Настройка списка доверенных в секции %post kickstart

Вопрос или проблема

%post --nochroot
wget -P /mnt/sysimage/etc/pki/ca-trust/source/anchors/ http://XXX.XXX.XXX.XXX/Certification_authority.crt
update-ca-trust
%end

Ответ или решение

Для успешной настройки доверительного списка в разделе %post Kickstart на недавно установленной системе RHEL 9, необходимо учесть несколько важных моментов. Ваш код выглядит вполне разумно, однако выполнение команды update-ca-trust в контексте --nochroot может быть причиной проблемы, так как эта команда должна выполняться в среде, которая уже установлена.

Давайте модифицируем ваш скрипт в разделе %post, чтобы гарантировать, что все команды выполняются корректно. Вам нужно выполнить команды в окружении, где уже доступны все утилиты и файлы, необходимые для ваших операций.

Вот как можно изменить ваш код:

%post
# Сначала скачайте сертификат в корректное место
wget -P /mnt/sysimage/etc/pki/ca-trust/source/anchors/ http://XXX.XXX.XXX.XXX/Certification_authority.crt

# Теперь выполним обновление доверительного списка
# Используйте chroot для выполнения команд в установленной системе
chroot /mnt/sysimage /bin/bash -c "update-ca-trust"
%end

Пояснение:

1. Без --nochroot: Убрали параметр --nochroot, так как мы хотим работать в контексте установленной системы.

2. Использование chroot: Команда chroot позволяет выполнить команды внутри установленной файловой системы. Мы обернули update-ca-trust в chroot, чтобы выполнить его в системе, которую вы устанавливаете.

3. Путь к bash: Указываем полный путь к bash, чтобы убедиться, что вызываем нужный шелл в изолированном окружении.

Теперь, после внесения этих изменений, при установке системы ваш сертификат должен успешно скачиваться и добавляться в доверительный список. Не забудьте протестировать изменения в контрольной среде, прежде чем развертывать их в продакшене.