saltstack认证相关
认证过程:
当初始化安装minion,minion服务启动后minion端会生成一个密钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给master,直到接受为止;
[[email protected] minion]# pwd
/etc/salt/pki/minion
[[email protected] minion]# ls
minion.pem minion.pub
注意:刚安装完minion,未启动时,pki目录是不存在的
启动minion服务后,会自动创建pki目录,minion目录和生成一个密钥对
我们可以把pki目录删除,然后再重启服务,会再重新生成pki目录
master认证后,会将minion端发送来的以ID值命名的公钥存放在/etc/salt/pki/master/minions目录中,且以minion机的ip命名,如下:
[[email protected] minions]# pwd
/etc/salt/pki/master/minions
[[email protected] minions]# ls
192.168.186.129
同时会将自身的公钥发送给minion,并存储为/etc/salt/pki/minion/minion_master.pub,如下:
[[email protected] minion]# pwd
/etc/salt/pki/minion
[[email protected] minion]# ls
minion_master.pub minion.pem minion.pub
注意:
master端的pki目录千万不要删除,因为里面包括了所有的minion的公钥认证
不过我们可以删除/etc/salt/pki/master/minions目录下,某一个minion的认证文件,如:/etc/salt/pki/master/minions/192.168.186.129
重新认证:
[[email protected] salt]# salt-key -y -d 192.168.186.129 (删除某个minion的认证)
Deleting the following keys:
Accepted Keys:
192.168.186.129
Key for minion 192.168.186.129 deleted.
注意:删除某个minion认证后,又想重新加进来,需要把服务重启下:
/etc/init.d/salt-master restart
/etc/init.d/salt-minion restart
若重启服务还是不行的话,可以采用如下方法:
minion端:
cd /etc/salt/pki/
rm -rf minion/
/etc/init.d/salt-minion restart
master端:
cd /etc/salt/pki/master/minions
若存在minion对应的ip认证文件,则删除:rm -f 192.168.186.129
/etc/init.d/salt-master restart