Почему мне предлагается ввести имя пользователя и пароль при использовании `salt -a pam`?

Question

Я слежу за документацией по внешней аутентификации на https://docs.saltstack.com/en/latest/topics/eauth/index.html

Я настроил external_auth в мастере, чтобы позволить пользователю ubuntu выдавать солевые команды.

Запуск salt -a pam '*' test.ping как пользователь ubuntu работает, за исключением того, что меня просят ввести имя пользователя и пароль.

Мне известна опция токена аутентификации about -T, но для нее все еще требуется запрос исходного пароля, и срок его действия истекает.

Команда уже выполняется как ubuntu, почему меня снова спрашивают? Есть ли способ удалить подсказку вообще? Разрешить автоматическим программам, запущенным от имени пользователя ubuntu, выдавать солт-команды?

Это проблема с Saltstack или проблема конфигурации pam? Согласно документации Saltstack использует сервис login (например, /etc/pam.d/login).

Answer 1

В документации указано: «Передайте внешний носитель аутентификации для проверки. Учетные данные будут запрошены.», Так что ожидается.

Если вы вошли в системуна ведущем устройстве вам не нужно использовать external_auth.

Вместо этого следует использовать publisher_acl:

"Система ACL для публикации соли - это средство, позволяющее пользователям системы, кромеroot, чтобы иметь доступ для выполнения команд select salt на миньонах от мастера. "

См. документы для получения дополнительной информации.