在我看来,将客户端添加到厨师服务器的推荐方法 - 或者我对它的理解 - 是有缺陷的。
来自文档:
当厨师客户端运行时,它会检查是否有客户端密钥。如果客户端密钥不存在,则它会尝试“借用”验证客户端的身份以向服务器注册自己。为此,需要将验证客户端的私钥复制到主机并放置在 /etc/chef/validation.pem 中。
那么“验证密钥”基本上就是超级用户凭证,允许拥有它的任何人完全访问厨师服务器?我读得对吗?
当然,正确的模型是客户端生成自己的密钥对,并将公钥提交给厨师服务器。客户端永远不需要访问此超级用户“验证密钥”。
我怎样才能以这种更安全的方式做到这一点?