<div dir="ltr">Bonjour<div>Bon je trouve que vous avez Tranquil-lement promu WAPT, or étant dans le même cas, je vais aussi tester WAPT (ainsi que GLPI/FI) :-)</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 2 juil. 2019 à 19:58, Denis Cardon <<a href="mailto:dcardon@tranquil.it">dcardon@tranquil.it</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Bonjour Claude,<br>
<br>
> <Historique et contexte><br>
><br>
> <tldr><br>
> Configurer postes de travail et serveurs Windows et Linux via des<br>
> scripts PowerShell/Bash c'est bof.<br>
> </tldr><br>
<br>
je trouve que tu as bien résumé les problèmes liés à la gestion de <br>
postes de travail et pourquoi les outils destinés aux serveurs ne sont <br>
pas forcément adapté.<br>
<br>
L'outil WAPT [1] (disclaimer: je suis un des devs) correspond assez bien <br>
à tes besoins (à part la partie support client Ubuntu qui devrait arrivé <br>
d'ici l'année prochaine). En quelques lignes, WAPT :<br>
<br>
* fonctionne en mode pull (pas de port ouvert en local)<br>
* utilise uniquement les standard du web (https, json, websocket, etc.) <br>
donc proxy friendly<br>
* utilise des paquets auto-contenu au format ZIP signé (similaire aux <br>
apk android) pour les logiciels, les configurations et les profils de postes<br>
* intègre un environnement python self-contained pour écrire les scripts <br>
d'installation (pas de pseudo langage à apprendre)<br>
* ouvre une websocket vers le serveur pour attendre les instructions<br>
* pré-télécharge en cache les maj pour les installer à l'extinction du <br>
poste (fonctionnement par défaut)<br>
* a son modèle de sécurité basé sur de la cryptographie asymétrique, <br>
avec la clef privée conservée sur le poste de l'adminsys (ie. même si <br>
ton serveur est owné, tes postes ne seront pas directement vulnérable)<br>
<br>
Bref, gérer des postes clients Windows c'est pas simple et pas rigolo, <br>
mais avec un outil comme WAPT ça redevient supportable (c'est un client <br>
qui me l'a dit un jour).<br>
<br>
Tu vas te dire que c'est trop beau... WAPT est un outil écrit par des <br>
adminsys pour des adminsys. Des fois on est jamais mieux servi que par <br>
soit même :-)<br>
<br>
Bonne soirée,<br>
<br>
Denis<br>
<br>
[1] <a href="https://www.wapt.fr/fr/doc/" rel="noreferrer" target="_blank">https://www.wapt.fr/fr/doc/</a><br>
<br>
><br>
> En charge d'un parc hétérogène de postes de travail Windows (7, 8, 10)<br>
> et de quelques Ubuntu je suis à la recherche d'un unique outil me<br>
> permettant d'appliquer des règles de configuration (compte<br>
> Administrateur/root, logiciels/packages installés, etc.) sur les postes<br>
> Et comme je gère aussi des serveurs Linux : l'outil servira également à<br>
> ça (en ré-utilisant certaines règles des poste Ubuntu).<br>
><br>
> Actuellement, vu qu'on (re-)installe beaucoup plus de postes Windows que<br>
> d'Ubuntu : on a déjà un script PowerShell basé sur Boxstarter[1] et<br>
> Chocolatey mais il a les lacunes suivantes :<br>
><br>
> * Doit être mis à jour quand Microsoft change certains comportements de<br>
>   Windows (gestion des certificats, des utilisateurs, etc.).<br>
> * N'a pas de moyen d'être re-exécuté pour défaire ce qu'un utilisateur<br>
>   aurait changé (ou Windows lors d'une MAJ) ou pour appliquer/déployer<br>
>   un changement de configuration (modification de la longueur de mot de<br>
>   passe, nouveau logiciel, etc.).<br>
><br>
> Cet outil dédié Windows donc s'occupe de :<br>
> * la configuration Windows (certificats, politiques mot de passe, etc.)<br>
> * la configuration de la session utilisateur d'un nouvel arrivant<br>
> * l'installation des logiciels (via Chocolatey)<br>
> * la configuration des logiciels (typiquement Firefox et Thunderbird)<br>
> Mais pas de l'installation de l'OS (ce qui nous convient pour l'instant)<br>
> (Pour Linux on a différents scripts Bash similaires.)<br>
><br>
> Tout ça prends du temps à maintenir et est difficilement transmissible à<br>
> un remplaçant.<br>
><br>
> Donc je suis à la recherche d'un vrai outil pour faire tout ça.<br>
><br>
> </Historique et contexte><br>
><br>
> <Besoin><br>
><br>
> J'apprécie un outil gérant l'idempotence et où la configuration est<br>
> plutôt en mode déclaratif (l'état que je veux avoir) via un pseudo<br>
> langage éventuellement, tout en laissant la possibilité d'exécuter des<br>
> scripts brut (Bash, PowerShell, etc.).<br>
><br>
> Le parc n'est pas énorme donc la rapidité d'exécution n'est pas un<br>
> critère principal.<br>
> Par contre il y a des portables qui peuvent donc être injoignables par<br>
> moment.<br>
><br>
> Les postes de travail ont tous OpenSSH mais sous Windows[2] il a<br>
> tendance à se faire désactiver/casser (moins depuis certaines versions)<br>
> donc je préfère un outil ayant son propre agent (en pull et/ou en push).<br>
><br>
> Pour l'instant j'hésite entre Chef[3] et Rudder[4] mais j'ai<br>
> l'impression que le premier a plus de fonctionnalités/connecteurs que le<br>
> premier mais perdu son interface graphique (Chef Manage)...<br>
><br>
> Lors de mes recherches je suis notamment tombé sur cet article :<br>
> « Ansible, Chef, Puppet… Pourquoi ça ne juste marche pas :( »[5]<br>
> de septembre 2014 qui compare 3 outils selon l'approche d'un sysadmin<br>
> qui veut que le code représente fidèlement les relations entre les<br>
> serveurs et logiciels (tels qu'elles sont mentalement dans la tête de<br>
> l'équipe de sysadmin).<br>
><br>
> Il souligne que les 3 outils ont des problèmes liés aux rôles, à<br>
> l'héritage et la composition qui font que l'outil seul ne suffit pas à<br>
> se représenter de manière logique les fonctions/relations de chaque<br>
> composants.<br>
> C'est une approche qui me parle et je partage l'avis de l'auteur.<br>
><br>
> Cependant, c'était il y 4,5 ans et les outils ont certainement évolués<br>
> depuis (confirmé par les commentaires).<br>
><br>
> Est-ce que vous auriez des avis (ou comparatifs récents) sur ces points là ?<br>
><br>
> Merci d'avance<br>
><br>
> </Besoin><br>
><br>
> En information complémentaire : l'inventaire du parc est "tenu" dans<br>
> GLPI[6] (avec FusionInventory[7]) qui reste notre référentiel.<br>
><br>
> [1]: <a href="https://boxstarter.org" rel="noreferrer" target="_blank">https://boxstarter.org</a><br>
> [2]: <a href="https://chocolatey.org/packages/openssh" rel="noreferrer" target="_blank">https://chocolatey.org/packages/openssh</a><br>
> [3]: <a href="https://www.chef.io" rel="noreferrer" target="_blank">https://www.chef.io</a><br>
> [4]: <a href="https://www.rudder.io" rel="noreferrer" target="_blank">https://www.rudder.io</a><br>
> [5]:<br>
> <a href="https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html" rel="noreferrer" target="_blank">https://blog.imirhil.fr/2014/09/30/ansible-chef-puppet-pourquoi-ca-ne-marche-pas.html</a><br>
> [6]: <a href="https://glpi-project.org" rel="noreferrer" target="_blank">https://glpi-project.org</a><br>
> [7]: <a href="http://fusioninventory.org" rel="noreferrer" target="_blank">http://fusioninventory.org</a><br>
><br>
<br>
-- <br>
Denis Cardon<br>
Tranquil IT<br>
12 avenue Jules Verne (Bat. A)<br>
44230 Saint Sébastien sur Loire (FRANCE)<br>
tel : +33 (0) 240 975 755<br>
<a href="http://www.tranquil.it" rel="noreferrer" target="_blank">http://www.tranquil.it</a><br>
<br>
Tranquil IT recrute! <a href="https://www.tranquil.it/nous-rejoindre/" rel="noreferrer" target="_blank">https://www.tranquil.it/nous-rejoindre/</a><br>
Samba install wiki for Frenchies : <a href="https://dev.tranquil.it" rel="noreferrer" target="_blank">https://dev.tranquil.it</a><br>
WAPT, software deployment made easy : <a href="https://wapt.fr" rel="noreferrer" target="_blank">https://wapt.fr</a><br>
_______________________________________________<br>
Liste de diffusion du FRsAG<br>
<a href="http://www.frsag.org/" rel="noreferrer" target="_blank">http://www.frsag.org/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Emmanuel Jacquet<br><a href="mailto:manu@formidable-inc.net" target="_blank">manu@formidable-inc.net</a><br></div>