Intégration au domaine et installation du client EOLE

Pour l'intégration des clients Windows au domaine, deux stratégies sont possibles et le choix dépendra de vos habitudes de travail et des outils dont vous disposez :

  • intégration manuelle ;

  • intégration par le client EOLE.

AttentionPowerShell

Le client EOLE requiert une version 4.0 ou supérieure de PowerShell[1].

Il est possible qu'il soit nécessaire de la mettre à jour sur certains clients Windows 7.

La commande get-host permet de connaître la version disponible sur un client :

1
C:\Users\pcadmin>powershell
2
Windows PowerShell
3
Copyright (C) 2016 Microsoft Corporation. All rights reserved.
4
5
PS C:\Users\pcadmin> get-host
6
7
8
Name             : ConsoleHost
9
Version          : 5.1.14409.1012

Intégration manuelle

Dans ce premier scénario, les postes clients doivent être intégrés au domaine Active Directory de façon standard.

Cette étape peut être automatisée à l'aide d'outils tels que FOG[2], OSCAR[3], Clonezilla[4], ...

Une fois la station intégrée au domaine, l'installation du client (Salt Minion) s'effectuera de façon automatisée par le GPO eole_script.

Attention

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations. Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

Une fois le client Salt Minion installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.

Dans une console sur le serveur exécuter la commande :

# salt-run state.event pretty=True

Attendre l'arriver d'un message salt/auth :

1
salt/auth    {
2
    "_stamp": "2019-01-31T10:06:32.609135",
3
    "act": "pend",
4
    "id": "PC-213950.etb1.ac-test.fr",
5
    "pub": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu6dKgb7MAhVmvoOZxMY\niVLxoOK+RtyPm56RLqeXwie3cekt76kfXNc2f2bS0LC9ut4i92TY6/+YMADz+BIP\nzaVXnKdfywJb/dHI+Q0riJRfz6P7ElANX1oqNSUKK2KQi2UIH16hjUSWbnsTVVHr\nc4+yLDsOX1x0Qyt+SfmEB/gl1nJcLk3Y+2CcGy6C+hBvo1h35BFvdNLAQkSMXHPO\njx9WLvORTj6ZHyxUapHQw+RhIrPj+Q9/M7HZgFtNIMQH22er9SO5iBUfwE2lXBgh\nCCXY3AnBz2hSrb7Qyaqz0evJsBr6eqh2SEnH7vneSOmRbJU26MqRHAbeHzQVWjln\nvQIDAQAB\n-----END PUBLIC KEY-----",
6
    "result": true
7
}

Accepter la clef du minion en exécutant la commande suivante :

# salt-key -A

Sur un serveur à jour, il est également possible d'accepter les clés avec l'utilisateur eole ou eole2 plutôt que root. Pour ce faire, vous devez ouvrir une session (ssh ou console) avec l'utilisateur eole ou eole2 en choisissant l’option Shell Linux dans le menu semi-graphique (avant-dernière option de la liste). Cela vous permet d’obtenir une invite de commande du type :

eole@amon :~$

Vous pouvez alors lancer les mêmes commandes qu’avec l’utilisateur root en utilisant l’outil sudo.

Pour attendre l’arrivée des clés :

eole@amon:~$ sudo salt-run state.event pretty=True

Pour accepter toutes les clés :

eole@amon:~$ sudo salt-key -A

#FIXME

Intégration par le client EOLE

Dans ce second scénario, il faut installer le client (SaltMinion) sur tous les postes :

  • depuis le poste client connecté en tant qu'administrateur de la machine

  • ouvrir un navigateur internet

  • télécharger l'installeur du client installMinion.exe via HTTP[5] en naviguant vers l'adresse suivante : http://salt/joineole

  • exécuter le script d'installation installMinion.exe (nécessite des droit d'administration)

Attention

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations. Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

Une fois le client Salt Minion installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.

Dans une console sur le serveur exécuter la commande :

# salt-run state.event pretty=True

Attendre l'arriver d'un message salt/auth :

1
salt/auth    {
2
    "_stamp": "2019-01-31T10:06:32.609135",
3
    "act": "pend",
4
    "id": "PC-213950.etb1.ac-test.fr",
5
    "pub": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu6dKgb7MAhVmvoOZxMY\niVLxoOK+RtyPm56RLqeXwie3cekt76kfXNc2f2bS0LC9ut4i92TY6/+YMADz+BIP\nzaVXnKdfywJb/dHI+Q0riJRfz6P7ElANX1oqNSUKK2KQi2UIH16hjUSWbnsTVVHr\nc4+yLDsOX1x0Qyt+SfmEB/gl1nJcLk3Y+2CcGy6C+hBvo1h35BFvdNLAQkSMXHPO\njx9WLvORTj6ZHyxUapHQw+RhIrPj+Q9/M7HZgFtNIMQH22er9SO5iBUfwE2lXBgh\nCCXY3AnBz2hSrb7Qyaqz0evJsBr6eqh2SEnH7vneSOmRbJU26MqRHAbeHzQVWjln\nvQIDAQAB\n-----END PUBLIC KEY-----",
6
    "result": true
7
}

Accepter la clef du minion en exécutant la commande suivante :

# salt-key -A

Sur un serveur à jour, il est également possible d'accepter les clés avec l'utilisateur eole ou eole2 plutôt que root. Pour ce faire, vous devez ouvrir une session (ssh ou console) avec l'utilisateur eole ou eole2 en choisissant l’option Shell Linux dans le menu semi-graphique (avant-dernière option de la liste). Cela vous permet d’obtenir une invite de commande du type :

eole@amon :~$

Vous pouvez alors lancer les mêmes commandes qu’avec l’utilisateur root en utilisant l’outil sudo.

Pour attendre l’arrivée des clés :

eole@amon:~$ sudo salt-run state.event pretty=True

Pour accepter toutes les clés :

eole@amon:~$ sudo salt-key -A

#FIXME

Une fois le client opérationnel, il s'occupe de joindre automatiquement la station au domaine Active Directory lors du premier re-démarrage du poste client.