作为我日常工作的一部分,我为各个公司进行系统设计,部署和维护,这些公司都在一家风险投资公司/孵化器公司的保护下运营.我们的投资组合公司之间有很多交叉授粉,因此,我们不能说只有用户A,B和C才需要访问公司X的系统.他们也可能需要访问Y公司的系统.由于每个公司的安全环境都位于不同的git存储库中,因此这很复杂.这意味着将用户部署到不同公司的系统有很多代码重复.我最终复制/粘贴这样的代码块,将用户部署到某个公司的系统：

- name: add several users
  user: >
    name={{ item.name }}
    state=present
    groups={{ item.groups }}
    uid={{ item.uid }}
    password={{ item.password }}
    shell=/bin/bash
  with_items:
    - { name: 'user1',groups: 'ssh-access,sudo',uid: '501',password: '<redacted>' }
    - { name: 'user2',uid: '502',password: '<redacted>' }
  tags: users

- name: authorized_keys - user1 
  action: authorized_key user=user1 key="{{ lookup('file','pubkeys/user1') }}" manage_dir=yes
  tags:
    - pubkeys
    - users

- name: authorized_keys - user2 
  action: authorized_key user=user2 key="{{ lookup('file','pubkeys/user2') }}" manage_dir=yes
  tags:
    - pubkeys
    - users

当我有一个< 5个用户来管理时,这工作正常,但随着用户群的增长,通过密钥轮换,新密码等保持最新状态变得越来越繁重. 通过背景故事和上下文设置,我的问题是： 假设使用集中式身份验证系统(LDAP等)不是一种选择,我如何解决创建各种ansible playbooks可能消耗的集中式用户数据库的问题？我希望能够维护一个用户,uids,密码哈希和公钥的中央列表,然后能够将用户(具有自定义的每个主机组成员身份)部署到每个公司的主机. 我正在设想某种游戏结构,如：

- name: Deploy users
  user_management:
    - { name: "user1",groups: "sudo" }
    - { name: "user1",groups: "sudo" }

…每个用户的uid,哈希和公钥将从中央列表中拉出并像往常一样部署.

那么,我有什么选择？我一直在考虑这个问题已经有一段时间了,而且还没有能够提出比我现在做的更好的东西.我可以使用自定义事实文件来保存我的用户数据库吗？