[GELÖST] [WAPT 1.8.2] Bereitstellung über Gruppenrichtlinie und Superadmin-Passwortanforderung

Teilen Sie hier Ihre Tipps oder Probleme bezüglich der WAPT-Konsole oder des WAPT-Agenten mit
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Gesperrt
ozsupport
Nachrichten: 13
Anmeldung: 6. Juli 2020 – 16:52 Uhr

6. Juli 2020 – 17:40 Uhr

Hallo zusammen.

Meine Bereitstellung per Gruppenrichtlinie startet auf meinem Rechner korrekt, scheint aber in einer Endlosschleife festzuhängen. Ich habe meinen Server so konfiguriert, dass während der Agentenbereitstellung das Superadmin-Passwort erforderlich ist.

Wie konfiguriert man dieses Passwort bei der Bereitstellung per Gruppenrichtlinie?

Server-Betriebssystem: Debian 10,
Client-Betriebssystem: Windows Server 2012 R2,
Betriebssystem des Administratorrechners: Windows Server 2016.

Vielen Dank im Voraus für Ihre Hilfe und einen schönen Tag :)

. PA.
Zuletzt bearbeitet von ozsupport am 22. Juli 2020 um 09:27 Uhr, 2 Mal bearbeitet.
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

6. Juli 2020 – 21:02 Uhr

ozsupport schrieb: 6. Juli 2020 - 17:40 Uhr Hallo zusammen.

Meine Bereitstellung per Gruppenrichtlinie startet auf meinem Rechner korrekt, scheint aber in einer Endlosschleife festzuhängen. Außerdem habe ich meinen Server so konfiguriert, dass während der Agentenbereitstellung das Superadmin-Passwort erforderlich ist.

Wie kann ich dieses Passwort während der Bereitstellung per Gruppenrichtlinie angeben?
Die Installation wartet tatsächlich auf die Eingabe des Passworts zur Registrierung
Grundsätzlich wird der Agent direkt modifiziert:

https://github.com/tranquilit/WAPT/blob ... n.iss#L209

Code: Alle auswählen

wapt-get register --wapt-server-user=admin --wapt-server-passwd=password
Starten Sie anschließend die Neuerstellung eines Agenten neu.

Beachten Sie, dass die Sicherheit nicht optimal ist; Sie sollten die Kerberos-Authentifizierung bevorzugen!
Hoch
ozsupport
Nachrichten: 13
Anmeldung: 6. Juli 2020 – 16:52 Uhr

7. Juli 2020 - 10:21 Uhr

Guten Morgen,

Ja, es ist nicht sehr sauber, aber seien wir ehrlich. :D

Unser Problem besteht darin, dass wir es mit einer Multi-Domain-Konfiguration ohne Verbindung zu tun haben. Ist es möglich, für einen Benutzer, der über eine LDAP-Verbindung auf die WAPT-Konsole zugreift, festzulegen, dass er nur Client-Integrationsrechte für die Konsole besitzt?

Denn im Prinzip könnten wir das sehr wohl:
  • Modifizieren Sie den Agenten.
    Generieren Sie die Agenten.
    Modifizieren Sie die Agenten erneut, um das Passwort zu entfernen.
    Generieren Sie die Agenten erneut, um zu verhindern, dass jemand den Agenten möglicherweise wiederherstellt.
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

8. Juli 2020 - 09:17 Uhr

ozsupport schrieb: 7. Juli 2020 - 10:21 Uhr Hallo,

ja, es ist in der Tat nicht ganz sauber, aber nehmen wir es einfach mal an. :D

Unser Problem ist, dass wir uns in einer Multi-Domain-Umgebung ohne Verbindung befinden.
Kein Problem:

https://www.wapt.fr/fr/doc/wapt-securit ... lationship

Der WAPT-Server benötigt keinen Zugriff auf Active Directory, damit Kerberos funktioniert. In jeder Domäne ist ein separates Konto für den WAPT-Server erforderlich.

Du brauchst nur eine Keytab.

So generieren Sie eine Keytab-Datei, ohne dass der WAPT-Server Zugriff auf Active Directory hat:

https://www.wapt.fr/fr/doc/wapt-securit ... -directory
Hoch
ozsupport
Nachrichten: 13
Anmeldung: 6. Juli 2020 – 16:52 Uhr

15. Juli 2020 – 17:51 Uhr

Vielen Dank für das hilfreiche Feedback! Wir kümmern uns umgehend darum! :)

Wenn wir jedoch das korrekte Paket für die Bereitstellung per Gruppenrichtlinie für unsere verschiedenen Domänen erstellen und anschließend ein neues Paket mit Kennwortauthentifizierung generieren, ist das zuvor erstellte Paket mit Keytabs dann noch verwendbar?

Vielen Dank im Voraus. :)
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

16. Juli 2020 – 23:02 Uhr

Der Waptagent enthält keine Keytabs; diese befinden sich auf dem Server. ;)

Der Waptagent verfügt lediglich über die für die Registrierung notwendigen Informationen (Passwort oder Kerberos).
Hoch
ozsupport
Nachrichten: 13
Anmeldung: 6. Juli 2020 – 16:52 Uhr

17. Juli 2020 – 14:23 Uhr

Wir beginnen langsam zu verstehen, wie alles funktioniert. :)
Wenn wir jedoch die Kerberos-Authentifizierung aktivieren, müssen die Rechner einer Domäne angehören; in diesem Fall können wir Kerberos und Passwörter nicht mischen, richtig?

Da ich Schwierigkeiten mit Kerberos habe: Gilt die Aussage in der Dokumentation „Mein WAPT-Server hat keine Schreibberechtigung für ein Active Directory“ auch für „Mein WAPT-Server hat keinen Zugriff auf ein Active Directory“?

Zur Verdeutlichung: Wir möchten unseren WAPT-Server als eigenständigen Dienst betreiben, der es Administratoren ermöglicht, sich von einer primären Domäne aus über LDAP zu verbinden (das ist in Ordnung). Zusätzlich haben wir Server in mehreren Domänen, die nicht miteinander und insbesondere nicht über ein LAN mit dem WAPT-Server verbunden sind. Die Bereitstellung in diesen Domänen soll über Gruppenrichtlinienobjekte (GPOs) erfolgen.
Parallel dazu haben wir auch einige Support-Server, die keiner Domäne angehören.

Wird sich das in Zukunft realisieren lassen, oder ist dies ein bisher nicht abgedeckter Anwendungsfall?

D.
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

17. Juli 2020 – 16:27 Uhr

ozsupport schrieb: 17. Juli 2020 - 14:23 Uhr Wir beginnen zu verstehen, wie das alles funktioniert. :)
Wenn wir jedoch die Kerberos-Authentifizierung aktivieren, müssen die Rechner einer Domäne angehören; können wir Kerberos und Passwörter in diesem Fall nicht mischen?
Falls Kerberos nicht funktioniert, fordert wapt ein Passwort für die Registrierung an.
ozsupport schrieb: 17. Juli 2020 - 14:23 Uhr Und da ich Probleme mit Kerberos habe: Wenn in der Dokumentation der Fall „Mein WAPT-Server hat keinen Schreibzugriff auf ein Active Directory“ erwähnt wird, gilt das dann auch für „Mein WAPT-Server hat keinen Zugriff auf ein Active Directory“?
Ja ;)
ozsupport schrieb: 17. Juli 2020 - 14:23 Uhr Zur Erläuterung: Wir möchten unseren WAPT-Server als eigenständigen Dienst betreiben, sodass Administratoren sich von einer primären Domäne aus per LDAP verbinden können (das ist in Ordnung). Wir haben außerdem Server in mehreren Domänen, die nicht miteinander und insbesondere nicht per LAN mit dem WAPT-Server verbunden sind. Die Bereitstellung in diesen Domänen soll per Gruppenrichtlinie erfolgen.
Parallel dazu betreiben wir auch einige Support-Server, die keiner Domäne angehören.

Wird das jemals funktionieren, oder handelt es sich um einen nicht unterstützten Anwendungsfall?

D.
Der WAP-Server muss die Anzeige nicht sehen, solange er über einen gültigen Keytab verfügt.

Sie bräuchten zwei Agenten, einen mit Kerberos und einen ohne
Hoch
ozsupport
Nachrichten: 13
Anmeldung: 6. Juli 2020 – 16:52 Uhr

20. Juli 2020 - 12:33 Uhr

Okay, da gibt es definitiv irgendwo ein Problem...

Im Moment teste ich nur mit einer der Domains, die ich später benötigen werde.
Ich habe :
  • Ich habe meine /etc/krb5.conf-Datei konfiguriert
  • Ich habe mein Computerkonto in der betreffenden Domäne erstellt
  • SPN hinzugefügt (und anhand der Computeraufzeichnungen verifiziert)
  • Ich habe meine Keytab erstellt (ist es normal, /mapuser im Befehl zu haben, wenn es sich um ein Benutzerkonto handelt?)
  • Ich habe meine Keytab-Datei hochgeladen und die Berechtigungen geändert
  • Die Nachkonferenz wurde neu gestartet, um Kerberos zu aktivieren
aber damit:
  • Meine Gruppenrichtlinie wird korrekt angewendet, der Agent wird installiert und der Dienst ist vorhanden
  • Der Dienst startet nicht; ich muss ihn manuell starten
  • Auf dem WAPT-Server befinden sich Protokolle, die mir mitteilen, dass der betreffende FQDN nicht erkannt wird und dass ich ihn "zuerst registrieren" muss
  • Wenn ich versuche, es manuell zu registrieren, werde ich nach einem Login gefragt

Code: Alle auswählen

PS C:\Users\Administrateur.XXXXXX\Downloads\PSTools> .\psexec.exe -s cmd

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>wapt-get register -ldebug
2020-07-20 12:27:20,569 DEBUG Default encoding : ascii
2020-07-20 12:27:20,569 DEBUG Setting encoding for stdout and stderr to cp850
2020-07-20 12:27:20,585 DEBUG Python path ['C:\\Program Files (x86)\\wapt', 'C:\\Program Files (x86)\\wapt', 'C:\\Progra
m Files (x86)\\wapt\\python27.zip', 'C:\\Program Files (x86)\\wapt\\DLLs', 'C:\\Program Files (x86)\\wapt\\lib', 'C:\\Pr
ogram Files (x86)\\wapt\\lib\\plat-win', 'C:\\Program Files (x86)\\wapt\\lib\\lib-tk', 'C:\\Program Files (x86)\\wapt',
'C:\\Program Files (x86)\\wapt\\lib\\site-packages', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\pywin32-227-py2
.7-win32.egg', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\win32', 'C:\\Program Files (x86)\\wapt\\lib\\site-pac
kages\\win32\\lib', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\Pythonwin']
2020-07-20 12:27:20,585 INFO Using local waptservice configuration C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,585 DEBUG Config file: C:\Program Files (x86)\wapt\wapt-get.ini
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o global auth
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG DB Start transaction
2020-07-20 12:27:20,601 DEBUG DB commit
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxxx.local.pem for rep
o wapt auth
2020-07-20 12:27:20,617 INFO Main repository: https://xxxxxx.xxxxxxxxxx.xx/wapt
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o wapt-host auth
2020-07-20 12:27:20,617 INFO User Groups:[]
2020-07-20 12:27:20,617 DEBUG WAPT base directory : C:\Program Files (x86)\wapt
2020-07-20 12:27:20,617 DEBUG Package cache dir : C:\Program Files (x86)\wapt\cache
2020-07-20 12:27:20,617 DEBUG WAPT DB Structure version;: 20200415
2020-07-20 12:27:20,631 DEBUG DB Start transaction
2020-07-20 12:27:20,631 DEBUG DB commit
Registering host against server: https://xxxxx.xxxxxxx.xx
2020-07-20 12:27:20,648 DEBUG DB Start transaction
2020-07-20 12:27:20,648 DEBUG DB commit
2020-07-20 12:27:20,678 DEBUG DB Start transaction
2020-07-20 12:27:20,678 DEBUG DB commit
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,976 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:21,039 DEBUG DB Start transaction
2020-07-20 12:27:21,039 DEBUG DB commit
2020-07-20 12:27:21,053 DEBUG Stores cert chain check in cache
2020-07-20 12:27:21,210 INFO Run "dmidecode -q"
2020-07-20 12:27:21,303 INFO dmidecode -q command returns code 0
2020-07-20 12:27:24,992 DEBUG Loading ssl context with cert C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.crt
and key C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.pem
2020-07-20 12:27:25,023 DEBUG Starting new HTTPS connection (1): cloud:443
2020-07-20 12:27:25,101 DEBUG https://xxxxxx.xxxxxxxxxx.xx:443 "POST /add_host HTTP/1.1" 401 41
Please get login for add_host:
Hoch
Benutzeravatar
Sfonteneau
WAPT-Experte
Nachrichten: 2322
Registriert: 10. Juli 2014 - 23:52 Uhr
Kontakt:
Kontaktieren Sie Sfonteneau

20. Juli 2020 – 14:55 Uhr

Sie müssen mit psexec überprüfen, ob ein Ticket ordnungsgemäß ausgehandelt wurde:

Code: Alle auswählen

psexec -s -i cmd
klist
Du kannst Folgendes tun:

Code: Alle auswählen

wapt-get register
Welche Themen könnten Ihnen weiterhelfen?

viewtopic.php?f=13&t=2428&p=7994&hilit=kerberos#p7994
Hoch
Gesperrt

Zurück zu „WAPT-Nutzung (Konsole, Agent) / WAPT-Nutzung (Konsole, Agent)“


  • Um mit WAPT weiterzukommen