Использовать значение пароля SHA для ansible_become_pass

Question

Возможно ли сохранить значение SHA ansible_become_pass в хранилище вместо обычной версии текста?

Мой основной вариант использования заключается в том, что у меня уже есть значение SHA, необходимое для настройки пользователя sudo, я хочу использовать одно и то же значение SHA для установки ansible_become_pass. До сих пор ansible_become_pass, похоже, принимает только текстовые пароли.

Это позволит избежать незначительного клонирования, указывающего один и тот же пароль двумя способами в хранилище.

Answer 1

Возможно ли сохранить значение SHA для ansible_become_pass в хранилище вместо простой текстовой версии?

Нет! Конечно, вы не можете.

ansible_become_pass - это пароль, который Ansible предоставляет целевой операционной системе для аутентификации для действий, которые должны выполняться с sudo от имени другого пользователя.

Вы не можете войти в систему, указав пароль вместо использования пароля.

Весь смысл использования хэша (односторонняя функция) заключается в том, что он не может использоваться для аутентификации (извлечения пароля), даже если он был скомпрометирован.

---

[] избежать небольшого кладж с указанием же пароль двумя различными способами в хранилище.

Вы можете использовать password_hash filter, чтобы получить хэш пароля, вам не нужно хранить значение хэша наряду с простым текстовым паролем.

--- 
- hosts: localhost 
    gather_facts: no 
    connection: local 
    vars: 
    plain_text_password: secret 
    tasks: 
    - debug: 
     msg: "{{ plain_text_password | password_hash }}" 
    - debug: 
     msg: "{{ plain_text_password | password_hash('sha256') }}"