Використання Лялечки для видалення ключів SSH, явно не дозволених

Я використовую маріонетку для розповсюдження ключів SSH, наприклад:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

Файл ~ / .ssh / pooblasti_keys закінчується вмістом суміші клавіш з декількох класів, що є бажаним результатом. Однак якщо ключ вручну буде додано до $ HOME / .ssh / санкціонований_кейс, Лялечка залишить його на місці. Чи є спосіб завжди видалити будь-який ключ, який не був чітко визначений в маніфесті?

У мене ляльковий варіант 2.7.1.

Починаючи з Puppet 3.6, тепер можна видалити некеровані авторизовані SSH ключі за допомогою userтипу. Наприклад,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Замість використання ssh_authorized_keyресурсів я вирішив визначити authorized_keysресурс, який бере список усіх ключів SSH для одного користувача. Визначення виглядає приблизно так:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysПараметр приймає всі необхідні ключі як список. authorized_keys.erbШаблон виглядає наступним чином :

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

Використання

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Додавання SSH-ключів умовно (наприклад, у різних класах) також легко, завдяки +>оператору Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

При цьому методі користувач ніколи не матиме ключі, які не вказані явно в конфігурації ляльки. Ключовий рядок використовується в авторизованих_кейсах так само, як є, тому додавання параметрів та обмежень є тривіальним.

Я був би радий почути, якби інші успішно використовували цей метод!

Ви повинні зробити це за допомогою метатипу ресурсів . EG

resources { 'ssh_authorized_key': noop => true, purge => true, }

Налаштування noop => true,перешкоджає видаленню. Натомість лялька повідомить про те, що буде видалено. Якщо це те, що ви хочете, видаліть оператор noop .

Ідеальний синтаксис для виконання операцій на некерованих ресурсів обговорюється .

EDIT: Як було сказано в коментарях, ця відповідь не працює.

На Puppet Forge модуль був опублікований під ліцензією Apache, версія 2.0, яка пропонує цю можливість.

Хоча він покладається на ляльковий конмат, а не на шаблони.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Замість передачі масиву ключів у якості параметра ви визначаєте окремі записи для кожного ключа.

Інший підхід від Мікко, але той же чистий результат.