User story #1174
Updated by Matthieu CERDA over 9 years ago
The title is provocative, but the problem is as follows: A Rudder server is configured with a Le titre est un peu provocateur, mais le problème est le suivant: Soit un serveur Rudder, configuré tel que "hostname --fqdn" renvoie le hostname des /etc/hostname = to "$(hostname --fqdn)", which is H-RUDDER. "H-RUDDER" ; The update IP of the promises for this L'IP de mise à jour des promesses pour ce server is 192.168.42.42. est 192.168.42.42 ; We run rudder-init with the following answers: On exécute le script d'init avec les réponses suivantes: * Hostname: H-RUDDER Allowed networks: 192.168.0.0/16 Server IP: 192.168.42.42 Then: Alors: # 1/ Il faut que le fichier /etc/hosts must contain: contienne: ----- 192.168.42.42 H-RUDDER ----- # For every node added to the server (first inventory accepted), we need to add the right 2/ Pour chaque noeud ajouté dans le serveur (premier inventaire puis accepter le noeud), il faut ajouter la ligne IP for the node hostname we see, in du noed/Hostname vu pour le noeud dans le fichier /etc/hosts. # If the node changes its IP address (DHCP?), it can no longer update properly 3/ Si le noeud change d'IP (par exemple: il l'obtient en DHCP), il ne peut plus se mettre à jour Also, why not #1, it can be part of a normal configuration, but #2 and #3 are really bothering constraints. I understant the reason (cf-serverd access ACLs are done with Pour 1/ encore, pourquoi pas, ca peut faire partie d'une configuration normale. Mais pour 2 (et donc 3), c'est vraiment trop contraignant. Je pense comprendre la raison (les politiques d'autorisation dans cf-serverd.cf sont faites avec les hostnames, it is an c'est une IP trying to connect, we need to link them), but it means we can't configure Rudder properly. qui tente de se connecter, il faut bien faire le lien), mais cela implique qu'on ne peut pas tester facilement Rudder. If I did install Rudder wrong, I accept to run the procedure again. Si j'ai mal fait une partie de l'installation, je veux bien refaire en modifiant ma procédure. If there are simple workarounds, we should document them. S'il y a des contournement simples, il faudrait les donner dans la documentation utilisateur. On the A plus long term, we need to thing about a terme, il faudrait réfléchir à une solution that would take in account qui prendrait en compte à la fois les IP and et les hostnames for update authorizations (but I have no idea that do not end in security issues) pour les autorisations de mise-à-jour (mais comme ca, je n'ai pas d'idées qui ne débouchent pas sur un trou de sécu).