INTRODUZIONE
Il plugin Remote Code Execution di Foreman permette di eseguire dei comandi tramite SSH ed implementare dei workflows in modo simile a come avviene con Ansible.
Per quanto questo plugin sia opzionale, si consiglia di prenderne in considerazione l’installazione, poiché potrebbe rivelarsi molto utile nei casi in cui si debba schedulare dei jobs da eseguire su diversi hosts.
Inoltre esso è necessario se si desidera integrare Foreman con Ansible, poiché viene utilizzato per la schedulazione dei playbooks.
Il plugin necessita di uno Smart Proxy con funzionalità Dynflow e Script per funzionare.
È possibile utilizzare diversi Smart Proxies per diverse subnets, organizations o locations, tuttavia in questa guida verrà mostrato come configurare un unico Smart Proxy sullo stesso server di Foreman.
In questo articolo verrà discussa l’installazione e la configurazione manuale e tramite Puppet agent; si consiglia di installare manualmente il plugin e poi utilizzare Puppet per la gestione dello Smart Proxy.
PRE REQUISITI
Si suppone che si abbia già installato e configurato Foreman.
Si consiglia la visione dell’articolo seguente per avere una coprensione migliore della procedura descritta in questa guida.
Fermare i servizi relativi a Foreman con il comando:
|
0 |
systemctl stop foreman.service foreman.socket foreman-proxy.service
|
INSTALLAZIONE DEL PLUGIN
|
0 |
apt-get install ruby-foreman-remote-execution ruby-smart-proxy-remote-execution-ssh
|
Migrare il database con i seguenti comandi:
|
0
1
|
foreman-rake db:migrate
foreman-rake db:seed
|
CONFIGURAZIONE DELLO SMART PROXY
Modificare il file /etc/foreman-proxy/settings.yml:
|
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
---
#replace default location of "settings.d"
:settings_directory: /etc/foreman-proxy/settings.d
# SSL Setup
# If enabled, all communication would be verified via SSL
# NOTE that both certificates need to be signed by the same CA in order for this to work
# see http://theforeman.org/projects/smart-proxy/wiki/SSL for more information
:ssl_ca_file: /etc/puppetlabs/puppet/ssl/certs/ca.pem
:ssl_certificate: /etc/puppetlabs/puppet/ssl/certs/foreman.pizza.local.pem
:ssl_private_key: /etc/puppetlabs/puppet/ssl/private_keys/foreman.pizza.local.pem
# Use this option only if you need to strictly specify TLS versions to be
# disabled. SSLv3 and TLS v1.0 are always disabled and cannot be configured.
# Specify versions like: '1.1', or '1.2'
:tls_disabled_versions:
- 1.1
# Hosts which the proxy accepts connections from
# commenting the following lines would mean every verified SSL connection allowed
# HTTPS: test the certificate CN
# HTTP: test the reverse DNS entry of the remote IP
:trusted_hosts:
- foreman.pizza.local
# Endpoint for reverse communication
:foreman_url: https://foreman.pizza.local
# SSL settings for client authentication against Foreman. If undefined, the values
# from general SSL options are used instead. Mainly useful when Foreman uses
# different certificates for its web UI and for smart-proxy requests.
:foreman_ssl_ca: /etc/puppetlabs/puppet/ssl/certs/ca.pem
:foreman_ssl_cert: /etc/puppetlabs/puppet/ssl/certs/foreman.pizza.local.pem
:foreman_ssl_key: /etc/puppetlabs/puppet/ssl/private_keys/foreman.pizza.local.pem
# host and ports configuration
# Host or IP to bind ports to (e.g. *, localhost, 0.0.0.0, ::, 192.168.1.20)
:bind_host: '0.0.0.0'
# http is disabled by default. To enable, uncomment 'http_port' setting
#:http_port: 8000
# https is enabled if certificate, CA certificate, and private key are present in locations specifed by
# ssl_certificate, ssl_ca_file, and ssl_private_key correspondingly
# default values for https_port is 8443
:https_port: 8443
|
ATTENZIONE: Essendo lo Smart Proxy sullo stesso server di Foreman, è possibile sostituire “:bind_host: ‘0.0.0.0’” con “:bind_host: ‘localhost'”. Nel caso in cui si configuri il bind locale, è necessario moodificare il file hosts in modo che l’FQDN dello Smart Proxy venga risolto come 127.0.0.1 . Se non si configurasse il file hosts, il server cercherebbe inutilmente di connettersi a Foreman sull’IP della rete locale (eg. 192.168.x.y).
Abilitare la funzionalità Dynflow dello Smart Proxy, modificando /etc/foreman-proxy/settings.d/dynflow.yml
Aggiungere foreman-proxy al gruppo puppet per acconsentire la lettura dei certificati:
|
0 |
usermod -a -G puppet foreman-proxy
|
Creare la cartella ssh per foreman-proxy con i seguenti comandi:
|
0
1
2
3
|
mkdir -p --mode=750 /var/lib/foreman-proxy/ssh
ln -s /var/lib/foreman-proxy/ssh /usr/share/foreman-proxy/.ssh
chown foreman-proxy:foreman-proxy /var/lib/foreman-proxy/ssh
sudo -u foreman-proxy ssh-keygen -f /var/lib/foreman-proxy/ssh/id_rsa_foreman_proxy -N ''
|
AGGIUNGERE A FOREMAN LO SMART PROXY
Avviare i servizi di Foreman con il comando:
|
0 |
systemctl start apache2 foreman.service foreman.socket foreman-proxy.service
|
Accedere a Foreman e navigare su Infrastructure > Smart Proxy e cliccare su Create Smart Proxy
Inserire le informazioni dello Smart Proxy ed assegnare le Organizations e le Locations che gli appartengono, infine salvare cliccando Submit
Nella tabella, dovrebbe essere mostrato lo Smart Proxy appena aggiunto con le funzionalità richieste.
Se non fossero mostrate alcune funzionalità richieste, cliccare sulla freccia accanto ad Edit ed in seguito su Refresh:
CONFIGURAZIONE DELLO SMART PROXY TRAMITE PUPPET
È possible installare e configurare lo Smart Proxy tramite Puppet agent.
Se si fosse già effettuata la configurazione manuale, si consiglia comunque di allineare la ENC di Puppet, in modo da poter gestire la configurazione direttamente da Foreman.
Inoltre Puppet opzionalmente effettua delle configurazioni aggiuntive che non sono state discusse nella procedura manuale, come l’abilitazione della funzionalità Logs dello Smart Proxy.
I parametri necessari per far funzionare lo Smart Proxy sono:
|
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
- foreman_proxy::plugin::dynflow enabled = true
- foreman_proxy autosign = /etc/puppetlabs/puppet/autosign.conf
- foreman_proxy bind = ["0.0.0.0"]
- foreman_proxy foreman base url = https://foreman.pizza.local
- foreman_proxy foreman ssl ca = /etc/puppetlabs/puppet/ssl/certs/ca.pem
- foreman_proxy foreman ssl cert = /etc/puppetlabs/puppet/ssl/certs/<%= @host.name %>.pem
- foreman_proxy foreman ssl key = /etc/puppetlabs/puppet/ssl/private_keys/<%= @host.name %>.pem
- foreman_proxy groups = ["puppet"]
- foreman_proxy http = false
- foreman_proxy logs = true (opzionale)
- foreman_proxy manage puppet group = true
- foreman_proxy oauth consumer key = <consumer key>
- foreman_proxy oauth consumer secret = <consumer secret>
- foreman_proxy oauth effective user = <username admin locale Foreman>
- foreman_proxy puppet group = puppet
- foreman_proxy puppet ssl ca = /etc/puppetlabs/puppet/ssl/certs/ca.pem
- foreman_proxy puppet ssl cert = /etc/puppetlabs/puppet/ssl/certs/<%= @host.name %>.pem
- foreman_proxy puppet ssl key = /etc/puppetlabs/puppet/ssl/private_keys/<%= @host.name %>.pem
- foreman_proxy puppet url = https://puppet.pizza.it:8140
- foreman_proxy puppetdir = /etc/puppetlabs/puppet
- foreman_proxy register in foreman = true
- foreman_proxy registered name = <%= @host.name %>
- foreman_proxy registered proxy url = https://<%= @host.name %>:8443
- foreman_proxy ssl = true
- foreman_proxy ssl ca = /etc/puppetlabs/puppet/ssl/certs/ca.pem
- foreman_proxy ssl cert = /etc/puppetlabs/puppet/ssl/certs/<%= @host.name %>.pem
- foreman_proxy ssl key = /etc/puppetlabs/puppet/ssl/private_keys/<%= @host.name %>.pem
- foreman_proxy ssl port = 8443
- foreman_proxy ssl dir = /etc/puppetlabs/puppet/ssl
- foreman_proxy tls dissabled versions = ["1.1"]
- foreman_proxy trusted hosts = ["foreman.pizza.local"]
|
ATTENZIONE: <%= @host.name %> viene sostituito con l’FQDN del server in fase di distribuzione del catalogo. Se l’hostname fosse diverso dal nome del certificato di Puppet, non utilizzare questa variabile.
ATTENZIONE: Assicurarsi che le altre funzionalità dello Smart Proxy siano disabilitate (eg. DNS, TFTP) Opzionalmente è possibile abilitare la funzionalità Logs.
Nella configurazione vengono indicati dei parametri non necessari per il funzionamento di Dynflow, tuttavia essi potrebbero essere necessari per corretto parsing del catalogo (ad esempio puppet_url).
Se dovessero venir mostrati degli errori per dei parametri mancanti o che non rispettano il formato, probabilmente è stato fatto l’override dei parametri di default per la configurazione di un altro Smart Proxy.
Ad esempio, questo potrebbe avvenire con i parametri puppet_url e puppet_ssl_ca, che proprio per questo motivo sono stati aggiunti alla configurazione, nonostante non fossero necessari.
Se l’errore venisse mostrato per dei parametri che non sono stati citati in questa guida, si consiglia di assegnare manualmente il valore di default al nuovo Smart Proxy tramite ENC.
È possibile assegnare i parametri tramite FQDN o hostgroup, però è necessario far attenzione a non interferire coi parametri dello Smart Proxy di Puppet.
Dopo aver inserito i parametri sulla ENC, assegnare la classe foreman_proxy al server di Foreman tramite assegnazione diretta o hostgroup.
In seguito, eseguire il Puppet agent per applicare la configurazione:
|
0 |
puppet agent -t
|
Infine verificare su Foreman che lo Smart Proxy sia abilitato ed eventualmente effettuare il refresh delle funzionalità (vedi AGGIUNGERE A FOREMAN LO SMART PROXY).
TESTARE UN JOB
Assicurarsi che lo Smart Proxy sia stato assegnato correttamente alle Organizations, alle Locations e alle subnets desiderate.
Aggiungere la chiave SSH pubblica dello Smart Proxy agli hosts desiderati.
Per leggere la chiave digitare il comando:
|
0 |
cat /usr/share/foreman-proxy/.ssh/id_rsa_foreman_proxy.pub
|
Navigare su Hosts > All Hosts e selezionare l’host o gli hosts su cui eseguire il job.
Cliccare su Select Action ed in seguito su Schedule Remote Job
Per eseguire un comando sulla bash, selezionare il Job template Run Command – Script Default nella Job category Commands
Inserire il commando da eseguire e far partire l’esecuzione cliccando su Run on selected hosts
ATTENZIONE: Se al posto di cliccare su Run on selected hosts, si selezionasse Next, sarebbe possibile configurare delle ulteriori opzioni come l’orario di esecuzione del job o l’utente con cui eseguirlo.
Cliccare sul FQDN dell’host per verificare il risultato
Nel caso in cui venga mostrato il seguente errore, significa che Foreman non sta utilizzando lo Smart Proxy appena configurato per l’esecuzione del Job:
Tipicamente Foreman sceglie quale Smart Proxy utilizzare in base alla subnet ed è possible assegnarlo nagivando su Infrastructure > Subnet, cliccando sulla rete desiderata ed aggiungendolo nel tab Remote Code Execution
Se si desidera utilizzare un unico Smart Proxy per tutta l’organizzazione, è possibile abilitare l’opzione Enable Global Proxy in Settings nel tab Remote Execution
Se invece si vuole di utilizzare un unico Smart Proxy per tutti gli host su Foreman, è necessario abilitare l’opzione Fallback to Any Proxy nello stesso tab in cui è possibile abilitare Enable Global Proxy
Mi chiamo Marco Valle e da sempre sono appassionato di Cybersicurezza e Linux.
Per lavoro implemento soluzioni open source.
0 commenti