[FRsAG] Gestion de configuration de postes/serveurs Windows et Linux

Denis Cardon dcardon at tranquil.it
Ven 5 Juil 10:46:36 CEST 2019


Salut Rémy,

> A ce sujet peut-être une autre piste : Samba 4 peut faire DC et gère les
> GPOs :
>
> https://www.domoinfo.fr/samba-deployer-une-infrastructure-active-director/

pour la partie AD, je ne peux que recommander chaudement Samba-AD, 
surtout si vous aimez Linux et la ligne de commande. Les outils RSAT 
fonctionne comme sous MS-AD et donc un admin de comptes peut travailler 
sous Windows avec un Samba-AD sans même savoir que c'est un Samba :-)

Samba-AD fournit les mêmes fonctionnalités courantes que MS-AD et 
bénéficie de tous les avantages de fonctionner sur un environnement 
Linux, comme par exemple une ligne de commande agréable, un 
environnement scripting Python super efficace, le fait d'être un service 
comme un autre (pas besoin de redémarrer en mode recovery AD en cas de 
soucis), pas de lock Windows pour faire des copies et des modifs, un 
accès directe à la base NTDS.DIT si besoin, etc.

L'état français est très impliqué dans l'évolution des développement à 
travers la DINSIC[1] et a financer pas mal d'évolution sur les dernières 
version (4.7 et suivante). Il est utilisé comme AD principal aux 
ministères des finances, de l'environnement, de la culture, de 
l'agriculture, et dans tout plein d'autres structures publiques et 
privées. Par exemple à côté de chez vous à Montpellier il y a l'école 
SupAgro qui est équipé, et aussi la DRAC, la trésorerie, la DREAL, la 
DIR, etc.

Comme le dit le slogan publicitaire, l'essayer c'est l'adopter!

Cordialement,

Denis

[1] https://www.numerique.gouv.fr/dinsic/

>
> Cdlmt,
>
>
> Le 05/07/2019 à 09:46, x.roca at sipleo.com a écrit :
>> Bonjour,
>>
>> Sur un parc de machine avec OS Windows pour PC ou serveur (plusieurs
>> centaines chez un grand comptes), on a déjà mis en place une gestion
>> via les outils MS que sont l'AD et les GPO. Cela gère ce
>> qu'apparemment ton soft ne fait pas à ce jour.
>> Si on maitrise les scripts couplés avec cela, il n'y a plus vraiment
>> de limite.
>> Tout est contrôlé (lancement des EXE que si on connait), un OU par
>> application, rattachement des imprimantes etc
>> Donc, il a des croissements qui sont fonction des appartenances a des
>> groupes dans l'AD pour script propulsé par les GPO.
>> L'avantage de cette solution est déjà économique car rien de plus a
>> acheté mais c'est aussi sa maintenabilité.
>> Un sysAdmin qui connait l'OS Windows peut maintenir assez facilement
>> c'est relativement normé.
>> Avec un peu de doc sur la mise en œuvre c'est quand même mieux.
>> On était 4 sysAdmin à maintenir le système qui est toujours vivant
>> pourtant il doit avoir 13 ans et depuis quelques années ce n'est plus
>> dans notre scope.
>>
>> Chez ce client, ce qui est devenu pénible c'est le turn-over donc le
>> paramétrage de comptes utilisateurs dans l'AD et mettre l'utilisateur
>> dans les OU.
>> Faut dire que l'on avait dans les 40 applications métiers, une dizaine
>> d'intervenant a géré, de nombreux sites, de nombreuses entités, etc...
>> Donc surement plus simple ici
>>
>> Pour cette partie on a fait dev : un soft de copie de compte
>> utilisateur et paramétrage pour avoir des utilisateurs Type et une IHM
>> plus sympa.
>> Notamment avec un préfixe pour groupé les OU (Exemple : APP_  pour les
>> groupe des applications)
>> Un profil qui prenait 1 heure et des risques d'erreurs d'oubli est
>> passé a même pas 5 mn avec peu de retour.
>>
>> Je ne sais pas si maintenant on pourrait intégrer des GPO de Windows à
>> des OS linux avec un agent par exemple.
>> En regardant vite fait si ça existait j'ai trouvé un truc qui y
>> ressemble dans le principe pour MS, Linux et MAC
>> https://jumpcloud.com/blog/group-policy-objects-gpos-for-linux/
>>
>> Xavier
>>
>>
>> -----Message d'origine-----
>> De : DUVERGIER Claude <frsag.ml at claude.duvergier.fr>
>> Envoyé : lundi 1 juillet 2019 02:44
>> À : frsag at frsag.org
>> Objet : [FRsAG] Gestion de configuration de postes/serveurs Windows et
>> Linux
>>
>> Bonjour,
>>
>> <Historique et contexte>
>>
>> <tldr>
>> Configurer postes de travail et serveurs Windows et Linux via des
>> scripts PowerShell/Bash c'est bof.
>> </tldr>
>>
>> En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10)
>> et de quelques Ubuntu je suis à la recherche d'un unique outil me
>> permettant d'appliquer des règles de configuration (compte
>> Administrateur/root, logiciels/packages installés, etc.) sur les
>> postes Et comme je gère aussi des serveurs Linux : l'outil servira
>> également à ça (en ré-utilisant certaines règles des poste Ubuntu).
>>
>> Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows
>> que d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1]
>> et Chocolatey mais il a les lacunes suivantes :
>>
>> * Doit être mis à jour quand Microsoft change certains comportements de
>>    Windows (gestion des certificats, des utilisateurs, etc.).
>> * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur
>>    aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer
>>    un changement de configuration (modification de la longueur de mot de
>>    passe, nouveau logiciel, etc.).
>>
>> Cet outil dédié Windows donc s'occupe de :
>> * la configuration Windows (certificats, politiques mot de passe, etc.)
>> * la configuration de la session utilisateur d'un nouvel arrivant
>> * l'installation des logiciels (via Chocolatey)
>> * la configuration des logiciels (typiquement Firefox et Thunderbird)
>> Mais pas de l'installation de l'OS (ce qui nous convient pour
>> l'instant) (Pour Linux on a différents scripts Bash similaires.)
>>
>> Tout ça prends du temps à maintenir et est difficilement transmissible
>> à un remplaçant.
>>
>> Donc je suis à la recherche d'un vrai outil pour faire tout ça.
>>
>> </Historique et contexte>
>>
>> <Besoin>
>>
>> J'apprécie un outil gérant l'idempotence et où la configuration est
>> plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo
>> langage éventuellement, tout en laissant la possibilité d'exécuter des
>> scripts brut (Bash, PowerShell, etc.).
>>
>> Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un
>> critère principal.
>> Par contre il y a des portables qui peuvent donc être injoignables par
>> moment.
>>
>> Les postes de travail ont tous OpenSSH mais sous Windows[2] il a
>> tendance à se faire désactiver/casser (moins depuis certaines
>> versions) donc je préfère un outil ayant son propre agent (en pull
>> et/ou en push).
>>
>> Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai
>> l'impression que le premier a plus de fonctionnalités/connecteurs que
>> le premier mais perdu son interface graphique (Chef Manage)...
>>
>> Lors de mes recherches je suis notamment tombé sur cet article :
>> « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5] de
>> septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin qui
>> veut que le code représente fidèlement les relations entre les
>> serveurs et logiciels (tels qu'elles sont mentalement dans la tête de
>> l'équipe de sysadmin).
>>
>> Il souligne que les 3 outils ont des problèmes liés aux rôles, à
>> l'héritage et la composition qui font que l'outil seul ne suffit pas à
>> se représenter de manière logique les fonctions/relations de chaque
>> composants.
>> C'est une approche qui me parle et je partage l'avis de l'auteur.
>>
>> Cependant, c'était il y 4,5 ans et les outils ont certainement évolués
>> depuis (confirmé par les commentaires).
>>
>> Est-ce que vous auriez des avis (ou comparatifs récents) sur ces
>> points là ?
>>
>> Merci d'avance
>>
>> </Besoin>
>>
>> En information complémentaire : l'inventaire du parc est "tenu" dans
>> GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.
>>
>> [1]: https://boxstarter.org
>> [2]: https://chocolatey.org/packages/openssh
>> [3]: https://www.chef.io
>> [4]: https://www.rudder.io
>> [5]:
>> https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html
>>
>> [6]: https://glpi-project.org
>> [7]: http://fusioninventory.org
>>
>> --
>> DUVERGIER Claude
>> _______________________________________________
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
>> _______________________________________________
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>

-- 
Denis Cardon
Tranquil IT
12 avenue Jules Verne (Bat. A)
44230 Saint Sébastien sur Loire (FRANCE)
tel : +33 (0) 240 975 755
http://www.tranquil.it

Tranquil IT recrute! https://www.tranquil.it/nous-rejoindre/
Samba install wiki for Frenchies : https://dev.tranquil.it
WAPT, software deployment made easy : https://wapt.fr


Plus d'informations sur la liste de diffusion FRsAG