SaltStack-액세스 제어 시스템
액세스 제어 시스템은 그룹의 사용자가 권한을 사용하여 작업을 실행할 수있는 옵션을 제공합니다. 솔트 액세스 제어 시스템은 비 관리 제어 인터페이스에 대한 액세스를 구성하는 데 사용됩니다. 이 프로세스를 모든 시스템에 적용 할 수 있습니다. 이 컨트롤은 관리자가 아닌 사용자가 Salt 명령을 실행하는 데 도움이됩니다.
솔트 인터페이스는 다음 세 가지 유형이 있습니다.
- 게시자 ACL 시스템
- 외부 인증 시스템
- 피어 시스템
이러한 각 인터페이스를 자세히 살펴 보겠습니다.
게시자 ACL 시스템
게시자 ACL 시스템은 루트 이외의 사용자가 마스터의 미니언에 대해 Salt 명령을 실행할 수 있도록합니다. 게시자 ACL 시스템은 다음을 통해 마스터 구성 파일에서 구성됩니다.publisher_acl구성 옵션. 다음과 같이 정의됩니다-
publisher_acl:
user1:
- .*
user2:
- web*:
- test.*
- pkg.*
여기,
user1 무엇이든 실행할 수 있습니다.
user2 사용이 허용됩니다 test 과 pkg, 그러나 "웹 *"미니언에만 해당됩니다.
외부 인증 시스템
그만큼 external auth system 다음과 같은 외부 인증 시스템을 통해 특정 미니언에 대한 솔트 명령을 실행하기위한 액세스를 제공하는 데 사용 PAM, LDAP이 구성 파일은 아래 설명 된대로 마스터 파일에 정의되어 있습니다.
external_auth:
pam:
user1:
- 'web*':
- test.*
- network.*
user2:
- .*
여기,
user1 기능을 실행할 수 있습니다. test 과 network modules 일치하는 미니언에 web* 표적.
user2 모든 기능을 실행할 수 있습니다.
명령에서 외부 인증 시스템 활성화
솔트 서버는 외부 인증을 활성화하는 '–a'옵션을 제공합니다.
salt -a pam web\* test.ping
여기, -a pam옵션은 PAM 외부 인증을 활성화하는 데 사용됩니다. Salt Server는 명령을 실행할 때마다 인증 세부 정보를 요청합니다. Salt Server가 처음으로 만 인증 세부 정보를 요청하지 못하도록 제한하려면 T 옵션을 사용할 수 있습니다. 이-T option 다음 12 시간 (기본 설정)에 대한 인증 세부 정보를 캐시하고이를 사용하여 사용자를 인증합니다.
salt -T -a pam web\* test.ping
피어 시스템
솔트 미니언은 피어 인터페이스를 사용하여 명령을 전달할 수 있습니다. 피어 인터페이스는 미니언이 다음을 사용하여 마스터에서 명령을 보낼 수 있도록 마스터 구성 파일을 통해 구성됩니다.peer 구성 섹션을 사용하거나 미니언이 마스터에서 러너를 실행할 수 있도록 peer_run 구성.
이 두 구성을 자세히 이해하겠습니다.
피어 구성
마스터 파일에 정의 할 간단한 구성은 다음과 같습니다.
peer:
.*:
- .*
여기에서는 모든 미니언이 통신 할 수 있지만 매우 안전한 환경에서만 권장됩니다.
특정 ID에 미니언을 할당하려면 다음과 같이 구성을 정의해야합니다. peer −
.*domain.com:
- test.*
peer_run 구성
이 구성은 미니언이 마스터 파일의 peer_run 옵션을 사용하여 마스터에서 러너를 실행할 수 있도록하기위한 것입니다. 다음 예제는 모든 미니언과 모든 러너에 대한 액세스를 허용하는 것입니다.
peer_run:
.*:
- .*
특정 ID에 미니언을 할당하려면 다음과 같이 구성을 정의해야합니다.
peer_run:
.*domain.com:
- test.*
명령 실행 방법
실행하다 test.ping 모든 미니언에 대해 salt-call 명령과 함께 publish.publish 기준 치수.
salt-call publish.publish \* test.ping
실행하다 runner, salt-call 명령을 publish.runner 기준 치수.
salt-call publish.runner manage.up