saltstack认证相关

认证过程：
初始化安装minion，在minion的配置文件中定义参数master，指定master端的ip；启动minion服务，minion服务启动后会在本地生成一个密钥对；之后minion会去连接master，并尝试把公钥发送给master，这时候在master端可以使用salt-key来查看minion的认证，一直到master接受minion的认证；之后master与minion就可以认证通信了，这时我们可以在master端通过state模块来配置管理minion，也可以通过cmd.run远程对minion执行命令
[root@minion minion]# pwd
/etc/salt/pki/minion
[root@minion minion]# ls
minion.pem minion.pub
注意：刚安装完minion，未启动时，pki目录是不存在的
启动minion服务后，会自动创建pki目录，minion目录和生成一个密钥对
我们可以把pki目录删除，然后再重启服务，会再重新生成pki目录

master认证后，会将minion端发送来的公钥存放在/etc/salt/pki/master/minions目录中，且以minion机的id参数值（id：即minion配置文件，id参数的值）命名，如下：
[root@master minions]# pwd
/etc/salt/pki/master/minions
[root@master minions]# ls
192.168.186.129

同时会将自身的公钥发送给minion，并存储为/etc/salt/pki/minion/minion_master.pub，如下：
[root@minion minion]# pwd
/etc/salt/pki/minion
[root@minion minion]# ls
minion_master.pub minion.pem minion.pub
注意：
master端的pki目录千万不要删除，因为里面包括了所有的minion的公钥认证
不过我们可以删除/etc/salt/pki/master/minions目录下，某一个minion的认证文件，如：/etc/salt/pki/master/minions/192.168.186.129
重新认证：
[root@scj salt]# salt-key -y -d 192.168.186.129 （删除某个minion的认证）
Deleting the following keys:
Accepted Keys:
192.168.186.129
Key for minion 192.168.186.129 deleted.
注意：删除某个minion认证后，又想重新加进来,可以采用如下方法：
minion端：
/etc/init.d/salt-minion stop
cd /etc/salt
rm -rf /pki/ #必须删除pki目录
/etc/init.d/salt-minion start
master端：
cd /etc/salt/pki/master/minions
若存在minion对应的id参数值认证文件，则删除：rm -f 192.168.186.129
/etc/init.d/salt-master restart

salt-key的使用实例：

显示所有minion的认证信息

salt-key -L

接受192.168.0.100的认证信息

salt-key -a 192.168.0.100# 接受192.168.0.100的认证信息，不需要手动验证
salt-key -a 192.168.0.100-y

接受192.168.0.100的认证信息，即使该minion是Rejected Keys状态

salt-key -a 192.168.0.100--include-all

接受所有 Unaccepted Keys 状态的minion的认证信息

salt-key -A

拒绝认证192.168.0.100

salt-key -d 192.168.0.100# 拒绝所有 Unaccepted Keys 状态的minion
salt-key -D