Возможно ли, что два запускают несколько марионеточных агентов с разными правами пользователя на одном хосте?
У меня есть сервер, которым должны управлять два не связанных пользователя через марионетку. (одна учетная запись пользователя для разработчика и одна учетная запись root для группы серверов)
Учетная запись без полномочий root может просто запустить puppet agent --one-time --no-daemonize
и любой другой вкус puppet agent
.
Конфигурация и постоянные данные будут найдены и сохранены в
~/.puppet/
для Puppet 3.x и старше~/.puppetlabs/
для Puppet 4.x и более поздних версийЧто вы хотите убедиться с помощью ~/.puppet/puppet.conf
:
certname
настройка вторичного агентаserver
а также, чтобы ваш главный мастер не доверял сертификату (да, вам понадобится новый мастер Puppet, если вы этого хотите)vardir
и его дети, такие как ssldir
и statedir
отличаются от центрального расположения системы и доступны для записи пользователю (это самый безопасный не их вообще трогать - значения по умолчанию вполне вменяемы; смотрите также puppet agent --configprint all
).Кроме того, манифест должен быть ограничен ресурсами, которыми может управлять непривилегированный агент, например
и т.п.