Friday, 27 January 2012

Об использовании Puppet autosign

The autosign.conf file (located at /etc/puppet/autosign.conf by default, and configurable with the autosign setting) is a list of certnames or certname globs (one per line) whose certificate requests will automatically be signed.

As any host can provide any certname, autosigning should only be used with great care, and only in situations where you essentially trust any computer able to connect to the puppet master.

Иными словами, решение об автоподписи сертификатов определяется на основе хостнейма, который передала клиентская машина, то есть, он может быть подделан. Иными словами, автоподпись можно использовать лишь в случае, когда доступ к Паппет Мастеру ограничен лишь доверенными узлами.

Источник: http://docs.puppetlabs.com/guides/configuring.html

2 comments:

  1. На самом деле, не само собой. Почему бы не было сделать в стиле *.domain.ru и если бы IP адрес домена резолвился в айпи машины, то давало досутп на sign, это логичнее. И дает уверенность, что клиент правда доверенный, ибо он есть в DNS.

    ReplyDelete

Note: only a member of this blog may post a comment.