Разрешения на создание клиентов на chef-server

На шеф-сервере у меня есть группа provisioners для пользователей, у которых должны быть разрешения на загрузку и предоставление узлов, так называемые без валидатора.

При загрузке машины нож пытается создать новый клиент и узел на сервере шеф-повара. Проблема с ACL для этой группы. В разделе «Глобальные разрешения» я могу найти контейнер и предоставить разрешение create только для узлов, но не для клиентов. Вот почему knife bootstrap терпит неудачу с:

Creating new client for node-01
ERROR: You authenticated successfully to https://chef-server:443/organizations/test as mlanin but you are not authorized for this action
Response:  missing create permission

Как предоставить клиентам права на создание?


chef-infra knife
person Maxim Lanin    schedule 06.11.2015    source источник
comment
Взгляните на knife-acl, веб-интерфейс не реализует настройку ACL в клиентском контейнере.   -  person Tensibai    schedule 06.11.2015
comment
@Tensibai большое спасибо! Пропустил как-то.   -  person Maxim Lanin    schedule 06.11.2015

Ответы (2)


arrow_upward
5
arrow_downward

Вам нужно будет отредактировать списки ACL напрямую либо через плагин knife-acl, либо через knife edit .../_acl.json. Пользовательский интерфейс скрывает некоторые элементы разрешений, чтобы не быть слишком сложным.

См.: https://github.com/chef/knife-acl

person coderanger    schedule 15.11.2015

arrow_upward
5
arrow_downward

Камень нож-acl - правильный ответ. Конкретно по вопросу OP, предоставляя возможность создавать клиентов в качестве члена группы «provisioners».

knife acl add group provisioners containers clients create

Я обнаружил, что мне нужно сделать это для группы «пользователи» на совершенно новой установке шеф-сервера. Не похоже, что стандартные разрешения действительно учитывают отсутствие валидатора.

person Kyle VanderBeek    schedule 26.07.2016