SaltStack - अभिगम नियंत्रण प्रणाली

एक एक्सेस कंट्रोल सिस्टम समूह के लिए अनुमतियों के साथ किसी कार्य को निष्पादित करने के लिए उपयोगकर्ता के लिए विकल्प प्रदान करता है। एक नमक अभिगम नियंत्रण प्रणाली का उपयोग गैर-प्रशासनिक नियंत्रण इंटरफेस तक पहुंच को कॉन्फ़िगर करने के लिए किया जाता है। आप इस प्रक्रिया को सभी प्रणालियों पर लागू कर सकते हैं। यह नियंत्रण गैर-प्रशासनिक उपयोगकर्ताओं को साल्ट कमांड को निष्पादित करने में मदद करता है।

नमक के इंटरफेस निम्नलिखित तीन प्रकार के होते हैं -

  • प्रकाशक एसीएल प्रणाली
  • बाहरी प्रामाणिक प्रणाली
  • पीयर सिस्टम

आइए इन प्रत्येक इंटरफेस के बारे में विस्तार से जाने।

प्रकाशक एसीएल प्रणाली

एक प्रकाशक ACL प्रणाली रूट के अलावा अन्य उपयोगकर्ताओं तक पहुँच प्रदान करती है जो मास्टर से मिनटों पर साल्ट कमांड को निष्पादित करता है। प्रकाशक ACL प्रणाली के माध्यम से मास्टर कॉन्फ़िगरेशन फ़ाइल में कॉन्फ़िगर किया गया हैpublisher_aclकॉन्फ़िगरेशन विकल्प। इसे निम्नानुसार परिभाषित किया गया है -

publisher_acl:
   user1:
      - .*

   user2:
      - web*:
         - test.*
         - pkg.*

यहाँ,

  • user1 कुछ भी निष्पादित करने की अनुमति है।

  • user2 उपयोग करने की अनुमति है test तथा pkg, लेकिन केवल "वेब *" minions पर।

बाहरी प्रामाणिक प्रणाली

external auth system बाहरी प्राधिकरण प्रणाली के माध्यम से विशिष्ट minions पर नमक आदेशों को निष्पादित करने के लिए पहुँच प्रदान करने के लिए उपयोग किया जाता है PAM, LDAP, आदि इस विन्यास फाइल को नीचे बताए अनुसार मास्टर फाइल में परिभाषित किया गया है।

external_auth:
   pam:
      user1:
         - 'web*':
            - test.*
            - network.*
      user2:
         - .*

यहाँ,

  • user1 में कार्यों को निष्पादित करने की अनुमति है test तथा network modules जिन मेलों में मिलान होता है web* लक्ष्य।

  • user2 सभी कार्यों को निष्पादित करने की अनुमति है।

कमांड में एक्सटर्नल ऑथ सिस्टम को इनेबल करें

नमक सर्वर बाहरी प्रमाणीकरण को सक्षम करने के लिए एक विकल्प '-a' प्रदान करता है।

salt -a pam web\* test.ping

यहां ही -a pamविकल्प का उपयोग PAM बाहरी प्रमाणीकरण को सक्षम करने के लिए किया जाता है। जब भी हम कमांड निष्पादित करेंगे, तब सॉल्ट सर्वर प्रमाणीकरण विवरण मांगेगा। केवल पहली बार प्रमाणीकरण विवरण पूछने से नमक सर्वर को प्रतिबंधित करने के लिए, हम टी विकल्प का उपयोग कर सकते हैं। यह-T option अगले 12 घंटों (डिफ़ॉल्ट सेटिंग) के लिए प्रमाणीकरण विवरण को कैश करता है और उपयोगकर्ताओं को प्रमाणित करने के लिए इसका उपयोग करता है।

salt -T -a pam web\* test.ping

पीयर सिस्टम

पीर इंटरफेस का उपयोग करके नमक मिनरल्स कमांड पारित कर सकते हैं। सहकर्मी इंटरफ़ेस को मास्टर कॉन्फ़िगरेशन फ़ाइल के माध्यम से कॉन्फ़िगर किया गया है, जिससे मिनियंस को मास्टर का उपयोग करके कमांड भेजने की अनुमति मिलती हैpeer कॉन्फ़िगरेशन अनुभाग या उपयोग करने के लिए मास्टर से धावकों को निष्पादित करने के लिए अनुमति देने के लिए peer_run विन्यास।

आइए इन दोनों विन्यासों को विस्तार से समझते हैं।

सहकर्मी विन्यास

मास्टर फ़ाइल में परिभाषित किया जाने वाला सरल विन्यास निम्नानुसार है -

peer:
   .*:
      - .*

यहाँ, यह सभी टकसालों के लिए संचार को सक्षम बनाता है, लेकिन यह केवल बहुत ही सुरक्षित वातावरण के लिए अनुशंसित है।

विशिष्ट आईडी के लिए टकसालों को असाइन करने के लिए, कॉन्फ़िगरेशन को नीचे दिखाए अनुसार परिभाषित करने की आवश्यकता है: सहकर्मी -

.*domain.com:
   - test.*

peer_run कॉन्फ़िगरेशन

यह कॉन्फ़िगरेशन मिनरल्स को मास्टर फ़ाइल पर peer_run विकल्प का उपयोग करके मास्टर से रनर्स को निष्पादित करने की अनुमति देता है। निम्नलिखित उदाहरण सभी minions और सभी धावकों के लिए उपयोग की अनुमति है।

peer_run:
   .*:
      - .*

किसी विशिष्ट आईडी को टकसाल आवंटित करने के लिए, विन्यास को नीचे दिए गए अनुसार परिभाषित करने की आवश्यकता है -

peer_run:
   .*domain.com:
      - test.*

कमांड का निष्पादन कैसे करें

निष्पादन हेतु test.ping सभी minions पर, का उपयोग करें salt-call के साथ कमान publish.publish मापांक।

salt-call publish.publish \* test.ping

निष्पादन हेतु runnerके साथ-साथ नमक-कॉल कमांड का उपयोग करें publish.runner मापांक।

salt-call publish.runner manage.up