<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="line-break:after-white-space"><div style="font-family:Helvetica,Arial;font-size:13px">You can essentially establish a ’trust’ to auto-accept keys.  Then you wouldn’t really have to worry about moving the minion keys around.  Once your bootstrap/installation is done, have it run a state to remove the key or auto-purge it somehow.  </div><div style="font-family:Helvetica,Arial;font-size:13px"><br></div><div style="font-family:Helvetica,Arial;font-size:13px">Honestly I would just leave the base install and anything else that needs to be set up to FAI and run salt against the booted up server after FAI is done and the server has been rebooted.</div><div style="font-family:Helvetica,Arial;font-size:13px"><br></div><div style="font-family:Helvetica,Arial;font-size:13px"><br></div> <br> <div class="gmail_signature"></div> <br><p class="airmail_on">On October 5, 2023 at 6:54:51 AM, Laura Smith via linux-fai (<a href="mailto:linux-fai@uni-koeln.de">linux-fai@uni-koeln.de</a>) wrote:</p> <blockquote type="cite" class="clean_bq"><span><div><div></div><div>Diese Nachricht wurde eingewickelt um DMARC-kompatibel zu sein. Die
<br>eigentliche Nachricht steht dadurch in einem Anhang.
<br>
<br>This message was wrapped to be DMARC compliant. The actual message
<br>text is therefore in an attachment.<div></div><div>Hi Diego
<br>
<br>Its been a while since I worked with Salt, but IIRC it sounds like what is not "clicking" is that you need to fix the TOFU problem.
<br>
<br>Looking back through my notes, it seems <a href="https://docs.saltproject.io/en/latest/topics/tutorials/multimaster_pki.html">https://docs.saltproject.io/en/latest/topics/tutorials/multimaster_pki.html</a> might be worth a read.
<br>
<br>In particular, maybe "master_sign_pubkey: True" on the Salt master, "verify_master_pubkey_sign: True" on the minion, and the master pubkeys put in "/etc/salt/pki/minion/" on the minions.
<br>
<br>Then on Salt master all you have to do is approve the new connections as they come online.
<br>
<br>------- Original Message -------
<br>On Thursday, October 5th, 2023 at 13:59, Diego Zuccato <<a href="mailto:diego.zuccato@unibo.it">diego.zuccato@unibo.it</a>> wrote:
<br>
<br>
<br>> Hello all.
<br>>  
<br>> Does someone use FAI to install the base system that will be managed by
<br>> Salt?
<br>> I'm trying to integrate 'em but there's still something that doesn't
<br>> "click"...
<br>>  
<br>> My current idea is to use Salt to orchestrate the install, but maybe
<br>> it's better left to FAI? How can I "pass around" minion key so I don't
<br>> have to manually re-approve the new key every time?
<br>> The ideal scenario would be: target generates its keypair, sends the
<br>> pubkey to FAI that "certifies" it's from the system being installed and
<br>> passes it to Salt. Should I write a custom fai-monitor (that would be
<br>> needed anyway to disable netboot once system is reinstalled)?
<br>>  
<br>> TIA.
<br>>  
<br>> --
<br>> Diego Zuccato
<br>> DIFA - Dip. di Fisica e Astronomia
<br>> Servizi Informatici
<br>> Alma Mater Studiorum - Università di Bologna
<br>> V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
<br>> tel.: +39 051 20 95786
<br></div></div></div></span></blockquote></body></html>