Bug #1174

Impossible d'utiliser Rudder sans un environnement DNS complet

Added by François ARMAND over 3 years ago. Updated over 2 years ago.

Status:Discussion Start date:2011-03-30
Priority:1 Due date:
Assignee:- % Done:

0%

Category:Webapp - CFEngine integration
Target version:Ideas (not version specific)
Needs translating:Yes Pull Request:

Description

Le titre est un peu provocateur, mais le problème est le suivant:
Soit un serveur Rudder, configuré tel que "hostname --fqdn" renvoie le hostname des /etc/hostname = "H-RUDDER" ;
L'IP de mise à jour des promesses pour ce server est 192.168.42.42 ;

On exécute le script d'init avec les réponses suivantes:
Hostname: H-RUDDER
Allowed networks: 192.168.0.0/16
Server IP: 192.168.42.42

Alors:

1/ Il faut que le fichier /etc/hosts contienne:
-----
192.168.42.42 H-RUDDER
-----

2/ Pour chaque noeud ajouté dans le serveur (premier inventaire puis accepter le noeud), il faut ajouter la ligne IP du noed/Hostname vu pour le noeud dans le fichier /etc/hosts.

3/ Si le noeud change d'IP (par exemple: il l'obtient en DHCP), il ne peut plus se mettre à jour

Pour 1/ encore, pourquoi pas, ca peut faire partie d'une configuration normale.
Mais pour 2 (et donc 3), c'est vraiment trop contraignant. Je pense comprendre la raison (les politiques d'autorisation dans cf-serverd.cf sont faites avec les hostnames, c'est une IP qui tente de se connecter, il faut bien faire le lien), mais cela implique qu'on ne peut pas tester facilement Rudder.

Si j'ai mal fait une partie de l'installation, je veux bien refaire en modifiant ma procédure.

S'il y a des contournement simples, il faudrait les donner dans la documentation utilisateur.

A plus long terme, il faudrait réfléchir à une solution qui prendrait en compte à la fois les IP et les hostnames pour les autorisations de mise-à-jour (mais comme ca, je n'ai pas d'idées qui ne débouchent pas sur un trou de sécu).

History

#1 Updated by Jonathan CLARKE over 3 years ago

  • Category set to Webapp - CFEngine integration
  • Status changed from New to Discussion
  • Priority changed from N/A to 1

François ARMAND a écrit:

Pour 1/ encore, pourquoi pas, ca peut faire partie d'une configuration normale.
Mais pour 2 (et donc 3), c'est vraiment trop contraignant. Je pense comprendre la raison (les politiques d'autorisation dans cf-serverd.cf sont faites avec les hostnames, c'est une IP qui tente de se connecter, il faut bien faire le lien), mais cela implique qu'on ne peut pas tester facilement Rudder.

Si j'ai mal fait une partie de l'installation, je veux bien refaire en modifiant ma procédure.

S'il y a des contournement simples, il faudrait les donner dans la documentation utilisateur.

Non, et non. Tu as certainement bien fait, mais je n'ai jamais utilisé un environnement sans DNS complet (ce serait sale :p). En revanche, je constate le même problème dans un use case plus courant sur de la prod : mon noeud N1 se connecte via une IP VPN, dont l'IP != host(N1). Sa connexion est donc refusée.

Je propose d'ajouter un warning dans la doc utilisateur, recommandant d'avoir soit une bonne config DNS, soit un /etc/hosts contenant les IP/noms utilisés. Et hop, une idée de PT en plus !

A plus long terme, il faudrait réfléchir à une solution qui prendrait en compte à la fois les IP et les hostnames pour les autorisations de mise-à-jour (mais comme ca, je n'ai pas d'idées qui ne débouchent pas sur un trou de sécu).

En quoi considères-tu, par exemple, qu'autoriser la connexion par toutes les IP du noeud tel que repértoriées par l'inventaire est un trou de sécu ?

#2 Updated by Nicolas CHARLES over 3 years ago

Jonathan CLARKE a écrit:

A plus long terme, il faudrait réfléchir à une solution qui prendrait en compte à la fois les IP et les hostnames pour les autorisations de mise-à-jour (mais comme ca, je n'ai pas d'idées qui ne débouchent pas sur un trou de sécu).

En quoi considères-tu, par exemple, qu'autoriser la connexion par toutes les IP du noeud tel que repértoriées par l'inventaire est un trou de sécu ?

Intéressante. Mais dans le cas d'un firewall ou d'un VPN, les IP dans l'inventaire ne seront probablement pas celles qui seront vues par le serveur Rudder.

#3 Updated by Jonathan CLARKE over 3 years ago

  • Target version changed from 9 to Ideas (2.3 specific)

#4 Updated by Jonathan CLARKE about 3 years ago

  • Target version changed from Ideas (2.3 specific) to 19

#5 Updated by Jonathan CLARKE about 3 years ago

  • Target version changed from 19 to 21

#6 Updated by Jonathan CLARKE about 3 years ago

  • Target version changed from 21 to 23

#7 Updated by Jonathan CLARKE almost 3 years ago

  • Target version changed from 23 to Ideas (2.5 specific)

#8 Updated by Jonathan CLARKE almost 3 years ago

  • Needs translating set to Yes

#9 Updated by Jonathan CLARKE over 2 years ago

  • Target version changed from Ideas (2.5 specific) to Ideas (not version specific)

Also available in: Atom PDF