Ansible, HCV и AD: как автоматизировать ввод Linux-серверов в домен без рисков по ИБ

десятки это скорее обыденность при разворачивании каких либо стендов на средней большой инфраструктуре

• при работе linux в AD не так редко встречаются случаи когда необходимо вернуть вывалившиеся хосту обратно, сменить OU с переименованием;

• как вариант получить тикет на мастере, а потом копировать его на целевые хосты

  
  - name: get krb5 ticket local
  #  no_log: true
    expect:
      command: /bin/bash -c "kinit -c {{ path_to_ticket }} {{ ad_username }} -l 1800s"
      responses:
        .*Password.*|.*Пароль.*: "{{ ad_password }}"
    delegate_to: localhost
    run_once: true
    become: false
  - name: copy krb5 ticket
    copy:
      src: "{{ path_to_ticket }}"
      dest: "{{ path_to_ticket }}"
      owner: root
      group: root
      mode: 0600
  - name: Join AD
    command: /bin/bash -c "export KRB5CCNAME={{ path_to_ticket }}; realm join -v --membership-software=adcli --unattended --computer-ou={{ set_OU }}  exempal_domain.com
  

• awx по сути запускалка плейбуков с принудительным логированием, которая имеет ролевую модель и позволяет делать привязку к git проектам. Является удобным дополнением к любой другой системе управления linux инфраструктурой.
  

Ansible, HCV и AD: как автоматизировать ввод Linux-серверов в домен без рисков по ИБ

Ну ansible удобно хостов до тысячи, дальше это как-то так себе

Кидать пароль на все сервера в качестве параметра, при определённом уровне аудита, то же не очень нравиться, можно в том же керберосе получить временный тикет и использовать его как креды для ввода в домен

Ну и связка awx + git + hkv выглядит поинтереснее, чем голый ansible