Intégration au domaine et installation du client EOLE

Pour l'intégration des clients Windows au domaine, deux stratégies sont possibles et le choix dépendra de vos habitudes de travail et des outils dont vous disposez :

  • intégration manuelle ;

  • intégration par le client EOLE.

AttentionPowerShell

Le client EOLE requiert une version 4.0 ou supérieure de PowerShell[1].

Il est possible qu'il soit nécessaire de la mettre à jour sur certains clients Windows 7.

La commande get-host permet de connaître la version disponible sur un client :

1
C:\Users\pcadmin>powershell
2
Windows PowerShell
3
Copyright (C) 2016 Microsoft Corporation. All rights reserved.
4
5
PS C:\Users\pcadmin> get-host
6
7
8
Name             : ConsoleHost
9
Version          : 5.1.14409.1012

Intégration au domaine

Intégration manuelle

Dans ce premier scénario, les postes clients doivent être intégrés au domaine Active Directory de façon standard.

Cette étape peut être automatisée à l'aide d'outils tels que FOG[2], OSCAR[3], Clonezilla[4], ...

Une fois la station intégrée au domaine, l'installation du client (Salt Minion) s'effectuera de façon automatisée par le GPO eole_script.

AttentionRésolution DNS

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.

Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

Une fois le client Salt Minion installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.

Intégration par le client EOLE

Dans ce second scénario, il faut installer le client (Salt Minion) sur tous les postes :

  • depuis le poste client connecté en tant qu'administrateur de la machine

  • ouvrir un navigateur internet

  • télécharger l'installeur du client installMinion.exe via HTTP[5] en naviguant vers l'adresse suivante : http://salt/joineole

  • exécuter le script d'installation installMinion.exe (nécessite des droits d'administration)

AttentionRésolution DNS

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.

Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

AttentionProxy

L'accès à http://salt doit s'effectuer sans proxy.

Si un pare-feu est présent entre le serveur et les clients, il faut s'assurer que celui-ci est configuré correctement.

Dans le cas d'un serveur Amon, il est possible de déclarer des exceptions en utilisant les variables : proxy_bypass_domain_ethX.

Une fois le client Salt Minion installé, il faut que sa clé soit acceptée sur le serveur.

Dès que sa clé est acceptée, il s'occupe de joindre automatiquement la station au domaine Active Directory lors du premier re-démarrage du poste client.

Acceptation et gestion des clés

Une fois le client Salt Minion installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.

Gestion des clés dans l'EAD3

À partir d'EOLE 2.7.2, il est possible d'accepter et de gérer les clés des clients EOLE au travers de l'interface d'administration EAD3.

L'action Gestion des clés clients est disponible dans la catégorie Clients.

L'action présente les clients sous la forme d'un tableau.

  • les clés non acceptées peuvent être acceptées, rejetées ou supprimées ;
  • les clés acceptées peuvent être supprimées ou renommées.
Attention

Pour l'instant, l'action Renommer modifie uniquement le nom de la clé du client mais pas celui du poste.

Gestion des clés en ligne de commande

Dans une console sur le serveur exécuter la commande :

# salt-run state.event pretty=True

Attendre l'arrivée d'un message salt/auth :

1
salt/auth    {
2
    "_stamp": "2019-01-31T10:06:32.609135",
3
    "act": "pend",
4
    "id": "PC-213950.etb1.ac-test.fr",
5
    "pub": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu6dKgb7MAhVmvoOZxMY\niVLxoOK+RtyPm56RLqeXwie3cekt76kfXNc2f2bS0LC9ut4i92TY6/+YMADz+BIP\nzaVXnKdfywJb/dHI+Q0riJRfz6P7ElANX1oqNSUKK2KQi2UIH16hjUSWbnsTVVHr\nc4+yLDsOX1x0Qyt+SfmEB/gl1nJcLk3Y+2CcGy6C+hBvo1h35BFvdNLAQkSMXHPO\njx9WLvORTj6ZHyxUapHQw+RhIrPj+Q9/M7HZgFtNIMQH22er9SO5iBUfwE2lXBgh\nCCXY3AnBz2hSrb7Qyaqz0evJsBr6eqh2SEnH7vneSOmRbJU26MqRHAbeHzQVWjln\nvQIDAQAB\n-----END PUBLIC KEY-----",
6
    "result": true
7
}

Accepter la clef du minion en exécutant la commande suivante :

# salt-key -A

Il est également possible d'accepter les clés avec l'utilisateur eole ou eole2 plutôt que root.

Pour ce faire, vous devez ouvrir une session (ssh ou console) avec l'utilisateur eole ou eole2 en choisissant l’option Shell Linux dans le menu semi-graphique (avant-dernière option de la liste). Cela vous permet d’obtenir une invite de commande du type :

eole@scribe :~$

Vous pouvez alors lancer les mêmes commandes qu’avec l’utilisateur root en utilisant l’outil sudo.

Pour attendre l’arrivée des clés :

eole@scribe:~$ sudo salt-run state.event pretty=True

Pour accepter toutes les clés :

eole@scribe:~$ sudo salt-key -A