### 管理用戶基于密鑰的 SSH 訪問 唯一安全的服務器是關閉的。盡管如此，對于服務器訪問控制的一個好方法是， 使用經過私鑰短語保護的 SSH 密鑰的用戶帳戶， 而不是多個用戶使用一個共享賬號和一個眾所周知的口令。 Puppet 使這種管理變得簡單，感謝其內置的 ssh_authorized_key 類型。 將它與上一節講述的虛擬用戶相結合，你可以創建一個包括 user 和 ssh_authorized_key 的 define。 對于需要添加自定義文件和其他每用戶自己的資源時，這也會是有用的。 #### 操作步驟 1. 對上一節創建的 user::virtual 類做如下修改： ``` class user::virtual { define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } } ``` 2. 在一個節點上包含如下代碼： ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 3. 運行 Puppet： ``` # puppet agent --test info: Retrieving plugin info: Caching catalog for cookbook.bitfieldconsulting.com info: Applying configuration version '1305561740' notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ User[phil]/ensure: created notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ Ssh_authorized_key[phil_key]/ensure: created notice: Finished catalog run in 1.04 seconds ``` #### 工作原理 我們創建了一個名為 ssh_user 的 define，它包括用戶自身的 user 資源以及與其相關的 ssh_authorized_key 資源，內容如下： ``` define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } ``` 然后我們對用戶 phil 創建了 ssh_user 的一個虛擬資源實例： ``` @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } ``` 回顧一下，因為資源是虛擬的，Puppet 會意識到這一點，所以它不會創建任何實際的資源， 直到你調用 realize 時才真正創建。 最后，我們在節點中添加了如下代碼： ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 這會實際創建 user 資源以及包含其公鑰的 authorized_keys 資源。 #### 更多用法 可以將這種思想應用到上一節提及的 “組織用戶到組的類” 中，修改相應類的代碼為： ``` class user::sysadmins { search User::Virtual realize( Ssh_user["john"], Ssh_user["graham"] ) } ``` 使用 search User::Virtual 的目的僅僅是為了避免雜亂，這允許你直接引用 Ssh_user， 而不用每次都要使用 User::Virtual:: 前綴。 另外，你可能會遭遇如下的錯誤： ``` err: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[graham]/Ssh_ authorized_key[graham_key]: Could not evaluate: No such file or directory - /home/graham/.ssh ``` 這或許是因為你之前已經創建過 graham 用戶，但沒有使用 Puppet 管理其自家目錄。 這種情況下，Puppet 不會自動創建 authorized_keys 文件所需的 .ssh 目錄。 運行如下的命令： ``` # userdel graham ``` 之后再次運行 Puppet 即可解決此問題。