Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
* Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.). * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de : * la configuration Windows (certificats, politiques mot de passe, etc.) * la configuration de la session utilisateur d'un nouvel arrivant * l'installation des logiciels (via Chocolatey) * la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[1]: https://boxstarter.org [2]: https://chocolatey.org/packages/openssh [3]: https://www.chef.io [4]: https://www.rudder.io [5]: https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche... [6]: https://glpi-project.org [7]: http://fusioninventory.org
Salut,
As tu regardé du côté de Jobscheduler ? C'est un ordonnanceur Open source qui te permet d'exécuter les scripts (entre autres) que tu veux sur ton parc.
Nous on l'a sous linux, mais son principe d'agent te permet d'en installer un sur un Windows, qui va faire "passerelle" pour piloter d'autres Windows qui n'ont pas l'agent.
Je ne sais pas comment sont déclarés les jobs (pas moi qui m'en occupe) et je serais surpris que son langage soit orienté service/machine, mais la hiérarchisation des jobs devrait te permettre de te rapprocher de ton besoin.
Le lun. 1 juil. 2019 à 02:44, DUVERGIER Claude frsag.ml@claude.duvergier.fr a écrit :
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird)
Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[5]:
https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche... [6]: https://glpi-project.org [7]: http://fusioninventory.org
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Rudder fait le boulot. Pas encore testé sur des parcs Windows mais l'agent éxiste. ++
Le lun. 1 juil. 2019 à 06:15, SERRUT Arnaud qqqrno@gmail.com a écrit :
Salut,
As tu regardé du côté de Jobscheduler ? C'est un ordonnanceur Open source qui te permet d'exécuter les scripts (entre autres) que tu veux sur ton parc.
Nous on l'a sous linux, mais son principe d'agent te permet d'en installer un sur un Windows, qui va faire "passerelle" pour piloter d'autres Windows qui n'ont pas l'agent.
Je ne sais pas comment sont déclarés les jobs (pas moi qui m'en occupe) et je serais surpris que son langage soit orienté service/machine, mais la hiérarchisation des jobs devrait te permettre de te rapprocher de ton besoin.
Le lun. 1 juil. 2019 à 02:44, DUVERGIER Claude < frsag.ml@claude.duvergier.fr> a écrit :
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird)
Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[5]:
https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche... [6]: https://glpi-project.org [7]: http://fusioninventory.org
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
A une époque assez lointaine, avant les outils modernes de gestion de conf., IBM, GFI et Mandriva (avec "Pulse") permettaient de résoudre correctement ce genre de problème. Landesck (devenu, à priori, Ivanti Unified Endpoint Management) était leader sur ce marché; certes, il faut payer des licences, mais le prix reste raisonnable vis à vis du service rendu. S'en suivit OCS packager pour les "pauvres" (il existe peut-être la même chose avec FusionInventory maintenant ?). En déploiement de package pour Windows, voir aussi WAPT, mais je pense que tu auras forcément au moins 2 systèmes de déploiement à maintenir avec Linux.
Ceci dit, honnêtement, avec les outils de gestion de conf actuel, je serai étonné qu'avec les outils que tu cites, ou bien rundeck ou saltstack, tu ne puisses résoudre ces problèmes.
Cdlmt,
Le 01/07/2019 à 09:32, Samuel Chesnel a écrit :
Rudder fait le boulot. Pas encore testé sur des parcs Windows mais l'agent éxiste. ++
Le lun. 1 juil. 2019 à 06:15, SERRUT Arnaud <qqqrno@gmail.com mailto:qqqrno@gmail.com> a écrit :
Salut, As tu regardé du côté de Jobscheduler ? C'est un ordonnanceur Open source qui te permet d'exécuter les scripts (entre autres) que tu veux sur ton parc. Nous on l'a sous linux, mais son principe d'agent te permet d'en installer un sur un Windows, qui va faire "passerelle" pour piloter d'autres Windows qui n'ont pas l'agent. Je ne sais pas comment sont déclarés les jobs (pas moi qui m'en occupe) et je serais surpris que son langage soit orienté service/machine, mais la hiérarchisation des jobs devrait te permettre de te rapprocher de ton besoin. Le lun. 1 juil. 2019 à 02:44, DUVERGIER Claude <frsag.ml@claude.duvergier.fr <mailto:frsag.ml@claude.duvergier.fr>> a écrit : Bonjour, <Historique et contexte> <tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr> En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu). Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes : * Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.). * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.). Cet outil dédié Windows donc s'occupe de : * la configuration Windows (certificats, politiques mot de passe, etc.) * la configuration de la session utilisateur d'un nouvel arrivant * l'installation des logiciels (via Chocolatey) * la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.) Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant. Donc je suis à la recherche d'un vrai outil pour faire tout ça. </Historique et contexte> <Besoin> J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.). Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment. Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push). Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)... Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin). Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur. Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires). Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ? Merci d'avance </Besoin> En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel. [1]: https://boxstarter.org [2]: https://chocolatey.org/packages/openssh [3]: https://www.chef.io [4]: https://www.rudder.io [5]: https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html [6]: https://glpi-project.org [7]: http://fusioninventory.org -- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Salut,
Le module Deploy de Fusioninventory peut être ? Je ne sais pas si le déploiement fonctionne sous GNU/Linux.
Le 01/07/2019 à 10:18, Dernat Rémy a écrit :
Bonjour,
A une époque assez lointaine, avant les outils modernes de gestion de conf., IBM, GFI et Mandriva (avec "Pulse") permettaient de résoudre correctement ce genre de problème. Landesck (devenu, à priori, Ivanti Unified Endpoint Management) était leader sur ce marché; certes, il faut payer des licences, mais le prix reste raisonnable vis à vis du service rendu. S'en suivit OCS packager pour les "pauvres" (il existe peut-être la même chose avec FusionInventory maintenant ?). En déploiement de package pour Windows, voir aussi WAPT, mais je pense que tu auras forcément au moins 2 systèmes de déploiement à maintenir avec Linux.
Ceci dit, honnêtement, avec les outils de gestion de conf actuel, je serai étonné qu'avec les outils que tu cites, ou bien rundeck ou saltstack, tu ne puisses résoudre ces problèmes.
Cdlmt,
Le 01/07/2019 à 09:32, Samuel Chesnel a écrit :
Rudder fait le boulot. Pas encore testé sur des parcs Windows mais l'agent éxiste. ++
Le lun. 1 juil. 2019 à 06:15, SERRUT Arnaud <qqqrno@gmail.com mailto:qqqrno@gmail.com> a écrit :
Salut, As tu regardé du côté de Jobscheduler ? C'est un ordonnanceur Open source qui te permet d'exécuter les scripts (entre autres) que tu veux sur ton parc. Nous on l'a sous linux, mais son principe d'agent te permet d'en installer un sur un Windows, qui va faire "passerelle" pour piloter d'autres Windows qui n'ont pas l'agent. Je ne sais pas comment sont déclarés les jobs (pas moi qui m'en occupe) et je serais surpris que son langage soit orienté service/machine, mais la hiérarchisation des jobs devrait te permettre de te rapprocher de ton besoin. Le lun. 1 juil. 2019 à 02:44, DUVERGIER Claude <frsag.ml@claude.duvergier.fr <mailto:frsag.ml@claude.duvergier.fr>> a écrit : Bonjour, <Historique et contexte> <tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr> En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu). Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes : * Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.). * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.). Cet outil dédié Windows donc s'occupe de : * la configuration Windows (certificats, politiques mot de passe, etc.) * la configuration de la session utilisateur d'un nouvel arrivant * l'installation des logiciels (via Chocolatey) * la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.) Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant. Donc je suis à la recherche d'un vrai outil pour faire tout ça. </Historique et contexte> <Besoin> J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.). Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment. Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push). Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)... Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin). Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur. Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires). Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ? Merci d'avance </Besoin> En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel. [1]: https://boxstarter.org [2]: https://chocolatey.org/packages/openssh [3]: https://www.chef.io [4]: https://www.rudder.io [5]: https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html [6]: https://glpi-project.org [7]: http://fusioninventory.org -- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-- Dernat Rémy IT Infrastructure Enginner MBB Platform - ISEM Montpellier
Liste de diffusion du FRsAG http://www.frsag.org/
Le 02/07/2019 à 14:51, Jean-Louis Touraine a écrit :
Salut,
Le module Deploy de Fusioninventory peut être ? Je ne sais pas si le déploiement fonctionne sous GNU/Linux.
Bonjour,
Il fonctionne parfaitement bien et pour cause, il suffit de créer une tâche contenant par ex `zypper in -y [logiciel]`. Il est possible de déployer des scripts ce qui, dans ce contexte, peut rendre service (!). Le module de déploiement permettant de constituer des groupes, il devient aisé d'envoyer un batch pour le groupe "win764", un autre pour "win10powershell" ou bien un shellscript pour Ubuntu.
Bref, une belle solution. N'hésitez pas à vous rapprocher d'eux via IRC, et discuter de CentOS, des dépôts de Rémi… Ça juste marche, out of the box. GLPI/FI ont plus d'un tour dans leur sac.
Cordialement,
Salut,
Tu as WAPT, testé CSPN par l'ANSSI et OpenSource.
Hugo
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de DUVERGIER Claude Envoyé : lundi 1 juillet 2019 02:44 À : frsag@frsag.org Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et Linux
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
* Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.). * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de : * la configuration Windows (certificats, politiques mot de passe, etc.) * la configuration de la session utilisateur d'un nouvel arrivant * l'installation des logiciels (via Chocolatey) * la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[1]: https://boxstarter.org [2]: https://chocolatey.org/packages/openssh [3]: https://www.chef.io [4]: https://www.rudder.io [5]: https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche... [6]: https://glpi-project.org [7]: http://fusioninventory.org
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Claude,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
je trouve que tu as bien résumé les problèmes liés à la gestion de postes de travail et pourquoi les outils destinés aux serveurs ne sont pas forcément adapté.
L'outil WAPT [1] (disclaimer: je suis un des devs) correspond assez bien à tes besoins (à part la partie support client Ubuntu qui devrait arrivé d'ici l'année prochaine). En quelques lignes, WAPT :
* fonctionne en mode pull (pas de port ouvert en local) * utilise uniquement les standard du web (https, json, websocket, etc.) donc proxy friendly * utilise des paquets auto-contenu au format ZIP signé (similaire aux apk android) pour les logiciels, les configurations et les profils de postes * intègre un environnement python self-contained pour écrire les scripts d'installation (pas de pseudo langage à apprendre) * ouvre une websocket vers le serveur pour attendre les instructions * pré-télécharge en cache les maj pour les installer à l'extinction du poste (fonctionnement par défaut) * a son modèle de sécurité basé sur de la cryptographie asymétrique, avec la clef privée conservée sur le poste de l'adminsys (ie. même si ton serveur est owné, tes postes ne seront pas directement vulnérable)
Bref, gérer des postes clients Windows c'est pas simple et pas rigolo, mais avec un outil comme WAPT ça redevient supportable (c'est un client qui me l'a dit un jour).
Tu vas te dire que c'est trop beau... WAPT est un outil écrit par des adminsys pour des adminsys. Des fois on est jamais mieux servi que par soit même :-)
Bonne soirée,
Denis
[1] https://www.wapt.fr/fr/doc/
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird)
Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
Bonjour Bon je trouve que vous avez Tranquil-lement promu WAPT, or étant dans le même cas, je vais aussi tester WAPT (ainsi que GLPI/FI) :-)
Le mar. 2 juil. 2019 à 19:58, Denis Cardon dcardon@tranquil.it a écrit :
Bonjour Claude,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
je trouve que tu as bien résumé les problèmes liés à la gestion de postes de travail et pourquoi les outils destinés aux serveurs ne sont pas forcément adapté.
L'outil WAPT [1] (disclaimer: je suis un des devs) correspond assez bien à tes besoins (à part la partie support client Ubuntu qui devrait arrivé d'ici l'année prochaine). En quelques lignes, WAPT :
- fonctionne en mode pull (pas de port ouvert en local)
- utilise uniquement les standard du web (https, json, websocket, etc.)
donc proxy friendly
- utilise des paquets auto-contenu au format ZIP signé (similaire aux
apk android) pour les logiciels, les configurations et les profils de postes
- intègre un environnement python self-contained pour écrire les scripts
d'installation (pas de pseudo langage à apprendre)
- ouvre une websocket vers le serveur pour attendre les instructions
- pré-télécharge en cache les maj pour les installer à l'extinction du
poste (fonctionnement par défaut)
- a son modèle de sécurité basé sur de la cryptographie asymétrique,
avec la clef privée conservée sur le poste de l'adminsys (ie. même si ton serveur est owné, tes postes ne seront pas directement vulnérable)
Bref, gérer des postes clients Windows c'est pas simple et pas rigolo, mais avec un outil comme WAPT ça redevient supportable (c'est un client qui me l'a dit un jour).
Tu vas te dire que c'est trop beau... WAPT est un outil écrit par des adminsys pour des adminsys. Des fois on est jamais mieux servi que par soit même :-)
Bonne soirée,
Denis
[1] https://www.wapt.fr/fr/doc/
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird)
Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points
là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[5]:
https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche...
-- Denis Cardon Tranquil IT 12 avenue Jules Verne (Bat. A) 44230 Saint Sébastien sur Loire (FRANCE) tel : +33 (0) 240 975 755 http://www.tranquil.it
Tranquil IT recrute! https://www.tranquil.it/nous-rejoindre/ Samba install wiki for Frenchies : https://dev.tranquil.it WAPT, software deployment made easy : https://wapt.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour Emmanuel,
Bon je trouve que vous avez Tranquil-lement promu WAPT, or étant dans le même cas, je vais aussi tester WAPT (ainsi que GLPI/FI) :-)
le disclaimer était bien souligné :-) J'ai lancé le projet WAPT en 2012 avec Hubert car je ne trouvais rien qui s'apparentait au fonctionnement apt-get de Debian pour Windows (on est très Linux et ligne de commande au bureau). Avec le temps WAPT a évolué d'un simple installeur en ligne de commande (à la apt-get) vers un outil plus complet de gestion de parc avec console etc.
La partie inventaire n'est pas le point fort de WAPT (bien que ça suffise dans les cas simple) et on a pas mal de client qui le couple à un GLPI pour la partie inventaire et ticketing. IMHO FI n'est pas très efficace pour le déploiement de logiciel, donc les deux produits sont à mon avis plus complémentaire qu'à mettre en opposition.
bonne fin de journée,
Denis
Le mar. 2 juil. 2019 à 19:58, Denis Cardon <dcardon@tranquil.it mailto:dcardon@tranquil.it> a écrit :
Bonjour Claude, > <Historique et contexte> > > <tldr> > Configurer postes de travail et serveurs Windows et Linux via des > scripts PowerShell/Bash c'est bof. > </tldr> je trouve que tu as bien résumé les problèmes liés à la gestion de postes de travail et pourquoi les outils destinés aux serveurs ne sont pas forcément adapté. L'outil WAPT [1] (disclaimer: je suis un des devs) correspond assez bien à tes besoins (à part la partie support client Ubuntu qui devrait arrivé d'ici l'année prochaine). En quelques lignes, WAPT : * fonctionne en mode pull (pas de port ouvert en local) * utilise uniquement les standard du web (https, json, websocket, etc.) donc proxy friendly * utilise des paquets auto-contenu au format ZIP signé (similaire aux apk android) pour les logiciels, les configurations et les profils de postes * intègre un environnement python self-contained pour écrire les scripts d'installation (pas de pseudo langage à apprendre) * ouvre une websocket vers le serveur pour attendre les instructions * pré-télécharge en cache les maj pour les installer à l'extinction du poste (fonctionnement par défaut) * a son modèle de sécurité basé sur de la cryptographie asymétrique, avec la clef privée conservée sur le poste de l'adminsys (ie. même si ton serveur est owné, tes postes ne seront pas directement vulnérable) Bref, gérer des postes clients Windows c'est pas simple et pas rigolo, mais avec un outil comme WAPT ça redevient supportable (c'est un client qui me l'a dit un jour). Tu vas te dire que c'est trop beau... WAPT est un outil écrit par des adminsys pour des adminsys. Des fois on est jamais mieux servi que par soit même :-) Bonne soirée, Denis [1] https://www.wapt.fr/fr/doc/ > > En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) > et de quelques Ubuntu je suis à la recherche d'un unique outil me > permettant d'appliquer des règles de configuration (compte > Administrateur/root, logiciels/packages installés, etc.) sur les postes > Et comme je gère aussi des serveurs Linux : l'outil servira également à > ça (en ré-utilisant certaines règles des poste Ubuntu). > > Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que > d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et > Chocolatey mais il a les lacunes suivantes : > > * Doit être mis à jour quand Microsoft change certains comportements de > Windows (gestion des certificats, des utilisateurs, etc.). > * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur > aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer > un changement de configuration (modification de la longueur de mot de > passe, nouveau logiciel, etc.). > > Cet outil dédié Windows donc s'occupe de : > * la configuration Windows (certificats, politiques mot de passe, etc.) > * la configuration de la session utilisateur d'un nouvel arrivant > * l'installation des logiciels (via Chocolatey) > * la configuration des logiciels (typiquement Firefox et Thunderbird) > Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) > (Pour Linux on a différents scripts Bash similaires.) > > Tout ça prends du temps à maintenir et est difficilement transmissible à > un remplaçant. > > Donc je suis à la recherche d'un vrai outil pour faire tout ça. > > </Historique et contexte> > > <Besoin> > > J'apprécie un outil gérant l'idempotence et où la configuration est > plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo > langage éventuellement, tout en laissant la possibilité d'exécuter des > scripts brut (Bash, PowerShell, etc.). > > Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un > critère principal. > Par contre il y a des portables qui peuvent donc être injoignables par > moment. > > Les postes de travail ont tous OpenSSH mais sous Windows[2] il a > tendance à se faire désactiver/casser (moins depuis certaines versions) > donc je préfère un outil ayant son propre agent (en pull et/ou en push). > > Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai > l'impression que le premier a plus de fonctionnalités/connecteurs que le > premier mais perdu son interface graphique (Chef Manage)... > > Lors de mes recherches je suis notamment tombé sur cet article : > « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] > de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin > qui veut que le code représente fidèlement les relations entre les > serveurs et logiciels (tels qu'elles sont mentalement dans la tête de > l'équipe de sysadmin). > > Il souligne que les 3 outils ont des problèmes liés aux rôles, à > l'héritage et la composition qui font que l'outil seul ne suffit pas à > se représenter de manière logique les fonctions/relations de chaque > composants. > C'est une approche qui me parle et je partage l'avis de l'auteur. > > Cependant, c'était il y 4,5 ans et les outils ont certainement évolués > depuis (confirmé par les commentaires). > > Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ? > > Merci d'avance > > </Besoin> > > En information complémentaire : l'inventaire du parc est "tenu" dans > GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel. > > [1]: https://boxstarter.org > [2]: https://chocolatey.org/packages/openssh > [3]: https://www.chef.io > [4]: https://www.rudder.io > [5]: > https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html > [6]: https://glpi-project.org > [7]: http://fusioninventory.org > -- Denis Cardon Tranquil IT 12 avenue Jules Verne (Bat. A) 44230 Saint Sébastien sur Loire (FRANCE) tel : +33 (0) 240 975 755 http://www.tranquil.it Tranquil IT recrute! https://www.tranquil.it/nous-rejoindre/ Samba install wiki for Frenchies : https://dev.tranquil.it WAPT, software deployment made easy : https://wapt.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/-- Emmanuel Jacquet manu@formidable-inc.net mailto:manu@formidable-inc.net
Bonjour Claude,
Pour ma part j'utilise cet outil TSD: https://www.softinventive.fr/total-software-deployment/
Je ne sais pas si l'outil que j'utilise correspondra à ton besoin mais voici ce qu'il fait
Déploiement en mode macro ou en mode silencieux, couplé ou non à un AD avec de multiple option de composant (.msi, .exe, Reg file, Batch file, Powershell script …)
[cid:image002.jpg@01D53310.BAD65680]
--
Jeremie
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de DUVERGIER Claude Envoyé : lundi 1 juillet 2019 02:44 À : frsag@frsag.org Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et Linux
Bonjour,
<Historique et contexte>
<tldr>
Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof.
</tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
* Doit être mis à jour quand Microsoft change certains comportements de
Windows (gestion des certificats, des utilisateurs, etc.).
* N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur
aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer
un changement de configuration (modification de la longueur de mot de
passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
* la configuration Windows (certificats, politiques mot de passe, etc.)
* la configuration de la session utilisateur d'un nouvel arrivant
* l'installation des logiciels (via Chocolatey)
* la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal.
Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article :
« Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants.
C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[2]: https://chocolatey.org/packages/openssh
[3]: https://www.chef.io
[5]:
https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche...
[7]: http://fusioninventory.org
--
DUVERGIER Claude
_______________________________________________
Liste de diffusion du FRsAG
Bonjour,
Sur un parc de machine avec OS Windows pour PC ou serveur (plusieurs centaines chez un grand comptes), on a déjà mis en place une gestion via les outils MS que sont l'AD et les GPO. Cela gère ce qu'apparemment ton soft ne fait pas à ce jour. Si on maitrise les scripts couplés avec cela, il n'y a plus vraiment de limite. Tout est contrôlé (lancement des EXE que si on connait), un OU par application, rattachement des imprimantes etc Donc, il a des croissements qui sont fonction des appartenances a des groupes dans l'AD pour script propulsé par les GPO. L'avantage de cette solution est déjà économique car rien de plus a acheté mais c'est aussi sa maintenabilité. Un sysAdmin qui connait l'OS Windows peut maintenir assez facilement c'est relativement normé. Avec un peu de doc sur la mise en œuvre c'est quand même mieux. On était 4 sysAdmin à maintenir le système qui est toujours vivant pourtant il doit avoir 13 ans et depuis quelques années ce n'est plus dans notre scope.
Chez ce client, ce qui est devenu pénible c'est le turn-over donc le paramétrage de comptes utilisateurs dans l'AD et mettre l'utilisateur dans les OU. Faut dire que l'on avait dans les 40 applications métiers, une dizaine d'intervenant a géré, de nombreux sites, de nombreuses entités, etc... Donc surement plus simple ici
Pour cette partie on a fait dev : un soft de copie de compte utilisateur et paramétrage pour avoir des utilisateurs Type et une IHM plus sympa. Notamment avec un préfixe pour groupé les OU (Exemple : APP_ pour les groupe des applications) Un profil qui prenait 1 heure et des risques d'erreurs d'oubli est passé a même pas 5 mn avec peu de retour.
Je ne sais pas si maintenant on pourrait intégrer des GPO de Windows à des OS linux avec un agent par exemple. En regardant vite fait si ça existait j'ai trouvé un truc qui y ressemble dans le principe pour MS, Linux et MAC https://jumpcloud.com/blog/group-policy-objects-gpos-for-linux/
Xavier
-----Message d'origine----- De : DUVERGIER Claude frsag.ml@claude.duvergier.fr Envoyé : lundi 1 juillet 2019 02:44 À : frsag@frsag.org Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et Linux
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
* Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.). * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de : * la configuration Windows (certificats, politiques mot de passe, etc.) * la configuration de la session utilisateur d'un nouvel arrivant * l'installation des logiciels (via Chocolatey) * la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
[1]: https://boxstarter.org [2]: https://chocolatey.org/packages/openssh [3]: https://www.chef.io [4]: https://www.rudder.io [5]: https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche... [6]: https://glpi-project.org [7]: http://fusioninventory.org
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
A ce sujet peut-être une autre piste : Samba 4 peut faire DC et gère les GPOs :
https://www.domoinfo.fr/samba-deployer-une-infrastructure-active-director/
Cdlmt,
Le 05/07/2019 à 09:46, x.roca@sipleo.com a écrit :
Bonjour,
Sur un parc de machine avec OS Windows pour PC ou serveur (plusieurs centaines chez un grand comptes), on a déjà mis en place une gestion via les outils MS que sont l'AD et les GPO. Cela gère ce qu'apparemment ton soft ne fait pas à ce jour. Si on maitrise les scripts couplés avec cela, il n'y a plus vraiment de limite. Tout est contrôlé (lancement des EXE que si on connait), un OU par application, rattachement des imprimantes etc Donc, il a des croissements qui sont fonction des appartenances a des groupes dans l'AD pour script propulsé par les GPO. L'avantage de cette solution est déjà économique car rien de plus a acheté mais c'est aussi sa maintenabilité. Un sysAdmin qui connait l'OS Windows peut maintenir assez facilement c'est relativement normé. Avec un peu de doc sur la mise en œuvre c'est quand même mieux. On était 4 sysAdmin à maintenir le système qui est toujours vivant pourtant il doit avoir 13 ans et depuis quelques années ce n'est plus dans notre scope.
Chez ce client, ce qui est devenu pénible c'est le turn-over donc le paramétrage de comptes utilisateurs dans l'AD et mettre l'utilisateur dans les OU. Faut dire que l'on avait dans les 40 applications métiers, une dizaine d'intervenant a géré, de nombreux sites, de nombreuses entités, etc... Donc surement plus simple ici
Pour cette partie on a fait dev : un soft de copie de compte utilisateur et paramétrage pour avoir des utilisateurs Type et une IHM plus sympa. Notamment avec un préfixe pour groupé les OU (Exemple : APP_ pour les groupe des applications) Un profil qui prenait 1 heure et des risques d'erreurs d'oubli est passé a même pas 5 mn avec peu de retour.
Je ne sais pas si maintenant on pourrait intégrer des GPO de Windows à des OS linux avec un agent par exemple. En regardant vite fait si ça existait j'ai trouvé un truc qui y ressemble dans le principe pour MS, Linux et MAC https://jumpcloud.com/blog/group-policy-objects-gpos-for-linux/
Xavier
-----Message d'origine----- De : DUVERGIER Claude frsag.ml@claude.duvergier.fr Envoyé : lundi 1 juillet 2019 02:44 À : frsag@frsag.org Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et Linux
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird) Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Salut Rémy,
A ce sujet peut-être une autre piste : Samba 4 peut faire DC et gère les GPOs :
https://www.domoinfo.fr/samba-deployer-une-infrastructure-active-director/
pour la partie AD, je ne peux que recommander chaudement Samba-AD, surtout si vous aimez Linux et la ligne de commande. Les outils RSAT fonctionne comme sous MS-AD et donc un admin de comptes peut travailler sous Windows avec un Samba-AD sans même savoir que c'est un Samba :-)
Samba-AD fournit les mêmes fonctionnalités courantes que MS-AD et bénéficie de tous les avantages de fonctionner sur un environnement Linux, comme par exemple une ligne de commande agréable, un environnement scripting Python super efficace, le fait d'être un service comme un autre (pas besoin de redémarrer en mode recovery AD en cas de soucis), pas de lock Windows pour faire des copies et des modifs, un accès directe à la base NTDS.DIT si besoin, etc.
L'état français est très impliqué dans l'évolution des développement à travers la DINSIC[1] et a financer pas mal d'évolution sur les dernières version (4.7 et suivante). Il est utilisé comme AD principal aux ministères des finances, de l'environnement, de la culture, de l'agriculture, et dans tout plein d'autres structures publiques et privées. Par exemple à côté de chez vous à Montpellier il y a l'école SupAgro qui est équipé, et aussi la DRAC, la trésorerie, la DREAL, la DIR, etc.
Comme le dit le slogan publicitaire, l'essayer c'est l'adopter!
Cordialement,
Denis
[1] https://www.numerique.gouv.fr/dinsic/
Cdlmt,
Le 05/07/2019 à 09:46, x.roca@sipleo.com a écrit :
Bonjour,
Sur un parc de machine avec OS Windows pour PC ou serveur (plusieurs centaines chez un grand comptes), on a déjà mis en place une gestion via les outils MS que sont l'AD et les GPO. Cela gère ce qu'apparemment ton soft ne fait pas à ce jour. Si on maitrise les scripts couplés avec cela, il n'y a plus vraiment de limite. Tout est contrôlé (lancement des EXE que si on connait), un OU par application, rattachement des imprimantes etc Donc, il a des croissements qui sont fonction des appartenances a des groupes dans l'AD pour script propulsé par les GPO. L'avantage de cette solution est déjà économique car rien de plus a acheté mais c'est aussi sa maintenabilité. Un sysAdmin qui connait l'OS Windows peut maintenir assez facilement c'est relativement normé. Avec un peu de doc sur la mise en œuvre c'est quand même mieux. On était 4 sysAdmin à maintenir le système qui est toujours vivant pourtant il doit avoir 13 ans et depuis quelques années ce n'est plus dans notre scope.
Chez ce client, ce qui est devenu pénible c'est le turn-over donc le paramétrage de comptes utilisateurs dans l'AD et mettre l'utilisateur dans les OU. Faut dire que l'on avait dans les 40 applications métiers, une dizaine d'intervenant a géré, de nombreux sites, de nombreuses entités, etc... Donc surement plus simple ici
Pour cette partie on a fait dev : un soft de copie de compte utilisateur et paramétrage pour avoir des utilisateurs Type et une IHM plus sympa. Notamment avec un préfixe pour groupé les OU (Exemple : APP_ pour les groupe des applications) Un profil qui prenait 1 heure et des risques d'erreurs d'oubli est passé a même pas 5 mn avec peu de retour.
Je ne sais pas si maintenant on pourrait intégrer des GPO de Windows à des OS linux avec un agent par exemple. En regardant vite fait si ça existait j'ai trouvé un truc qui y ressemble dans le principe pour MS, Linux et MAC https://jumpcloud.com/blog/group-policy-objects-gpos-for-linux/
Xavier
-----Message d'origine----- De : DUVERGIER Claude frsag.ml@claude.duvergier.fr Envoyé : lundi 1 juillet 2019 02:44 À : frsag@frsag.org Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et Linux
Bonjour,
<Historique et contexte>
<tldr> Configurer postes de travail et serveurs Windows et Linux via des scripts PowerShell/Bash c'est bof. </tldr>
En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10) et de quelques Ubuntu je suis à la recherche d'un unique outil me permettant d'appliquer des règles de configuration (compte Administrateur/root, logiciels/packages installés, etc.) sur les postes Et comme je gère aussi des serveurs Linux : l'outil servira également à ça (en ré-utilisant certaines règles des poste Ubuntu).
Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et Chocolatey mais il a les lacunes suivantes :
- Doit être mis à jour quand Microsoft change certains comportements de Windows (gestion des certificats, des utilisateurs, etc.).
- N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer un changement de configuration (modification de la longueur de mot de passe, nouveau logiciel, etc.).
Cet outil dédié Windows donc s'occupe de :
- la configuration Windows (certificats, politiques mot de passe, etc.)
- la configuration de la session utilisateur d'un nouvel arrivant
- l'installation des logiciels (via Chocolatey)
- la configuration des logiciels (typiquement Firefox et Thunderbird)
Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant) (Pour Linux on a différents scripts Bash similaires.)
Tout ça prends du temps à maintenir et est difficilement transmissible à un remplaçant.
Donc je suis à la recherche d'un vrai outil pour faire tout ça.
</Historique et contexte>
<Besoin>
J'apprécie un outil gérant l'idempotence et où la configuration est plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo langage éventuellement, tout en laissant la possibilité d'exécuter des scripts brut (Bash, PowerShell, etc.).
Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un critère principal. Par contre il y a des portables qui peuvent donc être injoignables par moment.
Les postes de travail ont tous OpenSSH mais sous Windows[2] il a tendance à se faire désactiver/casser (moins depuis certaines versions) donc je préfère un outil ayant son propre agent (en pull et/ou en push).
Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai l'impression que le premier a plus de fonctionnalités/connecteurs que le premier mais perdu son interface graphique (Chef Manage)...
Lors de mes recherches je suis notamment tombé sur cet article : « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui veut que le code représente fidèlement les relations entre les serveurs et logiciels (tels qu'elles sont mentalement dans la tête de l'équipe de sysadmin).
Il souligne que les 3 outils ont des problèmes liés aux rôles, à l'héritage et la composition qui font que l'outil seul ne suffit pas à se représenter de manière logique les fonctions/relations de chaque composants. C'est une approche qui me parle et je partage l'avis de l'auteur.
Cependant, c'était il y 4,5 ans et les outils ont certainement évolués depuis (confirmé par les commentaires).
Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?
Merci d'avance
</Besoin>
En information complémentaire : l'inventaire du parc est "tenu" dans GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
-- DUVERGIER Claude _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-
Denis Cardon -
Dernat Rémy -
DUVERGIER Claude -
Emmanuel Jacquet -
Jean-Louis Touraine -
Jeremie JANTAC -
mlrx -
Samuel Chesnel -
SERRUT Arnaud -
SIMANCAS Hugo -
x.roca@sipleo.com