LINUX.ORG.RU
ФорумAdmin

Замена сертификата в Foreman (puppet)

 , ,


0

1

Добрый день всем! Просьба помочь в следующем вопросе:

На одной ноде установлен Puppet server 2.4 + PuppetDB (с постгресом) + Foreman. ОС - Ubuntu 16.04. Агенты на тестовых серверах обновляются нормально, факты и отчеты можно видеть в Форемане, можно подписывать сертификаты, управлять агентами итд. В общем все работает.

Вопрос как прикрутить корпоративный сертификат на веб интерфейс Форемана? Так как по умолчанию там заюзан само подписанный Паппетом сертификат и постоянно отображается в браузере сообщение, что подключение не защищено. Пытался выполнить по инструкции, апач поднимается, https работает нормально: https://theforeman.org/2015/11/foreman-ssl.html Однако после этого перестают обновляться агенты:

/opt/puppetlabs/bin/puppet agent -t

Warning: Unable to fetch my node definition, but the agent run will continue:

Warning: Find /puppet/v3/node/testserver.testdomain.net?environment=production&configured_environment=production&tr... resulted in 404 with the message: Not Found: Could not find node testserver.testdomain.net

Info: Retrieving pluginfacts

Info: Retrieving plugin

Error: Could not retrieve catalog from remote server: Error 400 on SERVER: Could not find node 'testserver.testdomain.net'; cannot compile

Warning: Not using cache on failed catalog

Error: Could not retrieve catalog; skipping run

Ошибка не в сертификате.

Тебе английским по чёрному пишут, что Could not find node 'testserver.testdomain.net';

У тебя нода не описана.

А есть ли ssl сертификат у foreman или нету - паппету побоку, так как это совсем сторонний компонент, который не влияет на работу puppet.

Shtsh ★★★★ ()
Последнее исправление: Shtsh (всего исправлений: 1)
Ответ на: комментарий от Banzay

Ну хз, что ты делаешь в рамках своих «меняю сертификат». Возможно, ты зачем-то проксируешь апачем трафик на паппет или ещё что придумал. В моём первом комментарии ошибки нету: foreman - сторонний компонент, который принимает репорты после отработки каталогов.

Сделай notify в своих манифестах, чтобы тебе было понятно, подключаются они или нет. Читай логи мастера. Предоставь хоть какую-нибудь информацию, чтобы не гадать на кофейной гуще.

Shtsh ★★★★ ()
Ответ на: комментарий от Shtsh

Не, влияет. Он свой node.rb запускает перед всем остальным да и ещё чёрт знает что делает.

rion_nagel ()

Потому что надо оставить паппет с его самоподписанными сертификатами в покое, либо заранее настраивать, потому что он (самоподписанный ssl) вполне определенный по параметрам и потому, что он влияет на подпись нод. Лично я не парился и пустил веб морду foreman через реверс прокси с валидным сертификатом через специально обученный для этого сервер.

rion_nagel ()
Ответ на: комментарий от rion_nagel

Ну и не очень понятно где меняешь. В апаче или сами сертификаты в /var/lib/puppet/ssl/ подменяешь.

rion_nagel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.