saltstack认证失败

最新推荐文章于 2023-08-24 10:40:18 发布
最新推荐文章于 2023-08-24 10:40:18 发布
阅读量586 收藏 1
点赞数 1
文章标签: 自动化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weike_1005/article/details/120740150
版权
当SaltStack的salt-master和salt-minion之间的密钥对出现不匹配,导致认证失败时,可以按照以下步骤解决:1. 在master端删除对应minion的id;2. 删除minion端的旧公钥和私钥文件;3. 重启minion服务以生成新的密钥对。完成这些操作后,minion将出现在master的UnacceptedKeys列表中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题描述:
在salt-master与salt-minion认证过程中,可能会因误操作导致的密钥对儿不匹配的情况,master端显示在denied keys列表中无法通过认证。

首先我们要了解密钥对的存放位置

 1、master 秘钥对默认存储在:
      /etc/salt/pki/master/master.pub

      /etc/salt/pki/master/master.pem

  2、master 端认证的公钥存储在:
      /etc/salt/pki/master/minions/

  3、minion 秘钥对默认存储在
      /etc/salt/pki/minion/minion.pub
      /etc/salt/pki/minion/minion.pem

  4、minion 存放的master公钥
      /etc/salt/pki/minion/minion_master.pub

  5、minion_id 默认存储在
      /etc/salt/minion_id

 通过上面的介绍可以得知,以上这个文件是在master端认证通过之后,发放到minion端的公钥

解决思路:

1、[master]先在master端删除该id
    
2、[minion]再删除minion端的key文件

3、[minion]最后重启服务

具体操作:

1、salt-key -d  -y   id号                                            #在master端删除minion的id号

2、rm -fr /etc/salt/pki/minion/minion_master.pub    #删除与旧master认证的公钥文件

3、rm -fr /etc/salt/pki/minion/minion.pem               #删除minion的私钥文件

4、rm -fr /etc/salt/pki/minion/minion.pub                #删除minion的公钥文件

5、service salt-minion restart                                 #重启服务 会自动重新生成新的密钥对儿 #此时master端查看keys时,新的主机已经出现在Unaccepted Keys的列表中了
SUSE安装SaltStack后的pam认证问题
大米瓶子的博客
10-15 3535
最近项目需要在几个集群的机器上部署SaltStack,操作系统有SUSE11 SP3和SP4两个版本的。之前同事在centos的虚拟机上测试一路顺风顺水,没想到上SUSE遇到一堆坑。               坑1:在SaltStack的官网上可以找到两个SUSE用的源,从Document- Installation - SUSE下找到的源是opensuse的(http://download
IP问题导致salt-stack系统异常
04-13 3804
1. salt-master的IP不通      比如salt-master节点网线掉了,或者当前masterIP漂移过,网卡的mac地址变了,但是salt-minion节点自身的arp表没有更新。      salt- minion日志特征: 2016-04-12 20:37:48,740 [salt.crypt                               ][WA
saltstack key认证过程
weixin_33907511的博客
12-15 253
https://docs.20150509.cn/2015/11/24/saltstack-key%E8%AE%A4%E8%AF%81%E8%BF%87%E7%A8%8B/密钥对儿的认证当初始化安装 minion 启动服务启动后minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止;master认证完毕后,会...
saltstack认证失败,无法生成minion_master.pub问题处理总结
zclinux的博客
04-18 2862
salt-minionsalt-master 认证机制如下: 1 minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止 2 master认证完毕后,会将minion 端发送来的,以ID值命名的公钥存放在 /etc/salt/pki/master/minions 目录中 3 master认证完毕后,会将自身的公钥发送给 minion,并存储为 /etc/salt/pki/minion/minion_master.pub. ..
saltstack故障解决
weixin_30566149的博客
11-27 707
[root@saltstack_s ~]# salt '*' test.pingSalt request timed out. The master is not responding. If this error persists after verifying the master is up, worker_threads may need to be increased. [roo...
Saltstack认证时出现错误:Minion did not return. [No response]
weixin_54118460的博客
10-12 562
出现的错误 原因可能有一下 1.master端/etc/salt/pki/minion目录下的minion_master.pub与minion端/etc/salt/pki/minion目录下的minion_master.pub内容不一致 2.minion启动有延时(等十几秒即可) 解决: 1.在minion端把/etc/salt/pki/minion目录下的minion_master.pub删除 rm -rf /etc/salt/pki/minion/minion_master.pu.
saltstack安装
process的博客
02-28 761
1. 安装1.安装步骤 找到对应的源加入salt的源[root@10-8-58-159 ~]# yum install -y https://repo.saltstack.com/py3/redhat/salt-py3-repo-3001-1.el8.noarch.rpm Last metadata expiration check: 0:00:43 ago on Mon 28&
SaltStack中的API接口和常用模块
jay_youth的博客
08-18 2959
一.API接口 利用api接口来实现SaltStack推送,管理集群是非常方便的手段,下面我们尝试利用API来实现Salt的功能…. 1.在server1上安装salt api yum insatll -y salt-api 2.配置自签名证书 cd /etc/pki/tls/cd private/ openssl genrsa 1024 openssl genrsa 102...
01 saltstack入门
巅峰产生虚伪的拥护,黄昏见证虞城的信徒。
11-01 196
saltstack入门1. saltstack介绍1.1 自动化运维工具1.2 saltstack的特点1.3 saltstack服务架构2. saltstack四大功能与四大运行方式3. saltstack组件介绍4. saltstack安装与最小化配置4.1 在控制机上安装saltstack主控端软件4.2 在被控机上安装salt-minion客户端4.3 saltstack配置文件5. saltstack认证机制6. saltstack远程执行7. salt命令使用 1. saltstack介绍 1
解决salt重新认证在master端被Denied的问题
01-17 2142
当初始化安装 minion 启动服务启动后 minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止; master认证完毕后,会将minion 端发送来的,以ID值命名的公钥存放在 /etc/salt/pki/master/minions 目录中(无扩展名); master认证完毕后,会将自身的公钥发送给 minion,并存...
The Salt Master has rejected this minion's public key!
weixin_30599769的博客
03-28 1173
salt查看日志:salt --log-level=all "10.199.165.244" state.highstate 进入调试模式: salt-minion -l debug [DEBUG ] Reading configuration from /etc/salt/minion [DEBUG ] Configuration file path: /etc/salt/min...
一次Saltstack的报错记录
weixin_34025151的博客
11-22 176
master端报错信息: 1 2 3 4 5 6 7 [root@RS1~]#salt-G'roles:nginx'test.ping [WARNING]Keygrainswithvalueroles:nginxenv:prodhasaninvalidtypeof<type'str'&gt...
saltstack master无法收到minion
weixin_34310785的博客
04-03 881
遇到的问题如下:root@Saltstack:/etc/salt# salt-key -LAccepted Keys:Unaccepted Keys:Rejected Keys:root@Saltstack:/etc/salt# salt-master -l debug[DEBUG   ] Reading configuration from /etc/salt/master[DEBUG   ] ...
TROUBLESHOOTING - SaltStack故障排查指南
watermelonbig的专栏
08-11 1384
本部分故障排除章节内容的目的是为用户遇到的许多常见问题以及可用于帮助开发状态和Salt代码的工具引入解决方案。 文章目录TROUBLESHOOTING THE SALT MASTER - Salt Master服务的故障排查方法Running in the Foreground - 在前台以debug模式运行进程WHAT PORTS DOES THE MASTER NEED OPEN? - Mas...
saltstack服务端与客户端通信问题处理
Ysssssssssssssss的博客
11-03 1008
ERROR: No return received No minions matched the target. No command was sent, no jid was assigned.
Salt基础安装配置
丶的博客
02-21 1194
一、Salt介绍 简介 一个配置管理系统,能够维护预定义状态的远程节点(比如,确保指定的报被安装,指定的服务在运行) 一个分布式远程执行系统,用来在远程节点(可以是单个节点,也可以是任意规则挑选出来的节点)上执行命令和查询数据 我们可以通过官网查看它的具体信息 并行执行使命令发送到远程系统是并行的而不是串行的 使用安全加密的协议 使用最小最快的网络载荷 提供简单的编程接...
saltstack配置
2302_79294962的博客
08-24 5664
SaltStack是一种新的基础设施管理方法开发软件,简单易部署,可伸缩的足以管理成千上万的服务器,和足够快的速度控制,与他们交流,以毫秒为单位。SaltStack提供了一个动态基础设施通信总线用于编排,远程执行、配置管理等等。
zmq导致master收不到minion的key
weixin_34319374的博客
01-08 611
问题:官网方式yum安装完saltstack之后,master与minion都成功启动后,但是却发现怎么都收不到minion的key。(zmq版本不一致所致,困扰了我好几天,希望能帮到大家。)分析:master上的状态:# 查看master 上的配置文件,只修改了interface: [root@master doubles]# cat /etc/salt/master interface: 1...
salt-minionsalt-master之间重新认证
fly0512的博客
08-24 490
salt minionsalt master之间重新建立认证 修改了minion端的id之后 比如修改了hostname之后, minion端会将minion的id 存放在/etc/salt/minion_id 文件中,重启不会改变。所以要重新认证就需要以下2步: 1、清空minion_id /etc/salt/minion_id 2.删除minion存放masterkey的文件pki文件夹下所以的东西 rm -rf /etc/salt/pki/* 3.重启minion service salt-m
SSL证书更新系统准备
最新发布
03-25
<think>好的,我现在需要回答用户关于SSL证书更新准备工作的流程的问题。首先,我需要仔细阅读用户提供的引用内容,尤其是引用[1]和引用[2],因为这些部分直接提到了SSL证书更新的相关工具和流程。 首先,引用[1]介绍了SSL Update Manager,这是一个基于Git仓库的自动化工具,使用SaltStack来管理多台服务器的SSL证书更新。用户可能想知道如何准备环境来使用这样的工具,比如安装必要的软件、配置Git仓库和SaltStack环境。此外,引用[2]提到阿里云免费SSL证书调整为三个月有效期后的自动化更新方案,涉及证书申请、自动化脚本编写等步骤。这些内容都是准备工作的重要部分。 接下来,我需要整理出系统化的准备工作流程。可能需要包括以下几个步骤: 1. **证书备份与检查**:确保在更新前备份现有证书,并检查其有效期。这是为了防止更新过程中出现问题,可以快速回滚。 2. **新证书申请与验证**:根据引用[2],证书签发后需要部署到服务器。这里可能需要生成CSR,提交到CA,完成验证,并获取新证书文件。 3. **自动化工具配置**:如果使用SSL Update Manager这样的工具,需要配置Git仓库、安装SaltStack,并设置服务器节点信息。引用[1]提到了环境准备,比如安装Python依赖和SaltStack组件。 4. **测试环境验证**:在正式更新前,应该在测试环境中进行验证,检查证书是否正确安装,服务是否正常,避免影响生产环境。 5. **更新流程文档化**:记录所有步骤和回滚计划,确保团队成员都清楚流程。 此外,引用[3]虽然主要讲双向认证,但也提醒了证书类型的选择(单向或双向),所以在准备工作中可能需要确认证书类型是否符合当前需求。 需要注意的是,用户的问题是关于“准备工作流程”,所以回答需要分步骤,结构清晰。同时,根据系统级指令,要使用中文,正确使用LaTeX格式,并且在引用处添加标识。比如,在提到自动化工具时引用[^1],阿里云方案引用[^2],证书类型引用[^3]。 可能还需要生成相关问题,比如如何选择单向或双向证书,自动化工具的具体配置步骤,如何处理证书链等。这些问题需要与用户的查询相关,并帮助用户进一步理解。 最后,确保回答符合用户可见层的格式要求,结构清晰,步骤明确,引用正确,并添加相关问题。</think>### SSL证书更新的准备工作流程 #### 1. **证书备份与有效期检查** - **备份现有证书**:将当前服务器上的SSL证书(如`cert.pem`、`key.pem`、`chain.pem`)复制到安全目录,避免更新失败导致服务中断。 - **检查证书有效期**:使用命令 `openssl x509 -enddate -noout -in cert.pem` 查看证书过期时间,确认更新窗口期。 #### 2. **新证书申请与验证** - **生成CSR文件**:通过OpenSSL生成新的私钥和证书签名请求(CSR): ```bash openssl req -new -newkey rsa:2048 -nodes -keyout new.key -out new.csr ``` - **提交至CA**:将CSR提交给证书颁发机构(如阿里云、Let's Encrypt),完成域名所有权验证(DNS或HTTP验证)。 - **获取新证书文件**:从CA下载包含证书文件(`cert.crt`)、私钥(`key.pem`)和中间证书链(`chain.crt`)的完整包。 #### 3. **自动化工具配置(如SSL Update Manager)** - **环境准备**: - 安装Git和Python依赖:`git clone` 仓库并执行 `pip install -r requirements.txt`。 - 部署SaltStack:配置Master和Minion节点,确保服务器间通信正常。 - **证书存储配置**: - 在Git仓库中创建证书目录(如`/ssl_certs`),按服务器分组存放证书文件。 - 编写SaltStack状态文件,定义证书部署路径(如Nginx的`/etc/ssl/`)。 #### 4. **测试环境验证** - **模拟更新流程**: ```bash salt 'test-server*' state.apply ssl_update # 通过SaltStack在测试节点执行更新 ``` - **服务重启与兼容性检查**: - 重启Web服务(如Nginx、Apache)并监控日志:`systemctl restart nginx`。 - 使用工具(如`curl -vI https://domain.com` 或 SSL Labs测试)验证证书链完整性。 #### 5. **回滚计划与文档记录** - **回滚脚本**:编写脚本快速恢复旧证书,例如: ```bash cp /backup/ssl/* /etc/ssl/ && systemctl reload nginx ``` - **更新文档**:记录证书路径、SaltStack配置、验证步骤及责任人信息。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weike_1005

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值