saltstack的权限管理

问题已解决

管理方式：使用普通用户分发控制，其中通过pam模块的用户来限制权限范围。

     之前曾新建了一个salt普通用户，根据官网指引，确认了相关目录为755的权限后，

chmod 755 /var/cache/salt /var/cache/salt/master /var/cache/salt/master/jobs /var/run/salt /var/run/salt/master

[root@salt ~]# ll -d /var/log/salt/
drwxrwxr-x 2 root root 4096 Dec 15 06:35 /var/log/salt/
[root@salt ~]# ll -d /var/log/salt/master 
-rw-rw-r-- 1 root root 86700 Dec 16 02:40 /var/log/salt/master

client_acl:
  salt:
    - test.ping

  配置client_acl的意义，在于指定了使用哪个非root的普通用户可以执行的权限范围。即如上，允许salt用户，可以使用 test.ping 

     但在salt执行命令后，始终卡住无任何回应。考虑还是权限问题，因为通过sudo是正常的。后面将salt用户放到root组里面，

# usermod -G root salt

[salt@salt ~]$ salt 'zk1' test.ping
zk1: True

   执行未指定的模块是不允许的 

[salt@salt ~]$ salt 'zk1' cmd.run 'date' 

Failed to authenticate!  This is most likely because this user is not permitted to execute commands, but there is a small possibility that a disk error occurred (check disk/inode usage).

在/etc/salt/master配置文件中添加pam用户及权限信息

external_auth:
  pam:
    liuyi:
      - cmd.*

[salt@salt ~]$ salt -a pam 'zk1' cmd.run 'date'
username: liuyi
password: 
zk1:
    Tue Dec 16 02:39:53 CST 2014

[salt@salt ~]$ salt -a pam 'zk1' test.ping
username: liuyi
password: 
Failed to authenticate!  This is most likely because this user is not permitted to execute commands, but there is a small possibility that a disk error occurred (check disk/inode usage).

     系统管理员可以登录到统一的salt普通账户下，在执行分发操作时，验证的是属于系统管理员自己的LDAP账户与密码，并且在salt上也将系统管理员的LDAP的账户与权限范围做设置，这样就可以实现用户的权限管理。