[GELÖST] Problem mit NewPSDrive

[Eric]

Hallo,

WAPT-Version: 1.3.13.
Server: Debian.
Entwicklungsrechner: Windows 10.

Ich verwende ein PowerShell-Skript in einem meiner Pakete. Ich muss initial ein Netzlaufwerk verbinden und nutze dafür den Befehl `NewPSDrive`.

Das Skript funktioniert einwandfrei, wenn ich es manuell in der PowerShell-Konsole ausführe, stürzt aber ab, wenn ich es über WAPT starte.
Der Befehl ist recht einfach:

`New-PSDrive -Name Z -Root "\\server.domain.fr\myfolder$" -PSProvider Filesystem`.
Bei der Ausführung über WAPT erhalte ich jedoch die Fehlermeldung: `New-PSDrive: Das angegebene Laufwerksverzeichnis "\\server.domain.fr\myfolder$" existiert nicht oder ist kein Ordner.`

Ich habe versucht, die Unterschiede zwischen der Ausführung des Skripts in der Konsole und über WAPT zu verstehen. Mit einem Verbindungstest habe ich überprüft, ob die Freigabe korrekt reagiert. Ich habe auch einen Test hinzugefügt, der prüft, ob bereits ein Z:-Laufwerk verbunden ist, was nicht der Fall ist.

Der einzige Unterschied, den ich feststelle, ist die Anzeige des Benutzernamens: Beim manuellen Start wird „MyPC\administrator“ angezeigt, beim Start über WAPT hingegen „NT AUTHORITY\System“. Ich weiß allerdings nicht, ob das Problem damit zusammenhängt.

Nachdem ich bereits mehrere Beiträge in PowerShell-Foren veröffentlicht habe, ohne bisher eine Antwort zu erhalten, dachte ich, dass andere WAPT-Nutzer dieses Problem vielleicht schon kennen.

PS: Die setup.py-Datei des betreffenden Pakets (obwohl sie nicht viel Relevantes enthält):
def install():
print('installing cdburnerXP')
run_powershell(r'./cdburn.ps1')

Vielen Dank im Voraus
.

[Sfonteneau]

Hallo,

Wapt ist so konzipiert, dass es nicht auf externe Quellen (wie z. B. ein Netzlaufwerk) angewiesen ist.
In diesem Fall wird die Sicherheit des Wapt-Pakets gefährdet. Auch wenn während der Installation keine Netzwerkverbindung besteht, schlägt die Installation fehl (z. B. während eines WaptExit).
Wapt ist dafür nicht ausgelegt.

Warum wird der Quellcode der Software nicht direkt in das Wapt-Paket integriert?

Insbesondere für CDBurner!

Ich empfehle Ihnen, die Dokumentation zur Erstellung von Wapt-Paketen erneut zu lesen:
https://www.wapt.fr/fr/doc/CreationPaquets/index.html

[Eric]

Hallo, ich verstehe, wofür WAPT gedacht ist und wie man es im „normalen“ Modus verwendet. Das mache ich bereits, und alles funktioniert einwandfrei. Wir haben aber bereits eine Infrastruktur für die automatische Softwareinstallation, die auch von anderer Software (z. B. MDT) genutzt wird. Wir möchten vermeiden, für jedes Update mehrere Repositories pflegen zu müssen. Kurz gesagt, es entspricht einem lokalen Bedarf, auch wenn wir nicht das klassische WAPT-Nutzungsszenario verwenden. Ich vermute, dass es bereits ein CDBurnerXP-Paket in den WAPT-Repositories gibt, das aber für diese Software nicht unseren Anforderungen entspricht.

[dcardon]

Hallo Eric,

Ich verstehe, wofür Wapt gedacht ist und wie man es im „normalen“ Modus verwendet. Ich nutze es bereits, und alles funktioniert einwandfrei, keine Sorge.
Wir haben aber bereits eine Infrastruktur für die automatische Softwareinstallation, die auch von anderer Software genutzt wird (mdt...).

Die korrekte Art der Integration von WAPT und MDT besteht darin, WAPT wie gewohnt zu paketieren, den waptagent am Ende der MDT-Prozedur zu installieren und direkt im Anschluss ein wapt-get install des zugehörigen Maschinenpakets aufzurufen.

Unsere Idee ist es, die Pflege mehrerer Repositories für jedes Update zu vermeiden.
Kurz gesagt, es entspricht einem lokalen Bedarf, auch wenn wir nicht dem klassischen WAPT-Nutzungsszenario entsprechen. Mir ist bewusst, dass ein cdburnerxp-Paket bereits in den WAPT-Repositories existiert.

Ich sage es nur ungern so direkt, aber das ist wirklich eine sehr, sehr schlechte Idee. Die Verfügbarkeit einer Netzwerkfreigabe zum Zeitpunkt der WAPT-Installation ist nicht garantiert (z. B. prüft waptexit dies nicht).

, aber es entspricht nicht unseren Anforderungen, im Falle dieser Software.

Die Verwendung von WAPT-„in sich geschlossenen“ Paketen ist eine wesentliche Voraussetzung für eine erfolgreiche Bereitstellungsrate...

Um Ihre konkrete Frage zu beantworten (auch wenn ich Ihnen damit wahrscheinlich nur weitere Probleme bereite…): Das Konto, das beim Einbinden eines Netzwerks als lokales Systemkonto (NT-Autorität\System) verwendet wird, ist das Kerberos-Konto des Computers (z. B. MYCOMPUTER$). Daher müssen Sie der Gruppe „Domänencomputer“ Leseberechtigungen für die Freigabe erteilen, die die Installationsdateien enthält. Dies ist ein reines Windows-Problem; es ist seltsam, dass es in Ihrem PowerShell-Forum noch niemand beantworten konnte… (Okay, ich wollte Sie nur ein bisschen necken)

Aber wie dem auch sei, ich wiederhole es: Es ist wirklich keine gute Idee. Ich wiederhole es noch einmal, damit man mir nicht vorwirft, ich würde Menschen zur Selbstverletzung anstiften: Es ist wirklich keine gute Idee!

Nur weil wir keine Lösung haben, heißt das nicht, dass wir Sie dazu ermutigen, WAPT-Pakete korrekt zu erstellen. Es bedeutet lediglich, dass Sie, wenn es darum geht, ein PowerShell-Skript zu starten, das eine Netzwerkfreigabe benötigt, genauso gut Gruppenrichtlinienobjekte (GPOs) verwenden können. Es wird genauso viele Fehler verursachen (oder andere Bereitstellungstools, die genauso viele Fehler verursachen, wenn sie dem gleichen Modell folgen).

Wenn Sie jedoch Probleme mit Python und der Erstellung von setup.py-Dateien für WAPT haben, stehen Ihnen Dutzende von Paketen als Inspiration zur Verfügung. Und falls Sie schneller vorankommen und WAPT-Paketierer der Extraklasse werden möchten, bieten Alexandre und Simon ein schnelles und effektives Training an!

Denis

[Eric]

Vielen Dank für Ihre ausführliche Antwort.
Ich habe Ihre Anmerkungen zur Verwendung von WAPT zur Kenntnis genommen. Wir testen derzeit die Funktionen von WAPT, um zu sehen, wie wir es in Verbindung mit Gruppenrichtlinienobjekten (GPOs), MDT und unserem aktuellen System für die Bereitstellung von Systemen und Software auf Arbeitsstationen sowie für Updates einsetzen können.
Da wir nicht alles auf einmal ändern können, müssen wir schrittweise vorgehen, und es sind viele Fragen aufgetaucht.
WAPT erscheint vielversprechend und ist einfacher für die Kollegen zugänglich zu machen, als beispielsweise die Möglichkeit zur Erstellung von GPOs für alle zu öffnen.
Kurz gesagt, wir befinden uns in der Test- und Planungsphase für die schrittweise Integration, entweder parallel zu oder als Ersatz für einige unserer bestehenden Tools. Wir haben uns für den Ansatz entschieden, WAPT in die bestehende Infrastruktur zu integrieren und den Einsatz bei Bedarf zu erweitern, falls es sich als nützlich oder sinnvoll erweist.
Die Flexibilität Ihres Produkts ermöglicht dies, und genau das war einer der Gründe, warum wir uns dafür entschieden haben.

Nochmals vielen Dank für Ihre Unterstützung und Ihre Arbeit an diesem Tool
.

[dcardon]

Hallo Eric,

Vielen Dank für Ihre ausführliche Antwort.
Ich habe Ihre Ausführungen zur Verwendung von WAPT zur Kenntnis genommen. Wir testen derzeit die Funktionen von WAPT, um zu sehen, wie wir es in Verbindung mit Gruppenrichtlinienobjekten (GPOs), MDT und unserem aktuellen System für die Bereitstellung von Systemen und Software auf Arbeitsstationen sowie für Updates einsetzen können.
Wir müssen schrittweise vorgehen, da wir nicht alles auf einmal ändern können und viele Fragen auftauchen.
WAPT erscheint vielversprechend und ist beispielsweise einfacher für Kollegen zugänglich zu machen, als die Erstellung von GPOs für alle freizugeben.
Kurz gesagt, wir testen derzeit, wie wir WAPT schrittweise in unsere bestehenden Tools integrieren und/oder einige davon ersetzen können. Unser Ansatz ist es, WAPT in unsere bestehende Infrastruktur zu integrieren und den Einsatz bei Bedarf zu erweitern, falls es sich als nützlich oder sinnvoll erweist.
Die Flexibilität Ihres Produkts ermöglicht dies, und genau das ist einer der Gründe, warum wir uns dafür entschieden haben.

Wenn es lediglich darum geht, eine MSI- oder EXE-Datei zu installieren, die korrekt und im Hintergrund ausgeführt wird, führen Sie einfach den folgenden Befehl mit dem Paket aus und führen Sie anschließend einen Build-Upload durch (maximal zwei Minuten für ein kleines Paket)...

Code: Alle auswählen

wapt-get make-template moninstalleur.msi

Die durch den parallelen Betrieb beider Systeme während der Testphase entstehende Mehrbelastung dürfte nicht allzu bedeutend sein...

Denis

[Eric]

Hallo nochmal,

vielen Dank für die Info.
Auch wenn es nicht zur „normalen“ WAPT-Nutzung gehört, poste ich die Lösung hier, falls sie jemandem hilft:
Es gab tatsächlich ein Problem mit den Anmeldeinformationen des Systembenutzers. Unsere Freigabe erfordert keine Authentifizierung (sie ist schreibgeschützt), aber man muss trotzdem einen Benutzernamen und ein Passwort angeben, selbst wenn diese fiktiv sind.

Was unsere mögliche Übergangsmethode zwischen unserem aktuellen System und WAPT angeht, haben wir gute Gründe für unsere Vorgehensweise, die hier zu umfangreich (und ohnehin nicht besonders interessant) wären.

Nochmals vielen Dank.
Beste Grüße,

ET

[dcardon]

Re:

Danke für die Info.
Auch wenn es nicht zur „normalen“ WAPT-Nutzung gehört, poste ich die Lösung hier, falls sie jemandem hilft:
Es gab tatsächlich ein Problem mit den Anmeldeinformationen des Systembenutzers. Unsere Freigabe erfordert keine Authentifizierung (sie ist schreibgeschützt), aber man muss trotzdem einen Benutzernamen und ein Passwort angeben, selbst wenn diese fiktiv sind.

Was unsere mögliche Übergangsmethode zwischen unserem aktuellen System und WAPT betrifft, haben wir gute Gründe für dieses Vorgehen, die hier zu umfangreich (und ohnehin nicht sehr interessant) wären.

Nochmals vielen Dank.
Beste Grüße,

ET

Ich entschuldige mich für meine Hartnäckigkeit, aber für diejenigen, die diesen Beitrag lesen werden: Diesem Beispiel dürfen wir nicht folgen!

Wenn Sie eine Netzwerkfreigabe ohne Authentifizierung verwenden, kann ein einfacher Man-in-the-Middle-Angriff mit etwas ARP/DNS/NetBIOS-Spoofing die Arbeitsstationen der Benutzer auf eine kompromittierte Freigabe umleiten. Alle ausgeführten Aktionen laufen dann unter einem LocalSystem-Konto und umgehen so die meisten Standard-Sicherheitsprüfungen. Kurz gesagt: Sofern Sie nicht 802.1x, pVLANs und ARP-Cache-Poisoning-Schutz in Ihrem gesamten Netzwerk implementiert haben und keine Laptops verwenden, schaffen Sie eine massive Sicherheitslücke, die es jedem Scriptkiddie ermöglicht, die Kontrolle über das Netzwerk zu übernehmen!

Das WAPT-Betriebsmodell ist aus Sicherheitssicht solide. Ich würde es vorziehen, wenn der Name WAPT nicht mit solchen Methoden in Verbindung gebracht würde.

Darüber hinaus hätte eine einfache gegenseitige Authentifizierung mit Kerberos über das Computerkonto diesen Man-in-the-Middle-Angriff zumindest verhindert. Ich bin kein PowerShell-Experte, aber ein einfacher „net use“-Befehl als LocalSystem-Konto ermöglicht die Authentifizierung und das Zuordnen eines Laufwerks zu einer Freigabe mit Leseberechtigungen für Domänencomputer

Code: Alle auswählen

psexec -i -s cmd
    whoami
    net use f:   \\mondomain.lan\sysvol
    dir f:

Aufrichtig,

Denis

[Eric]

Hallo nochmal,

ich habe leider nicht genügend Netzwerk-/Hacking-Kenntnisse, um die Tragweite Ihres Kommentars vollständig zu verstehen. Ich werde ihn aber an den zuständigen Entwickler weiterleiten, um seine Meinung dazu zu hören. Wir verwenden 802.1x, VLANs und eine ganze Reihe robuster Netzwerkschutzmechanismen. Das ist aber kein Grund, einfach irgendetwas zu machen, da sind wir uns einig.

Momentan nutzen wir WAPT etwas anders als ursprünglich vorgesehen, und ich verstehe, dass Sie Wert auf klare Kommunikation legen.

Was `net use` angeht, ich glaube, ich habe es ausprobiert, und es hat keine besseren Ergebnisse als `New-PSDrive` geliefert. Ich werde den Test aber demnächst wiederholen (obwohl er, wenn ich es richtig verstehe, an dem erwähnten Sicherheitsproblem im Grunde nichts ändert).

Viele Grüße,
ET