複数のWindows 2012 R2ドメインコントローラ(DC)にいくつかのDNSエントリを追加する予定です。 HTTPを介して認証しようとすると、DCは自分の資格情報を拒否します。セキュリティで保護されたプレイブックを使用したHTTPでのKerberos認証
私はコントロールマシン上でケルベロスを設定するためにAnsibleウェブサイトの文書に従っています。
http://docs.ansible.com/ansible/intro_windows.html#active-directory-support
また、私は私の資格情報を使用してドメインにログインできることを確認しました:
$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]<REDACTED>
Valid starting Expires Service principal
10/06/2016 09:47:03 10/06/2016 19:47:03 krbtgt/<REDACTED>@<REDACTED>
renew until 10/07/2016 09:46:59
10/06/2016 09:47:48 10/06/2016 19:47:03 HTTP/phx-dev-mwad01.<REDACTED>@<REDACTED>
renew until 10/07/2016 09:46:59
10/06/2016 09:54:15 10/06/2016 19:47:03 HTTP/phx-dev-mwad02.<REDACTED>@<REDACTED>
renew until 10/07/2016 09:46:59
10/06/2016 12:08:28 10/06/2016 19:47:03 HTTP/phx-dev-want01.<REDACTED>@<REDACTED>
renew until 10/07/2016 09:46:59
私はセキュリティ上の目的のためにドメインを編集さ。ここで
がWinRMのための私の設定ファイルである:私はポート5986(HTTPS)経由でWindowsサーバに接続できていますansible_user: [email protected]<REDACTED>
ansible_password: SomePass
ansible_port: 5985
ansible_connection: winrm
# The following is necessary for Python 2.7.9+ when using default WinRM self-signed certificates:
ansible_winrm_server_cert_validation: ignore
、しかし生産にドメインコントローラが5986用に構成されていないので、Ansible 必見ポート5985(HTTP)を介して接続を確立できること。この要件は、プロダクションでは変更されません。
5985を超える接続を試みると、資格情報が拒否されます。
fatal: [phx-dev-mwad02]: UNREACHABLE! => {"changed": false, "msg": "kerberos: (u'http', u'Bad HTTP response returned from server. Code 500'), plaintext: the specified credentials were rejected by the server", "unreachable": true}
のWinRMはリモート管理を許可するように設定されている。ここで
$winrm quickconfig
WinRM service is already running on this machine.
WinRM is already set up for remote management on this computer.
は、私たちのWinRMの構成に要点である:
https://gist.github.com/anonymous/f2baaff517287c535453dbba4ef03b69
そして、はい、私は私の資格情報があることを確認しました正しい。
の
HTTP or HTTPS endpoint
セクションを参照してください。プロダクトパスワードも平文でリークされるため、お勧めできません。 – MattKkerberosを使用すると、認証パスワードが漏洩することはありませんが、他のすべてのメッセージコンテンツ(サードパーティのソフトウェアパスワード、レジストリキー、およびその他の個人情報を含む)は、mtmによって漏洩し、変更されることさえあります。 – urusha