Konfiguration des WAPT-Servers mit Kerberos ohne Authentifizierung

[RebeccaS]

WAPT-Serverversion: 1.8.0
WAPT-Agent-Version: 1.8.0.6641
WAPT-Setup-Version: 1.8.0.6641
WAPT Deploy Version: 1.8.0.6641
Datenbankstatus: OK (1.8.0.0)

Server-Betriebssystem: Linux/Debian 10.2
Betriebssystem des Administrations-/Paketerstellungsrechners: Windows 10

Guten Morgen,

Wir befinden uns aktuell in der Testphase der WAPT-Community-Version, bevor wir auf die Enterprise-Version migrieren.

Ich bin folgendermaßen vorgegangen:

https://www.wapt.fr/fr/doc/wapt-securit ... 20machines

um Maschinen vor ihrer Registrierung über Kerberos zu authentifizieren.

Die Einrichtung verlief problemlos, aber ich möchte gerne wissen, ob es eine Möglichkeit gibt, diese Konfiguration einzurichten, ohne die Administrator-ID zur Registrierung des Rechners eingeben zu müssen.

auth_wapt.png (14 KB) 9788 Aufrufe

Sollen die Zugangsdaten in die Serverkonfigurationsdatei oder in die Clientkonfigurationsdatei eingetragen werden?

Ich habe versucht, die Serverkonfigurationsdatei /opt/wapt/conf/waptserver.ini zu ändern, indem ich den Wert allow_unauthenticated_registration auf True gesetzt habe

[Optionen]
waptwua_folder = /var/www/waptwua
server_uuid = xxxxxxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx
clients_signing_key = /opt/wapt/conf/ca-xxxxxxxxxxxxxx.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-xxxxxxxxxxxxx.lan.crt
wapt_password = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = True
allow_unauthenticated_connect = False
allow_unauthenticated_registration = True
geheimer Schlüssel = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Wenn ich den WAPT-Server im Debug-Modus starte, erhalte ich folgende Ausgabe:

2020-01-31 10:55:08,558 DEBUG Traceback (letzter Aufruf zuerst):
Datei "/opt/wapt/waptserver/server.py", Zeile 429, in register_host
valid_auth = auth_result and auth_result['auth_method'] in ['admin','passwd','ldap','kerb']
UnboundLocalError: Lokale Variable 'auth_result' wurde vor der Zuweisung referenziert



Aufrichtig,

Rebecca

[Sfonteneau]

Guten Morgen

Wenn Sie Kerberos aktivieren möchten, müssen Sie den Wert festlegen

Code: Alle auswählen

use_kerberos=1

im Agenten in wapt-get.ini

Um als Nächstes zu überprüfen, ob die Workstation ein Kerberos-Ticket korrekt aushandelt, können Sie psexec ausführen:

Code: Alle auswählen

psexec -s cmd
wapt-get register
klist

Wenn in keinem Ticket wapt erwähnt wird, bedeutet dies, dass Ihre wapt-Serverregistrierung in AD nicht erfolgreich war (wahrscheinlich ein SPN-Problem).

Benutzername und Passwort werden nur abgefragt, wenn die Kerberos-Authentifizierung fehlschlägt

[RebeccaS]

Hier ist die wapt-get.ini-Konfiguration

[gesamt]
repo_url=https://wapt-server/wapt
send_usage_report=1
use_hostpackages=1
wapt_server=https:///wapt-server.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
use_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[wapt-templates]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

Nach Ausführung der Befehle ergibt sich folgendes Ergebnis:

wapt_client.png (51,27 KB) 9777 Aufrufe

[Sfonteneau]

Es scheint ein Problem mit Wapt zu geben.

Könnten Sie es bitte mit dieser Version testen:

https://wapt.tranquil.it/wapt/nightly/w ... -acfedbd8/

[RebeccaS]

Anders gefragt: Soll ich statt https://wapt.tranquil.it/debian/wapt-1.8/ eine bestimmte Datei verwenden ?

[dcardon]

Hallo RebeccaS,

in WAPT Version 1.8.0 gab es einen Fehler im Bereich der Kerberos-Registrierung. Dieser wurde in Version 1.8.1 behoben. Ein Upgrade sollte Ihr Problem lösen.

Viele Grüße,

Denis

[RebeccaS]

Hallo,

ich habe die neue Version gerade erneut getestet, aber das Problem besteht weiterhin.

Es tritt auf, sobald die Managementkonsole installiert ist.

Mit freundlichen Grüßen,

Rebecca.

[dcardon]

Aufgrund der begrenzten Informationen ist eine Diagnose schwierig.
* Client-Protokolle (%WAPT_HOME%\log\waptservice.log)
* Server-Protokolle (/var/log/waptserver.log oder /var/log/daemon.log)
* Testen Sie mit `wapt-get register -l debug` in `psexec -i -s cmd.exe` mit der neuen Version 1.8.1.
Viele Grüße,
Denis

[RebeccaS]

Guten Morgen,

Hier sind die von Ihnen angeforderten Informationen:
* Client-Protokolle (%WAPT_HOME%\log\waptservice.log)

Serviert am http://client:8088
2020-02-24 15:45:26,707 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
Paketindex abrufen
u'2 Paket(e) im d\xe9p\xf4t\nDas System ist \xe0 Tag'
2020-02-24 15:45:38,444 [waptcore ] WARNUNG: Der Host auf dem Server ist unbekannt oder unter diesem FQDN-Namen nicht bekannt (als None bezeichnet). Versuch, den Computer zu registrieren...
Systemleistungssteuerung
2020-02-24 15:47:26,846 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:49:26,976 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:51:27,138 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:53:27,269 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:55:27,414 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:57:27,540 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 15:59:27,690 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)
2020-02-24 16:01:27,819 [waptws ] WARNUNG Websocket-Verbindungsparameter: Authentifizierungstoken konnte nicht abgerufen werden: Fehler auf dem Server:
EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Bitte registrieren Sie sich zuerst.',)

* Serverprotokolle (/var/log/waptserver.log oder /var/log/daemon.log)

24. Feb. 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,331 [waptserver ] KRITISCH Get_websocket_auth_token fehlgeschlagen EWaptAuthenticationFailure(u'Unbekannte Host-UUID xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx. Bitte registrieren Sie sich zuerst.',)
24. Feb. 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,378 [waptws ] WARNUNG: SocketIO-Verbindung für UUID xxxxxxx-xxxxxxxxx-xxxxxxxx-xxxxx, SID xxxxxxxxxxxxxxxxx nicht autorisiert, ungültiges Token: 400 Bad Request: Der Browser (oder Proxy) sendet eine Anfrage, die dieser Server nicht verarbeiten konnte., Instanz

* Testen Sie den Befehl `wapt-get register -l debug` in einem `psexec -i -s cmd.exe` mit der neuen Version 1.8.1

waptgerregister.png (112,83 KB) 9610 Aufrufe

Zu Ihrer Information:

wapt-get.ini (Client)

[gesamt]
repo_url=https://waptserver/wapt
send_usage_report=1
use_hostpackages=1
wapt_server=https://waptserver
use_kerberos=1
check_certificates_validity=1
verify_cert=0
use_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[wapt-templates]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

/etc/nginx/nginx.conf

location /add_host_kerberos {
auth_gss aktiviert;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
Proxy-Passwort http://127.0.0.1:8080;
}


/opt/wapt/conf/waptserver.ini

[Optionen]
waptwua_folder = /var/www/waptwua
server_uuid = xxxxxxxxx-xxxxxxxx--xxxxxxxx-xxxxxx
clients_signing_key = /opt/wapt/conf/ca-waptserver.pem
clients_signing_certificate = /opt/wapt/conf/ca-waptserver.crt
wapt_password = $xxxxxxXXXXXXXXXXXXXXxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = True
allow_unauthenticated_connect = False
geheimer Schlüssel = xxxxxxxxxxxxxxXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx


Aufrichtig,

Rebecca.

[Sfonteneau]

Code: Alle auswählen

#2>     Client : mypc$ @ DOMAIN.LAN
        Serveur : HTTP/srvwapt.domain.lan @ DOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a80000 -> forwardable renewable pre_authent 0x80000
        Heure de démarrage : 2/24/2020 23:57:17 (Local)
        Heure de fin :   2/25/2020 8:23:21 (Local)
        Heure de renouvellement : 3/2/2020 22:23:21 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.domain.lan

Haben Sie nach der Registrierung bei psexec ein Ticket für srvwapt (wie oben beschrieben) erhalten?