有没有办法让木偶大师自动接受客户的所有证书(所以我不必每次都在木偶上傀儡)?
在主/etc/puppet/autosign.conf
上创build一个文件/etc/puppet/autosign.conf
,其中包含要自动签署证书的主机的域名。
例:
www.example.com *.example.org *
echo "*" > /etc/puppet/autosign.conf
或者你可以更安全一些(但不是真的,因为客户端设置自己的证书名称;有人想要非法访问你的傀儡大师只需要知道什么名义假)通过限制到一个特定的领域:
echo "*.stackexchange.com" > /etc/puppet/autosign.conf
我个人不是自动签署这些证书的粉丝,因为已经列出的原因。
我在我的kickstarts中踢了一个小脚本,其中运行如下:
echo Configuring local Puppet instance... /usr/sbin/puppetd --waitforcert 900 sleep 10 echo We will use $HOSTNAME for all future requests... echo Running server side script.. chvt 1 ssh -q -t $USERNAME@puppetmaster auto_client.sh $HOSTNAME chvt 6
auto_client.sh
#! /bin/bash NEWHOST=$1 sudo puppetca --sign $NEWHOST if ! ( cat /etc/puppet/manifests/* | grep "$NEWHOST" ) then NHFILE=/etc/puppet/manifests/temp.pp echo node \'$NEWHOST\' >> $NHFILE echo { >> $NHFILE echo include linux_base >> $NHFILE echo } >> newhost.cfg >> $NHFILE fi
我认真考虑过使用存储在U盘上的SSL证书来进行SSH连接,但这样做更方便。