Я хочу, чтобы Puppet не управлял паролем (т. Е. Сбрасывал его при изменении), а устанавливал исходный пароль, когда Puppet создает пользователя.
Я думал делать notifyна Execресурс , который устанавливает пароль , но это срабатывает , когда какое -то свойство , которое управляет кукольный модифицируется (например, членство в группе, домашний каталог и т.д.). Я не хочу этого.
Любые идеи?
Ответы:
Сама Puppet изначально не поддерживает «устанавливать пароль при создании пользователя, но не иначе».
Одним из вариантов будет настройка внешнего источника аутентификации, такого как LDAP.
Другой бы для вас notifyк Execидее, но сделать Execнемного умнее.
exec {
"/usr/sbin/usermod -p '${password}' ${user}":
onlyif => "/bin/egrep -q '^${user}:[*!]' /etc/shadow",
require => User[$user];
}
Я не проверял это, но проверяя, не был ли установлен пароль в Execресурсе, вы должны получить результат, который вы искали. Я думаю, что настроенный таким образом, notify/ refreshonlyматериал не является необходимым, но, вероятно, не повредит.
egrep '^${username}:!!:.*:' /etc/shadow
grep -Eq '^${user}:[*!]!?:' /etc/shadow"кажется наиболее переносимым и не сбрасывает пользователей с заблокированным паролем.
!для установки без пароля, и в этом случаеegrep -q '^${user}:[*!]:' /etc/shadowработает лучше.