Использование Puppet для удаления ключей SSH явно не разрешено

Я использую Puppet для распространения ключей SSH, вот так:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

Файл ~ / .ssh / authorized_keys в итоге содержит сочетание ключей из нескольких классов, что является желаемым результатом. Однако, если ключ добавлен вручную в $ HOME / .ssh / авторизованный_ключ, Puppet оставит его на месте. Есть ли способ всегда удалять любой ключ, который не был явно определен в манифесте?

У меня есть версия куклы 2.7.1.

Начиная с Puppet 3.6, теперь можно очищать неуправляемые авторизованные ключи SSH через этот userтип. Например,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Вместо того, чтобы использовать ssh_authorized_keyресурсы, я решил определить authorized_keysресурс, который принимает список всех ключей SSH для одного пользователя. Определение выглядит так:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysПараметр принимает все необходимые ключи в виде списка. authorized_keys.erbШаблон выглядит следующим образом :

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

использование

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Добавление ключей SSH по условию (например, в разных классах) также легко благодаря +>оператору Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

При использовании этого метода у пользователя никогда не будет ключей, которые явно не указаны в конфигурации Puppet. Строка ключа используется в author_keys так же, как и сейчас, поэтому добавление опций и ограничений тривиально.

Я был бы рад услышать, если бы другие использовали этот метод успешно!

Вы должны быть в состоянии сделать это, используя метатип ресурсов . НАПРИМЕР

resources { 'ssh_authorized_key': noop => true, purge => true, }

Настройка noop => true,предотвращает удаление. Вместо этого марионетка сообщит, что будет удалено. Если это то, что вы хотите, удалите оператор noop .

Идеальный синтаксис для выполнения операций на неуправляемых ресурсах находится в стадии обсуждения .

РЕДАКТИРОВАТЬ: Как уже упоминалось в комментариях, этот ответ не работает.

В Puppet Forge был опубликован модуль под лицензией Apache, версия 2.0, которая предлагает эту возможность.

Он опирается на Puppet concat вместо шаблонов.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Вместо передачи массива ключей в качестве параметра вы определяете отдельные записи для каждого ключа.

Отличный подход от Микко, но тот же чистый результат.