Однажды задался целью вот моя основная система — это Ubuntu LTS релизы, начинал с 12.04 и уже на 18.04. Администрируя инфраструктуру часто приходится сталкиваться с различными системами, что-то под Wine запускаю, что-то под Virtualbox, подключаюсь как через SSH и т. д. И вот задался целью все-таки добить шаги посредством которых я смогу посредством инструмента ansible взаимодействовать с Windows системами.
Для себя выделил интересные этапы взаимодействия
- если Windows система не в домене
- если Windows система в домене
|
1 2 3 4 5 |
ekzorchik@srv-bionic:~$ apt-cache show ansible | grep Version Version: 2.5.1+dfsg-1 ekzorchik@srv-bionic:~$ sudo apt-get install ansible -y |
А если добавить репозитарий Ansible то версия из него более новая:
|
1 2 3 4 5 6 7 8 9 10 11 |
ekzorchik@srv-bionic:~$ sudo apt-get install -y software-properties-common ekzorchik@srv-bionic:~$ sudo apt-add-repository ppa:ansible/ansible ekzorchik@srv-bionic:~$ apt-cache show ansible | grep Version Version: 2.7.1-1ppa~bionic Version: 2.5.1+dfsg-1 ekzorchik@srv-bionic:~$ sudo apt-get install ansible python3-pip python-pip -y |
Устанавливаю пакет для использования модуля winrm:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
ekzorchik@srv-bionic:~$ sudo pip install http://github.com/diyan/pywinrm/archive/master.zip#egg=pywinrm ekzorchik@srv-bionic:~$ sudo find / -name "winrm" /usr/local/lib/python3.6/dist-packages/winrm /usr/local/lib/python2.7/dist-packages/winrm ekzorchik@srv-bionic:~$ sudo nano /etc/ansible/hosts [windows] 172.33.33.17 ansible_user=ekzorchik ansible_password=712mbddr@ ansible_connection=winrm ansible_winrm_server_cert_validation=ignore |
Предварительные действия которые нужно выполнить на Windows 7 Pro x64 SP1
Шаг №1: Изменить тип активной сети
Пуск — Панель управления — Центр управления сетями и общим доступом, чтобы активная расположение сети было не «Общественная сеть», а либо «Домашняя», либо «Сеть предприятия». Делается это если в данной оснастке щелкнуть чуть ниже «Просмотр активных сетей» на «Общественная сеть» и изменить на «Домашняя сеть»:
или через консоль командной строки:
|
1 |
C:\Windows\system32>net start winrm |
Служба "Служба удаленного управления Windows (WS-Management)" запускается.
Служба "Служба удаленного управления Windows (WS-Management)" успешно запущена.
|
1 2 3 4 5 |
C:\Windows\system32>sc config winrm start= auto [SC] ChangeServiceConfig: успех C:\Windows\system32>winrm quickconfig |
Служба WinRM не настроена на прием запросов на компьютере.
Необходимо внести следующие изменения:
Задайте для типа службы WinRM значение отложенного автозапуска.
Настройте параметр LocalAccountTokenFilterPolicy, чтобы предоставлять административные права локальным пользователям удаленным образом.
Выполнить изменения [y/n]? y
Служба WinRM была обновлена для приема запросов.
Тип службы WinRM успешно изменен.
Параметр LocalAccountTokenFilterPolicy настроен так, чтобы предоставлять административные права локальным пользователям удаленным образом.
Служба WinRM не настроена на разрешение удаленного управления компьютером.
Необходимо внести следующие изменения:
Создайте прослушиватель WinRM на HTTP://* для приема запросов WS-Man на любом из IP-адресов этого компьютера.
Разрешите исключение брандмауэра WinRM.
Выполнить изменения [y/n]? y
Служба WinRM обновлена для удаленного управления.
Создан прослушиватель WinRM на HTTP://* для приема запросов WS-Man на любом из IP-адресов этого компьютера.
Исключение брандмауэра WinRM включено.
Отобразить текущую политику Аутентификации через winrm:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
C:\Windows\system32>winrm get winrm/config/service/auth Auth Basic = false Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed |
Изменить политику Аутентификации через winrm:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
C:\Windows\system32>winrm set winrm/config/service/auth @{Basic="true"} Auth Basic = true Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed |
или через PowerShell:
|
1 |
PS C:\Windows\system32> set-item -path wsman:\localhost\service\auth\basic -value $true |
На заметку: https://docs.ansible.com/ansible/latest/user_guide/windows_winrm.html
Пробую теперь с Ubuntu 18.04 через Ansible взаимодействовать с Windows системой:
|
1 2 3 4 5 6 7 8 9 10 11 |
ekzorchik@srv-bionic:~$ sudo ansible windows -m win_ping 172.33.33.17 | UNREACHABLE! => { "changed": false, "msg": "Failed to connect to the host via ssh: ssh: connect to host 172.33.33.17 port 22: Connection timed out\r\n", "unreachable": true } |
Так, стоп, почему подключение идет через SSH, ведь по умолчанию на Windows системах нет такого сервиса. Дело в том, что я когда создать в hosts описание для подключение к Windows я не указал логин, пароль и через какой инструмент идет взаимодействие.
Начинаю разбираться что и как.
По своим наработкам которые я когда-то делал, нужно на Windows систему установить PowerShell 3.0. Как это сделать у меня рассмотрено в ранее опубликованной заметке.
Шаг №2: В интернете упоминается скрипт на powershell для Windows систем для настройки взаимодействия с системой Windows через winrm удаленно:
|
1 |
https://github.com/ansible/ansible/blob/devel/examples/scripts/ConfigureRemotingForAnsible.ps1 |
|
1 |
PS C:\Users\ekzorchik\Downloads> .\ConfigureRemotingForAnsible.ps1 |
.\ConfigureRemotingForAnsible.ps1 : File C:\Users\ekzorchik\Downloads\ConfigureRemotingForAnsible.ps1 cannot be loaded
because running scripts is disabled on this system. For more information, see about_Execution_Policies at http://go.mic
rosoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ .\ConfigureRemotingForAnsible.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
|
1 2 3 |
PS C:\Users\ekzorchik\Downloads> set-executionpolicy remotesigned Execution Policy Change |
The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose
you to the security risks described in the about_Execution_Policies help topic at
http://go.microsoft.com/fwlink/?LinkID=135170. Do you want to change the execution policy?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "N"): A
|
1 |
PS C:\Users\ekzorchik\Downloads> .\ConfigureRemotingForAnsible.ps1 |
Self-signed SSL certificate generated; thumbprint: FF64E870508DCEE9CD5AD12B64473A49A38AEEE2
wxf : http://schemas.xmlsoap.org/ws/2004/09/transfer
a : http://schemas.xmlsoap.org/ws/2004/08/addressing
w : http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd
lang : ru-RU
Address : http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous
ReferenceParameters : ReferenceParameters
ОК.
На Windows 7 Pro x64 SP1 брандмауер не отключал, вижу из добавленного это правило разрешающее взаимодействие с системой по входящему 5986/tcp соединению с именование правила: Allow WinRM HTTPS
И вот только после всех действий выше удаленное подключение через winrm заработало.
На заметку: Чтобы управлять с Ubuntu 18.04 Server через Ansible Windows системами нужно разрешить на них входящие подключения через TCP/5986 и создать структуру подключения вида:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
ekzorchik@srv-bionic:~$ sudo apt-get install tree -y ekzorchik@srv-bionic:~$ tree /etc/ansible/windows/ /etc/ansible/windows/ ├── group_vars │ └── windows.yml ├── hosts └── playbooks └── windows.yml 2 directories, 3 files ekzorchik@srv-bionic:~$ sudo mkdir -p /etc/ansible/windows/group_vars ekzorchik@srv-bionic:~$ sudo nano /etc/ansible/windows/hosts [windows] 172.33.33.17 ekzorchik@srv-bionic:~$ sudo nano /etc/ansible/windows/group_vars/windows.yml file: group_vars/windows.yml ansible_user: ekzorchik ansible_password: 712mbddr@ ansible_winrm_transport: basic ansible_connection: winrm ansible_winrm_server_cert_validation: ignore ekzorchik@srv-bionic:~$ sudo ansible windows -i /etc/ansible/windows/hosts -m win_ping 172.33.33.17 | SUCCESS => { "changed": false, "ping": "pong" } |
Пример №1: Попробую создать каталог через Ansible управляя с Ubuntu 18.04 Server:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
ekzorchik@srv-bionic:~$ sudo mkdir /etc/ansible/windows/playbooks ekzorchik@srv-bionic:~$ sudo nano /etc/ansible/windows/playbooks/windows.yml --- - name: Example hosts: windows tasks: - name: Create directory structure win_file: path: c:\1\2\3 state: directory |
Запускаю созданный playbook:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
ekzorchik@srv-bionic:~$ sudo ansible-playbook -i /etc/ansible/windows/hosts /etc/ansible/windows/playbooks/windows.yml PLAY [Example] ****************************************************************** TASK [Gathering Facts] ********************************************************** ok: [172.33.33.17] TASK [Create directory structure] *********************************************** changed: [172.33.33.17] PLAY RECAP ********************************************************************** 172.33.33.17 : ok=2 changed=1 unreachable=0 failed=0 |
Смотрю что изменило на Windows системе:
Пример №2: Можно на рабочие станции посылать сообщения:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
ekzorchik@srv-bionic:~$ sudo nano /etc/ansible/windows/playbooks/msg.yml --- - name: Example hosts: windows tasks: - name: message win_msg: display_seconds: 60 msg: Automated upgrade about to start. |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
ekzorchik@srv-bionic:~$ sudo ansible-playbook -i /etc/ansible/windows/hosts /etc/ansible/windows/playbooks/msg.yml PLAY [Example] ********************************************************************** TASK [Gathering Facts] ************************************************************** ok: [172.33.33.17] TASK [message] ********************************************************************** changed: [172.33.33.17] PLAY RECAP ************************************************************************** 172.33.33.17 : ok=2 changed=1 unreachable=0 failed=0 |
Полученный результат на Windows 7 SP1 Pro x64 это появившееся окно на рабочем столе:
Работает. Для себя нужно больше разобрать различных примеров. Т.к. я в повседневности, как на работе так и дома использую в качестве основной системы это Ubuntu 18.04 Desktop amd64. Пример №3: Получить информацию об учетной записи на Windows системе.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 |
ekzorchik@srv-bionic:~$ sudo ansible windows -i /etc/ansible/windows/hosts -m raw -a "net user ekzorchik" 172.33.33.17 | CHANGED | rc=0 >> User name ekzorchik Full Name Comment User's comment Country code 000 (System Default) Account active Yes Account expires Never Password last set 30.10.2018 21:39:08 Password expires Never Password changeable 30.10.2018 21:39:08 Password required No User may change password Yes Workstations allowed All Logon script User profile Home directory Last logon 05.11.2018 22:37:33 Logon hours allowed All Local Group Memberships *HomeUsers *������������ Global Group memberships *None The command completed successfully. |
Пример №4: Через Ansible выполнить команду PowerShell
|
1 2 3 |
ekzorchik@srv-bionic:~$ sudo ansible windows -i /etc/ansible/windows/hosts -m raw -a "powershell Remove-Item –path c:\1 –recurse " 172.33.33.17 | CHANGED | rc=0 >> |
Подведу итоги, я практически дополнил свой арсенал средств которыми теперь владею чтобы в полной мере администрировать локальную сеть из под Ubuntu 18.04 Desktop да и вообще любого долговременного релиза оси Ubuntu которым я привержен.
На этом у меня пока все, с уважением автор блога Олло Александр aka ekzorchik.