Ansible2.8以降で、fortios系のモジュールが大量に追加されています。

つい先日リリースされた2.9でも、さらに200以上のfortios用モジュールが追加されました。

ただ、「ansible fortigate」とかでググっても、日本語情報はよこちさんの「てくなべ/Qiita」(いつもお世話になっております！）しかヒットせず、それも随分昔の記事だったこともあり、実際に国内で利用されているのか？？？な状況でした。

なので、怖いもの見たさでいろいろと調べ始めました。

今後、Fortigate系でansibleによる自動化を実践してみた結果をちまちまと上げていこうと思いますが、今回は実際の利用前にいろいろと調べた結果を中心に書いてみます。

Ansible関連の実践記事一覧はこちら。

Ansible自動化の実践記事一覧 - てんこ

• 目的
• 検証環境
• Ansibleリリースバージョンとfortios系モジュール数の推移
  • 補足(httpapiについて)
• 動作環境の整備
  • pyFGライブラリの導入→検証環境だと失敗
  • fortiosapiライブラリの導入
• 動作確認（疎通試験）
• 感想
• 今後やっていくこと
• おまけ
  • いろいろと参考になりそうなドキュメント
  • ssl_verifyに悩まされた
  • エラー応答をみてもさっぱり理由がわからない
  • FortiはAPIではPOSTは無理では？というような検索結果に震える

目的

AnsibleでのFortigate自動化について調べた結果を整理するため

検証環境

• ansible: 2.8.6 / 2.9.0
• pip: 19.3.1
• Fortios: 6.0.6

Ansibleリリースバージョンとfortios系モジュール数の推移

fortios系モジュールはこのページから確認できます。

ざっと調べてみたところ、以下のような結果になりました。

Ansible2.3系から少しだけモジュールは存在しましたが、2.8から一気に増えているのがわかると思います。

必要になるライブラリとしては、pyFG / fotriosapiなどがあるようです。

補足(httpapiについて)

実際には、ansible2.9からfortiosもhttpapiというコネクションプラグインに対応したため、ライブラリ無しでも動くようになったようです。(流石よこちさん)

fortios モジュールで httpapi コネクションプラグインつかえたー。証明書の検証の無視の設定も効いた。 pic.twitter.com/dRvBDZSO8c

— よこち (@akira6592) 2019年11月2日

公式ドキュメント側のhttpapiに関する説明はこちら↓。確かにfortiosも含まれてますね。

Httpapi plugins — Ansible Documentation

今回はfortiosapiベースで書いていますが、今後書くときはどちらなのか冒頭に明記していきたいと思います。

動作環境の整備

pyFGライブラリの導入→検証環境だと失敗

以下のGitHubで公開されているライブラリです。

github.com

中身については、paramikoのssh接続を利用したライブラリのようでした。(違ってたらすみません)

導入方法については、以下の通り。

pip install pyfg

ただ、検証環境でリファレンス通りに導入しようとすると、以下のようなエラーが発生しインストールに失敗しました。(画像内は一部省略済み)

見た感じだとインストール時にimportすべきライブラリがない、というエラーのようです。おそらく対処方法はあるのだと思いますが、私も詳しくないため、まずは華麗にスルーします。

pyfgで出来ることは限られていますし、2年以上アップデートもされていないため、ここにはあまり手をかける理由もないかな、とも思いました。

fortiosapiライブラリの導入

以下のGitHubで公開されているライブラリです。

github.com

上記URL内に以下のような記述もあり、非常に心強い感じです。実質メーカー公式ライブラリ&モジュールと言っても差し支えない！

Known Usage

Fortiosapi library is used in Fortinet Ansible modules and in Cloudify plugins. Maintained mainly by Fortinet employees.

とはいえ、コミュニティモジュールでありREDHATさんのサポート対象外なのはご注意ください。

こちらは、Fortigate のREST APIを利用するライブラリです。

導入方法については、以下の通り。

pip install fortiosapi

こちらは問題なく導入することができました。

(ansible28) ansible@ENVY360:~/ansible-study$ pip install fortiosapi
(略)
Collecting fortiosapi
  Downloading https://files.pythonhosted.org/packages/53/10/0647648a7e199cff5389d697d03553c41e682d14be475287377041d10a99/fortiosapi-1.0.1-py2.py3-none-any.whl
(略)
Installing collected packages: urllib3, certifi, chardet, idna, requests, oyaml, pynacl, bcrypt, paramiko, fortiosapi
Successfully installed bcrypt-3.1.7 certifi-2019.9.11 chardet-3.0.4 fortiosapi-1.0.1 idna-2.8 oyaml-0.9 paramiko-2.6.0 pynacl-1.3.0 requests-2.22.0 urllib3-1.25.6
(ansible28) ansible@ENVY360:~/ansible-study$ 

動作確認（疎通試験）

サーバ系のものと異なり、pingモジュールみたいな疎通試験的に使えるものがansible2.8の頃のモジュール群では見つからず後述する色々に悩まされてました。

ansible2.9で新たに実装された"fortios_facts"モジュールが疎通試験的に利用できそうだったため、情報が取れるかやってみました。

なお、利用ライブラリは「fortiosapi」側です。Legacy Modeと呼ばれる状態で利用しています。そのため、Playbookもその書式で書いています。

---
- hosts: localhost 
  gather_facts: false
  vars:
    host: "10.254.254.254"
    username: "admin"
    password: "password"
    vdom: "root"
    ssl_verify: "no"

  tasks:
  - name: Get Facts.
    fortios_facts:
      host: "{{ host }}"
      username: "{{ username }}"
      password: "{{ password }}"
      vdom: "{{ vdom }}"
      ssl_verify: "{{ ssl_verify }}"
      https: "yes"
      gather_subset:
        - fact: 'system_status_select'
    register: getfact_result

  - name: Debug
    debug: 
      var: getfact_result

以下の通り、情報が取得できました。

感想

最近ではfortios用のモジュールも豊富に整ってきており、かなり恵まれた状況なようにも思えます。

ただ、現状は冒頭にも書いた通り、ググッてもansible2.3/2.4の頃によこちさんが検証された記事くらいしか情報がなかったため、触り始める前は、いろいろと不安を感じてしまいました。

まだ酸いも甘いも味わえていませんが、今のところ調べたり試してみた限りではAnsibleでのFortigate自動化も現実的なレベルで実現可能まだまだ色々課題がありそうだと思います。

今後やっていくこと

今後は、ansible2.9以降でのFortigate自動化について、ググったら日本語情報が出てきて、他の方の【やってみよう】の後押しなるように、初学者ながらちまちまと記事を追加していきたいと思います。

特に、『運用を視野に入れたうえでも本当に使えるの？（使う必要あるの？）』ってところにも切り込んでいきたいです。

おまけ

いろいろと参考になりそうなドキュメント

調べている中で、「Fortinet Ansible Modules Documentation Release 1.0」というものを見つけました。

以下URLで公開されています。

https://buildmedia.readthedocs.org/media/pdf/ftnt-ansible-docs/latest/ftnt-ansible-docs.pdf

なんと、1600P超の大ボリュームのPDFファイルで、Fortinetモジュールに関するソースやPlaybookのサンプルがずらずらと…

FortiGateだけでなく、FortiAnalyzerやFortiManagerのモジュールに関する記述もあります。

ansible2.8のときからあったものなので、2.9バージョンがそのうちリリースされるのかもしれません。

ssl_verifyに悩まされた

AnsibleでFortigateの自動化できないかと触り始めた当初はansible2.8.6でした。

その当時はfortios_factsというものはなかったので、アドレスオブジェクトを追加するPlaybookを書いて試していたのですが、まあうまくいかず…

上手くいかなかった理由は、大別すると以下のような感じです。

• fortiosapiは1.0以降で下位互換性を切り捨てている模様

  • 0.9.8のころは、HTTPSで利用されるのが自己証明書でもverifyはしていなかったため使えた

  • 1.0以降では標準動作でセキュリティを重視した作りとしており、その結果、自己証明書を使っているHTTPSは蹴られるようになった

  • 回避策としてはhttpsでアクセスさせたくない場合は、モジュール的にはhttps: "no"を入れる、という手段が提供された

• fortigateは、デフォルトのhttpsでは自己証明書を利用している

• fortigateは、デフォルトでhttpアクセスするとhttpsにリダイレクトされるようになっている

• →この結果、fortigate初期状態ではverifyエラーで使えない状態になった。（試し始める障壁に）

このあたりが曲者で、Playbook側でhttps: "no"ってやっても証明書エラーでるのなんでやろ…と数時間悩みました。

結局、以下の設定箇所で Redirect to HTTPS をOFFにしてHTTPSへのリダイレクトを回避するかたちで対応しました。

ただ、アクセスそのものはできるようになったのですが、結局アドレスオブジェクトの追加すらうまくいかず…

色々とGitにあるモジュールのissueやらを眺めていたところ、2.9でモジュール側にssl_verifyで証明書の確認が無視できる機能が追加されるという情報を見つけました。

悩んだ結果、しっかりとした原因にたどり着かないまま、先に2.9に手を出してしまいました…

いつか戻って復習します…

ちなみに、最新の公式モジュールでも、https: no + ssl_verify: no みたいな記述があるのですが、Sampleに記載のあるssl_verifyの宣言はあくまで「変数としての宣言」までなので、実際使うならタスクごとにusernameなどと同様に呼び出しが必要です。

この辺は、タスクごとに大量に同じ文字列が並ぶので、Playbookも見やすいとは思えませんでした。 なので、たぶんこのあたりのつらみに悩まされないようにするためにも、httpapiを今後の標準としていく流れなのだと理解しています。

まだ試す前なんですが、むしろ今後はhttpapiのほうが推奨なんですね…
リファレンスにも書いてありました。 pic.twitter.com/rxwU6on1fF

— tatematsu_san (@tk4_jj) 2019年11月2日

エラー応答をみてもさっぱり理由がわからない

これはおそらく今も同じエラーが出る場合もあると思いますが、Playbookのエラーなどが原因でリクエストが失敗した場合、大体が以下の2種類のエラーでした。

• 405 Method Not Allowed
• 500 Internal Server Error

こういうのが出ると、どうしてもググってサンプルやらリファレンスやら見たくなるのですが、手軽に見れる情報があまりない状態だったのもあり、うぎゃーと叫びながら

• HTTPS使わない状態でWireSharkでキャプチャデータのリクエスト/レスポンスを眺める
• FortiGateのdiagnose debugしながら何かヒントがないか眺める

とかをやっていました。

Wiresharkは日常茶飯事で使うものの、普段からdiagnose debug見てる職業の人ではないので直観でなんかないかなーレベルで見ていましたが、まあわかるはずもなく。

多分、2.9系からはその辺が補強されたのか、エラー見てもだいぶ分かりやすくなってる気がします。(気のせいかもしれない）

いずれにしても、失敗談は失敗談として掲載したほうが、同じようなハマりをした方の助けにもなりますし、自分の覚書にもなるので、駄目だったケースも積極的に載せていこうと思います。

FortiはAPIではPOSTは無理では？というような検索結果に震える

"fortigate ansible"でググって出てこないので、"fortigate api"とかで検索をかけてみると、少しだけ記事はあったのですが、「参照専用」とか書かれていることが多く、「本当にできるんだろうか…」と不安になりながら進めていました。

実際、今回の記事では触れていませんが、問題なく設定追加や変更も可能です。

やはり、ググって結果が出てくる状態は素敵だなあと思います。少しでも貢献できるように微力ながらがんばります。

本業ネットワーク屋さんなのにWindows系の記事ばかりですが、勢いに任せて。

これまではWinRMで接続していたAnsible～Windowsホスト間を、SSH接続にしてみました。

Ansible関連の実践記事一覧はこちら。

Ansible自動化の実践記事一覧 - てんこ

• 目的
• ベースにした資料
• 環境
  • Ansible側
  • 操作されるWindows側
  • テスト用で操作するWindows側
• 操作されるWindows側のセットアップ
  • OpenSSHのバイナリのダウンロード
  • Windowsサービスとしてのsshdの登録
  • Windows FirewallでのTCP22の開放
  • sshdサービスの起動
  • テスト用端末からパスワード認証での動作確認
  • Ansible経由でのパスワード認証での疎通確認
• 認証を鍵認証にしてみる
  • 鍵ファイルの配置場所とターミナルからの接続確認
  • sshd_configの設定変更とログ確認
  • セキュリティ設定(パーミッション)の変更
  • テスト用端末からの鍵認証の確認
  • Ansible経由での鍵認証での疎通確認
• 感想
• わからなかったところ
• 参考にした資料(まとめて再掲)

目的

WinRMはなんでもできてダメー！ポートも怖いからダメー！

よくわからないからダメー！！どうしてもダメー！！セキュリティ的にだめー！

っていう条件が付いたときに、代替手段としてAnsibleの足回りとしてSSHを使えるようにするため。

WindowsのOpenSSHはベータ版ではありますが、今の動きを見ている限り、近いうちに公式に取り入れられてもおかしくなさそうです。

ベースにした資料

• ひよこ大佐のスライド

Red Hat Tech Nightでひよこ大佐がお話されていた資料です。

概要や参考リンクなど情報が詰まっており、とても助かりました。
Ansible本も刊行されたら必ず購入させていただきます。執筆頑張ってください！

RHTN: Ansible 2.8 x Windows - Speaker Deck

環境

Ansible側

WSL上のUbuntuで実行しました。先のことも想定してvirtualenv配下です。

(ansible28) ansible@ENVY360:~$
(ansible28) ansible@ENVY360:~$ ansible --version
ansible 2.8.6
  config file = None
  configured module search path = [u'/home/ansible/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /home/ansible/ansible28/local/lib/python2.7/site-packages/ansible
  executable location = /home/ansible/ansible28/bin/ansible
  python version = 2.7.15+ (default, Oct  7 2019, 17:39:04) [GCC 7.4.0]
(ansible28) ansible@ENVY360:~$ ansible-config dump --only-changed
(ansible28) ansible@ENVY360:~$

ansibleのバージョンは、つい先日出た脆弱性が修正されてるバージョンですね。

操作されるWindows側

• OS: Windows 2012 R2

IP設定もDHCPの初期状態からスタート。

例のごとく管理者パスワードはインベントリに合わせる。

…って書いてましたが、今回パスワードはインベントリに書かず、手動入力にしましたので、インベントリその他への記述は不要。

テスト用で操作するWindows側

• OS: Windows 10 Home

メイン環境なのでいろいろ入ってますが、割愛。

Ansibleモジュール利用前のSSH接続確認用でのTeraTermなどしか利用してません。

操作されるWindows側のセットアップ

公式なインストールガイドはこちら。

Install Win32 OpenSSH · PowerShell/Win32-OpenSSH Wiki · GitHub

OpenSSHのバイナリのダウンロード

公式手順として、最新版の確認方法がPowerShellで提供されていたりもしますが、以下URLよりブラウザで手動でダウンロード。

Release v8.0.0.0p1-Beta · PowerShell/Win32-OpenSSH · GitHub

ダウンロードしたファイルは「OpenSSH-Win64.zip」です。作業時点ではバージョンは8.0.0p1-betaとのこと。

なお、Windows Server側で作業をしているため、事前にIEのセキュリティ強化の構成などを無効化したりしています。

その後、ZIP圧縮されたファイルを展開し、デフォルトインストールパスとして指定されている C:\Program Files\OpenSSH として配置。

Windowsサービスとしてのsshdの登録

手順に従い、PowerShellを起動して、デフォルトのインストールパスに移動し、以下コマンドを入力。

powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1

-File の部分で絶対パスを指定すれば特に移動も必要ないと思います。

Windows FirewallでのTCP22の開放

手順に従い、そのままPowerShellで以下のコマンドを入力。

New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

sshdサービスの起動

以下コマンドを入力し、sshdサービスを起動。

net start sshd

→正常にサービスが起動することを確認。

テスト用端末からパスワード認証での動作確認

ターミナルソフトでIPを指定→ハッシュが表示される！

ユーザ名とパスワードを入力しログイン→いけた！！

Ansible経由でのパスワード認証での疎通確認

こんなかんじのインベントリで

[win_2012]
192.168.10.249

[win_2012:vars]
ansible_user=administrator
ansible_connection=ssh
ansible_shell_type=cmd

win_pingモジュールを起動するだけのPlaybookをたたく。-kオプション付けてパスワードを聞かれるように。

→sshpassというプログラムが足りないと怒られる…

※補足 実際にはこの時点で、known_hostsへのハッシュの追加を聞かれてます。いきなり鍵認証に進む方は、大抵設定されてると思いますがansible.cfgなどでハッシュの確認を無効化しておきましょう。

$ sudo apt-get install sshpass

入れてみて再チャレンジ！

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

認証を鍵認証にしてみる

さて、パスワード認証が終わったところで鍵認証に移行。まあ、よくあるハマりがありました。

鍵ファイルの配置場所とターミナルからの接続確認

該当のページ上のsshd_configドキュメントを読んでみると、以下がデフォルトパスとのこと。

“.ssh/authorized_keys .ssh/authorized_keys2”

ただし、注意事項があり、OpenSSH7.7以降のAdministratorsグループ用の鍵ファイルの位置は、以下パスがデフォルトであるとの記載あり。

%programdata%/ssh/administrators_authorized_keys

なるほどと思い、administratorsグループ側のパスに公開鍵ファイルを置いてみる。

いざターミナルで接続確認→繋がらず。なんか拒否られてる感じ。

確認してみたところ、以下パスにログが保管されてそうなディレクトリがあったのですが、ファイルは何もなし。

%programdata%/ssh/logs/

さらに、そこにsshd_configファイルを発見。覗いてみることに。

sshd_configの設定変更とログ確認

Windows側のOpensshの設定ファイル

%programdata%/ssh/sshd_config

Rootログインやら鍵認証やらは許可されている。

上述した、AdministratorGroupのパスワードの設定も末尾に入っている。

Match Group administrators
       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

該当のページ上のsshd_configドキュメントを読んでみると、「ログをファイルベースにするには、LOCAL0のファシリティにしろ」とのこと。

ということで、設定変更しサービスを再起動し、再度鍵認証実施→ログ確認。

administrator@WIN-T4SRVR692IR C:\ProgramData\ssh\logs>more sshd.log
1148 2019-10-19 20:05:38.667 Server listening on :: port 22.
1148 2019-10-19 20:05:38.667 Server listening on 0.0.0.0 port 22.
856 2019-10-19 20:05:55.168 Accepted password for administrator from 192.168.10.
243 port 52224 ssh2
2752 2019-10-19 20:05:56.214 Received disconnect from 192.168.10.243 port 52224:
11: disconnected by server request
2752 2019-10-19 20:05:56.214 Disconnected from 192.168.10.243 port 52224

↑ここまでパスワード認証

↓ここから鍵認証

2164 2019-10-19 20:06:11.230 Authentication refused.
2164 2019-10-19 20:06:13.121 Received disconnect from 192.168.10.243 port 52229:
11: authentication cancelled [preauth]

原因は Authentication refused って書いてある。

となると、よくあるのはauthorized_keysが格納されているパスまでのパーミッション。

セキュリティ設定(パーミッション)の変更

確認してみたところ、 configなどが格納されている sshフォルダのパーミッションが甘そう。

なので、「Authenticated Users」のグループから全権限を外す。

※事後で権限つけてScreenShot撮ってるので、初期値は違う可能性があります。ご了承ください。

テスト用端末からの鍵認証の確認

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

Ansible経由での鍵認証での疎通確認

Ansible側のホストの$HOME/.ssh/id_rsa に秘密鍵を配置、パーミッション設定をしていざ実行…

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

感想

ということで、無事にAnsibleからのWindowsの操作をSSH経由で実施できる環境が整いました。

WinRMと比べてセットアップ工程が長いので、スクリプト化しないとだめかなあという気持ちになりました。

わからなかったところ

いつのまにかsshd_config とかが生成されていたので、これはどのタイミングなのかはまた調べてみようと思いました。

まだAnsibleの学習が進んでないこともあり、デフォルトシェルをcmdにするのかpowershellにするのがいいのか、というのはわかりませんでした。

FACILITY設定する前のログはイベントログ側にあるのか？未確認

また勉強します。

参考にした資料(まとめて再掲)

• ひよこ大佐のスライド

RHTN: Ansible 2.8 x Windows - Speaker Deck

• Win32-OpenSSH公式GitHub

[wiki]のページにいろいろ書かれています。

GitHub - PowerShell/Win32-OpenSSH: Win32 port of OpenSSH

• Win32-OpenSSHのMicrosoft自動翻訳ページ

上記公式GitHubがほぼ日本語に翻訳されてるので、とてもありがたかった…！

Windows 用 OpenSSH の概要 | Microsoft Learn