kinit-keytab

Rôle Ansible pour s'authentifier sur un domaine Windows et obtenir un ticket Kerberos en utilisant un fichier keytab Kerberos.

Exigences

Ce rôle nécessite que vous ayez une configuration fonctionnelle du client Kerberos. Veuillez consulter le guide Ansible sur Windows pour vous assurer que vous disposez de toutes les bibliothèques et configurations nécessaires pour vous connecter aux hôtes Windows. De plus, vous devez avoir WinRM activé sur votre hôte Windows (voir le même guide Ansible sur Windows) et un fichier keytab Kerberos pour votre compte Active Directory. Vous pouvez générer un fichier keytab de la manière suivante :

### sous linux
ktutil
addent -password -p nom_utilisateur@VOTREDOMAINE.LOCAL -k 1 -e rc4-hmac
# ENTREZ LE MOT DE PASSE
wkt nom_utilisateur.keytab
quitter

### sous OSX
ktutil -k nom_utilisateur.keytab add -p nom_utilisateur@VOTREDOMAINE.LOCAL
# Tapez "arcfour-hmac-md5" sans les guillemets pour le type de chiffrement
# Tapez "1" sans les guillemets pour la version de la clé
# Entrez et vérifiez le mot de passe

Traitez le fichier résultant de la même manière que vous traiteriez une clé SSH. Il donne accès au domaine AD en votre nom sans nécessiter votre mot de passe.

Variables du Rôle

keytab_file: Chemin vers le fichier keytab de l'utilisateur
username: Nom d'utilisateur Kerberos incluant le domaine (c'est-à-dire, utilisateur@nom@VOTREDOMAINE.LOCAL)
krb_ticket_lifetime: Durée de vie du ticket en secondes (s), minutes (m) ou heures (h) - par défaut : 5m

Dépendances

Aucune

Exemple de Playbook

    - hosts: localhost
      connection: local
      gather_facts: false
      roles:
        - { role: mortiz.kinit-keytab,
            username: [email protected],
            keytab_file: /home/nom_utilisateur/nom_utilisateur.keytab,
            krb_ticket_lifetime: 60s  }

Licence

Apache