Hallo,
wir betreiben derzeit einen WAPT-Server (Enterprise) Version 2.3.0.13516 (Bullseye).
Dieser ist aktuell nur über unser internes Netzwerk (mit privater Adresse) oder via VPN erreichbar.
Um die Active Directory-Organisationseinheiten (OUs) nutzen zu können, haben wir die Kerberos-Authentifizierung aktiviert, wobei alle Clients Mitglieder der Domäne sind.
Aufgrund der zunehmenden Verbreitung von Remote-Arbeit und der Mobilität einiger Mitarbeiter befinden sich leider einige Rechner fast nie im internen Netzwerk und profitieren daher nicht von automatischen Updates.
Wir erwägen, den WAPT-Server über das Internet erreichbar zu machen, idealerweise über einen Reverse-Proxy, möchten die Domänencontroller aber nicht öffentlich zugänglich machen.
Wie können wir vorgehen? Können wir die Agentenregistrierung über Kerberos erzwingen und bereits registrierte Agenten ohne Kerberos akzeptieren?
Vielen Dank für Ihre Hilfe.
[GELÖST] WAPT-Server von extern in einem AD-Kontext erreichbar
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
Hallo Arnaud,
Es ist daher möglich, die Workstation im lokalen Netzwerk zu registrieren, in dem Active Directory zugänglich ist. Für die nachfolgenden Schritte ist es nicht erforderlich, dass die Client-Workstation auf Active Directory zugreifen kann (sondern nur der WAPT-Server) [1].
Anschließend kann der WAPT-Server auf Nginx-Serverebene abgesichert werden, indem die Clientzertifikatsauthentifizierung direkt in der Nginx-Konfiguration aktiviert wird (verfügbar in der Enterprise-Version von WAPT). Der WAPT-Server ist dann korrekt konfiguriert und für den direkten Internetzugang in einer DMZ gesichert.
Die Konfiguration eines Reverse-Proxys ist recht kompliziert (insbesondere aufgrund der Client-Zertifikatsauthentifizierung). Daher wird empfohlen, den WAPT-Server direkt in der DMZ ohne Reverse-Proxy zu platzieren.
Aufrichtig,
Denis Cardon
[1] Hinweis: Bei der Nutzung von Self-Service-Lösungen ist darauf zu achten, dass sich die Workstation im waptserver-ldap-Authentifizierungsmodus befindet (siehe Dokumentation).
Die Arbeitsstationen müssen die Active Directory-Server für die Erstregistrierung erreichen (sofern die Kerberos-Registrierung aktiviert ist). Während der Registrierung sendet die Arbeitsstation eine Zertifikatsignierungsanforderung (CSR), um ein Clientzertifikat zu generieren. Anschließend verwendet die Arbeitsstation dieses Clientzertifikat zur Authentifizierung auf dem WAPT-Server.arnaud.houdelette schrieb: ↑11. Apr. 2023 - 11:17 Uhr Derzeit ist der Server nur über unser internes Netzwerk (private Adresse) oder per VPN erreichbar.
Um die AD-OU-Einheiten nutzen zu können, haben wir die Kerberos-Authentifizierung aktiviert, wobei alle Clients Mitglieder der Domäne sind.
Aufgrund der zunehmenden Verbreitung von Remote-Arbeit und der Mobilität einiger Mitarbeiter gibt es leider Rechner, die sich fast nie im internen Netzwerk befinden und daher nicht von automatischen Updates profitieren.
Wir erwägen, den WAPT-Server über das Internet zugänglich zu machen, wenn möglich über einen Reverse-Proxy, möchten die Domänencontroller aber nicht öffentlich zugänglich machen.
Wie können wir vorgehen? Können wir die Agentenregistrierung über Kerberos erzwingen und bereits ohne Kerberos registrierte Agenten akzeptieren?
Es ist daher möglich, die Workstation im lokalen Netzwerk zu registrieren, in dem Active Directory zugänglich ist. Für die nachfolgenden Schritte ist es nicht erforderlich, dass die Client-Workstation auf Active Directory zugreifen kann (sondern nur der WAPT-Server) [1].
Anschließend kann der WAPT-Server auf Nginx-Serverebene abgesichert werden, indem die Clientzertifikatsauthentifizierung direkt in der Nginx-Konfiguration aktiviert wird (verfügbar in der Enterprise-Version von WAPT). Der WAPT-Server ist dann korrekt konfiguriert und für den direkten Internetzugang in einer DMZ gesichert.
Die Konfiguration eines Reverse-Proxys ist recht kompliziert (insbesondere aufgrund der Client-Zertifikatsauthentifizierung). Daher wird empfohlen, den WAPT-Server direkt in der DMZ ohne Reverse-Proxy zu platzieren.
Aufrichtig,
Denis Cardon
[1] Hinweis: Bei der Nutzung von Self-Service-Lösungen ist darauf zu achten, dass sich die Workstation im waptserver-ldap-Authentifizierungsmodus befindet (siehe Dokumentation).
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
-
arnaud.houdelette
- Nachrichten: 7
- Anmeldung: 02. Oktober 2019 - 11:24 Uhr
Vielen Dank für die Klarstellung.
Unser Active Directory ist von der DMZ aus nicht erreichbar. Daher können wir den WAPT-Server dort nicht platzieren.
Angesichts der Nginx-Konfiguration des Servers sollte es mir jedoch nicht allzu schwerfallen, eine Lösung zu finden.
Ich wollte lediglich sicherstellen, dass die fehlende Verbindung der Clients zum Active Directory den WAPT-Client nicht beeinträchtigt (beispielsweise die Zuweisung von Organisationseinheiten).
Unser Active Directory ist von der DMZ aus nicht erreichbar. Daher können wir den WAPT-Server dort nicht platzieren.
Angesichts der Nginx-Konfiguration des Servers sollte es mir jedoch nicht allzu schwerfallen, eine Lösung zu finden.
Ich wollte lediglich sicherstellen, dass die fehlende Verbindung der Clients zum Active Directory den WAPT-Client nicht beeinträchtigt (beispielsweise die Zuweisung von Organisationseinheiten).
-
arnaud.houdelette
- Nachrichten: 7
- Anmeldung: 02. Oktober 2019 - 11:24 Uhr
Guten Abend.
Ich konnte einen Reverse-Proxy recht einfach einrichten (mit erzwungener Zertifikatsauthentifizierung, außer für den WebSocket).
Die Clients stellen erfolgreich eine Verbindung zum Server her, aktualisieren sich usw.
Ich hatte allerdings ein paar Schwierigkeiten, den Selbstbedienungsbereich zum Laufen zu bringen.
Die Dokumentation nennt 3 Methoden zur Aktivierung der LDAP-Authentifizierung, gibt aber nur für die dritte Methode an, dass ein AD-Konto erforderlich ist... oder vielleicht habe ich das falsch verstanden.
Es funktioniert jetzt.
Wir verwenden ebenfalls eine Reverse-Nginx-Instanz, die es uns beispielsweise ermöglicht, den Konsolenzugriff von außerhalb unseres Netzwerks einzuschränken.
Soweit ich mich erinnere, sorgt sie auch dafür, dass das selbstsignierte Zertifikat des Backends unabhängig von seiner Gültigkeitsdauer gültig bleibt. Es funktioniert einwandfrei.
Soweit ich mich erinnere, sorgt sie auch dafür, dass das selbstsignierte Zertifikat des Backends unabhängig von seiner Gültigkeitsdauer gültig bleibt. Es funktioniert einwandfrei.
-
aurouze.eliott
- Nachrichten: 1
- Anmeldung: 27. April 2023 - 13:58 Uhr
Hallo, ich habe Probleme beim Zugriff auf die Remote-Self-Service-Oberfläche. Ich kann sie nur über die DN (z. B. INT\aurouze.e) erreichen, lokal funktioniert der Zugriff ohne DN.
Vielen Dank im Voraus für Ihre Hilfe.
Vielen Dank im Voraus für Ihre Hilfe.
-
dcardon
- WAPT-Experte
- Nachrichten: 1953
- Anmeldung: 18. Juni 2014 - 09:58 Uhr
- Ort: Saint Sébastien sur Loire
- Kontakt:
@eliott, vielen Dank, dass Sie ein neues Thema für Ihre neue Frage eröffnet haben. Ich schließe dieses Thema.
Viele Grüße,
Denis
Viele Grüße,
Denis
Denis Cardon – Tranquil IT
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
Teilen Sie Ihre Erfahrungen auf WAPT! Senden Sie uns Ihre Blog- und Artikel-URLs im „Ihre Meinung des Forums, und wir werden sie auf der WAPT-
