|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Cisco, ansible, sshpass - чуда не случилось. Помогите )
Автор |
Сообщение |
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Привет! Пытаюсь настраивать ансибл, но получить информацию не удается, сессия просто висит. Если смотрю на коммуторе - виден логин с с сервера ансибл, но ничего не выводиться. На маке sshpass - та-же картина. Если пытаюсь прицепиться к серверам линукс - все отлично работает. Может кто сталкивался?
|
06 июл 2018, 18:26 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Пытались смотреть процесс ansible с помощью truss/strace? Наверняка там в бесконечном read(), очень похоже что ожидает приглашения в каком-то формате. Код: netstat -pna|grep switch_ip
Таким путём можно найти номер процесса, у которого нужно смотреть сисколлы. А чего не хватает - уже нужно решать с помощью ручного запуска скрипта в командной строке, с ключами для дебага у интерпретатора. Это не так страшно как наверное выглядит, попробуйте.
|
06 июл 2018, 19:00 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
С хоста на котором исполняется playbook можешь подключиться к свичу ? Что выдает ansible если запустить c -vvv ?
|
06 июл 2018, 19:04 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
При пропытке подключится с дебагом дает: Код: alexniko@zabbix:~/.ansible$ ansible -vvv EDITO-C4500 -m raw -a "show run" ansible 2.6.1 config file = /etc/ansible/ansible.cfg configured module search path = [u'/home/alexniko/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules'] ansible python module location = /usr/lib/python2.7/dist-packages/ansible executable location = /usr/bin/ansible python version = 2.7.12 (default, Dec 4 2017, 14:50:18) [GCC 5.4.0 20160609] Using /etc/ansible/ansible.cfg as config file SSH password: Parsed /etc/ansible/hosts inventory source with ini plugin META: ran handlers <172.16.255.1> ESTABLISH SSH CONNECTION FOR USER: alexniko <172.16.255.1> SSH: EXEC sshpass -d13 ssh -C -o ControlMaster=auto -o ControlPersist=60s -o StrictHostKeyChecking=no -o User=alexniko -o ConnectTimeout=10 -o ControlPath=/home/alexniko/.ansible/cp/5edf4f8163 -tt 172.16.255.1 'show run'
Подключится могу с теми-же учетными данными. В момент подключения на сасой циске вижу этот логин. А как посмотреть, я не понимаю.
|
06 июл 2018, 19:40 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Уточню, для теста сделано так, что при логине сразу попадаем в режим enable
вот, что дает нетстат
tcp 0 0 172.18.8.165:48926 172.16.255.1:22 ESTABLISHED 7655/ssh
|
06 июл 2018, 19:42 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
1)Работа ansible с циской принципиально отличается от работы с линуксовыми машинами. Очевидно что ansible не может загрузить ничего на циску и выполнить. 2)Попробуй другой модуль, например ios command. Использовать ансибл для raw команд - ну я хз зачем так делать.
|
06 июл 2018, 19:55 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Рубен Папян писал(а): 1)Работа ansible с циской принципиально отличается от работы с линуксовыми машинами. Очевидно что ansible не может загрузить ничего на циску и выполнить. 2)Попробуй другой модуль, например ios command. Использовать ансибл для raw команд - ну я хз зачем так делать. Я новичек в этом и просто следую вот этим примерам, с как испольpовать cisco command не подскажите? https://natenka.gitbooks.io/ansible-dly ... d-hoc.html
|
06 июл 2018, 20:38 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Еще вопрос, а просто SSHPASS должен считывать и выдавать инфу с коммутаторов и роутеров?
|
06 июл 2018, 21:11 |
|
|
Debug all
Зарегистрирован: 13 дек 2012, 12:34 Сообщения: 127
|
Собственно для этого нужно прочитать следующую главу этого гайда.
|
06 июл 2018, 21:16 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Я это и делаю сейчас, но у них получилось и без следующей главы почему-то
|
06 июл 2018, 21:27 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
https://docs.ansible.com/ansible/2.5/mo ... odule.htmlну и версию ансибла поставь актуальную, последняя вроде 2.6
|
06 июл 2018, 23:54 |
|
|
VitMain
Зарегистрирован: 17 окт 2009, 10:27 Сообщения: 33
|
Рубен Папян писал(а): https://docs.ansible.com/ansible/2.5/modules/ios_command_module.html
ну и версию ансибла поставь актуальную, последняя вроде 2.6 У топикстартера уже 2.6.1 AlexNiko Цитата: ansible -vvv EDITO-C4500 -m raw -a "show run"
добавь еще несколько vv в запуск ансибла. Я бы не рекомендовал работать с Cisco при помощи raw модуля, есть нюансы . Накидай простенький playbook и развлекайся с ним ansible -vvvvvv <host from hosts file> -m raw -a "show run" -u <your login on cicsco> --ask-pass у меня в таком виде все успешно отработало, правда была куча дебага.
|
07 июл 2018, 04:00 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS.
|
07 июл 2018, 11:08 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Bessmertniy писал(а): Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS. Как подключиться, настроить версию, выбрать ключи и так далее я знаю, вы не читали внимательно то, что я писал. Я вижу сессию которая появляется на коммутаторе при запуске ансибл. Вы бы еще пинг попросили проверить А вот у меня никак не срабатывает ни с vvvvv ни без, на роутере проходит логи и получаю на выходе: Цитата: ansible AB-ROUTERS -m raw -a "show run" -u alexniko --ask-pass SSH password: 192.168.100.2 | SUCCESS | rc=0 >>
Line has invalid autocommand "show run"Shared connection to 192.168.100.2 closed. Connection to 192.168.100.2 closed by remote host
Возникает вопрос, а каким образом он должен попасть в режим конфигурации, ведь enable secret еще никто не отменяял ) Ладно пойду читать про IOS модули )
|
07 июл 2018, 12:36 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Какой такой режим конфигурации? Привилегированный что ли?
username ansible priv 15 line vty 0 15 privilege level 15
|
07 июл 2018, 14:25 |
|
|
VitMain
Зарегистрирован: 17 окт 2009, 10:27 Сообщения: 33
|
AlexNiko писал(а): Bessmertniy писал(а): Вы вообще по ssh к свичу можете подключиться? А то часто бывает что либо ssh не включен, либо не той версии, либо новым версиям ssh не нравятся шифры в старых IOS. Как подключиться, настроить версию, выбрать ключи и так далее я знаю, вы не читали внимательно то, что я писал. Я вижу сессию которая появляется на коммутаторе при запуске ансибл. Вы бы еще пинг попросили проверить А вот у меня никак не срабатывает ни с vvvvv ни без, на роутере проходит логи и получаю на выходе: Цитата: ansible AB-ROUTERS -m raw -a "show run" -u alexniko --ask-pass SSH password: 192.168.100.2 | SUCCESS | rc=0 >>
Line has invalid autocommand "show run"Shared connection to 192.168.100.2 closed. Connection to 192.168.100.2 closed by remote host
Возникает вопрос, а каким образом он должен попасть в режим конфигурации, ведь enable secret еще никто не отменяял ) Ладно пойду читать про IOS модули ) хех Цитата: -b, --become run operations with become (does not imply password prompting) --become-method=BECOME_METHOD privilege escalation method to use (default=sudo), valid choices: [ sudo | su | pbrun | pfexec | doas | dzdo | ksu | runas | pmrun | enable ] --become-user=BECOME_USER run operations as this user (default=root) --ask-sudo-pass ask for sudo password (deprecated, use become) --ask-su-pass ask for su password (deprecated, use become) -K, --ask-become-pass ask for privilege escalation password
Some modules do not make sense in Ad-Hoc (include, meta, etc) задайте дополнительно --become-method=enable --ask-become-pass Телепатов тут нет, неизвестно как у вас сконфигурировано AAA и ваше железо.
|
08 июл 2018, 05:00 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Дело судя по всему в AAA На коммутаторе сконфигурировано так: Код: aaa group server tacacs+ TACACS_SERVERS aaa authentication login LOGIN_LIST group TACACS_SERVERS local aaa authorization exec LOGIN_LIST group TACACS_SERVERS local aaa authorization commands 15 LOGIN_LIST group TACACS_SERVERS local aaa accounting update newinfo aaa accounting commands 15 LOGIN_LIST start-stop group TACACS_SERVERS aaa session-id common
на VTY Код: authorization commands 15 LOGIN_LIST authorization exec LOGIN_LIST accounting commands 15 LOGIN_LIST login authentication LOGIN_LIST
Если отключаю такакс - все работает нормально, если авторизация по такаксу - просто висит сессия и потом отваливается. На самом сервере такакс вижу успешную авторизацию. Такакс - ACS 5.8. Авторизация пользователей по AD.
|
10 июл 2018, 16:26 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Ошибочка вышла, на сервере такакс никакой информации о попытке логина нет. Возникает вопрос почему.
|
10 июл 2018, 16:50 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Все еще боле странно, чем могло-бы быть. Прекрасно все равботает с такаксом на Cat2950(G) и 2960(G) а вот на 3560, 3750, 3850 , 4500 и 6500 не работает, даже нет никакой информации о логине на сервере такакс, но на самом коммутаторе есть информация об установлении соединения.
|
10 июл 2018, 17:50 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Спасибо! Разобрался ) Тема закрыта )
|
12 июл 2018, 17:53 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
AlexNiko писал(а): Спасибо! Разобрался ) Тема закрыта ) В чем была проблема?
|
13 июл 2018, 00:03 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Как и говорили: модуль RAW не со всеми работает. ios_command отрабатывает нормально.
|
16 июл 2018, 12:41 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 59 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|