在ansible中添加用户并强制更改密码，添加新用户时重置用户密码

Question

我在使用 Ansible 并将新用户添加到服务器时遇到问题。 首先，我检查用户是否存在于系统上，如果没有，则继续创建它们。

我在这里发现了一个类似的问题：ansible user module always shows changed 当在文件用户列表中添加一个新用户并添加一个简单的盐时，我能够修复更改的状态。 然而，最后一部分，即处理程序，总是被执行。

这就是我的剧本的样子：

---
- hosts: all
  become: yes
  vars_files:
    - /home/ansible/userlist
  tasks:
    - name: check user exists  #check if user exists in system, using the username and trying to search inside passwd file
      getent:
        database: passwd
        key: "{{ item }}"
      loop: "{{ users }}"
      register: userexists
      ignore_errors: yes
    - name: add user if it does not exit
      user:
        name: "{{ item }}"
        password: "{{ 'password' | password_hash('sha512', 'mysecretsalt')  }}"
        update_password: on_create
      loop: "{{ users }}"
      when: userexists is failed
      notify: change password
  handlers:
    - name: change user password upon creation
      shell: chage -d 0 "{{ item }}"
      loop: "{{ users }}"
      listen: change password

这是一个名为 userlist 的简单文件：

users:
- testuser1
- testuser2
- testuser3
- testuser22

当我运行剧本而不更改用户列表文件时，一切都很好。 但是，如果我将新用户添加到文件中，那么当现有用户尝试登录时，系统会强制他们更改密码，因为始终调用处理程序。 有没有办法改变代码，使立即更改密码的强制执行只对新创建的用户执行？

Answer 1

您的剧本中有两个主要问题：

1. userexists 正在单独注册每个结果，但您仅引用整体“失败”结果。使用debug 语句显示变量以了解我的意思
2. 如果通知处理程序，您将循环访问所有用户，而不仅仅是那些已“更改”（即已创建）的用户

有几种不同的方法可以解决这个问题，但我认为这可能是最简洁的：

  tasks:
    - name: add user if it does not exist
      user:
        name: "{{ item }}"
        password: "{{ 'password' | password_hash('sha512', 'mysecretsalt')  }}"
        update_password: on_create
      loop: "{{ users }}"
      register: useradd
      notify: change password

  handlers:
    - name: change user password upon creation
      shell: chage -d 0 {{ item.name }}
      loop: "{{ useradd.results }}"
      when: item.changed
      listen: change password