Есть ли способ создать скрипт пользователя на сервере шеф-повара без включения пароля cleartext?

Question

Как я могу судить по документации chef-server-ctl user-create, команде требуется пароль cleartext как один из его аргументов. Однако, при настройке сценариев сервера Ch, я бы очень хотел, чтобы избежать любой цены, включая что-нибудь вроде:

chef-server-ctl user-create jsmith John Smith jsmith@foo.com acleartextpasswordinmygitrepo 

Есть ли альтернативное решение, которое существует в Шефе, или мне нужно выбирать между ручным вмешательством , какое-то внешнее обходное решение или вышеупомянутое уродство?

Answer 1

AFAIR, если вы не используете веб-интерфейс Chef Server, эти пароли не используются нигде (ключи client.pem), поэтому вы можете установить их случайным образом.

Если вы действительно хотите изменить пароль позже вы можете сделать это через PSQL непосредственно, как сказали в ответе на этот вопрос https://stackoverflow.com/a/29005708/170230

Это не требует простого текстового пароля, но его хэш.

Answer 2

Включите интеграцию внешней аутентификации (AD, SAML и т. Д.), Чтобы Chef не обрабатывал пароли. В качестве альтернативы, если вы хотите, чтобы шеф-менеджер управлял пользователями, вы можете позволить людям создавать свои собственные учетные записи и использовать систему приглашения.