Ansible 同步提示密码，即使在开头已经输入

Question

Ansible (v1.6.5) 的同步模块会提示输入密码（Enter passphrase for key）即使我在开始运行 playbook 时已经输入了。

知道为什么吗？

我使用以下选项运行我的剧本：

-u myuser --ask-sudo-pass --private-key=/path/to/id_rsa

这是我的同步任务：

- name: synchronize source files in src location
  sudo: yes
  synchronize: src={{local_src}} dest={{project_dirs.src}} archive=yes delete=yes rsync_opts=["--compress"]
  when: synchronize_src_files

---

使用 ssh-agent 更新

按照 Lekensteyn 的建议，我尝试使用 ssh-agent。 我不再有提示，但任务失败。我错过了什么？

eval `ssh-agent -s`
ssh-add ~/.ssh/id_rsa

错误：

TASK: [rolebooks/project | synchronize source files in src location] **********
failed: [10.0.0.101] => {"cmd": "rsync --delay-updates -FF --compress --delete-after --archive --rsh 'ssh -i /home/vagrant/.ssh/id_rsa -o StrictHostKeyChecking=no' --rsync-path=\"sudo rsync\" [--compress] --out-format='<<CHANGED>>%i %n%L' /projects/webapp mike@10.0.0.101:/var/local/sites/project1/src", "failed": true, "rc": 12}
msg: sudo: no tty present and no askpass program specified
rsync: connection unexpectedly closed (0 bytes received so far) [sender]
rsync error: error in rsync protocol data stream (code 12) at io.c(226) [sender=3.1.0]

Answer 1

synchronize 命令（至少到 Ansible 1.6.6）似乎忽略了 Ansible 打开的正常 SSH 控制套接字。您的任务可以扩展到以下内容：

{
    "cmd": "rsync --delay-updates -FF --compress --archive
        --rsh 'ssh  -o StrictHostKeyChecking=no'
        --out-format='<<CHANGED>>%i %n%L'
        /home/me/src/ user@host:/dest/",
    "failed": true,
    "rc": 23
}

要获取这些详细信息，请使用-v 选项运行您的剧本。作为解决方法，您可以启动 ssh-agent 并使用 ssh-add 添加缓存您的 SSH 密钥。有关详细信息，请参阅他们的手册页。

synchronize 模块的额外注意事项：

• 当使用sudo: yes 运行时，ansible 将使用--rsh 'sudo ssh' 运行，如果远程 sudo 配置需要密码和/或 TTY，则会中断。解决方案：在任务定义中设置sudo: no。
• 登录远程机器的用户是您的 SSH 用户 (ansible_ssh_user)，而不是 sudo 用户。我还没有找到覆盖此用户的方法（除了一个未经测试的方法，它通过其他选项之一（dest_port="22 -o User=your_user"?）结合set_remote_user=yes 使用-o User 选项覆盖用户）。

这取自我的任务文件：

- name: sync app files
  sudo: no
  synchronize: src={{app_srcdir}}/ dest={{appdir}}/
               recursive=yes
               rsync_opts=--exclude=.hg
# and of course Ubuntu 12.04 does not support --usermap..
#,--chown={{deployuser}}:www-data
# the above goes bad because ansible_ssh_user=user has no privileges
#  local_action: command rsync -av --chown=:www-data
#                 {{app_srcdir}}
#                 {{deployuser}}@{{inventory_hostname}}:{{appdir}}/
#  when: app_srcdir is defined
# The above still goes bad because {{inventory_hostname}} is not ssh host...

Answer 2

我认为默认同步是在 rsync 命令上显式设置用户名 - 您可以防止这种情况并允许 rsync 从您的 ssh 配置文件中工作。

http://docs.ansible.com/synchronize_module.html

set_remote_user 将 user@ 用于远程路径。如果您有自定义 ssh 配置来为与清单用户不匹配的主机定义远程用户，则应将此参数设置为“no”。

我在我的 ssh 配置中配置了一个远程用户，需要添加 set_remote_user=no 才能使同步工作，否则它会尝试使用错误的用户名，并且 ssh 密钥和密码都不起作用。

Answer 3

在远程机器上禁用/etc/sudoers 中的tty_tickets 可解决此问题（以稍微降低安全性为代价）。例如，

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset,!tty_tickets
# ...

Answer 4

我尝试使用复制模块，但它需要太多时间。 因此，为了使同步模​​块正常工作，我将执行以下操作。它并不完美，但至少它有效。

1. 将目标远程文件夹的所有权和权限更改为我正在使用的用户

2. 在不使用 sudo 的情况下使用同步

3. 将目标远程的所有权和权限设置为我之前想要的

Answer 5

解决此问题的最佳方法 - 将 root 用户的 ssh authorized_keys 密钥安装到远程服务器上。