Ansible. Как в аргументе --extra-vars указать encrypt: sha512_crypt?

Question

[Sanes]

Имеется сценарий добавления линукс пользователя с такими параметрами

vars_prompt:
    - name: 'username'
      prompt: 'Username'
      private: no
    - name: 'userpass'
      prompt: 'Password'
      private: no
      encrypt: "sha512_crypt"

Всё работает, однако, если запускать через --extra-vars, то пароль похоже не шифруется

ansible-playbook add.yml --extra-vars "username=user userpass=passwoRD"

Может команду надо как-то по-другому формировать? В документации указано, что JSON поддерживается, однако я не сильно понял, как же всё-таки это сделать.

Answer 1

[Sanes]

tasks: 
    - name: 'Add user'
      user: 'name={{ username }} password={{ userpass |password_hash("sha512") }} update_password=on_create shell=/usr/bin/lshell move_home=yes home=/var/www/{{ username }}'

Answer 2

[Пума Тайланд]

Надо передавать уже зашифрованный пароль , у вас же дыра в безопасности иначе

Comments

[Sanes]

в каком месте дыра?

[Пума Тайланд]

Sanes: пароль нигде не должен светиться в открытом виде, только его хеш должен юзаться, отсюда и ваша проблемы, вы суете пароль в открытом виде.

[Sanes]

Пума Тайланд: Хост локальный

[Пума Тайланд]

Sanes: разницы то нет.

[Sanes]

Пума Тайланд: var_prompt, чем безопасней?

Answer 3

[Shkurupii]

Код противоречивый. Вы либо оставьте vars_promt либо vars, которые передаете через --extra-vars
Включайте дебаг ansible-playbook add.yml -vvv

---
- hosts: local
  gather_facts: no

  vars_prompt:
  - name: 'username'
    prompt: 'Username'
    private: no
  - name: 'userpass'
    prompt: 'Password'
    private: no
    encrypt: "sha512_crypt"

  tasks:

  - name: username
    shell: echo my username is {{username}}

  - name: look we crypted a password
    shell: echo my password is {{userpass}}

  - debug: var=userpass

Comments

[Sanes]

Оказывается jinja2 может решить этот вопрос.