कठपुतली मेजबाननाम समस्या

मैंने ऑनलाइन खोज की और मैंने देखा कि कुछ अन्य लोगों ने अन्य सूचियों / बोर्डों पर इस मुद्दे को रखा है। जब मैं sudo कठपुतली चलाते हैं --waitforcert 60-test 2 बार मास्टर सर्वर पर प्रमाण पत्र पर हस्ताक्षर करने के बाद मुझे यह त्रुटि मिलती है-

notice: Got signed certificate
warning: Certificate validation failed; considering using the certname configuration option
err: /File[/var/lib/puppet/lib]: Failed to generate additional resources during transaction: Certificates were not trusted: hostname was not match with the server certificate

मुझे यकीन नहीं है कि मैं समझता हूं कि समस्या क्या है या इसे कैसे ठीक किया जाए। इसलिए मैं पूछता हूं।

मैं अपने लैन पर दो सर्वरों पर कठपुतली स्थापित कर रहा हूं। कठपुतली का नाम 'कठपुतली' है और दूसरे सर्वर का नाम 'कठपुतली' है। मैंने कठपुतली पर कठपुतली / आदि / मेजबानों को रखा।

hostname -f चलाने से संबंधित सर्वर पर कठपुतली और कठपुतली प्रदर्शित होगी। मुझे यकीन नहीं है कि और क्या प्रयास करना है। क्या किसी के पास कोई अंतर्दृष्टि है?

कठपुतली प्रमाण पत्र की तरह लगता है जब मेजबान को "कठपुतली" के अलावा कुछ और नाम दिया गया था। प्रमाणपत्र को फिर से बनाएं और आपको अच्छा होना चाहिए।

प्रमाण पत्र में संग्रहीत नाम को आपके (कनेक्ट) से कनेक्ट करने के लिए आपने अपने क्लाइंट से क्या कॉन्फ़िगर किया है, यह मिलान करना होगा। उदाहरण के लिए, यदि आप "puppet.domain.com" से कनेक्ट करने के लिए अपने क्लाइंट को कॉन्फ़िगर करते हैं, तो प्रमाणपत्र "कठपुतली" और इसके विपरीत नाम होने पर आपको एक त्रुटि मिलेगी।

यदि आप अपने कठपुतली के लिए DNS CNAME का उपयोग करना चाहते हैं, तो आप का उपयोग करके कठपुतली शुरू कर सकते हैं:

puppetmaster --certname cname.domain.org

जो cname.domain.orgडिफ़ॉल्ट पूरी तरह से योग्य डोमेन नाम के बजाय कठपुतली का उपयोग करेगा ।

--certname cname.domain.orgझंडा विकल्प (अमेज़न EC2 पर) मेरे लिए चाल किया है लग रहा था

आप facter (facter fqdn) से पूछ सकते हैं कि hostname क्या है और देखें कि क्या वह आपकी अपेक्षा के अनुरूप है। इसके अलावा (डिफ़ॉल्ट रूप से) / var / lib / कठपुतली / ssl / पर एक नज़र डालें और देखें कि समारोह क्या दिखते हैं, अगर उनके पास सही होस्टनाम नहीं हैं जो आपकी समस्या हो सकती है। चूंकि कठपुतली यह सब HTTPS पर संचार करता है इसलिए यह रिज़ॉल्यूशन और होस्ट नामकरण के लिए काफी संवेदनशील है।

अपने निर्दिष्ट क्लाइंट और सर्वर पर कठपुतली को स्थापित करने से पहले, /etc/resolv.conf फ़ाइल की जाँच करें और सत्यापित करें कि "खोज" लाइन पर पहला डोमेन प्रविष्टि वह डोमेन है जिसे आप चाहते हैं कि पपेट चल सके। उदाहरण के लिए:

my.puppetdomain.com my.public.domain.com खोजें

nameerver 192.168.1.1 नेमसर्वर xxx.xxx.1.1

कठपुतली स्थापना चरण के दौरान, कठपुतली सर्वर /etc/resolv.conf में पहली खोज प्रविष्टि के आधार पर अपने प्रमाण पत्र उत्पन्न करेगा। मुझे यह सब बड़ी कठिनाईयों का सामना करने के बाद मिला है। यदि आप किसी भी कठपुतली नोड पर प्रमाण पत्र से संबंधित त्रुटियों को देखते हैं, तो निम्न चरणों का पालन करें:

1) /etc/resolv.conf संपादित करें और सत्यापित करें कि "खोज" लाइन में सूचीबद्ध पहला डोमेन उस डोमेन को दर्शाता है जिसे आप कठपुतली में चलाना चाहते हैं।

2) कठपुतली की स्थापना रद्द करें (/ / / कठपुतली निर्देशिका बरकरार)।

3) rm -rf / var / lib / कठपुतली

4) कठपुतली को फिर से स्थापित करें (यह एक नया / var / lib / कठपुतली निर्देशिका उत्पन्न करेगा)।

5) यदि कठपुतली सर्वर पर यह प्रदर्शन, रन / usr / sbin / puppetmasterd --mkusers (वैकल्पिक रूप से, चलाएँ / usr / स्थानीय / sbin / कठपुतली --mkusers )। यह उचित डोमेन नाम का उपयोग करके नए आंतरिक प्रमाणपत्र सहित / var / lib / कठपुतली के भीतर सभी आवश्यक फाइलें उत्पन्न करेगा।

6) यदि कठपुतली ग्राहक पर यह प्रदर्शन कर रहा है, तो कठपुतली मोड में कठपुतली को शुरू करें - Thewaitforcert ध्वज सक्षम होने के साथ: कठपुतली-पर्यवेक्षक .puppetdomain.com --waitforcert 60-test यह कदम कठपुतली सर्वर को एक प्रमाणपत्र अनुरोध भेजेगा।

7) कठपुतली सर्वर पर, प्रतीक्षा प्रमाणपत्र सूचीबद्ध करें:

कठपुतली - सूची

आपको पपेट क्लाइंट के होस्टनाम को अनुरोध करते हुए देखना चाहिए:

puppetclient1.puppetdomain.com

8) कठपुतली सर्वर से, बस सूचीबद्ध कठपुतली ग्राहक के प्रमाण पत्र पर हस्ताक्षर करें:

puppetca - sign puppetclient1.puppetdomain.com

फिर तुम हो गए।

HTH ....

कठपुतली और कठपुतली दोनों डीएनएस में हल करते हैं? यदि आप IP और होस्टनाम को मैप करने के लिए / etc / मेजबान फ़ाइल को संपादित नहीं कर सकते हैं। IIRC, आपको केवल क्लाइंट पर ऐसा करने की आवश्यकता होगी।