[GELÖST] SELBSTSERVICE: Ein Vorgang ist fehlgeschlagen

[Skoizer]

Guten Morgen,
Wir haben von wapt 2.2 auf 2.5.5 migriert
Die Agenten unter Windows wurden ebenfalls migriert.
Wir haben auf HTTPS mit Serverzertifikatsprüfung umgestellt (Agentenkonfiguration siehe unten)

Wenn ein Benutzer oder Administrator versucht, ein Paket über die Selbstbedienungsfunktion zu installieren
Wir haben ein Fenster mit dieser Fehlermeldung

Code: Alle auswählen

Avertissement
"An operation has failed do you want to force the installation/removed
Operation:Installation de Toto-naps2 (tâche #60)

Konferenz meines Agenten

Code: Alle auswählen

[global]
use_hostpackages=1
repo_url=https://srvwapt.local.lan/wapt
wapt_server=https://srvwapt.local.lan
verify_cert=C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
use_repo_rules=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
waptservice_admin_filter=True
limit_bandwidth=500
use_kerberos=1
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
include_dmi_inventory=1
include_wmi_inventory=1
maturities=PROD,PREPROD,DEV

[Skoizer]

in den Protokollen

Code: Alle auswählen

C:\Program Files (x86)\wapt\log\waptservice.log

Code: Alle auswählen

Erreur lors de l'installation de ['toto-naps2']: erreurs dans les paquets [[('https://srvwapt.toto.lan/wapt/toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt', 'Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'), None], [PackageRequest(package='toto-naps2',architectures=['x64'],locales=['fr'],maturities=['PROD', 'PREPROD', 'DEV'],tags=['windows-10', 'win-10', 'w-10', 'windows10', 'win10', 'w10', 'windows', 'win', 'w'],min_os_version=Version('10.0.22631'),max_os_version=Version('10.0.22631')), PackageEntry('toto-naps2','7.5.1-1' architecture='x64',maturity='PROD',target_os='windows'), 'Traceback (most recent call last):\n  File "C:\\Program Files (x86)\\wapt\\common.py", line 5347, in install\n    raise EWaptDownloadError(\'Package file %s not downloaded properly.\' % p.filename)\nwaptpackage.EWaptDownloadError: Package file toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt not downloaded properly.\n']]

[Sfonteneau]

Guten Morgen

Die HTTPS-Verbindungsprüfung funktioniert nicht

Die folgende Datei wurde offenbar gelöscht?

Code: Alle auswählen

 C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt 

[Skoizer]

Nein, das Zertifikat ist auf den PCs unter „C:\Program Files (x86)\wapt\ssl\server“ vorhanden

[Sfonteneau]

Seltsam, man kann diesen Befehl auf dem Rechner eingeben?

Code: Alle auswählen

type  "C:\Program Files (x86)\wapt\\ssl\server\srvwapt.local.lan.crt"

Um sicherzugehen

Der Wapt-Dienst zeigt deutlich an:

Code: Alle auswählen

Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'

[Skoizer]

Wenn ich das versuche

Typ "C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt"

Die Dateidaten werden korrekt angezeigt.



in den Protokollen
C:\Program Files (x86)\wapt\log\waptservice.log

2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Erstelle SocketIO-Client: https://srvwapt.local.lan:443 Client-Authentifizierungszertifikat: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') Proxys: Keine verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Verbinde Socketio mit https://srvwapt.local.lan:443
2024-09-25 17:37:40,943 [waptws SocketIOClient 8764] WARNUNG Ausnahme ConnectionError('Verbindungsfehler'), warte 60 Sekunden, bevor es erneut versucht

[Skoizer]

Mir ist gerade ein Problem aufgefallen, wenn ich mich über die Weboberfläche mit dem Server verbinde https://srvwapt.local.lan
Ich habe das P in wapt vergessen...

Ich habe einen Fehler im selbstsignierten Zertifikat des WAPT-Webservers; es hat zwei allgemeine Namen
Allgemeiner Name: srvwapt.local.lan
Allgemeiner Name: srvwat.local.lan

Die auf die PCs kopierte Datei weist denselben Fehler auf
DNS-Name=srvwapt.local.lan
IP-Adresse=xxx73
DNS-Name=srvwat.local.lan


Dies ist das selbstsignierte nginx-Zertifikat, das wir bei der Erstellung des WAPT-Servers verwendet haben
Die Informationen zur nginx-Konfiguration habe ich hier gefunden: /etc/nginx/sites-enabled/wapt.conf
Zertifikat und Schlüssel befinden sich hier: /opt/wapt/waptserver/ssl/

Ich verstehe nicht, warum ich in der WAPT-Serverkonfigurationsdatei ein anderes Zertifikat habe
Hier zu finden: /opt/wapt/conf/waptserver.ini

Code: Alle auswählen

clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.fr.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://s09wapt-srv.local.lan/wapt/ssl/ca-s09wapt-srv.local.lan.fr.crl

[Skoizer]

Kurz
Ich habe die Zertifikate zusammen mit meinem Vorgesetzten unterschrieben und sie auf nginx hochgeladen
Nach einem Neustart von nginx funktioniert es, ich kann das korrekte Zertifikat auf dem HTTPS-Server sehen

Ich habe die Datei cert.pem abgerufen und sie hier abgelegt: "C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt"
Gleiches gilt für verify_cert=1

Ich erhalte ständig Fehlermeldungen vom wapt-Client "C:\Program Files (x86)\wapt\log"

2024-09-25 18:32:49,201 [waptws SocketIOClient 23868] WARNUNG Ausnahme ConnectionError('Verbindungsfehler'), 60 Sekunden Wartezeit vor erneutem Versuch
2024-09-25 18:33:18,261 [waptcore WaptTaskManager 10532] WARNUNG Serverstatus konnte nicht aktualisiert werden: 400 Clientfehler: Ungültige Anfrage für URL: https://srvwapt.local.lan/update_host
2024-09-25 18:33:18,261 [wapttasks WaptTaskManager 10532] WARNUNG Host auf dem Server ist unbekannt oder unter diesem FQDN-Namen nicht bekannt (bekannt als None). Computerregistrierung wird versucht...
2024-09-25 18:33:19,708 [wapttasks WaptTaskManager 10532] WARNUNG Serverstatus konnte nicht aktualisiert werden: GSSAPIProxy benötigt die Python-Bibliothek gssapi: Modul 'gssapi' nicht gefunden.
2024-09-25 18:33:19,709 [wapttasks WaptTaskManager 10532] INFO Serverstatus konnte nicht aktualisiert werden: Keine Antwort.
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO SocketIO-Verbindungsparameter haben sich geändert. Socket.IO muss neu verbunden werden
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO Erstelle Socket.IO-Client: https://srvwapt.local.lan:443 Client-Authentifizierungszertifikat: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') Proxys: Keine verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 18:33:49,218 [wapttasks SocketIOClient 23868] INFO Verbinde Socketio mit https://srvwapt.local.lan:443
2024-09-25 18:33:49,235 [waptws SocketIOClient 23868] WARNUNG Ausnahme ConnectionError('Verbindungsfehler'), warte 60 Sekunden, bevor es erneut versucht

nginx-Protokoll für einen PC

10.9.3.3 CN=4c4c4544-0058-3810-8032-b2c04f523434 FEHLGESCHLAGEN: Selbstsigniertes Zertifikat - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.3 - NONE - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.3 - NONE - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Unternehmenslizenz Typ 1500

[Sfonteneau]

Ihrer Präsentation entnehme ich, dass Sie haben

Code: Alle auswählen

use_kerberos=1

In Ihrem Fall scheint die Kerberos-Konfiguration nicht funktionsfähig zu sein

Sie können folgen: https://www.wapt.fr/fr/doc-2.3/wapt-sec ... e-kerberos

[Skoizer]

Guten Morgen,
Danke für Ihre Antwort.
Ja, ich habe Kerberos aktiviert

Da wir aber für alles einen DNS-Alias ​​verwenden und der Server unter einem anderen Namen registriert ist, funktioniert das nicht.
Ich habe die Kerberos-Option entfernt

/opt/wapt/conf/waptserver.ini

[options]
secret_key = AEi2u6TD7XTGwlyDdrjkCwYtvCGk6zJ3ER4gjfyZ6rZoMxdJQtRvXgUMEwLlvibT
server_uuid = 29600a76-e04e-11ed-b4e3-005056bcfc82
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite
wapt_password = $pbkdf2-sha256$29000$3rv3HgNgTMmZM8bYO2eM8Q$sZoG5FmdqcXxhKIM6i.GBVAR7neQisG9JvIPLuiY0Ao
waptwua_folder = /var/www/waptwua
allow_unauthenticated_registration = True
allow_unauthenticated_connect = True
clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
wapt_admin_group = WAPT_ADMIN
ldap_auth_server = mondc.local.lan.fr
ldap_auth_base_dn = DC=local,DC=lan
ldap_auth_ssl_enabled = False
token_secret_key = uSFS1mfW8l8wzJghdpMiKusI4qXVKhGUDuD6V9qkKvgr8DJqCW7CB1Vsyq3wkO7J
use_kerberos = False
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://srvwapt.local.lan/wapt/ssl/ca-s0 ... al.lan.crl
ssl_additional_crls = /var/www/ssl
wads_enable = False
waptwua_enable = False

systemctl restart wapt*

Ich mache immer Fehler

10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FEHLGESCHLAGEN: Selbstsigniertes Zertifikat - [26/Sep/2024:09:44:35 +0200] "GET /wapt-host/4c4c4544-0058-3810-8032-b2c04f523434.wapt HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FEHLGESCHLAGEN: Selbstsigniertes Zertifikat - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Auf der Konsole sehe ich, dass der PC 10.9.3.16 verbunden ist
Aber hier ist es doppelt vorhanden... was nicht gut ist

UUID 4C4C4544-0058-3810-8032-B2C04F523434
UUID des neuen PCs: 4c4c4544-0058-3810-8032-b2c04f523434