Я не могу заставить марионеточный узел присоединиться к мастеру, я использую марионеточное предприятие в облаке AWS.
Мастер
puppetserver --version
puppetserver version: 2017.3.0.38
Узел
# puppet agent --test
Error: Could not request certificate: Error 403 on SERVER: Forbidden request: /puppet-ca/v1/certificate/ca (method :get). Please see the server logs for details.
Exiting; failed to retrieve certificate and waitforcert is disabled
очевидно, сообщение об ошибке связано с разрешением на стороне мастера, когда я проверяю журнал на мастере, я вижу
ERROR [qtp2147089302-255] [p.t.a.rules] Forbidden request: 10.0.10.224 access to /puppet-ca/v1/certificate/ca (method :get) (authenticated: false) denied by rule 'puppetlabs certificate'.
но я проверил, что новый формат HOCON для auth.conf позволяет неаутентифицированному узлу отправлять CSR
{
"allow-unauthenticated": "*",
"match-request": {
"method": "get",
"path": "/puppet-ca/v1/certificate/",
"query-params": {},
"type": "path"
},
"name": "puppetlabs certificate",
"sort-order": 500
}
я также проверил, что pe-puppet-server.conf не использует устаревший метод auth.conf
# (optional) Authorize access to Puppet master endpoints via rules specified
# in the legacy Puppet auth.conf file (if true or not specified) or via rules
# specified in the Puppet Server HOCON-formatted auth.conf (if false).
use-legacy-auth-conf: false
max-active-instances: 2
max-requests-per-instance: 0
environment-class-cache-enabled: true
подскажите пожалуйста, одно и то же сообщение об ошибке возникает и в винде и в линуксе
"path": "/puppet-ca/v1/certificate/"
не соответствует запросу/puppet-ca/v1/certificate/ca
- person Sander Visser   schedule 09.03.2018