Implementación remota del agente de ID de usuario de Windows mediante ansible

Implementación remota del agente de ID de usuario de Windows mediante ansible

21156
Created On 09/25/18 18:09 PM - Last Modified 06/02/23 08:29 AM


Resolution


Ansible es una herramienta de administración de configuración que se utiliza habitualmente para hacer cumplir el estado de un servidor en su infraestructura de ti. Se utiliza para asegurar que el servidor es en realidad en el mismo estado que usted desea que sea. Asegura que los paquetes correctos están instalados, los archivos de configuración correctos están en su lugar, los servicios correctos se están ejecutando con los permisos correctos... etc. 

 

Los administradores escriben un conjunto de reglas en un lenguaje simple (YAML), en forma de guías de juego. Ansible funciona conectando a sus nodos y expulsando pequeños programas, llamados "ansible modules" a ellos. Más detalles sobre cómo funciona ansible se puede encontrar aquí

 

Los administradores podrían utilizar los módulos de ansible de Windows (http://docs.ansible.com/ansible/latest/list_of_windows_modules.html) y instalar y administrar remotamente el agente de ID de usuario (Guía de administración de lasredes de palo alto)

 

Ansible por defecto usa SSH para administrar Linux. Para administrar Windows, se utiliza PowerShell Remoting. Para que ansible administre máquinas Windows, es necesario seguir los pasos documentados en el sitio ansible

 

Referencia:http://docs.ansible.com/ansible/latest/intro_windows.html  

 

Los siguientes pasos muestran algunos de los módulos de Windows ansible que solían escribir ansible PlayBook para desplegar remotamente el agente de ID de usuario.

  

Ansible trabaja contra múltiples sistemas en su infraestructura al mismo tiempo. Lo hace seleccionando porciones de sistemas listados en el inventario de ansible, que por defecto se guardan en la ubicación /etc/ansible/hosts

 

Por ejemplo, he definido un servidor de agente de ID de usuario (uid1. palab. local) bajo una etiqueta (Windows)

 

Windows 
 uid1. palab. local

 

El siguiente módulo instala el agente de ID de usuario en Windows Server. Los detalles en el módulo de win_package se pueden encontrar aquí

En el ejemplo siguiente, el instalador del agente de ID de usuario (*. msi), se hospeda en un recurso compartido de red.  

 

-hosts: Windows
tareas:
-nombre: instalar UID
win_package:
ruta: \\DC1\Users\Administrator\Downloads\UaInstall-8.0.7-2.msi
product_id: User-ID agente
Estado: presente
user_name: PALAB\Administrator
 user_password: MySuperSecretPass                                              

 

El siguiente comando ejecutaría el libro de jugadas:

 

ansible-PlayBook-VVV install_uid. yml

 

Ansible viene con una herramienta llamada como ansible Vault (bóvedade enlace) para encriptar secretos. Estos secretos pueden ser utilizados en tareas.

 

Cree un archivo Secret. yml.

 

---mi
secreto: MySuperSecretPass 

 

Encriptar el archivo Secret. yml

 

# ansible-Vault encriptar Secret. yml nueva contraseña de la bóveda
: EnterASuperSecretPass
confirme la nueva contraseña de la bóveda: EnterASuperSecretPass

cifrado acertado

 

El contenido del archivo Secret. yml se cifrará y se verá como se muestra a continuación (el contenido será diferente en su entorno)

 

CAT Secret. yml 
 
$ANSIBLE _vault; 1.1; AES256
63303662393262633865366536333531383362633838316462313739306431656130383730303036
6433623639316439313565393430333430643930623266350a353533666432613438626331396636
 32326366386361363363383335333135386364346466636533353434323261373739363533626238
3635613765383762380a306439383961336261316432376266386338643765313064376264633535
 35616534613264353739333564633534353230623630653762373632323766643838

 

La variable (por ejemplo: mi Secret) definida en Secret. yml ahora se puede utilizar en las guías de la siguiente manera:

 

-hosts: Windows
tareas:
-nombre: instalar UID
win_package:
ruta: \\DC1\Users\Administrator\Downloads\UaInstall-8.0.7-2.msi
product_id: User-ID agente
Estado: presente
user_name: PALAB\Administrator
 user_password: "{{mi secreto}}"                                              

 

Para ejecutar la jugada anterior, introduzca el comando folllowing:

 

root @ Kali:/etc/ansible# ansible-PlayBook--Ask-bóveda-Pass install_uid_vault. yml
contraseña de la bóveda: EnterASuperSecretPass

 

Consulte http://docs.ansible.com/ansible/latest/playbooks_vault.html para obtener más información sobre Vault .

 

 

Nota: si se utiliza una cuenta de servicio dedicada para el agente de ID de usuario, se deben realizar pasos adicionales en el servidor de Windows (por ejemplo, asignar permisos de cuenta a la carpeta de instalación, modificar los permisos del registro del agente ID del usuario... etc). Consulte la guía del administrador para dar los permisos correctos.

 

El siguiente módulo ansible se puede utilizar para cambiar los permisos en los servidores del agente de ID de usuario remoto. En el ejemplo siguiente, se ha creado una cuenta de servicio (uidagent @ palab. local) para que el agente de ID de usuario lo utilice.

 

-hosts:
tareas de Windows:
-nombre: establecer los permisos de la carpeta
win_acl:
ruta: c:\Archivos de archivo (x86) \Palo alto Networks
derechos: FullControl
tipo: permitir
Estado: presente
heredar: ContainerInherit, ObjectInherit
propagación: ' none '
usuario: uidagent @ PALAB. local

-Name: establecer la clave del registro de la derecha
win_acl:
path: HKLM: \ Software\Wow6432Node\Palo alto Networks
User: uidagent @ PALAB.
derechos locales:
tipo FullControl: permitir
Estado: presente
heredar: ContainerInherit, ObjectInherit
propagación: ' none '                                                                                                                     

 

Screen Shot 2018-03-21 en 10.28.46 AM. png

 

Módulo para establecer el inicio de sesión como un servicio con la cuenta de servicio 

 

-hosts: tareas de Windows
:
-nombre: establecer el usuario de inicio de sesión en una cuenta de dominio
win_service:
nombre: User-ID estado del agente: reiniciar nombre de usuario

: uidagent @ PALAB.
contraseña local: MySuperSecretUIDPass                                  

 

Screen Shot 2018-03-21 en 10.43.56 AM. png

 

Antes de desplegar otros agentes de ID de usuario, configure User-ID uno del servidor Windows (llámenos el servidor principal de Windows). Copiaremos las configuraciones del servidor principal de Windows y la desplegaremos en otros servidores. 

 

Siga los pasos (Guíade administración) para configurar el agente de ID de usuario en el servidor principal de Windows. Una vez completadas las configuraciones, el archivo "UserIDAgentConfig. xml" se escribirá en la carpeta de instalación de User-ID. Copie el archivo UserIDAgentConfig. XML en su controlador ansible. Marque la siguiente sección (opcional) si está asignando certificados personalizados para que el agente de ID de usuario se autenticara en el cortafuegos. Una vez completados estos pasos, copie el archivo "UserIDAgentConfig. xml".

 

root @ ansible:/etc/ansible# CD files/

root @ Kali:/etc/ansible/files# LS-LTR UserIDAgentConfig. XML 
-RW-r--r--1 root root 4559 mar 14 12:       01 UserIDAgentConfig. XML

 

(Opcional):

 

Para autenticar las conexiones SSL entre el cortafuegos y el agente de ID de usuario, los administradores pueden cargar certificados personalizados en el agente identificador de usuario. 

 

Para habilitar la autenticación mutua entre los agentes de cortafuegos y de ID de usuario, realice los pasos siguientes en un servidor principal de Windows y utilice las configuraciones de dicho servidor y empuje remotamente a otros servidores.

 

  1. Instalar el agente de ID de usuario en un servidor principal de Windows
  2. Realizar configuraciones de agente de identificador de usuario relevantes 
  3. Cargar certificados personalizados en ese servidor.
  4. Guardar la configuración
  5. No cometer la configuración
  6. Copie el UserIDAgentConfig. xml del servidor de Windows al controlador ansible
  7. Si hay varios agentes de ID de usuario que se deben configurar de forma remota de esta manera, vaya al paso 3 y, suba el certificado de agente de identificador de usuario pertinente. Realice los pasos 4, 5 y 6.

 

Screen Shot 2018-03-21 en 10.57.45 AM. png

 

Screen Shot 2018-03-21 en 10.58.52 AM. png

 

Screen Shot 2018-03-21 en 11.00.40 AM. png

 

Screen Shot 2018-03-21 en 11.06.29 AM. png

 

Módulo para copiar el archivo "UserIDAgentConfig. xml" en servidores remotos .

"win_copy" (enlace) se utiliza para copiar el archivo de configuración en la carpeta de instalación del agente identificador de usuario en los servidores del agente remoto. Por ejemplo, se usará el comando "ansible-PlayBook-VVV copy_uid_config. yml" para ejecutar la siguiente tarea.

 

-hosts:
tareas de Windows:
-nombre: copiar un solo archivo manteniendo el nombre del fichero
win_copy:
src: UserIDAgentConfig. XML
dest: c:\Archivos de fichero (x86)  \Palo alto Networks\User-ID Agent \                       

 

El agente de ID de usuario se puede actualizar utilizando el mismo módulo utilizado para instalar User-ID. Sólo tiene que cambiar el archivo de instalador

 

-hosts: Windows
tareas:
-nombre: instalar UID
win_package:
ruta: \\DC1\Users\Administrator\Downloads\UaInstall-8.1.0-66.msi
product_id: User-ID agente
Estado: presente
user_name: PALAB\Administrator
 user_password: MySuperSecretPass                                              

 

Una vez finalizada la actualización, es necesario reiniciar el servicio del agente identificador de usuario.

 

Usando elmódulo "win_service" (Link), podemos reiniciar el servicio del agente identificador de usuario.  

 

-hosts:
 tareas de Windows:
 -nombre: reiniciar servicio
 win_service:
 nombre: User-ID estado del agente
 : reiniciado

 

En el cortafuegos, puede notar que la seguridad de conexión ha sido configurada bajo (dispositivo > identificación del usuario > seguridad de conexión). En este paso, el cortafuegos comprueba el certificado de CA que firmó los certificados del agente ID del usuario. 

 

 

Screen Shot 2018-03-20 en 1.24.49 PM. png

 

Screen Shot 2018-03-21 en 11.32.10 AM. png

 

Misceláneos:

 

La lista de usuarios omitir define qué cuentas de usuario no requieren la asignación de direcciones IP a nombres de usuarios (por ejemplo, cuentas de Kioskos). Más detalles se pueden encontrar en la Guía de administración

 

Cree un archivo de lista de ignorar en ansible Controller (nombre del archivo como ignore_user_list. txt)

 

root @ ansible:/etc/ansible# CAT files/ignore_user_list. 

txt  palab\administrator

 

Envíe la lista ignorar a los servidores del agente de identificador de usuario remoto. Este archivo se copiará en la carpeta de instalación. "win_copy" ansible módulo de Windows se utilizará para lograr esta tarea.

 

-hosts:
tareas de Windows:
-nombre: copiar un solo archivo manteniendo el nombre del fichero
win_copy:
src: ignore_user_list. txt
dest: c:\Archivos de fichero (x86)  \Palo alto Networks\User-ID Agent \                       

 

Para que la lista ignorar tenga efecto, se debe reiniciar el servicio del agente identificador de usuario. Utilice la receta proporcionada anteriormente para reiniciar el servicio del agente identificador de usuario. 

 

Antes de la aplicación de la lista ignorar:

 

Screen Shot 2018-03-21 en 11.39.40 AM. png

 

Después de la aplicación de ignorar lista:

 

Screen Shot 2018-03-21 en 11.41.52 AM. png

 

Screen Shot 2018-03-21 en 11.41.37 AM. png

 

 

Utilice la guía anterior bajo su propio riesgo: los pasos esbozados reflejan una configuración que realizamos en un entorno de laboratorio.

Los parámetros de resultados y configuración pueden variar dependiendo de su entorno y deben revisarse y probarse antes de desplegar en producción.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClNyCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language