serveur-kerberos-ansible

serveur-kerberos-ansible est un rôle Ansible pour installer facilement un serveur Kerberos.

Ce rôle est inspiré du travail de "bennojoy/kerberos_server".

Exigences

Pour utiliser ce rôle Ansible, vous aurez besoin de :

• Une version d'Ansible >= 2.2 sur votre machine de déploiement.
• Vérifiez le fichier meta/main.yml si vous avez besoin de vérifier les dépendances.

Installation

serveur-kerberos-ansible est un rôle Ansible distribué globalement via Ansible Galaxy. Pour installer le rôle serveur-kerberos-ansible, vous pouvez utiliser la commande suivante.

$ ansible-galaxy install AlberTajuelo.kerberos-server

Mise à jour

Si vous souhaitez mettre à jour le rôle, vous devez ajouter le paramètre --force lors de l'installation. Veuillez vérifier la commande suivante :

$ ansible-galaxy install --force AlberTajuelo.kerberos-server

Flux de travail principal

Ce rôle permet de :

• Télécharger des paquets Kerberos spécifiques (ces paquets dépendent du système).
• Configurer les fichiers du serveur Kerberos :
• kdc.conf
• kadm5.acl
• krb5.conf
• Créer un utilisateur administrateur

Variables du rôle

| Attribut | Valeur par défaut | Description | |--- |--- |--- | | realm_name | REALM.NAME.COM | Nom de domaine pour le serveur Kerberos | | kdc_port | 88 | Port du Centre de Distribution de Clés Kerberos (KDC) | | master_db_pass | m4st3r_p4ssw0rd | Mot de passe de l'administrateur | | kadmin_user | defaultuser | Nom d'utilisateur Kadmin | | kadmin_pass | d3f4ultp4ss | Mot de passe Kadmin |

Exemple de Playbook

Dans le dossier example, vous pouvez consulter un projet exemple qui montre comment déployer un serveur Kerberos sur deux hôtes.

Pour l'exécuter, vous devrez avoir Vagrant et le rôle serveur-kerberos-ansible installés. Veuillez consulter https://www.vagrantup.com pour plus d'informations sur Vagrant et notre section d'installation.

$ cd example/my-playbook
$ vagrant up
$ ansible-playbook -i hosts deploy.yml

Vous pouvez consulter des exemples plus avancés dans le dossier de test qui sont exécutés contre Travis-CI.

Licence

MIT

Améliorations futures

• Possibilité de créer plusieurs esclaves KDC.
• Option pour activer/désactiver la création d'un utilisateur administrateur.
• Désactiver le lien de "/dev/urandom" à "/dev/random" et utiliser un outil de génération de nombres aléatoires "sécurisé" (cela pourrait être "haveged"?).
• Installer NTP en premier.
• Possibilité d'avoir plusieurs ports KDC.
• Activer/désactiver les types de chiffrement.
• Ajouter plus de listes de contrôle d'accès (ACL).
• Créer une liste de keytabs.

Informations sur l'auteur

AlberTajuelo (@AlberTajuelo)