Почему мне предлагается ввести имя пользователя и пароль при использовании «salt -a pam»?

Я слежу за документацией по внешней аутентификации на странице https://docs.saltstack.com/en/latest/topics/eauth/index.html

Я настроил external_auth в мастере, чтобы позволить пользователю ubuntu выдавать команды соли.

Запуск salt -a pam '*' test.ping от имени пользователя ubuntu работает, за исключением того, что мне предлагается ввести пользователя и пароль.

Я знаю о параметре токена аутентификации -T, но он по-прежнему требует ввода первоначального пароля, и срок его действия истекает.

Команда уже выполняется как ubuntu, почему меня снова спрашивают? Есть ли способ вообще убрать подсказку? Разрешить автоматическим программам, запускаемым от имени пользователя ubuntu, выполнять команды соли?

Это проблема с Saltstack или проблема конфигурации pam? Согласно документации Saltstack использует службу login (например, /etc/pam.d/login).


pam salt-stack
person TTimo    schedule 03.11.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

В документации сказано: «Передайте внешний носитель аутентификации для проверки. Учетные данные будут запрошены.», Так что это ожидаемо.

Если вы вошли в систему на главном сервере, вам не нужно использовать external_auth.

Вместо этого вы должны использовать publisher_acl:

«Система ACL издателя соли - это средство, позволяющее пользователям системы, кроме root, иметь доступ для выполнения команд select salt на миньонах от мастера».

Дополнительную информацию см. В документации.

person matt.LLVW    schedule 04.11.2019
comment
Отлично спасибо. Я не знал publisher_acl, я думал, что external_auth будет делать то, что я хотел, когда я его нашел. - person TTimo; 04.11.2019