У меня есть рабочая установка шеф-повара с открытым исходным кодом, и пытаюсь добавить аутентификацию домена для начальной загрузки серверов Windows.
Я создал слушателя HTTPS, как описано в knife windows
документация. Я использовал доменный сертификат для этого узла для шестнадцатеричного значения.
Когда я пытаюсь выполнить следующую команду:
knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5986 -VV
Я получаю следующую ошибку:
Waiting for remote response before bootstrap.
DEBUG: Adding #myip#
DEBUG: :session => :init
DEBUG: :relay_to_servers => echo . & echo Response received.
DEBUG: :relayed => #myip#
DEBUG: #myip# => :run_command
at depth 1 - 20: unable to get local issuer certificate
Так как доменный сертификат, который я использовал для шестнадцатеричного значения, был выпущенным сертификатом Rackspace, я полагал, что, возможно, это не было зарегистрировано, как доверяется на сервере шеф-повара или рабочей станции шеф-повара. Я добавил сертификаты /usr/local/share/ca-certificates/
и работал sudo update-ca-certificates
и на сервере шеф-повара и на рабочей станции. Я также включил сертификаты .pem
формат к /opt/chef-server/embedded/ssl/certs
и /etc/chef/trusted_certs
на сервере шеф-повара и '/opt/chef/embedded/ssl/certs' 'на рабочей станции шеф-повара.
Или моя оценка проблемы была неправильной, или я не реконфигурировал сертификаты правильно - так или иначе, я потерян.
Согласно поддержке Chef, мне нужно было использовать порт 5985 как для слушателя, так и для команды начальной загрузки chef, создав команду:
knife bootstrap windows winrm #myip# -r 'role[#myrole#]' -x #MYDOMAIN#\\#myuser# -P '#mypass#' -p 5985
Затем мне нужно было установить новый (предварительный выпуск) гем of winrm-s
через:
gem install winrm-s --pre
gem uninstall winrm-s --version '= 0.2.0'
Затем мне нужно было установить новейший предварительный выпуск ножевых окон
через opscode github .
Как только все из этого я смог загрузить серверы Windows с любой рабочей станции Windows Chef через аутентификацию домена.