Добрый вечер! Имеется проблема в паролях на тачках, которые админю

через anisble. На всех рабочих ПК стоит один пароль на пользователе setupuser. В group_vars/all/vars указаны
ansible_user = setupuser
ansible_become_password = pass
Также в этом vars указан путь до ssh ключа, который установлен на всех этих машинах.

Но недавно мы поменяли пароль на этом пользователе и новые компы идут уже с новым паролем. Я вот пытаюсь понять как правильно, быстро и без особых манипуляций в конфигах привести старые пароли к новым. Не подскажете пож?
Пытался сделать так, прописал новый пароль в vars вместо старого и запустил плейбук, для смены пк. ( думал, что плейбук норм отработает, тк все будет по ssh ключу, но что то пошло не так)

Может просто прописать для новых узлов другой ansible_ssh_password ?

#LDAP сентябрь

Офигеть

Он есть. Но как менять локального юзера

Как и любого другого. От админа задаёшь любой пароль для любого пользователя.

так сделайте нормальный модуль, набор ролей для LDAP :) И потом тыкайте его в ответ вновь вопрошающим :)

Openldap работает искаропки, если чуть повозиться - можно реплику добавить. Но люди, кажется, не хотят даже допустить, что лдап на ансибле - это фу.

Понял, значит нужно иметь скрытого админа в системе, к которому ансибл цепляется и его кроме меня никто знать не будет

Можно более подробно? 1) поднимаем master-slave OpenLDAP 2) подключаем на хостах авторизацию через OpenLDAP 3) Profit ?

В общем да, примерно так

т.е. мы не храним на хостах инфу о юзерах и паролях? когда до ЛДАП сервера не достучишься, то будет масса проблем на хостах.

Кэш sssd. Плюс он по определению умеет в реплику ходить. А если недоступна аутентификация вообще - нефиг в инфре делать, используй сервисного пользователя, который через cloud-init раскладывается.