Forum général.général Mise en place de Puppet: problème de certificats

Posté par  .
Étiquettes : aucune
0
26
juil.
2008
Bonjour,

je suis en train de tester Puppet. J'ai vu ici des commentaires favorables alors je teste :-)

Je n'arrive pas à le faire fonctionner entre deux hôtes qui ne sont pas sur le même site. J'ai le maître qui est sur un site, les esclaves sur x sites. La communication passe bien, mais j'ai toujours le message "Certificates were not trusted: hostname was not match with the server certificate".

J'ai suivi ce qui est indiqué ici http://reductivelabs.com/trac/puppet/wiki/RubySSL-2007-006 mais rien de mieux.

Sur mon serveur:
[puppetmasterd]
certname=puppet

Ca ne donne rien de mieux, alors j'ai également mis sur mes clients:
[puppetd]
server=monpuppet.dyndns.org

Toujour rien. Je sèche.

  • # Quel version de puppet?

    Posté par  (site web personnel) . Évalué à 1.

    J'ai eu le même probleme avec la version fourni dans Debian et en mettant à jours ma version de puppet le bug à disparus.

    • [^] # Re: Quel version de puppet?

      Posté par  . Évalué à 2.

      Pour éviter ce problème, il faut que le champs CN du certificat présenté par le serveur puppet corresponde au hostname indiqué dans le fichier de configuration des clients.
      Un alias DNS ou une entrée dans le fichier host permet de contourner facilement le problème.

      • [^] # Re: Quel version de puppet?

        Posté par  . Évalué à 2.

        Un alias DNS ou une entrée dans le fichier host permet de contourner facilement le problème

        Un alias de quel nom vers quel nom ? J'ai essayé sur le client et sur le serveur: mettre un alias de chaque nom, pas mieux.

        Comment afficher le contenu des certificats ? Ca m'aiderait peut-être, mais ils sont chiffrés et pour les afficher... je ne sais pas.

  • # J'en sais un peu plus

    Posté par  . Évalué à 2.

    Je n'ai pas trouvé de documentation correcte concernant la manière d'utiliser les certificats avec Puppet. Je me suis rendu compte que le "common name" est obligatoirement le même que le FQDN, rien que ça !!

    Ca pose problème si on souhaite changer de serveur maître, ou dans tous les cas où on n'a pas envie de synchroniser tout ses noms et FQDN. Les certificats et les FQDN n'ont rien à voir entre eux, il est donc problèmatique d'être obligé que les uns correspondent aux autres. Bref.

    Il me reste à trouver comment, à la manière "normale" de Puppet, on fait pour que les clients puissent contacter un server maître sans gémir à cause d'un changement de FQDN.

    exemple:
    mon serveur est à l'adresse monserveur.maboite.fr et le certificat est émis avec le nom puppet. Bien entendu, il n'est pas question de modifier /etc/hosts de chaque client pour lui faire croire que puppet=monserveur.maboite.fr

    • [^] # Re: J'en sais un peu plus

      Posté par  . Évalué à 2.

      Je viens de faire un tour sur le canal IRC de Puppet. Bon, on ne peut pas dire que ce soit très positif. Tout le monde là bas semble d'accord pour prétendre qu'un certificat numérique soit obligatoirement relié au nom de la machine. Ce sont des choses qui n'ont rien à voir entre elles, mais c'est comme ça.
      Ce n'est donc pas un bug, c'est une fonctionnalité :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.