Cela fait longtemps que je n’ai rien écris dans mon blog. Alors, je vais vous expliquer comment installer et utiliser Ansible. L’outils phare des admin linux qui devient de plus en plus intéressant et qui permet aussi de gérer simplement vos machines Windows.
Son grand avantage c’est qu’il est open source, très bien documenté, facile à comprendre et simple à utiliser.
Pour ce POC (un proof of concept) qui consiste à réaliser une maquette pour démontrer la faisabilité technique d’une solution. J’ai besoin d’avoir à minima 3 serveurs :
- SRV-AD01, déjà installé dans mon infra VMware (Windows 2019 Eval).
- SRV-TEST en Windows Serveur 2022 Eval.
- SRV-ANSIBLE sous linux Debian 13, debian-13.3.0-amd64-netinst.iso.
Je vous laisse soin d’installer ces serveurs par vous même, vous trouverez facilement des tutoriels sur internet qui documente l’installation d’un serveur Windows avec la mise en place d’un nome de domaine.
L’objectif est d’installer Ansible pour qu’il communique en SSH avec vos serveur Windows, via une clé d’authentification. Depuis l’implantation d’OpenSSH dans Windows, ce protocole est devenu la nouvelle norme recommandée par Microsoft. Bien qu’il soit facile à mettre en œuvre, il offre une connexion très sécurisée.
Pour aller plus loin dans le volet de la sécurité, je vais rajouter à cette configuration un compte de Service GMSA, ce dernier va permettre de lancer les scripts ansibles en administrateur local sur le serveur Cible.
SRV-AD01, Création du Compte de Service Ansible
Depuis Windows 2012, il existe 2 nouveaux type de compte sécurisés qui permettent de gérer des services dans un domaine sous Active Directory (AD). L’un à usage unique et l’autre pour un usage multiserveurs. C’est ce dernier qui nous intéresse.
Nous lancerons la plupart des commandes via un terminal PowerShell, (clique droit : exécuté en Administrateur). Pensez à adapter les chemins (Path) à votre environnement.
>> Pour commencer, il va falloir créer dans votre AD un groupe de sécurité et d’y ajouter les serveurs cible :
New-ADGroup -Name "Ansible_GMSA_Grp_Servers" -Path "OU=Server Groups,OU=Groups,OU=HQ Corporate,DC=ad,DC=fjmlab,DC=com" -GroupScope Global -Description "Groupe de Serveur"Add-ADGroupMember -Identity Ansible_GMSA_Grp_Servers -Members SRV-TEST$Ne pas oublier le $ pour signifier que l’objet membre est un ordinateur.
>> Création du compte gMSA : on vérifie d’abord la présence de la clé de distribution sinon suivez le tuto de Microsoft
New-ADServiceAccount ansible -DNSHostName ansible.ad.fjmlab.com -PrincipalsAllowedToRetrieveManagedPassword Ansible_GMSA_Grp_Servers -KerberosEncryptionType AES256 -ManagedPasswordIntervalInDays 30 -Description "Compte de service pour Ansible" -SamAccountName ansible -Enabled $true