Bug 28516 - Puppet не может получить сертификат у puppetmaster'а
Summary: Puppet не может получить сертификат у puppetmaster'а
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: puppet (show other bugs)
Version: unstable
Hardware: all Linux
: P3 major
Assignee: majioa@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2013-02-07 01:38 MSK by Dmitry Pavlov
Modified: 2013-06-07 18:01 MSK (History)
9 users (show)

See Also:


Attachments
Команды и вывод консоли на ноде с агентом при установке puppet через gems (3.63 KB, text/plain)
2013-02-07 01:38 MSK, Dmitry Pavlov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Dmitry Pavlov 2013-02-07 01:38:47 MSK
Created attachment 5732 [details]
Команды и вывод консоли на ноде с агентом при установке puppet через gems

Конфигурация:
2 виртуальные машины работающие в KVM, сетка общая: Alt информика и Ubuntu 12.04. По именам каждая пингуется с другой машины (прописано в /etc/hosts)
На ubuntu 12.04 установлен puppetmaster. Работоспособность регистрации клиентов и подписи сертификатов проверена с двух других виртуалок: centos 6.3 и аналогичной ubuntu 12.04 (установлен puppet 2.7.11 и на ubuntu и на centos)
FQDN мастера knuth.school6.linux
FQDN агента comp1.school6.linux

Последовательность шагов
1. Устанавливаем puppet
2. время на машинах синхронизовано (запущен ntpd)
3. пытаемся приконнектится к мастеру: puppet agent --server=knuth.school6.linux --no-daemonize --verbose

Фактический результат: ошибка сертификата
/usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:27: warning: class variable access from toplevel
/usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:28: warning: class variable access from toplevel
/usr/share/ruby/vendor_ruby/1.9/facter/lsb.rb:31: warning: class variable access from toplevel
info: Creating a new SSL key for comp1.school6.linux
err: Could not request certificate: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed.  This is often because the time is out of sync on the server or client

Ожидаемый результат: на сервере создается корректный запрос на подпись сертификата для машины с запущенным агентом.


Доп. информация:
Если удалить puppet с альта, и установить puppet через rubygems (ставится версия 3.1.0), то сертификат получается без проблем (см. аттач).
Если теперь удалить puppet, установленный через rubygems, и поставиться опять из репозитория, то с ранее полученным сертификатом удается успешно приконнектиться и запросить каталог.
Также коннект происходит удачно если сгенерировать на puppetmaster'е сертификат для клиента и перенести его и сопутсвующие файлы ручками на клиент.
Comment 1 Andrey Cherepanov 2013-02-07 10:25:05 MSK
На Sisyphus, там та же версия.
Comment 2 Sergey Alembekov 2013-02-07 11:07:01 MSK
Я вешал этот баг в апстрим, похоже исправили, но не закрыли. Видимо пора собрать новую версию.
Comment 3 Dmitry Pavlov 2013-02-07 11:10:43 MSK
Какая предположительно версию собирать будете? Из ветки 2.7?
Comment 4 Sergey Alembekov 2013-02-07 11:26:55 MSK
Думаю, что имеет смысл собирать 3.1, если пройдёт тестирование. У вас, Дмитрий, есть возражения?
Comment 5 Dmitry Pavlov 2013-02-07 11:48:09 MSK
Для моих задач конечно удобнее было бы оставить ветку 2.7, иначе потребуется апгрейдить версию мастера в другом дистрибутве, но не уверен что такие вопросы влияют на выбор целевой версии для сборки в сизифе :). Абстрагируясь от таких вещей последняя стабильная ветка, это замечательно.

Так же интересует вопрос фикса этого бага в ветке p6 (t6), так как именно оттуда обновляются машины с информикой.
Comment 6 Sergey Alembekov 2013-02-07 13:33:23 MSK
Почитал про 3.1 - апгрейд там не простой, потому кажется, лучше собрать 2.7 и портировать её в p6. А для 3.1 делать параллельную сборку или просто отложить на потом.
Comment 7 Dmitry Pavlov 2013-02-07 14:04:46 MSK
Ок, спасибо за информацию.
Если можно, обратите, пожалуйста, внимание на следующие талоны:
https://bugzilla.altlinux.org/show_bug.cgi?id=28517
https://bugzilla.altlinux.org/show_bug.cgi?id=28273
надеюсь из тоже можно будет поправить в рамках работ по новой сборке. 

Кстати, проблема https://bugzilla.altlinux.org/show_bug.cgi?id=28274 наверняка сама пофиксится после обновления версии.
Comment 8 Andrey Cherepanov 2013-06-07 18:01:19 MSK
Исправлено в puppet-2.7.21-alt1