¿Es posible que dos ejecuten varios agentes títeres con diferentes derechos de usuario en un host?
Tengo un servidor que debería ser administrado por dos usuarios no relacionados a través de Puppet. (una cuenta de usuario para el desarrollador y una cuenta raíz para el equipo del servidor)
Respuesta1
La cuenta no root puede simplemente ejecutar puppet agent --one-time --no-daemonizecualquier otra versión de puppet agent.
La configuración y los datos persistentes se buscarán y almacenarán en
~/.puppet/para Puppet 3.x y versiones anteriores~/.puppetlabs/para Puppet 4.x y posteriores
Cosas que desea asegurarse a través de ~/.puppet/puppet.conf:
- utiliza una
certnameconfiguración distinta para el agente secundario - es probable que también quieras usar una alternativa
serverpara que tu maestro principal no confíe en el certificado (sí, necesitarás un nuevo Puppet master si quieres esto) vardiry sus hijos comossldirystatedirson distintos de la ubicación central del sistema y el usuario puede escribirlos (es más seguronotocarlos en absoluto: los valores predeterminados son bastante sensatos; ver tambiénpuppet agent --configprint all).
Además, el manifiesto debe limitarse a los recursos que un agente sin privilegios puede administrar, como
- archivos propiedad del usuario
- trabajos cron del usuario
- Gemas de Ruby instaladas en el directorio de inicio del usuario
etc.