资源实例：

    @ssh_user { "phil":
        key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW
 ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT
 XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/
 NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=",
    }

回顾一下，因为资源是虚拟的，Puppet 会意识到这一点，所以它不会创建任何实际的资源， 直到你调用 realize 时才真正创建。

最后，我们在节点中添加了如下代码：

    realize( User::Virtual::Ssh_user["phil"] )

这会实际创建 user 资源以及包含其公钥的 authorized_keys 资源。

更多用法

可以将这种思想应用到上一节提及的 “组织用户到组的类” 中，修改相应类的代码为：

class user::sysadmins
{
    search User::Virtual

    realize( Ssh_user["john"],
             Ssh_user["graham"] )
}

使用 search User::Virtual 的目的仅仅是为了避免杂乱，这允许你直接引用 Ssh_user， 而不用每次都要使用 User::Virtual:: 前缀。

另外，你可能会遭遇如下的错误：

err: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[graham]/Ssh_
authorized_key[graham_key]: Could not evaluate: No such file or directory
- /home/graham/.ssh

这或许是因为你之前已经创建过 graham 用户，但没有使用 Puppet 管理其自家目录。 这种情况下，Puppet 不会自动创建 authorized_keys 文件所需的 .ssh 目录。 运行如下的命令：

# userdel graham

之后再次运行 Puppet 即可解决此问题。