Intégration au domaine et installation du client EOLE sur les postes Windows

Sommaire
  1. Intégration au domaine
  2. Acceptation et gestion des clés

Pour l'intégration des clients Windows au domaine, deux stratégies sont possibles et le choix dépendra de vos habitudes de travail et des outils dont vous disposez :

  • intégration manuelle ;

  • intégration par le client EOLE.

AttentionPowerShell

Le client EOLE requiert une version 4.0 ou supérieure de PowerShell[1].

Il est possible qu'il soit nécessaire de la mettre à jour sur certains clients Windows 7.

La commande get-host permet de connaître la version disponible sur un client :

1
C:\Users\pcadmin>powershell
2
Windows PowerShell
3
Copyright (C) 2016 Microsoft Corporation. All rights reserved.
4
5
PS C:\Users\pcadmin> get-host
6
7
8
Name             : ConsoleHost
9
Version          : 5.1.14409.1012
Intégration au domaine
Intégration manuelle
Dans ce premier scénario, les postes clients doivent être intégrés au domaine Active Directory de façon standard.
Cette étape peut être automatisée à l'aide d'outils tels que FOG[2], OSCAR[3], Clonezilla[4], ...
Une fois la station intégrée au domaine, l'installation du client (Salt Minion) s'effectuera de façon automatisée par le GPO eole_script.
AttentionRésolution DNS
Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.
Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.
AttentionProxy
L'accès à http://salt doit s'effectuer sans proxy.
Si un pare-feu est présent entre le serveur et les clients, il faut s'assurer que celui-ci est configuré correctement.
Dans le cas d'un serveur Amon, il est possible de déclarer des exceptions en utilisant les variables : proxy_bypass_domain_ethX.
Une fois le client EOLE installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.
Intégration par le client EOLE
Dans ce second scénario, il faut installer le client (Salt Minion) sur tous les postes :
  • depuis le poste client connecté en tant qu'administrateur de la machine
  • ouvrir un navigateur internet
  • télécharger l'installeur du client installMinion.exe via HTTP[5] en naviguant vers l'adresse suivante : http://salt/joineole
  • exécuter le script d'installation installMinion.exe (nécessite des droits d'administration)
AttentionRésolution DNS
Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.
Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.
Une fois le client EOLE installé, il faut que sa clé soit acceptée sur le serveur.
Dès que sa clé est acceptée, il s'occupe de joindre automatiquement la station au domaine Active Directory lors du premier re-démarrage du poste client.
Acceptation et gestion des clés
Une fois le client EOLE installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.
Gestion des clés dans l'EAD3 
Il est possible d'accepter et de gérer les clés des clients EOLE au travers de l'interface d'administration EAD3.
L'action Gestion des clés clients est disponible dans la catégorie Clients.
Écran
  • 1
    ACCEPTER
    Accepte la clé du client, et l'ajoute dans le domaine.
  • 2
    RENOMMER
    Renomme l'entrée du client.
  • 3
    REJETER
    Refuse la demande du client et le liste en client interdit par défaut.
  • 4
    SUPPRIMER
    Supprimer le client du serveur, partie Salt, ou partie Salt et AD.
L'action présente les clients sous la forme d'un tableau.
  • les clés non acceptées peuvent être acceptées, rejetées ou supprimées ;
  • les clés acceptées peuvent être supprimées ou renommées
Attention
Pour l'instant, l'action Renommer modifie uniquement le nom de la clé du client mais pas celui du poste.
Écran
  • 1
    option OUI
    La clé est supprimée de Salt et dans l'annuaire AD
  • 2
    option NON
    La clé est supprimée de Salt uniquement
À partir d'EOLE 2.8.1, la suppression des clés propose deux choix : 
  • OUI entraîne la suppression complète du client, c'est-à-dire partie Salt et partie AD, ce qui inclut la disparition du client de son compte machine de AD.
  • NON effectue la suppression du client uniquementdans Salt, le compte machine est toujours dans le domaine.
Gestion des clés en ligne de commande
Dans une console sur le serveur exécuter la commande :
# enregistrement_client
Attendre l'arrivée d'un message indiquant les client en attente d'ajout :
Il y a quatre couleurs concernant quatre état possible sur les clés :
  • Vert : clés acceptées
  • Violet : clés refusées
  • Rouge : clés en attentes
  • Bleu : clés rejetés
Lorsque  la clés du client s'affiche dans Unaccepted keys, il est possible de l'ajouter avec la commande # enregistrement_client -A
Une confirmation sera demandé pour chaque clés en attentes d'acceptation, répondre Y, pour accepter les clés souhaités
Il est également possible d'accepter les clés directement depuis le conteneur addc.
 Pour ce faire, vous devez ouvrir une session (ssh ou console) avec la commande # ssh addc
Vous pouvez alors lancer les commandes salt :
  • Pour attendre l’arrivée des clés :
eole@scribe:~$ salt-run state.event pretty=True
  • Pour afficher les clés déjà traitées ou en attentes :
root@addc:~# salt-key
  • Pour accepter toutes les clés :
root@addc:~# salt-key -A