hosts: all
  vars:
    lockuser: testuser
  tasks:
    - name: Uesr lock
      user: name={{lockuser}} password=!!

[target]
192.168.58.102
192.168.58.103

すごい簡単！

これを実行してみると、、、

[root@centos67-102 ~]# id testuser
uid=501(testuser) gid=501(testuser) 所属グループ=501(testuser)
[root@centos67-102 ~]# grep testuser /etc/shadow
testuser:$6$npLmToll$YqPCZShkEcoYUplaAdW91Awm/jjHCZ7iPOGNVCANmP/dq0kbFjQZAos5Qn2hkrbnZfhhFfBk2ifLeamBhtGUU0:17164:0:99999:7:::
[root@centos67-102 ~]# passwd -S testuser
testuser PS 2016-12-29 0 99999 7 -1 (パスワード設定済み、SHA512 暗号化。)

[admin@centos67-101 ~]$ ansible-playbook userlock.yml -i hosts -sKk
SSH password:
SUDO password[defaults to SSH password]:

PLAY [Uesr lock] ***************************************************************

TASK [setup] *******************************************************************
ok: [192.168.58.102]
ok: [192.168.58.103]

TASK [Uesr lock] ***************************************************************
changed: [192.168.58.102]
changed: [192.168.58.103]

PLAY RECAP *********************************************************************
192.168.58.102 : ok=2 changed=1 unreachable=0 failed=0
192.168.58.103 : ok=2 changed=1 unreachable=0 failed=0

[root@centos67-102 ~]# id testuser
uid=501(testuser) gid=501(testuser) 所属グループ=501(testuser)
[root@centos67-102 ~]# grep testuser /etc/shadow
testuser:!!:17164:0:99999:7:::
[root@centos67-102 ~]# passwd -S testuser
testuser LK 2016-12-29 0 99999 7 -1 (パスワードはロック済み。)

ロックできました！すごい簡単！！

ところで、これはユーザが存在しないサーバに対して実行したらどうなるんだろう。。。
192.168.58.103には実は testuser はいませんでした。

[root@centos67-103 ~]# id testuser
id: testuser: そのようなユーザは存在しません
[root@centos67-103 ~]# grep testuser /etc/shadow
[root@centos67-103 ~]# passwd -S testuser
passwd: 不明なユーザー名 ‘testuser’。

[root@centos67-103 ~]# id testuser
uid=501(testuser) gid=501(testuser) 所属グループ=501(testuser)
[root@centos67-103 ~]# grep testuser /etc/shadow
testuser:!!:17164:0:99999:7:::
[root@centos67-103 ~]# passwd -S testuser
testuser LK 2016-12-29 0 99999 7 -1 (パスワードはロック済み。)

ロックされたユーザが作成されてしまってる！
「チームからメンバーが抜けたからアカウントをロックしたい」から、ユーザがあったらロックしたかっただけなのに、逆にユーザを作成するというわけのわからんことに！！

やりたいことはできたけど、余計なことまでやってくれるという、よくある状態です。
usermod コマンドみたいにユーザがあったらロックして、なければ何もしないでもらいたのですが、user_module ではそこまで気が利くオプションはなさそうです。

ということで、結局できたレシピはこう。

- name: Uesr lock
  hosts: all
  vars:
    lockuser: testuser
  tasks:
    - name: Check user exists
      shell: /usr/bin/getent passwd | awk -F":" '$1=="{{lockuser}}"{print $1}'
      register: etc_users

    - name: Uesr lock
      user: name={{lockuser}} password=!!
      when: etc_users.stdout == "{{lockuser}}"

実行すると 192.168.58.103 は以下のようにスキップされているのがわかります。

[admin@centos67-101 ~]$ ansible-playbook userlock.yml -i hosts -sKk
SSH password:
SUDO password[defaults to SSH password]:

PLAY [Uesr lock] ***************************************************************

TASK [setup] *******************************************************************
ok: [192.168.58.102]
ok: [192.168.58.103]

TASK [Check user exists] *******************************************************
changed: [192.168.58.103]
changed: [192.168.58.102]

TASK [Uesr lock] ***************************************************************
skipping: [192.168.58.103]
changed: [192.168.58.102]

PLAY RECAP *********************************************************************
192.168.58.102 : ok=3 changed=2 unreachable=0 failed=0
192.168.58.103 : ok=2 changed=1 unreachable=0 failed=0

簡単な処理にshellを使うと負けた感覚になってしまうのは私だけでしょうか。。
まぁ、普通はどこのサーバにユーザ作ってとか管理されているだろうから、そこに対して実行しなければ良いだけだろうけど。

皆様もできたことだけ見てしまわぬよう、ご注意を。

※ユーザロックというと、「usermod -L testuser」「passwd -l testuser」などで現在のパスワードを保持しつつロックすることが一般的だと思いますが、ansibleのuserモジュールではそのオプションもなさそうなので、今回は「!!」をセットしてロックしています。
※パスワードロックしかしていませんが、公開鍵認証の無効化も考慮に入れた方がよいと思います。