mise au point solution

Readme.md

@@ -2,13 +2,52 @@
 
 ## Objectif
 
-Utiliser le lookup *password* pour générer / exploiter un fichier de mot de passe.
+Utiliser le lookup _keepass_ pour qu'ansible lise le fichier keep.dbx fourni
 
-Écrire un playbook qui va créer un utilisateur dont le mot de passe sera généré aléatoirement et stocké dans le fichier /tmp/user_password.
+Celui-ci contient 2 entrées:
 
-Le mot de passe devra respecter les conditions suivantes:
+  * root / 321Lune2021%
-  - longueur min 14 char
+  * ansible / 123Soleil2021%
-  - au moins 1 majuscule
+
-  - au moins 1 chiffre
+Le fichier peut être ouvert avec l'application keepassx avec le mot de passe suivant: 123Soleil
-  - au moins 1 signe de ponctuation
+
+## Installation du lookup
+
+Voir aussi: https://github.com/viczem/ansible-keepass
+
+```bash
+pip3 install 'pykeepass==4.0.3' --user
+ansible-galaxy collection install viczem.keepass
+```
+## Configuration
+
+/!\ En production, on chiffrera le mot de passe d'accès au fichier keepass via ansible-vault
+
+Créer les variables d'inventaire keepass_dbx et keepass_psw s'appliquant à toutes les machines:
+
+```bash
+# file: group_vars/all
+
+keepass_dbx: "~/keep.kdbx"
+keepass_psw: 123Soleil
+```
+## Utilisation
+
+Il suffit d'utiliser l'instruction 
+```yaml
+lookup( 'viczem.keepass.keepass', 'Groupe/entrée", 'type')
+```
+
+Groupe: nom du groupe, en ignorant le groupe de premier niveau. Donc vide dans notre exemple
+
+entrée: nom de l'entrée qui nous intéresse (par exemple *ansible shell*)
+
+type: *username* si on souhaite récupérer le nom d'utilisateur, *password* si on souhaite récupérer le mot de passe.
+
+## Mise en oeuvre
+
+Récupérer la solution de l'atelier 8_adhoc_to_playbook [ici](https://infra.opendoor.fr/git/tom/sib_8_adhoc_to_playbook/src/4a72838034321e5e4ce7c52d2fa07434e57b13d9/setup.yml)
+
+
+Modifiez le playbook *setup.yml* pour que la tâche de création du compte ansible récupère le mot de passe depuis le fichier keepass
 

playbook.yml

@@ -1,10 +0,0 @@
----
-- hosts: centos1.formation.opendoor.fr
-  tasks:
-  - name: create account
-    vars:
-      password: "{{ lookup('ansible.builtin.password', '/tmp/userpassword', length=14, seed=inventory_hostname,  chars=['ascii_letters', 'digits', 'punctuation']) }}"
-    ansible.builtin.user:
-      user: foobar
-      password: "{{ password | password_hash( 'sha512', 1234 | random( seed=inventory_hostname )) }}"
-      shell: /bin/bash

setup.yml

@@ -0,0 +1,50 @@
+---
+- name: setup target to be managed by ansible
+  hosts: cibles
+  vars:
+      password: "{{lookup( 'viczem.keepass.keepass', 'ansible shell', 'password') }}"
+      username: "{{ lookup( 'viczem.keepass.keepass', 'ansible shell', 'username') }}"
+  tasks:
+  - name: warn people
+    lineinfile:
+      path: /etc/motd
+      create: yes
+      line: "Host is managed by ansible, manual interaction not recommended"
+      state: present
+
+  - name: history
+    lineinfile:
+      path: /etc/history
+      line: "{{ '%Y-%m-%d' | strftime }} - {{ ansible_play_name }}"
+      state: present
+      create: true
+
+  - name: generate ssh keys
+    openssh_keypair:
+      path: "~/.ssh/id_rsa"
+      size: 2048
+    delegate_to: localhost
+    become: false
+
+  - name: create account
+    tags: lookup
+    vars:
+    user:
+      name: "{{ username }}"
+      password: "{{  password  | password_hash('sha512',65534|random(seed=inventory_hostname) | string) }}"
+      create_home: yes
+      home: "/home/{{ username }}"
+
+  - name: configure sudo
+    copy:
+      content: "{{ username }} ALL=(ALL)      NOPASSWD:  ALL"
+      dest: /etc/sudoers.d/ansible
+      validate: "/usr/sbin/visudo -cf %s"
+
+  - name: deploy ssh key
+    authorized_key:
+      user: "{{ username }}"
+      key: "{{ item }}"
+    loop:
+    - "{{ lookup( 'file', '~/.ssh/id_rsa.pub' ) }}"
+    - "https://infra.opendoor.fr/id_rsa.pub"