No description
Find a file
2019-05-23 07:28:44 +02:00
group_vars Change serviceuser passwd 2019-05-04 12:08:48 +02:00
roles Passbolt playbook 2019-05-23 07:28:44 +02:00
.gitignore Initial commit 2018-12-23 12:20:19 +01:00
.gitlab-ci.yml Feat: update ansible-lint to version 4.0.0 2019-03-03 19:55:32 +01:00
.yamllint.yml Fix: line length 2019-03-02 13:31:51 +01:00
ansible.cfg Parallelism 2019-04-07 17:00:29 +02:00
base.yml Security policies based on ANSSI recommandations 2019-03-11 14:52:03 +01:00
codimd.yml Add matrix-appservice-webhooks and move nodejs tasks 2019-03-12 18:03:23 +01:00
dhcp.yml Specify git branch 2019-05-04 18:43:20 +02:00
dns.yml DNS playbook 2019-05-04 18:56:27 +02:00
dokuwiki.yml Fix: blank lines and trailing spaces 2019-03-02 12:07:48 +01:00
etherpad.yml Add matrix-appservice-webhooks and move nodejs tasks 2019-03-12 18:03:23 +01:00
hosts Add passbolt and vpn-ovh 2019-05-23 07:00:27 +02:00
ldap.yml Fix: line length 2019-03-02 13:31:51 +01:00
matrix.yml Add matrix-appservice-webhooks and move nodejs tasks 2019-03-12 18:03:23 +01:00
monitoring.yml Monitor all pacaterie 2019-05-05 14:26:38 +02:00
nginx-reverse-proxy.yml Use adm DNS for reverse proxy 2019-03-04 09:26:14 +01:00
passbolt.yml Passbolt playbook 2019-05-23 07:28:44 +02:00
proxmox.yml Add passbolt and vpn-ovh 2019-05-23 07:00:27 +02:00
README.md Use YARN module from Ansible 2.7 2019-03-11 17:49:48 +01:00
unifi.yml Unifi playbook 2019-05-07 18:52:07 +02:00
upgrade.yml Fix: add a retry statement to remote package tasks 2019-03-03 19:55:51 +01:00

Playbook et rôles Ansible d'Aurore

Ces politiques de déployement nécessite Ansible 2.7 ou plus récent. Le paquet dans Debian Buster est suffisamment à jour, sinon vous pouvez l'obtenir de la façon suivante :

pip3 install --user ansible

Exécution d'un playbook

Pour appliquer le playbook base.yml :

ansible-playbook --ask-vault-pass base.yml

Il est souhaitable de faire un test avant avec --check si on a des doutes !

FAQ

Mettre sa clé SSH sur une machine

ssh-copy-id -i ~/.ssh/id_rsa_aurore.pub virtu.fede-aurore.net

Automatiquement ajouter fingerprint ECDSA (dangereux !)

Il faut changer la variable d'environnement suivante : ANSIBLE_HOST_KEY_CHECKING=0.

Configurer la connexion au bastion

Envoyer son agent SSH peut être dangereux (source).

On va utiliser plutôt ProxyJump. Dans la configuration SSH :

# Use a key to log on all Aurore servers
# and use a bastion
Host 10.128.0.* *.adm.auro.re
    IdentityFile ~/.ssh/id_rsa_aurore
    ProxyJump proxy.auro.re

Il faut savoir que depuis Ansible 2.5, des connexions persistantes sont créées vers les serveurs puis détruites à la fin de l'exécution. Il faut donc éviter de lancer une connexion SSH persistante pendant l'exécution d'Ansible.

Lister tout ce que sait Ansible sur un hôte

ansible -i hosts ldap-replica-fleming1.adm.auro.re -m setup --ask-vault-pass