12
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

実践LWRP、HTTP認証用ファイル(htpasswd,htdigest)をChefのリソースとして管理する part.3 of 3

Last updated at Posted at 2013-09-08

この記事は最終更新から1年以上経過しています。 気をつけてね。

実践Opscode Chefシリーズ、part.2の続きになります。

記事中のCookbookとChefSolo設定一式はこちらに公開しています。
https://github.com/OpsRockin/lwrp_http_userdb

:createアクションに足りないものを書こうとしたところで切りました、今のResource/Providerはこんな感じです。

resources/auth_basic.rb

cookbooks/httpsv/resources/auth_basic.rb-end_of_2
actions :create, :delete
default_action :create

attribute :user, :kind_of => String, :required => true
attribute :password, :kind_of => String
attribute :path, :kind_of => String, :required => true
attribute :filemode, :default => 0600

attr_accessor :crypted_passwd

providers/auth_basic.rb

cookbooks/httpsv/providers/auth_basic.rb-end_of_2
require 'webrick'

def whyrun_supported?
  true
end

action :create do
  if @current_resource.crypted_passwd
    Chef::Log.warn "====== Found http_auth user #{@new_resource.user}"
    salt = @current_resource.crypted_passwd[0..1]
    if @current_resource.crypted_passwd == @new_resource.password.crypt(salt)
      Chef::Log.warn "====== http_auth user #{@new_resource.user} was not modified. (up to date)"
    else
      converge_by("====== Update http_auth user #{@new_resource.user}") do
        Chef::Log.warn "====== Update http_auth user #{@new_resource.user}"
        update_user!
      end
    end
  else
    converge_by("====== Create http_auth user #{@new_resource.user}") do
      Chef::Log.warn "====== Create http_auth user #{@new_resource.user}"
      update_user!
    end
  end
end

action :delete do
  unless @current_resource.crypted_passwd
    Chef::Log.warn "====== http_auth user #{@new_resource.user} was not found. Nothing to do. (up to date)"
  else
    converge_by("====== Delete http_auth user #{@new_resource.user}") do
      Chef::Log.warn "====== Delete http_auth user #{@new_resource.user}"
      delete_user!
    end
  end
end

def update_user!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.set_passwd nil, @new_resource.user, @new_resource.password
  htpasswd.flush
  fix_permission!
end

def delete_user!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.delete_passwd nil, @new_resource.user
  htpasswd.flush
  fix_permission!
end

def fix_permission!
  FileUtils.chmod(@new_resource.filemode.to_i, @new_resource.path)
end

def load_current_resource
  @current_resource = Chef::Resource::HttpsvAuthBasic.new(@new_resource.name)
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  @current_resource.crypted_passwd = htpasswd.get_passwd nil, @new_resource.user, true
end

バックアップをつくる?

今足りない要素、それはユーザDBのバックアップです。多分。

providers/auth_basic.rb

cookbooks/httpsv/providers/auth_basic.rb-add_backup
# --snip --

def update_user!
  backup!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.set_passwd nil, @new_resource.user, @new_resource.password
  htpasswd.flush
  fix_permission!
end

def delete_user!
  backup!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.delete_passwd nil, @new_resource.user
  htpasswd.flush
  fix_permission!
end

def fix_permission!
  FileUtils.chmod(@new_resource.filemode.to_i, @new_resource.path)
end

def backup!
  htpasswd_file = Chef::Resource::File.new(@new_resource.path)
  backup = Chef::Util::Backup.new(htpasswd_file)
  backup.backup!
end

# --snip --

Chef::Util::Backupというのがありまして、引数にChef::Resource::Fileのインスタンス(※正確には少し違う)を入れてあげるといつものリソース(file, cookbook_file, template, etc...)形式のバックアップを取ることができます。
これを使わない手はありませんね。

chef-solo run

ログレベルをINFOにしてChefを実行してみます。

run_chef-solo
$ chef-solo -c solo.rb -o 'httpsv::sample05' -l info
[2013-09-08T00:45:15+09:00] INFO: Forking chef instance to converge...
Starting Chef Client, version 11.6.0
[2013-09-08T00:45:15+09:00] INFO: *** Chef 11.6.0 ***
[2013-09-08T00:45:17+09:00] WARN: Run List override has been provided.
[2013-09-08T00:45:17+09:00] WARN: Original Run List: []
[2013-09-08T00:45:17+09:00] WARN: Overridden Run List: [recipe[httpsv::sample05]]
[2013-09-08T00:45:17+09:00] INFO: Run List is [recipe[httpsv::sample05]]
[2013-09-08T00:45:17+09:00] INFO: Run List expands to [httpsv::sample05]
[2013-09-08T00:45:17+09:00] INFO: Starting Chef Run for sawamba01.local
[2013-09-08T00:45:17+09:00] INFO: Running start handlers
[2013-09-08T00:45:17+09:00] INFO: Start handlers complete.
Compiling Cookbooks...
Converging 2 resources
Recipe: httpsv::sample05
  * httpsv_auth_basic[var/www/site1:hoge1] action create[2013-09-08T00:45:17+09:00] INFO: Processing httpsv_auth_basic[var/www/site1:hoge1] action create (httpsv::sample05 line 3)
[2013-09-08T00:45:17+09:00] WARN: ====== Create http_auth user hoge1
[2013-09-08T00:45:17+09:00] INFO: file[/Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd] backed up to /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/backup/Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd.chef-20130908004517

    - ====== Create http_auth user hoge1

  * httpsv_auth_basic[var/www/site1:hoge2] action create[2013-09-08T00:45:17+09:00] INFO: Processing httpsv_auth_basic[var/www/site1:hoge2] action create (httpsv::sample05 line 10)
[2013-09-08T00:45:17+09:00] WARN: ====== Create http_auth user hoge2
[2013-09-08T00:45:17+09:00] INFO: file[/Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd] backed up to /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/backup/Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd.chef-20130908004517

    - ====== Create http_auth user hoge2

[2013-09-08T00:45:17+09:00] INFO: Chef Run complete in 0.273085 seconds
[2013-09-08T00:45:17+09:00] INFO: Running report handlers
[2013-09-08T00:45:17+09:00] INFO: Report handlers complete
Chef Client finished, 2 resources updated

ファイルバックアップの様子がログに出ていますね。

backed up to /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/backup/Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd.chef-20130908004517

バックアップの取得状況を調べてみましょう。

tree_of_the_backup
$ tree -a backup/`pwd`
backup//Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb
└── var
    └── www
        └── site1
            └── .htpasswd.chef-20130908004517

3 directories, 1 file

いつものChefが作るバックアップです、やった!

世代数を増やしたい

さて、デフォルトのバックアップ世代数は5ですが、これは心持ち少ないかもしれません。
普通のChef::Resouceで使う際はレシピで世代数を管理できますが、このように間借りする場合は場合どうしましょうか。

こうします、Chef::Resource::Fileのインスタンス変数に強引に突っ込んでしまえば良いのです。

def_backup!-increase_generation
def backup!
  htpasswd_file = Chef::Resource::File.new(@new_resource.path)
  htpasswd_file.instance_variable_set(:@backup, 30)
  backup = Chef::Util::Backup.new(htpasswd_file)
  backup.backup!
end

これで世代数を30にすることができます。レシピ側で世代数を指定するやり方はもう分かりますね。

そんなタイムスタンプで大丈夫だろうか

先程のバックアップファイルに何か違和感を覚えませんでしたか?
そう、リソース更新は2回あったのにバックアップが一つしかありませんね。なぜならタイムスタンプが秒単位だからです。

通常のChef実行では同一のファイルをごそごそいじることは無いため、秒単位でも十分なのですがこのLWRPでは少々困ります。
折角なのでミリ秒も付けてもらいましょう。

#backup!の内容はこのようになります。

def_backup!-use-micro_sec
def backup!
  htpasswd_file = Chef::Resource::File.new(@new_resource.path)
  htpasswd_file.instance_variable_set(:@backup, 30)
  backup = Chef::Util::Backup.new(htpasswd_file)
  backup.send(:backup_filename)
  backup.instance_variable_set(:@backup_filename,backup.instance_variable_get(:@backup_filename).gsub(/[\d]+$/,Time.now.strftime("%Y%m%d%H%M%S.%6N")))
  backup.backup!
end

ここを解説しようとすると長くなりそうなので割愛します、興味があったら各自でお調べ下さい。

新しい#backup!ではファイル名がこうなります。

tree_of_the_backup-micro_sec
$ tree -a backup/`pwd`
backup//Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb
└── var
    └── www
        └── site1
            ├── .htpasswd.chef-20130908010118.944651
            └── .htpasswd.chef-20130908010118.947960

3 directories, 2 files

リソース操作の間隔は3msしかなかったのですね。
しかしタイムスタンプの制度を変更することができたので、Chefの処理速度が10,000倍になるまでは問題ない。

これで:createアクションは完成となります、:delete時にも#backup!が使いまわせていい感じですね。

最後のアクション :discard を実装する

.htpasswd上のユーザ操作ができるようになりました、もう一つ必要な操作として考えられるのはユーザDB本体の破棄です。

認証自体を解除する場合には、.htpasswdファイル自体不要なものになりますが、既存ユーザを全てdeleteするレシピを書くのはイマイチ現実的ではありません。それに今のやり方ではファイル自体は中身が空っぽで残ってしまいます。

ということで、DB自体を削除するアクション:discardを実装してみたResouce/Providerがこちらです。

resources/auth_basic.rb

cookbooks/httpsv/resources/auth_basic.rb-action-discard
actions :create, :delete, :discard
default_action :create

attribute :user, :kind_of => String, :required => true
attribute :password, :kind_of => String
attribute :path, :kind_of => String, :required => true
attribute :filemode, :default => 0600

attr_accessor :crypted_passwd
attr_accessor :db_exists

db_exists属性が増えました。使っているWEBrick::HTTPAuth::Htpasswdライブラリの仕様のため必要になりました。

providers/auth_basic.rb

cookbooks/httpsv/providers/auth_basic.rb-action-discard
require 'webrick'

def whyrun_supported?
  true
end

action :create do
  if @current_resource.crypted_passwd
    Chef::Log.warn "====== Found http_auth user #{@new_resource.user}"
    salt = @current_resource.crypted_passwd[0..1]
    if @current_resource.crypted_passwd == @new_resource.password.crypt(salt)
      Chef::Log.warn "====== http_auth user #{@new_resource.user} was not modified. (up to date)"
    else
      converge_by("====== Update http_auth user #{@new_resource.user}") do
        Chef::Log.warn "====== Update http_auth user #{@new_resource.user}"
        update_user!
      end
    end
  else
    converge_by("====== Create http_auth user #{@new_resource.user}") do
      Chef::Log.warn "====== Create http_auth user #{@new_resource.user}"
      update_user!
    end
  end
end

action :delete do
  unless @current_resource.crypted_passwd
    Chef::Log.warn "====== http_auth user #{@new_resource.user} was not found. Nothing to do. (up to date)"
  else
    converge_by("====== Delete http_auth user #{@new_resource.user}") do
      Chef::Log.warn "====== Delete http_auth user #{@new_resource.user}"
      delete_user!
    end
  end
end

action :discard do
  if @current_resource.db_exists
    converge_by("====== Discard http_auth userdb #{@new_resource.path}") do
      backup!
      ::File.unlink(@new_resource.path)
    end
  else
    Chef::Log.warn "====== http_auth user database #{@new_resource.path} was not found. Nothing to do. (up to date)"
  end
end

def update_user!
  backup!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.set_passwd nil, @new_resource.user, @new_resource.password
  htpasswd.flush
  fix_permission!
end

def delete_user!
  backup!
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  htpasswd.delete_passwd nil, @new_resource.user
  htpasswd.flush
  fix_permission!
end

def fix_permission!
  FileUtils.chmod(@new_resource.filemode.to_i, @new_resource.path)
end

def backup!
  htpasswd_file = Chef::Resource::File.new(@new_resource.path)
  htpasswd_file.instance_variable_set(:@backup, 30)
  backup = Chef::Util::Backup.new(htpasswd_file)
  backup.send(:backup_filename)
  backup.instance_variable_set(:@backup_filename,backup.instance_variable_get(:@backup_filename).gsub(/[\d]+$/,Time.now.strftime("%Y%m%d%H%M%S.%6N")))
  backup.backup!
end

def load_current_resource
  @current_resource = Chef::Resource::HttpsvAuthBasic.new(@new_resource.name)
  unless ::File.exists?(@new_resource.path)
    @current_resource.db_exists = false
    @current_resource.crypted_passwd = nil
    return
  end
  htpasswd = WEBrick::HTTPAuth::Htpasswd.new(@new_resource.path)
  @current_resource.crypted_passwd = htpasswd.get_passwd nil, @new_resource.user, true
  @current_resource.db_exists = true
end

:discardについてはunlinkしているだけです、@current_resourceの収集処理に手を加えています。

WEBrick::HTTPAuth::Htpasswdがnewする度にファイルを実際に作るので、load_current_resourceが無条件にnewするとファイルが毎度作成されていました。
それでは:discardが永遠に収束しない(毎回空ファイル作成&unlinkのマッチポンプ)ので、ユーザDBの存在確認を入れてあげました。

chef-solo run

Why-Runから行ってみます。

run_chef-solo
$ chef-solo -c solo.rb -o 'httpsv::sample08' -W 
Starting Chef Client, version 11.6.0
[2013-09-08T12:08:41+09:00] WARN: Run List override has been provided.
[2013-09-08T12:08:41+09:00] WARN: Original Run List: []
[2013-09-08T12:08:41+09:00] WARN: Overridden Run List: [recipe[httpsv::sample08]]
Compiling Cookbooks...
Converging 1 resources
Recipe: httpsv::sample08
  * httpsv_auth_basic[var/www/site1:delete_dummy] action discard
    - Would ====== Discard http_auth userdb /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd

Chef Client finished, 1 resources would have been updated

レシピはこうなります。

recipes/sample08.rb

cookbooks/httpsv/recipes/sample08.rb
base_dir = ENV['PWD']

httpsv_auth_basic 'var/www/site1' do
  action :discard
  user 'delete_dummy'
  path File.join(base_dir, self.name, '.htpasswd')
  name [self.name, self.user].join(':')
end

chef-solo run

続いて実行。

run_chef-solo
$ chef-solo -c solo.rb -o 'httpsv::sample08' 
Starting Chef Client, version 11.6.0
[2013-09-08T12:09:12+09:00] WARN: Run List override has been provided.
[2013-09-08T12:09:12+09:00] WARN: Original Run List: []
[2013-09-08T12:09:12+09:00] WARN: Overridden Run List: [recipe[httpsv::sample08]]
Compiling Cookbooks...
Converging 1 resources
Recipe: httpsv::sample08
  * httpsv_auth_basic[var/www/site1:delete_dummy] action discard
    - ====== Discard http_auth userdb /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd

Chef Client finished, 1 resources updated

chef-solo run

もう一度実行。

run_chef-solo
$ chef-solo -c solo.rb -o 'httpsv::sample08' 
Starting Chef Client, version 11.6.0
[2013-09-08T12:09:27+09:00] WARN: Run List override has been provided.
[2013-09-08T12:09:27+09:00] WARN: Original Run List: []
[2013-09-08T12:09:27+09:00] WARN: Overridden Run List: [recipe[httpsv::sample08]]
Compiling Cookbooks...
Converging 1 resources
Recipe: httpsv::sample08
  * httpsv_auth_basic[var/www/site1:delete_dummy] action discard[2013-09-08T12:09:28+09:00] WARN: ====== http_auth user database /Users/sawanoboriyu/github/opsrockin/lwrp_http_userdb/var/www/site1/.htpasswd was not found. Nothing to do. (up to date)
 (up to date)
Chef Client finished, 0 resources updated

これで今回のLWRP作成はひと通り終了しました。

おわりに

パートが3つにもなってしまいましたが、LWRPを理解しましたね。

何故LWRP?

いくら内部DSLといっても、レシピ内で様々な処理を行ってしまうとレシピとしての可読性は下がる一方になります。
レシピの保守性を下げないようには、結局のところChefのフレームワークらしさを活かすためにもLWRPとしてリソースを実装することが最善でしょう。

作ってみよう

ここまで読むことが出来たのなら、次は自分のLWRPを作ってみましょう。実際大した手間ではありません。
しかし事前に言っておくと、そこそこハマる事うけあいです。今回も@new_resource.actionの型が省略時Symbol, 指定時はArray(中身Symbol)などという妙な仕様に気づいたりもしました。

作らなくてもいい

さんざん解説しておいてなんですが、LWRPにまでしなくてもexecute & not_if程度で十分なケース、そもそもChefでやらないほうが楽なケースもあります。知っておくのは良いことですがこだわらないこともまた大事ですよね。
ただ、危なっかしいexecuteやRuby処理が多すぎて読みにくいレシピがあったら、LWRPの実装を検討してみてください。


実践LWRP、HTTP認証用ファイル(htpasswd,htdigest)をChefのリソースとして管理する part.1 of 3
実践LWRP、HTTP認証用ファイル(htpasswd,htdigest)をChefのリソースとして管理する part.2 of 3
実践LWRP、HTTP認証用ファイル(htpasswd,htdigest)をChefのリソースとして管理する part.3 of 3

12
12
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
12
12

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?