samedi 30 août
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Retourner aux forums || Retourner au forum general.general

general.general : Mise en place de Puppet: problème de certificats

Posté par Kerro () le 26 juillet 2008
0
Bonjour,

je suis en train de tester Puppet. J'ai vu ici des commentaires favorables alors je teste :-)

Je n'arrive pas à le faire fonctionner entre deux hôtes qui ne sont pas sur le même site. J'ai le maître qui est sur un site, les esclaves sur x sites. La communication passe bien, mais j'ai toujours le message "Certificates were not trusted: hostname was not match with the server certificate".

J'ai suivi ce qui est indiqué ici http://reductivelabs.com/trac/puppet/wiki/RubySSL-2007-006 mais rien de mieux.

Sur mon serveur:
[puppetmasterd]
certname=puppet

Ca ne donne rien de mieux, alors j'ai également mis sur mes clients:
[puppetd]
server=monpuppet.dyndns.org

Toujour rien. Je sèche.

> Lire le message (5 commentaires, moyenne: 1,8).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Quel version de puppet?

Posté par Christophe Nowicki (Jabber id, page perso, ) le 27/07/2008 à 11:31. (lien). Évalué à 1.

J'ai eu le même probleme avec la version fourni dans Debian et en mettant à jours ma version de puppet le bug à disparus.

  • [^]Re: Quel version de puppet?

    Posté par flash91 () le 27/07/2008 à 12:59. (lien). Évalué à 2.

    Pour éviter ce problème, il faut que le champs CN du certificat présenté par le serveur puppet corresponde au hostname indiqué dans le fichier de configuration des clients.
    Un alias DNS ou une entrée dans le fichier host permet de contourner facilement le problème.

    • [^]Re: Quel version de puppet?

      Posté par Kerro () le 28/07/2008 à 15:15. (lien). Évalué à 2.

      Un alias DNS ou une entrée dans le fichier host permet de contourner facilement le problème

      Un alias de quel nom vers quel nom ? J'ai essayé sur le client et sur le serveur: mettre un alias de chaque nom, pas mieux.

      Comment afficher le contenu des certificats ? Ca m'aiderait peut-être, mais ils sont chiffrés et pour les afficher... je ne sais pas.

J'en sais un peu plus

Posté par Kerro () le 30/07/2008 à 14:59. (lien). Évalué à 2.

Je n'ai pas trouvé de documentation correcte concernant la manière d'utiliser les certificats avec Puppet. Je me suis rendu compte que le "common name" est obligatoirement le même que le FQDN, rien que ça !!

Ca pose problème si on souhaite changer de serveur maître, ou dans tous les cas où on n'a pas envie de synchroniser tout ses noms et FQDN. Les certificats et les FQDN n'ont rien à voir entre eux, il est donc problèmatique d'être obligé que les uns correspondent aux autres. Bref.

Il me reste à trouver comment, à la manière "normale" de Puppet, on fait pour que les clients puissent contacter un server maître sans gémir à cause d'un changement de FQDN.

exemple:
mon serveur est à l'adresse monserveur.maboite.fr et le certificat est émis avec le nom puppet. Bien entendu, il n'est pas question de modifier /etc/hosts de chaque client pour lui faire croire que puppet=monserveur.maboite.fr

  • [^]Re: J'en sais un peu plus

    Posté par Kerro () le 30/07/2008 à 16:09. (lien). Évalué à 2.

    Je viens de faire un tour sur le canal IRC de Puppet. Bon, on ne peut pas dire que ce soit très positif. Tout le monde là bas semble d'accord pour prétendre qu'un certificat numérique soit obligatoirement relié au nom de la machine. Ce sont des choses qui n'ont rien à voir entre elles, mais c'est comme ça.
    Ce n'est donc pas un bug, c'est une fonctionnalité :-)

Revenir en haut de page || Retourner aux forums || Retourner au forum general.general

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.049s (dont 0.0044 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !