#puppet
#puppet
Вопрос:
В общем, когда мы используем puppet-master для управления puppet-клиентами.
puppet agent --server puppet-master-hostname -test
puppet cert -s CLIENT-HOSTNAME # or -a for all
Но у меня есть вопрос,
для удобства, когда puppet-master управляет puppet-client, можно ли настроить его без сертификата?
Комментарии:
1. Компонент CA Puppet сервера требует этого для аутентификации соединения.
Ответ №1:
Вам нужно подписать сертификат каждого клиента только один раз, но каждому клиенту нужен сертификат, и у мастера он тоже есть. Хотя это позволяет зашифровывать данные, которыми обмениваются агент и мастер, чтобы защитить их от отслеживания, наиболее важной функцией является разрешение каждому агенту и мастеру аутентифицировать другого. Это помогает предотвратить принятие агентом конфигурации от мастера-самозванца и предотвратить передачу мастером конфиденциальных сведений о конфигурации клиенту-самозванцу.
Существуют варианты настройки master для автоматической подписи сертификатов клиента, но нет возможности обойтись без сертификатов вообще.