sign-ssh-host-cert
This commit is contained in:
John Lancaster
@@ -12,8 +12,8 @@ let
|
|||||||
};
|
};
|
||||||
|
|
||||||
config = {
|
config = {
|
||||||
package = config.pkgs.step-cli; # (1)!
|
|
||||||
binName = "bootstrap";
|
binName = "bootstrap";
|
||||||
|
package = config.pkgs.step-cli; # (1)!
|
||||||
args = [
|
args = [
|
||||||
"ca" "bootstrap"
|
"ca" "bootstrap"
|
||||||
"--ca-url" config.caURL
|
"--ca-url" config.caURL
|
||||||
@@ -21,6 +21,51 @@ let
|
|||||||
];
|
];
|
||||||
};
|
};
|
||||||
});
|
});
|
||||||
|
|
||||||
|
mkPrincipalArgs = principals:
|
||||||
|
builtins.concatLists (map (principal: [ "--principal" principal ]) principals);
|
||||||
|
|
||||||
|
signHostWrapper = inputs.wrappers.lib.wrapModule ({config, lib, wlib, ... }: {
|
||||||
|
options = {
|
||||||
|
provisioner = lib.mkOption {
|
||||||
|
type = lib.types.nullOr lib.types.str;
|
||||||
|
default = "admin";
|
||||||
|
};
|
||||||
|
extraPrincipals = lib.mkOption {
|
||||||
|
type = lib.types.listOf lib.types.str;
|
||||||
|
default = [ ];
|
||||||
|
};
|
||||||
|
overwrite = lib.mkEnableOption "Overwrite existing cert file?";
|
||||||
|
};
|
||||||
|
|
||||||
|
config = {
|
||||||
|
binName = "sign-ssh-host-cert";
|
||||||
|
package = config.pkgs.step-cli;
|
||||||
|
extraPackages = with config.pkgs; [ hostname iproute2 ];
|
||||||
|
preHook = ''
|
||||||
|
HOSTNAME=$(hostname -s)
|
||||||
|
IP_ADDRESS=$(ip -4 -o addr show scope global | while read -r _ _ _ addr _; do
|
||||||
|
case "$addr" in
|
||||||
|
192.168.1.*/*)
|
||||||
|
printf '%s\n' "''${addr%%/*}"
|
||||||
|
break
|
||||||
|
;;
|
||||||
|
esac
|
||||||
|
done)
|
||||||
|
echo "Signing SSH host cert for $HOSTNAME at $IP_ADDRESS"
|
||||||
|
'';
|
||||||
|
args =
|
||||||
|
[
|
||||||
|
"ssh" "certificate"
|
||||||
|
"--host" "--sign"
|
||||||
|
"--principal" "$HOSTNAME"
|
||||||
|
"--principal" "$IP_ADDRESS"
|
||||||
|
]
|
||||||
|
++ lib.optionals (config.provisioner != null) [ "--provisioner" "${config.provisioner}" ]
|
||||||
|
++ lib.optionals config.overwrite [ "-f" ]
|
||||||
|
++ mkPrincipalArgs config.extraPrincipals;
|
||||||
|
};
|
||||||
|
});
|
||||||
in
|
in
|
||||||
{
|
{
|
||||||
perSystem = { system, self', pkgs, lib, ... }: {
|
perSystem = { system, self', pkgs, lib, ... }: {
|
||||||
@@ -31,6 +76,12 @@ in
|
|||||||
meta.mainProgram = "step";
|
meta.mainProgram = "step";
|
||||||
paths = with pkgs; [
|
paths = with pkgs; [
|
||||||
self'.packages.step-bootstrap
|
self'.packages.step-bootstrap
|
||||||
|
(signHostWrapper.apply {
|
||||||
|
inherit pkgs;
|
||||||
|
provisioner = "admin";
|
||||||
|
overwrite = true;
|
||||||
|
# extraPrincipals = [ "home-pc" ];
|
||||||
|
}).wrapper
|
||||||
];
|
];
|
||||||
});
|
});
|
||||||
};
|
};
|
||||||
@@ -42,10 +93,4 @@ in
|
|||||||
install = true;
|
install = true;
|
||||||
}).wrapper;
|
}).wrapper;
|
||||||
};
|
};
|
||||||
|
|
||||||
flake.modules.homeManager.myStepClient = { config, pkgs, lib, ... }: {
|
|
||||||
home.packages = [
|
|
||||||
inputs.self.packages.${pkgs.stdenv.hostPlatform.system}.step-bootstrap
|
|
||||||
];
|
|
||||||
};
|
|
||||||
}
|
}
|
||||||
Reference in New Issue
Block a user