saltstack key認證過程

密鑰對兒的認證

當初始化安裝 minion 啓動服務啓動後

1. minion端生成一個祕鑰對，併產生一個ID值，minion服務會安裝ID值命名的公鑰發送給 master ,直到接受爲止;
2. master認證完畢後，會將minion 端發送來的，以ID值命名的公鑰存放在 /etc/salt/pki/master/minions 目錄中(無擴展名);
3. master認證完畢後，會將自身的公鑰發送給 minion，並存儲爲 /etc/salt/pki/minion/minion_master.pub

---

minion id的生成過程

minion 默認按照必定的順序，試圖找到一個不是localhost的值做爲其ID

這裏不須要知道salt是按照怎樣的順序取值的，只須要記住如下優先級便可

hostname < /etc/salt/minion_id < /etc/salt/minion文件中的id值

---

密鑰對兒存放的位置

• master 祕鑰對默認存儲在

1 2	/etc/salt/pki/master/master.pub /etc/salt/pki/master/master.pem

• master 端認證的公鑰存儲在：

1	/etc/salt/pki/master/minions/

• minion 祕鑰對默認存儲在

1 2	/etc/salt/pki/minion/minion.pub /etc/salt/pki/minion/minion.pem

• minion 存放的master公鑰

1	/etc/salt/pki/minion/minion_master.pub

• minion_id 默認存儲在

1	/etc/salt/minion_id

在實際使用過程當中，minion端可能會遇到各類緣由致使的密鑰對兒不匹配的狀況，形成在master端顯示在denied keys列表中沒法經過認證。

• [master]先在master端刪除該id
• [minion]再刪除minion端的key文件
• [minion]最後重啓服務

1 2 3 4 5 6 7 8

rm -fr /etc/salt/pki/minion/minion_master.pub #經過上面的介紹能夠得知，以上這個文件是在master端認證經過以後，發放到minion端的公鑰 #形成出現這個文件狀況是由於早期鏈接了一個其餘的master，更換master致使原公鑰沒法匹配 #刪除與舊master認證的公鑰文件 rm -fr /etc/salt/pki/minion/minion.pem #刪除minion的私鑰文件 rm -fr /etc/salt/pki/minion/minion.pub #刪除minion的公鑰文件 service salt-minion restart #重啓服務 會自動從新生成新的密鑰對兒 #此時master端查看keys時，新的主機已經出如今Unaccepted Keys的列表中了

===========================================================================================================================================================

SALTSTACK 安裝完成後默認使用hostname 做爲ID，須要修改ID：

1.中止minion服務

2.刪除salt-minion 公鑰文件  /etc/salt/pki/minion.pub      /etc/salt/pki/minion.pem

3.修改新的minion_id 

4.MASTER上刪除舊的KEY

 

5.MINION端從新啓動　　

6.MASTER端從新接受新的key

修改完成。

因沒法截圖至外網區域，故只留文字記錄修改過程。