criecm.common

Aperçu Versions Perspectives

commun - rôle de système de base

  • CA x509
  • client OpenLDAP + configuration
  • configuration du relais mail (seulement is_mailrelay == False et mailrelay != '')
    • Debian : postfix
    • FreeBSD : sendmail
    • OpenBSD : smtpd
  • lignes de configuration sshd (en variables, voir defaults/main.yml)
  • syslog centralisé :
    • sauf si is_syslogd=True
    • seulement si syslog_server existe
  • déploiement des clés ssh files/cles_ssh/*.pub
  • /usr/local/admin/sysutils/common depuis GIT (et plus selon les variables)
  • cron quotidien/hebdomadaire ecm (et suppression des anciens de CVS)
  • snmpd (À FAIRE : Debian et OpenBSD)
  • shell préféré pour root + sa configuration + alias
  • paquets supplémentaires (variable pkgs)

modèles et fichiers

configuration sshd et clés autorisées

  • Les fichiers correspondant à cles_ssh/*.pub seront autorisés sur le compte root
  • Les fichiers correspondant à cles_ssh/*.del seront supprimés
  • Le fichier vimrc dans files/ sera installé en tant que /root/.vimrc

clés ssh

  • Les fichiers correspondant à {{ playbook_dir }}/files/ssh/{{ inventory_hostname }}/ssh_host.*_key(.pub)? seront installés sur le démon ssh de l'hôte.

Variables

  • host_timezone (Europe/Paris)
  • is_resolver (False) si True, utilisera 127.0.0.1 dans resolv.conf en premier
  • resolvers ( [{ network='0.0.0.0/0', ip='8.8.8.8' }] ) liste de dictionnaires, l'ip sera utilisée si l'hôte correspond au réseau (dans l'ordre de la liste)
  • dns64_resolvers ([]) pour les hôtes uniquement IP6, remplace le mécanisme resolvers par des résolveurs activés DNS64
  • rootmailto () mail pour transférer le mail de root
  • gits_root ('/root') chemin pour le chemin relatif dans gits
  • gits_group ('') groupe pour posséder gits_root
  • gits_mode ('0750') mode du répertoire pour gits_root
  • gits, host_gits, group_gits et role_gits ([]) listes de dictionnaires : chaque DOIT avoir au moins
    • repo : url git à cloner
    • dest : chemin de destination (absolu ou relatif à gits_root) et PEUT avoir :
    • umask ('0022')
    • update (False)
    • version (master)
  • crons,host_crons,role_crons : liste de dictionnaires pour le module cron
  • ocsinventory_server ('') Si présent, installer et configurer openinventory-agent
  • root_shell (zsh) Mettez ici votre shell préféré :) (ou laissez vide pour ignorer tout ça) mettez votre fichier rc dans {{ playbook_dir }}/files/{{ root_shell }}rc
  • do_smart (True si pas de jail/vm) configure smartd pour les alertes sur les disques
  • smart_mailto ('') Ici votre adresse e-mail si vous souhaitez recevoir des alertes par mail
  • backup_dir (files/backups/{{ inventory_hostname }}) copie des clés hôtes ssh et restauration des fichiers /root/ à partir d'ici si nécessaire
  • monitoring_from ([]) liste des réseaux autorisés pour snmp
  • http_proxy ('') Pour définir les valeurs globales http_proxy et https_proxy (FreeBSD seulement)

Spécifique à FreeBSD

  • pkg_repo_conf (pkgecm.conf) nom d'un fichier de configuration de pkg repo à installer en premier
  • is_jail (False) si True, ignorera les outils de surveillance matérielle (smart, ipmi, snmp, dmidecode)
  • freebsd_base_pkgs ([git,rsync,vim-console,root_shell]) liste des paquets à installer

Spécifique à OpenBSD

  • openbsd_base_pkgs ([git,rsync,vim--no_x11,root_shell]) liste des paquets à installer
  • openbsd_pkg_mirror ("http://ftp.openbsd.org") miroir à utiliser

Spécifique à Debian

  • debian_base_pkgs (git,rsync,vim,root_shell]) liste des paquets à installer

Paquets

  • pkgs ([]) paquets supplémentaires à installer en utilisant le système de paquets de la distribution
  • host_pkgs role_pkgs ([]) autres paquets définis dans l'inventaire ou les rôles (ou autre)

Syslog

  • syslog_server () Si défini, tous les logs seront envoyés ici
  • syslog_auth_server (syslog_server) Les logs d'authentification seront envoyés ici

x509

  • x509_ca_file ('') fichier source pour le ou les certificats AC x509
  • x509_ca_path (/etc/ssl/ca.crt) chemin de destination pour le fichier de certificat ci-dessus

Relais mail

  • is_mailrelay (False) Ne configure pas le relais mail si True
  • mailrelay () Si défini, nom/IP du relais mail

Ssh

  • sshd_allow_groups ('') définir AllowGroups dans /etc/ssh/sshd_config

Configuration de base LDAP

  • ldap_base ('') baseDN ldap (pour ldap.conf)
  • ldap_uri ('ldaps://ldapr.univ.fr/ ldaps://ldap.univ.fr/') URI pour ldap.conf
  • ldap_tls_reqcert (never) valeur pour le même nom dans ldap.conf

Protocole de temps réseau (ntp)

Si ntp_servers ou ntp_pools est non vide le rôle s'occupera de ntp(d).conf et du service ntp

  • ntp_servers ([]) liste des serveurs ntp
  • ntp_pools ([]) liste des pools ntp
  • ntp_listen_addrs ([]) adresses IP à écouter (OpenBSD n'écoutera nulle part sans ça, peut être '*')
À propos du projet

base role for working system here

role authorizedkeys mailviarelay ntp packages sshd syslog
Installer
ansible-galaxy install criecm.common
GitHub référentiel
1 étoiles
0 forks
0 problèmes ouverts
Licence
Unknown
Téléchargements
62.3k
Propriétaire
DSI Centrale Méditerranée
Direction des Systèmes d'Information