Das Automatisieren des Patch-Deployments auf Windows mit Ansible / AWX, Teil 4: der Ansible-Host

Teil 4 der Artikelserie über die Automatisierung mit Ansible.

Vorwort

In Teil 4 der Artikelserie über die Automatisierung mit Ansible anhand des Beispiels “Patch Deployment auf Windows” bauen wir nun den Ansible-Host.

Der Ubuntu-Server

Wir benötigen einen Ubuntu-Server. Die Installation möchte ich hier nicht beschreiben, die ist im offiziellen Handbuch bestens erklärt. In Teil 1 der Artikelserie findest Du ein paar Hinweise zum Ubuntu-Server.

Bitte nimm nicht das Git-Repo, welches wir in Teil 1 erstellt haben.

Kerberos

Zur Authentifizierung an der Windows-Umgebung ist Kerberos erforderlich. Dazu installieren wir das Paket krb5-user auf dem Ansible-Host:

sudo apt install krb5-user

dpkg-reconfigure fragt nun nach den passenden Eindtellungen. Setze diese Deiner Domäne entsprechend. Die Default Kerberos 5 realm ist Dein DNS-Domainname, die Kerberos-Server sind Deine ADC’s. Den Administrative Server konfiguriere ich nicht, Du kannst, falls Du dies wünschst, den ADC mit der PDCEmulator FSMO-Rolle angeben, für die Funktion ist es aber nicht ausschlaggebend.Solltest Du die Angaben ändern wollen, editiere die Datei /etc/krb5.conf

sudo nano -w /etc/krb5.conf

Die Datei ist in mehrere Abschnitte gegliedert. Der Abschnitt “libdefaults” kennt den Parameter “default_realm”, …

… der Abschnitt “realms” konfiguriert die Realms, bzw. deren Server. Bitte achte darauf, dass Deine Domäne sowie Deine ADC’s korrekt notiert sind.

Die Realms für die Voreingestellten Domänen kannst Du entfernen, wenn sie stören. Du kannst den nano-Texteditor mit Crlt+x verlassen, falls Du die Datei geändert hast, kannst Du sie mit s speichern.

Mit dem folgenden Befehl kann die Authentifizierung getestet werden:

kinit {{ sAMAccountName}}@{{ REALM }}

Achte bitte darauf, dass Du den Domänennamen, also das REALM gross schreibst. Wenn alles geklappt hat, wirst Du nach dem Kennwort gefragt:

Mit dem Kommando …

klist

… kannst Du Dir die aktuell gelösten Kerberos-Tickets anschauen.

Ansible installieren

Für die Installation halten wir uns an die Dokumentation. Gib bitte die folgenden Befehle auf der Shell Deines Ansible-Hosts ein:

sudo apt-get update
sudo apt-get install software-properties-common
sudo apt-add-repository ppa:ansible/ansible
sudo apt-get update
sudo apt-get install ansible
Das python winrm-Paket installieren

Ansible benutzt pywinrm zur Kommunikation mit Windows-Maschinen über WinRM. Es lässt sich folgendermassen installieren:

apt install python-winrm
Das Git-Repo auf dem Ansible-Host auschecken

Bitte checke nun das Ansible-Repo nach ~/git/ansible aus. Wie Du das anstellst steht in Teil 1.

Damit sind wir am Ende des 4. Teil. Weiter geht’s demnächst mit dem dem Inventar und dem Playbook.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.