Descarregamento de Puppet usando NGINX, erro 403 proibido

Navegue suas respostas
1

No momento, estou tentando descarregar alguns dos fantoches de exibição de arquivos que usam o NGINX (conforme exibido aqui link ), no entanto eu continuo tendo 403 erros na recuperação de arquivos e catálogos.

Uma coisa que consertou foi adicionar "auth any" à primeira definição no meu auth.conf, ainda que eu saiba que desabilitaria completamente a verificação do cliente?

Então eu não estou passando todos os cabeçalhos necessários com o NGINX ou há algo mais errado? Seguem os arquivos de configuração.

/etc/puppet/puppet.conf 

[main]
logdir = /var/log/puppet
rundir = /var/run/puppet
ssldir = $vardir/ssl
server = Puppet.xServ
pluginsync=false


    external_nodes = /usr/sbin/external_nodes
    node_terminus = exec

    [master]
    certname = puppet.xserv


[agent]
classfile = $vardir/classes.txt
localconfig = $vardir/localconfig

/etc/puppet/auth.conf 

path ~ ^/catalog/([^/]+)$
method find
allow localhost
allow $1

path /certificate_revocation_list/ca
method find
allow *

path /report
method save
allow *

path /file
allow *

path /certificate/ca
auth no
method find
allow *

path /certificate/
auth no
method find
allow *

path /certificate_request
auth no
method find, save
allow *

path /
auth any

/etc/puppet/fileserver.conf 

[modules]
allow *

/etc/nginx/sites.d/puppet.conf 

server {
    listen 8140;

    ssl on; 
    ssl_session_timeout 5m; 
    ssl_certificate /var/lib/puppet/ssl/certs/puppet.xserv.pem;
    ssl_certificate_key /var/lib/puppet/ssl/private_keys/puppet.xserv.pem; 
    ssl_client_certificate /var/lib/puppet/ssl/ca/ca_crt.pem; 
    ssl_verify_client optional; 

    root /etc/puppet;

    # make sure we serve everything
    # as raw 
    types { } 
    default_type application/x-raw;

    # ask the puppetmaster for everything else
    location / { 
        proxy_pass https://127.0.0.1:8141;
        proxy_redirect off;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Client-Verify $ssl_client_verify;
        proxy_set_header X-SSL-Subject $ssl_client_s_dn;
        proxy_set_header X-SSL-Issuer $ssl_client_i_dn;
        proxy_buffer_size 16k;
        proxy_buffers 8 32k;
        proxy_busy_buffers_size 64k;
        proxy_temp_file_write_size 64k;
        proxy_read_timeout 65; 
    }   
}
    
por Not Available 22.05.2011 / 02:27

2 respostas

2

A autenticação de fantoches é baseada no IP de origem, não no que um arquivo de cabeçalho está dizendo. Afinal, os arquivos de cabeçalho são facilmente falsificados. Não sei se o Puppet pode ser configurado para receber o IP que verifica de um arquivo de cabeçalho.

    
por 22.05.2011 / 04:46
-1

Parece que tive um erro na minha configuração, copiei uma configuração de trabalho de outra pessoa e ela começou a funcionar instantaneamente, e também mudei para o Unicorn, para que também possa ter que fazer algo com ela.

    
por 23.05.2011 / 12:56

Tags

Desativando dispositivos USB / removíveis no software TS 2008 Relatório de CAL por Usuário