kukla ana bilgisayar adı sorunu

Çevrimiçi arama yaptım ve birkaç kişinin bu sorunu diğer listelerde / panolarda gördüğünü görüyorum. Ana sunucuda sertifikayı imzaladıktan sonra 2. kez sudo puppetd --waitforcert 60 --test çalıştırdığımda bu hatayı alıyorum

notice: Got signed certificate
warning: Certificate validation failed; considering using the certname configuration option
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources during transaction: Certificates were not trusted: hostname was not match with the server certificate

Sorunun ne olduğunu veya nasıl düzeltileceğini anladığımdan emin değilim. Bu yüzden soruyorum.

LAN'ımdaki iki sunucuda kukla kuruyorum. Kuklacıya 'kukla', diğer sunucuya 'kuklacı' adı verilir. Kukla / puppetclient üzerindeki / etc / hosts içine koymak.

hostname -f çalıştırıldığında ilgili sunucularda kukla ve pupperent görüntülenir. Başka ne denemek için emin değilim. Kimsenin içgörüleri var mı?

Ana bilgisayara "kukla" dışında bir ad verildiğinde kukla yöneticisi sertifikası oluşturulmuş gibi geliyor. Sertifikayı yeniden oluşturun ve iyi olmalısınız.

Sertifikada saklanan ad, istemcinizi bağlanmak için yapılandırdığınızla eşleşmelidir (tam olarak). Örneğin, istemcinizi "puppet.domain.com" adresine bağlanacak şekilde yapılandırırsanız, sertifika "kukla" olarak adlandırılırsa veya tersi olursa bir hata alırsınız.

Kukla yöneticiniz için DNS CNAME kullanmak istiyorsanız, kukla yöneticisini aşağıdakileri kullanarak başlatabilirsiniz:

puppetmaster --certname cname.domain.org

cname.domain.orgvarsayılan tam etki alanı adı yerine kukla yöneticisini kullanacaktır .

--certname cname.domain.orgBayrak seçeneği (Amazon EC2) benim için hile yapmış gibiydi

facter'a (facter fqdn) ana bilgisayar adının ne olduğunu sorabilir ve bunun beklediğinizle tutarlı olup olmadığını görebilirsiniz. Ayrıca (varsayılan olarak) / var / lib / puppet / ssl / adresine bakın ve sorunlarınız olabilecek doğru ana bilgisayar adlarına sahip değilse sertifikaların nasıl göründüğüne bakın. Kukla tüm iletişimini HTTPS üzerinden gerçekleştirdiğinden, çözünürlük ve ana bilgisayar adlandırma işlemlerine oldukça duyarlıdır.

Kukla'yı belirlenen istemcilere ve sunucunuza yüklemeden önce, /etc/resolv.conf dosyasını kontrol edin ve "arama" satırındaki ilk etki alanı girişinin Kukla'nın altında çalışmasını istediğiniz etki alanı olduğunu doğrulayın. Örneğin:

my.puppetdomain.com arama my.public.domain.com

ad sunucusu 192.168.1.1 ad sunucusu xxx.xxx.1.1

Kukla kurulum aşamasında, Kukla sunucusu sertifikalarını /etc/resolv.conf içindeki ilk arama girişine dayanarak oluşturur. Ben bunu zor yoldan buldum. Herhangi bir kukla düğümünde sertifikayla ilgili hatalar görürseniz, aşağıdaki adımları uygulayın:

1) /etc/resolv.conf dosyasını düzenleyin ve "arama" satırında listelenen ilk etki alanının Kukla'nın çalışmasını istediğiniz etki alanını yansıttığını doğrulayın.

2) Kuklayı kaldırın (/ etc / kukla dizinini olduğu gibi bırakın).

3) rm -rf / var / lib / kukla

4) Kuklayı yeniden kurun (bu yeni bir / var / lib / kukla dizini oluşturur).

5) Bunu Kukla sunucusunda gerçekleştiriyorsanız, / usr / sbin / puppetmasterd --mkusers komutunu çalıştırın (alternatif olarak, / usr / local / sbin / puppetmasterd --mkusers komutunu çalıştırın ). Bu, uygun etki alanı adını kullanan yeni iç sertifikalar da dahil olmak üzere / var / lib / kukla içindeki tüm gerekli dosyaları oluşturur.

6) Bunu Kukla istemcisinde gerçekleştiriyorsanız, --waitforcert bayrağı etkinken Kukla'yı ayrıntılı modda başlatın: puppetd -server .puppetdomain.com --waitforcert 60 --test Bu adım, Kukla sunucusuna bir sertifika isteği gönderecektir.

7) Kukla sunucusunda, bekleyen sertifikaları listeleyin:

puppetca --list

İsteği yapan Kukla istemcisinin ana bilgisayar adını görmelisiniz:

puppetclient1.puppetdomain.com

8) Kukla sunucusundan, listelenen Kukla istemcisinin sertifikasını imzalayın:

puppetca - işaret puppetclient1.puppetdomain.com

Sonra işiniz bitti.

HTH ....

Kukla ve kuklacıların ikisi de DNS'de çözülüyor mu? Değilse, IP'leri ve ana makine adlarını eşleştirmek için / etc / hosts dosyasını düzenleyebilirsiniz. IIRC, bunu yalnızca istemcide yapmanız gerekir.