Déploiement à distance de l'Agent d'ID utilisateur Windows à l'Aide de Ansible

Déploiement à distance de l'Agent d'ID utilisateur Windows à l'Aide de Ansible

21154
Created On 09/25/18 18:09 PM - Last Modified 06/02/23 08:29 AM


Resolution


Ansible est un outil de gestion de configuration généralement utilisé pour appliquer l'état d'un serveur dans votre infrastructure informatique. Il est utilisé pour s'assurer que le serveur est en effet dans le même État que vous souhaitez qu'il soit. Il assure les paquets de droite sont installés, les bons fichiers de configuration sont en place, les services de droite sont en cours d'exécution avec les autorisations droites... etc. 

 

Les administrateurs écrivent ensemble de règles dans un langage simple (YAML), sous la forme de Playbooks.  Ansible fonctionne en se connectant à vos nœuds et en poussant de petits programmes, appelés «modules Ansible» pour eux. Plus de détails sur la façon dont Ansible fonctionne peut être trouvé ici

 

Les administrateurs peuvent utiliser les modules Windows Ansible (http://docs.Ansible.com/Ansible/latest/list_of_windows_modules.html) et installer et gérer à distance l'Agent d'identification des utilisateurs (Palo Alto Networks Admin Guide)

 

Ansible par défaut utilise SSH pour gérer Linux. Pour gérer Windows, l'accès distant PowerShell est utilisé. Pour que Ansible gère les machines Windows, les étapes documentées dans le site Ansible doivent être suivies

 

Référence:http://docs.Ansible.com/Ansible/latest/intro_windows.html  

 

Les étapes suivantes présentent quelques-uns des modules Ansible de Windows qui permettent d'écrire Ansible PlayBook pour déployer à distance l' agent User-ID.

  

Ansible fonctionne en même temps contre plusieurs systèmes de votre infrastructure. Il le fait en sélectionnant des portions de systèmes répertoriés dans l'inventaire de Ansible, qui par défaut est enregistré à l'emplacement /etc/Ansible/hosts

 

Par exemple, J'ai défini un serveur d'Agent d'ID utilisateur (uid1. palab. local) sous une balise (Windows)

 

Windows 
 uid1. palab. local

 

Le module suivant installe l'Agent user-ID sur Windows Server. Les détails sur le module win_package peuvent être trouvés ici

Dans L'exemple ci-dessous, le programme d'installation de l' agent utilisateur-ID (*. msi) est hébergé sur un partage réseau.  

 

-hosts:
tâches Windows:
-nom: installer UID
win_package:
chemin: \\DC1\Users\Administrator\Downloads\UaInstall-8.0.7-2.msi
product_id: User-ID agent
État: présent
nom_utilisateur: PALAB\Administrator
 user_password: MySuperSecretPass                                              

 

La commande suivante exécuterait le PlayBook:

 

Ansible-PlayBook-VVV install_uid. yml

 

Ansible est livré avec un outil appelé comme Ansible Vault (voûte Link) pour crypter les secrets. Ces secrets peuvent ensuite être utilisés dans les tâches.

 

Créez un fichier secret. yml.

 

---
MonSecret: MySuperSecretPass 

 

Crypter le fichier secret. yml

 

# Ansible-Vault crypter secret. yml
nouveau mot de passe Vault: EnterASuperSecretPass
confirmer nouveau mot de passe Vault: EnterASuperSecretPass

cryptage réussi

 

Contenu du fichier secret. yml sera crypté et regardera comme indiqué ci-dessous (le contenu sera différent dans votre environnement)

 

Cat secret. yml 
 
$ANSIBLE _vault; 1.1; AES256
63303662393262633865366536333531383362633838316462313739306431656130383730303036
6433623639316439313565393430333430643930623266350a353533666432613438626331396636
 32326366386361363363383335333135386364346466636533353434323261373739363533626238
3635613765383762380a306439383961336261316432376266386338643765313064376264633535
 35616534613264353739333564633534353230623630653762373632323766643838

 

La variable (par exemple: MonSecret) définie dans secret. yml peut maintenant être utilisée dans le Playbooks comme suit:

 

-hosts:
tâches Windows:
-nom: installer UID
win_package:
chemin: \\DC1\Users\Administrator\Downloads\UaInstall-8.0.7-2.msi
product_id: User-ID agent
État: présent
nom_utilisateur: PALAB\Administrator
 user_password: "{{MonSecret}}"                                              

 

Pour exécuter le PlayBook ci-dessus, vous devez entrer la commande folllowing:

 

root @ Kali:/etc/Ansible# Ansible-PlayBook-demander-Vault-passer install_uid_vault. yml
mot de passe Vault :  EnterASuperSecretPass

 

Référez http://docs.Ansible.com/Ansible/latest/playbooks_vault.html pour plus de détails sur le coffre-fort.

 

 

Remarque: si un compte de service dédié est utilisé pour L'Agent d'id utilisateur, des étapes supplémentaires doivent être effectuées sur le serveur Windows (par exemple, affecter des autorisations de compte au dossier d'installation, modifier les autorisations de Registre D'Agent d'id utilisateur... etc.). Référez-vous au Guide D'ADMIN pour donner les bonnes Permissions.

 

Le module Ansible suivant peut être utilisé pour modifier les autorisations sur les serveurs de l'agent d'ID utilisateur distant. Dans L'exemple ci-dessous, un compte de service (uidagent @ palab. local) a été créé pour que l'agent d'ID utilisateur utilise.

 

-hosts:
tâches Windows:
-nom: définir les autorisations du dossier
win_acl:
chemin: C:\Program Files (x86) \Palo Alto Networks
droits: FullControl
type: autoriser l'
État: actuel
hériter: ContainerInherit, ObjectInherit
propagation: 'None'
utilisateur: uidagent @ PALAB. local

-Name: Set Registre de la clé à droite
win_acl:
Path: HKLM: \ Software\Wow6432Node\Palo Alto Networks
utilisateur: uidagent @ PALAB. local
Rights: FullControl
type: autoriser l'
État: actuel
hériter: ContainerInherit, propagation ObjectInherit
: 'None  '                                                                                                                   

 

Screen Shot 2018-03-21 à 10.28.46 AM. png

 

Module pour définir l'Ouverture de session en tant que service avec le compte de service 

 

-hosts:
tâches Windows:
-nom: définir l'utilisateur de connexion à un compte de domaine
win_service:
nom: User-ID agent État: redémarré nom d'utilisateur

: uidagent @ PALAB.
mot de passe local: MySuperSecretUIDPass                                  

 

Screen Shot 2018-03-21 à 10.43.56 AM. png

 

Avant de déployer d'autres agents d'id utilisateur, configurez l'ID utilisateur un du serveur Windows (appelons-le serveur maître Windows). Nous allons copier les configurations à partir du serveur maître Windows et les déployer sur d'autres serveurs. 

 

Suivez les étapes (Guided'administration) pour configurer l'AGENT D'ID utilisateur sur le serveur maître Windows. Une fois les configurations terminées, le fichier "UserIDAgentConfig. xml" sera écrit dans le dossier d'installation de l'ID utilisateur. Copiez le fichier UserIDAgentConfig. xml sur votre contrôleur Ansible. Cochez la section (facultative) ci-dessous si vous assignez un certificat personnalisé à l'agent d'ID utilisateur pour l'authentifier auprès du pare-feu. Une fois ces étapes terminées, copiez le fichier "UserIDAgentConfig. xml".

 

root @ Ansible:/etc/Ansible# CD Files/

root @ Kali:/etc/Ansible/Files# ls-LTR UserIDAgentConfig. XML 
-rw-r-r-1 root root 4559 Mar 14 12:       01 UserIDAgentConfig. Xml

 

(Facultatif):

 

Pour authentifier les connexions SSL entre le pare-feu et l'agent d'id utilisateur, les administrateurs peuvent télécharger des certificats personnalisés sur l'agent d'id utilisateur. 

 

Pour activer l'authentification mutuelle entre les agents de pare-feu et d'ID utilisateur, effectuez les étapes suivantes sur un serveur maître Windows et utilisez les configurations de ce serveur et poussez à distance vers d'autres serveurs.

 

  1. Installer l'Agent user-ID sur un serveur Windows maître
  2. Effectuer des configurations d'agent d'ID utilisateur pertinentes 
  3. Transférez des certificats personnalisés sur ce serveur.
  4. Enregistrer la configuration
  5. Ne pas valider la configuration
  6. Copiez le UserIDAgentConfig. XML à partir du serveur Windows vers le contrôleur Ansible
  7. Si plusieurs agents d'id utilisateur doivent être configurés à distance de cette façon, passez à l'étape 3 et téléchargez le certificat d'agent d'id utilisateur pertinent. Effectuez les étapes 4, 5 et 6.

 

Screen Shot 2018-03-21 à 10.57.45 AM. png

 

Screen Shot 2018-03-21 à 10.58.52 AM. png

 

Screen Shot 2018-03-21 à 11.00.40 AM. png

 

Screen Shot 2018-03-21 à 11.06.29 AM. png

 

Module pour copier le fichier "UserIDAgentConfig. xml" sur les serveurs distants.

"win_copy" (lien) est utilisé pour copier le fichier de configuration dans le dossier D'INSTALLATION de l'agent ID utilisateur sur les serveurs de l'agent distant. Par exemple, vous allez utiliser la commande "Ansible-PlayBook-VVV copy_uid_config. yml" pour exécuter la tâche suivante.

 

-hosts:
tâches Windows:
-nom: copiez un fichier unique en gardant le nom de
win_copy:
SRC: UserIDAgentConfig. XML
dest: C:\Program Files (x86) \Palo  Alto Networks\User-ID agent \                       

 

L'Agent d'id utilisateur peut être mis à niveau à l'Aide du même module utilisé pour installer l'ID utilisateur. Il suffit de changer le fichier d'installation

 

-hosts:
tâches Windows:
-nom: installer UID
win_package:
chemin: \\DC1\Users\Administrator\Downloads\UaInstall-8.1.0-66.msi
product_id: User-ID agent
État: présent
nom_utilisateur: PALAB\Administrator
 user_password: MySuperSecretPass                                              

 

Une fois la mise à niveau terminée, le service d'agent d'ID utilisateur doit être redémarré.

 

En utilisant lemodule "win_service" (Link), nous pouvons redémarrer le service de L'Agent user-ID.  

 

-hosts:
 tâches Windows:
 -nom: Restart Service
 win_service:
 nom: User-ID agent
 État: redémarré

 

Sur le pare-feu, vous pouvez noter que la sécurité de connexion a été configurée sous (Device > identification de l'utilisateur > sécurité de connexion). Dans cette étape, le pare-feu vérifie le certificat d'autorité de certification qui a signé les certificats de l'Agent d'ID utilisateur. 

 

 

Screen Shot 2018-03-20 à 1.24.49 PM. png

 

Screen Shot 2018-03-21 à 11.32.10 AM. png

 

Divers:

 

La liste ignorer les utilisateurs définit les comptes d'utilisateurs qui ne nécessitent pas de mappage adresse IP-nom d'utilisateur (par exemple, les comptes Kiosk). Plus de détails peuvent être trouvés dans le Guide d'administration

 

Créez un fichier de liste d'ignore dans Ansible Controller (nommez le fichier ignore_user_list. txt)

 

root @ Ansible:/etc/Ansible# Cat Files/ignore_user_list. txt 

palab\administrator

 

Envoyez la liste d'ignore aux serveurs d'agent d'ID utilisateur distants. Ce fichier sera copié dans le dossier d'installation. "win_copy" Ansible module Windows sera utilisé pour réaliser cette tâche.

 

-hosts:
tâches Windows:
-nom: copie d'un seul fichier en gardant le nom du
win_copy:
SRC: ignore_user_list. txt
dest: C:\Program Files (x86) \Palo  Alto Networks\User-ID agent \                       

 

Pour que la liste ignore prenne effet, le service d'agent d'ID utilisateur doit être redémarré. Utilisez la recette fournie précédemment pour redémarrer le service agent User-ID. 

 

Avant l'application de la liste ignore:

 

Screen Shot 2018-03-21 à 11.39.40 AM. png

 

Après application de la liste d'ignorer:

 

Screen Shot 2018-03-21 à 11.41.52 AM. png

 

Screen Shot 2018-03-21 à 11.41.37 AM. png

 

 

Utilisez le guide ci-dessus à vos propres risques: les étapes décrites reflètent une configuration que nous avons effectuée dans un environnement de laboratoire.

Les résultats et les paramètres de configuration peuvent varier selon votre environnement et doivent être revus et testés avant le déploiement en production.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClNyCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language