Cela fait longtemps que je n’ai rien écrit dans mon blog. Alors, je vais vous expliquer comment installer et utiliser Ansible. L’outil phare des admin linux qui devient également de plus en plus intéressant pour gérer simplement vos machines Windows.

Son grand avantage est qu’il est open source, très bien documenté, facile à comprendre et simple à utiliser.

Pour ce POC (proof of concept) qui consiste à réaliser une maquette pour démontrer la faisabilité technique d’une solution. J’ai besoin d’avoir à minima 3 serveurs :

• SRV-AD01, déjà installé dans mon infra VMware (Windows 2019 Eval).
• SRV-TEST en Windows Serveur 2022 Eval.
• SRV-ANSIBLE sous linux Debian 13, debian-13.3.0-amd64-netinst.iso.

Je vous laisse installer ces serveurs par vous même, vous trouverez facilement des tutoriels sur internet comme par exemple : installation d’un serveur Windows avec la mise en place d’un nom de domaine.

L’objectif est de déployer Ansible pour qu’il communique en SSH avec vos serveurs Windows, via une clé d’authentification.

Depuis l’implantation d’OpenSSH dans Windows, ce protocole est devenu la nouvelle norme recommandée par Microsoft. Bien qu’il soit facile à mettre en œuvre, il offre une connexion très sécurisée.

Pour aller plus loin dans le volet de la sécurité, j’ai rajouté à cette configuration un compte de Service GMSA, ce dernier va permettre de lancer les scripts ansibles en administrateur local sur le serveur Cible.

SRV-AD01, Création du Compte de Service Ansible

Depuis Windows 2012, il existe 2 nouveaux type de compte sécurisés qui permettent de gérer des services dans un domaine Active Directory (AD). L’un à usage unique et l’autre pour un usage multiserveurs. C’est ce dernier qui nous intéresse.

Nous lancerons la plupart des commandes via un terminal PowerShell, (clique droit : exécuté en Administrateur) :
Pensez à adapter les chemins des scripts des commandes à votre environnement.

>> Pour commencer, on crée un groupe de sécurité, puis on y ajoute les serveurs membres qui recevront le compte de service :

Création du Groupe :

New-ADGroup -Name "Ansible_GMSA_Grp_Servers" -Path "OU=Server Groups,OU=Groups,OU=HQ Corporate,DC=ad,DC=fjmlab,DC=com" -GroupScope Global -Description "Groupe de Serveur"

Ajout des Membres, en l'occurrence pour cette exemple un seul Membre. 

Add-ADGroupMember -Identity Ansible_GMSA_Grp_Servers -Members SRV-TEST$

Ne pas oublier le $ pour signifier que l'objet membre est un ordinateur.

>> Création du compte gMSA : on vérifie d’abord la présence de la clé de distribution sinon suivez le tuto de Microsoft

Puis, on crée le compte avec les paramètres suivants : 

New-ADServiceAccount ansible -DNSHostName ansible.ad.fjmlab.com -PrincipalsAllowedToRetrieveManagedPassword Ansible_GMSA_Grp_Servers -KerberosEncryptionType AES256 -ManagedPasswordIntervalInDays 30 -Description "Compte de service pour Ansible" -SamAccountName ansible -Enabled $true

On retrouve le compte dans son UO par défaut :

page suivante ->