2. 程式人生 > >SUSE安裝SaltStack後的pam認證問題

SUSE安裝SaltStack後的pam認證問題

阿新 發佈:2019-01-07

            最近專案需要在幾個叢集的機器上部署SaltStack,作業系統有SUSE11 SP3和SP4兩個版本的。之前同事在centos的虛擬機器上測試一路順風順水,沒想到上SUSE遇到一堆坑。

            坑1:在SaltStack的官網上可以找到兩個SUSE用的源,從Document- Installation - SUSE下找到的源是opensuse的(http://download.opensuse.org/repositories/systemsmanagement:/saltstack/SLE_11_SP4/systemsmanagement:saltstack.repo),版本為2016.3.3;而從Downloads- SUSE - SLES11下找到的源是saltstack的(http://repo.saltstack.com/opensuse/SLE_11_SP4/systemsmanagement:saltstack.repo),版本為2015.8.12。版本不一致讓人疑惑,但坑不在這裡,真正的坑是,不管用哪個源裝都會少一些依賴,比如python-requests等幾個rpm包,要找到匹配的版本還是花了一番功夫的,我找到的4個包如下,地址就不放了。這還不算大坑。

python-requests-2.4.1-30.1.x86_64.rpm

python-ordereddict-1.1-0.7.31.x86_64.rpm

ca-certificates-1-9.1.noarch.rpm

libffi43-4.3.4_20091019-0.37.28.x86_64.rpm

            除了salt,salt-master,salt-minion外,我還裝了salt-api,因為需要一個restful的API供外部呼叫。裝完以後,還需要配置外部認證供salt-api使用(https://docs.saltstack.com/en/latest/topics/eauth/index.html),再新建一個作業系統帳號供api使用(我建的帳號為saltapi),無難度。全部配完,起salt-master和salt-api服務,顯示OK,但是呼叫的時候來坑了。

            坑2:首先嚐試用curl方式呼叫

curl -si localhost:8088/login -H"Accept:application/json" -H"Content-type:application/json" -d'{"username":"saltapi","password":"mypassword","eauth":"pam"}'

返回了一個401錯誤:

HTTP/1.1 401 Unauthorized
Content-Length: 1614
Access-Control-Expose-Headers: GET, POST
Vary: Accept-Encoding
Server: CherryPy/3.6.0
Allow: GET, HEAD, POST
Access-Control-Allow-Credentials: true
Date: Sat, 15 Oct 2016 11:14:43 GMT
Access-Control-Allow-Origin: *
Content-Type: text/html;charset=utf-8
Set-Cookie: session_id=9f4c49f186ad3026386a43372d7b2e538d216397; expires=Sat, 15 Oct 2016 21:14:43 GMT; Path=/
<!DOCTYPE html PUBLIC
"-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"></meta>
    <title>401 Unauthorized</title>
    <style type="text/css">
    #powered_by {
        margin-top: 20px;
        border-top: 2px solid black;
        font-style: italic;
    }
    #traceback {
        color: red;
    }
    </style>
</head>
    <body>
        <h2>401 Unauthorized</h2>
        <p>Could not authenticate using provided credentials</p>
        <pre id="traceback">Traceback (most recent call last):
  File "/usr/lib64/python2.6/site-packages/cherrypy/_cprequest.py", line 670, in respond
    response.body = self.handler()
  File "/usr/lib64/python2.6/site-packages/cherrypy/lib/encoding.py", line 217, in __call__
    self.body = self.oldhandler(*args, **kwargs)
  File "/usr/lib64/python2.6/site-packages/salt/netapi/rest_cherrypy/app.py", line 534, in hypermedia_handler
    ret = cherrypy.serving.request._hypermedia_inner_handler(*args, **kwargs)
  File "/usr/lib64/python2.6/site-packages/cherrypy/_cpdispatch.py", line 61, in __call__
    return self.callable(*self.args, **self.kwargs)
  File "/usr/lib64/python2.6/site-packages/salt/netapi/rest_cherrypy/app.py", line 1529, in POST
    'Could not authenticate using provided credentials')
HTTPError: (401, 'Could not authenticate using provided credentials')
</pre>
    <div id="powered_by">
      <span>
        Powered by <a href="http://www.cherrypy.org">CherryPy 3.6.0</a>
      </span>
    </div>
    </body>
</html>

            心裡覺得奇怪,該不會是salt-api沒裝好吧,畢竟有不少野地裡淘來的rpm啊。於是決定用salt命令在master的本機呼叫:

salt -a pam "*" test.ping

            執行後會提示輸入使用者名稱和密碼,輸入saltapi帳號資訊,依然是401錯誤。這下雷了。研究了一下salt的程式碼,pam認證都要過以下檔案,編輯一下以便除錯:

vi /usr/lib64/python2.6/site-packages/salt/auth/pam.py

            在179行加入:

print "retval after AUTHENTICATE:%s" % retval

            然後將salt-master服務停掉,在命令列前臺起一個debug模式的salt-master,來看到底什麼情況:

service salt-master stop

salt-master -l debug

            接下去就更雷了。在2015.8.12版本的機器上,執行到這裡列印“retval after AUTHENTICATE: 10”,而在2016.3.3版本的機器上列印“retvalafter AUTHENTICATE: 7”。關於這個返回值的解釋,可以看這個頁面(http://pubs.opengroup.org/onlinepubs/8329799/chap5.htm)。其中,7代表PAM_PERM_DENIED,10代表PAM_NEW_AUTHTOK_REQD。我一開始在一臺2015.8.12版本的虛擬機器上除錯,始終返回10,懷疑是PAM的token無法生成,翻遍了網上所有saltstack的文章都沒有解決方案。由於當時已經到晚上11點了,困得要死,決定先作個弊,跑過去再說。於是再修改pam.py檔案,將auth方法改為如下:

def auth(username, password, **kwargs):
    ‘’’
    Authenticate via pam
    ‘’’
    # return authenticate(username, password)
    if username==’saltapi’ and password==’mypassword’:
        return True
    else:
        return False

            作弊成功,果然跑通,拿到了通訊的token。

            第二天起來以後,覺得不甘心,繼續找原因,並且發現了2016.3.3版本下retval值為7,開始懷疑是許可權問題。起初在/etc/pam.d/下找問題,無果。偶然之下cat /etc/shadow 了一下,發現一個奇怪的帳號:

salt:*:17089:0:99999:7:::

            於是恍然大悟,雖然servicesalt-master ***是用root帳號跑的,但程序未必是root起的,ps一下檢視果然,salt-master都是salt帳號起的。而linux的/etc/shadow預設是隻有root帳號能讀的,於是:

setfacl -m u:salt:r /etc/shadow

            把昨天改的pam.py改回去,起salt-master服務,呼叫api拿token,成功!再深究一下,發現在/etc/salt/master下有以下一段:

# The user under which the salt master willrun. Salt will update all

# permissions to allow the specified userto run the master. The exception is

# the job cache, which must be deleted ifthis user is changed. If the

# modified files cause conflicts, setverify_env to False.

user: salt

syndic_user: salt

            結論是在SUSE環境下由於某些我不清楚的原因,saltstack安裝時只是建了salt帳號,並沒能正確修改許可權,導致不能讀取/etc/shadow,引發了奇怪的401錯誤。而在centos上是正確修改了的,所以沒碰到問題。至於修改是在rpm的postscripts裡,還是在salt-master起來後的程式碼裡,沒進一步深究,有空再更新。

相關推薦

SUSE安裝SaltStackpam認證問題

            最近專案需要在幾個叢集的機器上部署SaltStack,作業系統有SUSE11 SP3和SP4兩個版本的。之前同事在centos的虛擬機器上測試一路順風順水,沒想到上SUSE遇到一堆坑。             坑1:在SaltStack的官網上可以

centos6.5下vsftpd服務的安裝及配置並通過pam認證實現虛擬使用者檔案共享

 FTP的全稱是File Transfer Protocol(檔案傳輸協議),就是專門用來傳輸檔案的協議.它工作在OSI模型的第七層,即是應用層,使用TCP傳輸而不是UDP.這樣FTP客戶端和伺服器建立連線前就要經過一個"三次握手"的過程.FTP服務還有一個非常重要的特點是

安裝mongodb啟動報錯libstdc++

nbsp 下載 安裝mongodb 文件 lib64 png str rep 啟動 安裝mongo後啟動報錯如下圖 顯然說是libstdc++.so文件版本的問題,這種一般都是gcc版本太低了 接著查詢gcc的版本 strings /usr/lib/libstd

zabbix安裝完成查看編譯參數

image zab 編譯參數 bsp rep png 日誌 文件 gre 最近學習zabbix分布式監控系統,突然想如何查看自己編譯時的參數,最終找到自己想要的結果。 1.首先進入zabbix源碼目錄 2.用ls -l命令查看是否有一個叫config.log文件 3

graphlab 安裝的導入配置

重新 graph blog 。。 9.png 結果 導入 安裝 配置 本以為下好了的結果。。。 然後等個十幾二十分鐘。。。 關掉這個頁面重新打開,再重新導入graphlab 貌似好了。。。但是,,, 發現是自己的文件放錯盤了。。。在F盤。。。

在 Server 2008 企業版下, 安裝 IIS 7 ,勾選好 請求篩選模塊了。安裝完畢,"請求篩選"卻不顯示!

顯示 server ext table figure feature new ui s where 下載並安裝 Administration Pack 到你的Windows Server 2008 上。可以通過下面的鏈接來下載Administration Pack。 htt

npm i macaca-android -g 無法安裝成功、安裝成功運行腳本提示app-debug.apk不存在的問題

ads cache ron 卸載 5.1 安裝日誌 man 全部 extra 轉自https://testerhome.com/topics/8618Android 近期,macaca團隊升級了macaca-android2.0.2和app-inspector1.2.2

mysql/mariadb 數據庫安裝完成的設置

mysql mariadb指定innodb_file_per_table=1參數,該參數主要是防止ibdata文件過大,所有的數據庫都存放到該文件中。指定該參數後不會出現上述問題。指定默認的字符集:在[mysqld]區段添加參數:character_set_server=utf8即可。指定默認的排序:coll

安裝Linux需要調整的一些參數【Linux調優】

工作 表示 服務 title 配置文件 業務 edi href 連接 1、關閉SELinux功能 修改配置文件(永久生效) [[email protected]/* */_slave1 ~]# sed -i ‘s#SELINUX=enforcing#SELI

解決安裝fiddlerIE打開網頁提示“代理服務器無響應”

服務 image logs mage mic ron 虛擬機 導致 win8 環境:win8.1+IE11 安裝fiddler4後,啟動fiddler,IE11打開百度網站,打開失敗:代理服務器無響應,如圖: 在網上找了各種方法,修改fiddler的設置,均無法解決這個問

安裝驅動鏈接DB

data 添加 log cpi 刪除 base db2 min nat 安裝驅動後鏈接DB2(JDBC客戶端鏈接)進入:DB2CMD 執行:db2--刪除 UNCATALOG NODE BIDB; UNCATALOG DATABASE BIDB; --添加 CATALOG

使用Gitlab一鍵安裝的日常備份恢復與遷移

span 註意 sudo 只需要 start 其他 ack top create Gitlab 創建備份 使用Gitlab一鍵安裝包安裝Gitlab非常簡單, 同樣的備份恢復與遷移也非常簡單. 使用一條命令即可創建完整的Gitlab備份: gitlab-rake gitla

安裝mingw,在命令窗體編譯c文件

mpi white har 生成 line ostream min hello urn 1、編譯test.cpp文件 #include<iostream> int main(int argc,char **argv) { std::c

在Ubuntu16.04上安裝virtualbox無法裝載vboxdrv模塊

enforce install ins 裝載 available uefi oot 解決 quest 首先按照:http://blog.csdn.net/ipsecvpn/article/details/52175279 這個網址上的教程安裝, 安裝完成後報錯:大體意思就

vmware 下centos安裝完畢不能獲取IP原因記載

vmware今天在vmware下安裝了 centos 6.9,安裝完畢後,ifconfig後,發現eth0不能獲取IP,回想先前安裝過的那個redhat虛擬機並沒有出現此問題,所以,對比了一下兩個虛擬機的設置後,發現redhat虛擬機的網絡連接模式為橋接,而centos為 NAT首先更改為橋接模式,然後打開v

laravel5.4安裝成功的動作

系統默認 control 修改 註冊 migrate make 生成 app artisan 1 修改 config/database.php 改成自己的數據庫信息 2根目錄下.env 改成當前的自己的數據庫信息 3 php artisan migrate 命令會生成系統默

安裝mysql連接出錯(錯誤:Access denied for user 'root'@'localhost' (using password: YES)")的解決辦法

access 設置 lec 提示 回車 eight png varchar oot   前幾天下載了mysql5.7正常安裝後,用navicat for mysql連接時提示“Access denied for user [email protec

安裝atlas執行hive命令報錯

repeat log color bug mage client img sof atl 在集群中安裝atlas,在安裝atlas的節點上執行hive -e "show databases;" 正常,但是在集群中其他節點上執行hive -e "show database

Python 2.6 安裝wxPython提示"64.....32"錯誤解決辦法

mode mac 只需要 margin 解決方案 import ont lin ext p.p1 { margin: 0.0px 0.0px 10.0px 0.0px; line-height: 20.0px; font: 14.0px "PingFang SC" } li

Maven安裝包下載的測試命令和配置變量的查看命令:mvn help:system

spa 下回 targe blank log plugin -m 幫助 pac mvn help:system 該命令會打印出所有的Java系統屬性和環境變量,這些信息對我們日常的編程工作很有幫助。運行這條命令的目的是為了讓Maven執行一個真正的任務。我們可以從