Salt ACS

Geben Sie unprivilegierten Benutzern Zugriff auf den Salt-Master

Sie müssen die salt-Befehle nicht zwangsläufig als root-User ausführen. Sie können normale Benutzer für alle oder nur einzelne Salt-Befehle autorisieren. Der Salt-Master verfügt dazu über ein Regelwerk, das 📖 Access Controll System.

publisher_acl ist nützlich, um lokalen Systembenutzern die Ausführung von Salt-Befehlen zu ermöglichen, ohne ihnen Root-Rechte zu geben. Wenn Sie sich direkt beim Salt-Master anmelden können, können Sie mit publisher_acl Salt ohne Root-Rechte verwenden.

Berechtigungen pflegen

/etc/salt/master.d/publisher_acl.conf

publisher_acl:
  fred:
    - test.ping
  hans:
    - web*:
      - state.apply
  thorsten.kramm:
    - .*

ACS Beispiel

Änderungen an den publisher_acl Berechtigungen werden nur durch den Neustart des Salt-Masters aktiviert.

Dateisystemberechtigungen

Legen Sie eine neue Gruppe, z. B. salt an, und fügen Sie die Benutzer hinzu, welche Salt-Master-Befehle ausführen dürfen.

sudo chgrp salt /var/log/salt
sudo chgrp salt /var/log/salt/master
sudo chmod g+rw /var/log/salt/master

Die nachfolgenden Änderungen sind nur notwendig, wenn Benutzer zum Ändern von Salt-States oder Pillars berechtigt werden sollen.

sudo groupadd salt                  # create new
sudo usermod -G salt thorsten.kramm # add user to group
sudo chgrp -R salt /srv/salt        # grant permissions to states
sudo chgrp -R salt /srv/pillar      # grant permissions to pillars
sudo chmod g+rw /srv/salt/