puppet Запрещенный запрос /puppet-ca/v1/certificate/ca

Я не могу заставить марионеточный узел присоединиться к мастеру, я использую марионеточное предприятие в облаке AWS.

Мастер

puppetserver --version
puppetserver version: 2017.3.0.38

Узел

# puppet agent --test
Error: Could not request certificate: Error 403 on SERVER: Forbidden request: /puppet-ca/v1/certificate/ca (method :get). Please see the server logs for details.
Exiting; failed to retrieve certificate and waitforcert is disabled

очевидно, сообщение об ошибке связано с разрешением на стороне мастера, когда я проверяю журнал на мастере, я вижу

ERROR [qtp2147089302-255] [p.t.a.rules] Forbidden request: 10.0.10.224 access to /puppet-ca/v1/certificate/ca (method :get) (authenticated: false) denied by rule 'puppetlabs certificate'.

но я проверил, что новый формат HOCON для auth.conf позволяет неаутентифицированному узлу отправлять CSR

{
            "allow-unauthenticated": "*",
            "match-request": {
                "method": "get",
                "path": "/puppet-ca/v1/certificate/",
                "query-params": {},
                "type": "path"
            },
            "name": "puppetlabs certificate",
            "sort-order": 500
        }

я также проверил, что pe-puppet-server.conf не использует устаревший метод auth.conf

# (optional) Authorize access to Puppet master endpoints via rules specified
# in the legacy Puppet auth.conf file (if true or not specified) or via rules
# specified in the Puppet Server HOCON-formatted auth.conf (if false).
use-legacy-auth-conf: false
max-active-instances: 2
max-requests-per-instance: 0
environment-class-cache-enabled: true

подскажите пожалуйста, одно и то же сообщение об ошибке возникает и в винде и в линуксе


puppet aws-opsworks puppet-enterprise
person client eastwood    schedule 09.03.2018    source источник
comment
Не уверен, но "path": "/puppet-ca/v1/certificate/" не соответствует запросу /puppet-ca/v1/certificate/ca   -  person Sander Visser    schedule 09.03.2018

Ответы (3)


arrow_upward
0
arrow_downward

я перезагрузил весь сервер (экземпляр ec2), так как перезагрузка puppetserver не помогла... я также изменил авторизацию с консоли, как указано здесь

агент Windows Puppet делает не подключаться к мастеру awsopsworks puppet Enterprise

person client eastwood    schedule 09.03.2018

arrow_upward
0
arrow_downward

У меня была аналогичная проблема при попытке настроить мои марионеточные узлы, но я использовал Vagrant вместо AWS.

Исправление заключалось в сбросе следующих переменных среды: http_proxy, https_proxy, HTTP_PROXY и HTTPS_PROXY.

person Partiban    schedule 18.06.2020

arrow_upward
0
arrow_downward

Мое исправление состояло в том, чтобы удалить server_list из puppet.conf, очистить сертификат CM и заново сгенерировать сертификат. В моем случае у меня есть autosign=true, поэтому процесс был таким:

  1. Остановить PE на CM:
systemctl stop puppet pxp-agent pe-puppetserver pe-puppetdb
  1. Удалить ssl-каталог
rm -fr /etc/puppetlabs/puppet/ssl
  1. Сертификат очистки от основного:
puppetserver ca clean --certname='<CM>'
  1. Запустить кукольный агент на CM
puppet agent -t

Готово.

person azbarcea    schedule 18.05.2021