Erteilen von MySQL-server-administration-rechten (SUPER-RELOAD...) mit ansible?

Gibt es eine Möglichkeit, wie grant MySQL-Administrations-Privilegien mit Ansible mysql_user-Modul (oder eines anderen Moduls)? Ich möchte set SUPER, RELOAD und SHOW DATABASES Privilegien des Benutzers zusammen mit einigen anderen Datenbank-spezifische privs.

Folgenden basic setup funktioniert gut für mich:

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ item }}
  with_items:
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'

...Ergebnisse, in:

TASK: [db | Set user privileges]
**********************************************
ok: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)

Folgenden setup sagt immer "geändert" und die Privilegien sind nicht das, was man erwarten würde:

- name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ item }}
  with_items:
    - '*.*:SUPER,RELOAD,SHOW\ DATABASES'
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'

(wiederholte) Ausführung:

TASK: [db | Set user privileges]
**********************************************
changed: [dbuser] => (item=*.*:SUPER,RELOAD,SHOW\ DATABASES)
changed: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)

Ergebnisse in:

mysql> show grants for 'dbuser'@'localhost';
+---------------------------------------------------------------------------------------------------------------+
| Grants for dbuser@localhost                                                                                   |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'dbuser'@'localhost' IDENTIFIED BY PASSWORD '*2046D2DDAE359F311435E8B4D3776EFE13FB584C' |
| GRANT ALL PRIVILEGES ON `somedatabase`.* TO 'dbuser'@'localhost'                                              |
| GRANT ALL PRIVILEGES ON `someotherdatabase`.* TO 'dbuser'@'localhost'                                         |
+---------------------------------------------------------------------------------------------------------------+
3 rows in set (0.00 sec)

Weiß jemand, wie:

  1. set SUPER, RELOAD und SHOW DATABASE admin. Privilegien?
  2. die Konfiguration idempotent?
InformationsquelleAutor Ikar Pohorský | 2014-04-09
  1. 14

    Fand eine elegante Lösung, nachdem alle! Zuerst alle Privilegien definiert werden sollte, irgendwo eine Liste:

    $ cat group_vars/dbservers
mysql_privileges:
  - 'somedatabase.*:ALL'
  - 'someotherdatabase.*:ALL'
  - '*.*:SUPER,RELOAD,SHOW\ DATABASES'

    dann die mysql_user plugin muss nicht Anhängen die Privilegien, verwenden Sie einfach die Privilegien string erwähnt in der Dokumentation im folgenden format: mydb.*:INSERT,UPDATE/anotherdb.*:SELECT/yetanotherdb.*:ALL.

    Der einzige trick ist, wie zu konvertieren Liste, um die Zeichenfolge:

    - name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    priv={{ mysql_privileges|join('/') }}

    Wiederholbar ausführen der Aufgabe nicht sagen geändert mehr:

    TASK: [db | Set user privileges]
**********************************************
ok: [dbuser]
    InformationsquelleAutor Ikar Pohorský
  2. 8

    Fand heraus, dass beim einschalten die Reihenfolge der Privilegien, die ich in der Lage bin zu gewähren genannten admin. Privilegien:

    - name: Set user privileges
  mysql_user:
    user={{ mysql_user }}
    password={{ mysql_password }}
    state=present
    append_privs=yes
    priv={{ item }}
  with_items:
    - 'somedatabase.*:ALL'
    - 'someotherdatabase.*:ALL'
    - '*.*:SUPER,RELOAD,SHOW\ DATABASES'

    Berechtigungen gesetzt sind als erwartet:

    mysql> show grants for 'dbuser'@'localhost';
+---------------------------------------------------------------------------------------------------------------------------------------+
| Grants for dbuser@localhost                                                                                                           |
+---------------------------------------------------------------------------------------------------------------------------------------+
| GRANT RELOAD, SHOW DATABASES, SUPER ON *.* TO 'dbuser'@'localhost' IDENTIFIED BY PASSWORD '*2046D2DDAE359F311435E8B4D3776EFE13FB584C' |
| GRANT ALL PRIVILEGES ON `somedatabase`.* TO 'dbuser'@'localhost'                                                                      |
| GRANT ALL PRIVILEGES ON `someotherdatabase`.* TO 'dbuser'@'localhost'                                                                 |
+---------------------------------------------------------------------------------------------------------------------------------------+

    obwohl die Aufgabe noch nicht idempotent. Jeder Lauf gibt mir:

    TASK: [db | Set user privileges]
**********************************************
changed: [dbuser] => (item=somedatabase.*:ALL)
ok: [dbuser] => (item=someotherdatabase.*:ALL)
changed: [dbuser] => (item=*.*:SUPER,RELOAD,SHOW\ DATABASES)
    • Vielen Dank für die Erwähnung append_privs
    InformationsquelleAutor Ikar Pohorský
  3. 3

    Gibt es keine Notwendigkeit für tricks mit Listen, können Sie mehrere Berechtigungen, die durch einen Schrägstrich getrennt:

    - name: Set user privileges
  mysql_user:
    user: {{ mysql_user }}
    password: {{ mysql_password }}
    state: present
    priv: 'somedatabase.*:ALL/someotherdatabase.*:ALL/*.*:SUPER,RELOAD,SHOW DATABASES'

    oder kürzer:

    - name: Set user privileges
  mysql_user: user={{ mysql_user }} password={{ mysql_password }} state=present priv='somedatabase.*:ALL/someotherdatabase.*:ALL/*.*:SUPER,RELOAD,SHOW DATABASES'
    • Dies kann auf jeden Fall eines der use-cases, aber ich brauchte, um zu gewähren, eine Liste von Privilegien für einige Datenbanken und ein super-Satz von Berechtigungen für einige andere Datenbanken. Ihr Ansatz würde dazu führen, dass die Wiederholung die "shared" - Privilegien. Aber deine Lösung ist gut genug für einfachere Fälle 😉 Danke für die Antwort!
    InformationsquelleAutor Zoltán
Schreibe einen Kommentar