Zabezpiecz nazwę hosta/numer seryjny przez marionetkę przed podpisaniem certyfikatów


Jak mogę ograniczyć inne hosty lub przeprowadzić kontrolę bezpieczeństwa w mojej domenie. Na przykład miałem dwa systemy, jeden podłączony do serwera marionetek w celu otrzymywania aktualizacji, a dla drugiego systemu zmieniłem nazwę hosta na „test.example.com” i konfiguruję system tak, aby był podobny do pierwszego i uruchamiam puppetd -td - waitforcert 60, gdzie będzie otrzymywać aktualizacje z serwera marionetek.
Chcę ograniczyć to samo, o czym wspomniałem w moim przykładzie, do węzłów w domenie i poza domeną. Jak można to osiągnąć?
podziękować
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Wyłącz automatyczne podpisywanie certyfikatów dla nowych partnerów (aby można było zweryfikować, czy żądanie jest uzasadnione, zanim klient będzie mógł uzyskać dostęp do kreatora) i upewnij się, że
         node_name
opcja jest ustawiona na
         cert
więc Puppet używa tylko ważnych informacji (CN w certyfikacie, który poprawnie zweryfikowałeś), a nie danych, które można sfałszować (cokolwiek jest dostarczone przez faktora).

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się