【Ansible】基于windows主机,采用NTLM+HTTPS 认证部署
我们现在准备Linux centos7(Ansible控制机)和Windows(客户机)环境下的详细部署步骤:
一、Windows客户机配置
1. 准备SSL证书
1.1 生成自签名证书(测试用)
以管理员身份打开PowerShell:
# 创建自签名证书
$cert = New-SelfSignedCertificate -DnsName $env:COMPUTERNAME -CertStoreLocation Cert:\LocalMachine\My# 查看证书指纹(记录下来,后面要用)
$cert.Thumbprint
1.2 导出证书(供Ansible控制机验证)
# 导出证书(不导出私钥)
Export-Certificate -Cert $cert -FilePath C:\winrm-cert.cer# 将证书复制到Ansible控制机(根据实际IP修改)
scp C:\winrm-cert.cer root@<ansible控制机IP>:/etc/ansible/certs/
2. 配置WinRM HTTPS监听器
继续在PowerShell中执行:
# 创建HTTPS监听器(使用刚才生成的证书)
winrm create winrm/config/listener?Address=*+Transport=HTTPS "@{Hostname=`"$env:COMPUTERNAME`"; CertificateThumbprint=`"$($cert.Thumbprint)`"}"# 启用NTLM认证
winrm set winrm/config/service/auth '@{NTLM="true"}'
winrm set winrm/config/service/auth '@{Negotiate="true"}'# 禁用非加密通信
winrm set winrm/config/service '@{AllowUnencrypted="false"}'# 配置服务允许远程管理
winrm set winrm/config/service '@{MaxConcurrentOperationsPerUser="100"}'# 重启WinRM服务
Restart-Service WinRM
3. 配置防火墙
# 允许5986端口(HTTPS WinRM)
New-NetFirewallRule -DisplayName "WinRM HTTPS" -Name "WinRM-HTTPS" -Protocol TCP -LocalPort 5986 -Action Allow
二、Linux Ansible控制机配置
1. 安装必要组件
# 安装pywinrm(Ansible WinRM连接插件)
pip install pywinrm# 安装OpenSSL(用于证书验证)
sudo apt-get install openssl -y
2. 配置证书信任
# 创建证书目录(前面windows主机,如果拷贝到不是/etc/ansible/certs目录的话)
sudo mkdir -p /etc/ansible/certs# 将Windows证书复制到信任存储(假设证书已通过scp传到控制机)
sudo cp /tmp/winrm-cert.cer /etc/ansible/certs/# 用于在指定目录中创建或更新证书文件的哈希符号链接
sudo cacertdir_rehash /etc/ansible/certs/
3. 创建Ansible Inventory文件
创建 /etc/ansible/hosts 文件(注意:该目录的路径,一定需要和ansible.cfg中配置的一致,方可生效),内容如下:
[windows]
win-server ansible_host=<Windows服务器IP>[windows:vars]
ansible_user=Administrator
ansible_password=您的Windows管理员密码 # 建议使用ansible-vault加密
ansible_connection=winrm
ansible_winrm_transport=ntlm
ansible_winrm_server_cert_validation=validate # 生产环境建议启用验证
ansible_winrm_ca_trust_path=/etc/ansible/certs/
ansible_winrm_port=5986
注意!注意!注意!
该hosts文件或者inventory.ini文件中,不允许出现 注释信息。不然,依然会报错!
4. 加密密码(可选但推荐)
# 创建加密密码
ansible-vault encrypt_string '您的明文密码' --name 'ansible_password'# 然后将输出结果替换inventory文件中的ansible_password值
三、连接测试
1. 基本连接测试
ansible windows -m win_ping -vvv
2. 验证加密连接
# 查看实际连接是否使用HTTPS
ansible windows -m raw -a "netsh advfirewall firewall show rule name=WinRM-HTTPS"
四、排错指南
如果咱们测试连接失败,请检查以下内容:
Windows端检查:
# 检查WinRM服务状态
Get-Service WinRM# 检查监听器
winrm enumerate winrm/config/listener# 查看安全日志(认证问题)
Get-EventLog -LogName Security -Newest 20 | Where-Object {$_.EventID -eq 4625}
Linux端检查:
# 测试端口连通性
telnet <WindowsIP> 5986# 手动测试WinRM连接
curl -vk --ntlm -u "Administrator:密码" https://<WindowsIP>:5986/wsman
五、最终验证Playbook
创建一个文件 test_connection.yml:
---
- name: 测试Windows安全连接hosts: windowsgather_facts: notasks:- name: 执行whoami命令验证身份ansible.windows.win_command: whoamiregister: result- name: 显示结果debug:var: result.stdout
运行测试:
ansible-playbook test_connection.yml
六、生产环境建议
- 证书:替换自签名证书为CA签发的正式证书
- 认证:考虑使用域账户代替本地管理员账户
- 加固:配置WinRM的IP限制和访问控制列表
- 监控:设置WinRM服务的日志监控
以上步骤完成后,我们的Ansible控制机,将通过加密的HTTPS通道,使用NTLM认证安全地管理Windows服务器。