Seite 1 von 1
[GELÖST] Notwendige Verbesserung des Linux-Agenten
Veröffentlicht: 7. Oktober 2020 – 16:56 Uhr
von Vincent Lucy
Guten Morgen,
Unsere NGO betreibt rund 70 % ihrer Systeme unter Linux. Wir haben eine professionelle Lizenz erworben, dennoch wird ein Großteil unserer Systeme aufgrund aktueller Einschränkungen nicht von WAPT verwaltet
- Das Agentenpaket unter Ubuntu (zum Beispiel) ist noch nicht vollständig entwickelt. Im Folgenden beschreiben wir, was wir nach der Installation hinzufügen, das in das Paket integriert bzw. von dpkg unterstützt werden könnte
- Das Fehlen einer Benutzersitzungsverwaltung ist ein Nachteil: Wir versuchen, die Linux-Workstations in die AD-Samba-Domäne einzubinden, aber derzeit bietet dies keinen Mehrwert. Wir möchten jedoch die Konfiguration mehrerer Softwareprogramme unter Linux automatisieren: Firefox, Thunderbird, Gnome, Nautilus, Nextcloud usw.
Folgende Maßnahmen ergreifen wir aktuell zur Installation des WAPT-Agenten:
Code: Alle auswählen
apt install apt-transport-https lsb-release gnupg
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg | apt-key add -
echo "deb https://srvwapt-pro.tranquil.it/entreprise/ubuntu/wapt-1.8/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list
cat >> /etc/apt/auth.conf.d/tis.conf << EOF
machine srvwapt-pro.tranquil.it
login la_cle_de_login_entreprise
password le_mot-de_passe_entreprise
EOF
chmod 600 /etc/apt/auth.conf.d/tis.conf
apt update && apt install tis-waptagent
cat >> /opt/wpat/wpat-get.ini <<< EOF
[global]
repo_url=https://ip_server/wapt
wapt_server=https://ip_server/
use_hostpackages=1
use_kerberos=0
verify_cert=/opt/wapt/ssl/chemin_du_certificat.crt
verify_cert=0
EOF
Betreff: Notwendige Verbesserung des Linux-Agenten
Veröffentlicht: 7. Oktober 2020 – 19:17 Uhr
von dcardon
Ich würde sagen, das Problem liegt nicht unbedingt am Agenten selbst, sondern eher an den Unterschieden zwischen Windows- und Linux-Infrastruktur. Unter Linux gibt es keine Gruppenrichtlinienobjekte (GPOs) für die Bereitstellung, daher sind für die Erstinstallation Drittanbietermethoden (Ansible, Puppet, Chef, manuelle Bereitstellung usw.) sowie die Abhängigkeit von apt/yum-Repositories erforderlich.
Die Verwendung von `apt-get apt-transport-https lsb-release gnupg` ist heutzutage Standard.
Die Integration von Ubuntu-Clients in die Domäne ist ein klarer Vorteil. Allerdings gibt es keine Verwaltung von Benutzerkonten, Passwörtern usw.
Tatsächlich ist das Herunterladen des Agenten aus dem TIS-Repository nicht der richtige Ansatz, da der Agent die gleiche Version wie der Server haben muss. Es wäre besser, ihn auf dem Server vorab herunterzuladen und dann direkt von dort zu installieren (wodurch auch die Konfiguration einer zusätzlichen apt-Quelle entfällt). Dies bereiten wir für die kommende Version 1.9 vor. Die Dokumentation wird entsprechend aktualisiert.
Für Windows-Agenten generieren wir das Installationsprogramm bei jedem Update neu. Dies ist zwar praktisch, da es in sich abgeschlossen ist, führt aber unter Windows zu einem Problem bei der Signaturvalidierung während der Installation. Ein Kompromiss wäre, die Konfigurationsparameter während der Installation über die Befehlszeile oder eine separate .sh-Datei an den Agenten zu übergeben. Wir prüfen dies auch für Version 1.9.
Betreff: Notwendige Verbesserung des Linux-Agenten
Veröffentlicht: 8. Oktober 2020 – 19:18 Uhr
von dcardon
Übrigens, mir ist noch etwas eingefallen: Die Verbindung der Linux-Workstation ist nur für die automatische Registrierung der Workstation beim WAPT-Server erforderlich, wenn die Kerberos-Sicherheit aktiviert ist (was aus Sicherheits- und Automatisierungssicht sehr vorteilhaft ist).
Für die Self-Service-Funktionalität kann die Authentifizierung wahlweise über den WAPT-Server oder den LDAP-Server erfolgen.
Betreff: Notwendige Verbesserung des Linux-Agenten
Veröffentlicht: 12. Oktober 2020 – 13:01 Uhr
von Vincent Lucy
Vielen Dank, Denis, für diese Antworten
Den Beitritt zur AD-Domäne verwalten wir während der Installation der Arbeitsstationen manuell; möglicherweise automatisieren wir das in Zukunft; ein Kollege beginnt gerade, sich mit FOG vertraut zu machen.
Insbesondere, weil es unter Linux keine Bereitstellung über Gruppenrichtlinienobjekte (GPO) gibt und daher für die Erstbereitstellung sowie den Betrieb über das apt/yum-Repository Methoden von Drittanbietern (ansible, puppet, chef, manuell usw.) verwendet werden müssen.
Ja, das können wir mit Ansible erledigen. Aktuell verwalten wir unsere Server (bzw. Dienste) im Prinzip alle mit SaltStack; ich habe noch nichts Besseres gefunden, aber es eignet sich besser für Server, die rund um die Uhr online sind.
Tatsächlich ist das Herunterladen des Agenten aus dem TIS-Repository nicht der richtige Ansatz, da der Agent dieselbe Version wie der Server haben muss. Es wäre besser, ihn vorab auf den Server herunterzuladen und ihn dann direkt von dort zu installieren (wodurch auch die Konfiguration einer zusätzlichen apt-Quelle entfällt). Dies bereiten wir für die kommende Version 1.9 vor. Die Dokumentation wird entsprechend aktualisiert.
Das bedeutet zwar einen zusätzlichen Speicherplatz, den wir verwalten müssen, aber warum nicht? Das Problem ist, wie beim WAPT-Server, das internetseitige Hosting für mobile Geräte, daher die Notwendigkeit der Sicherheit.
Wir werden uns in den kommenden Tagen wieder bei Ihnen melden, um den Systemadministratoren unserer NGO Unterstützung für eine effektivere Implementierung von WAPT zu bieten.
Wir könnten dies mit der Veröffentlichung von Version 1.9 planen. Haben Sie eine Vorstellung vom voraussichtlichen Zeitplan?
Aufrichtig,
VL
Betreff: Notwendige Verbesserung des Linux-Agenten
Veröffentlicht: 13. Oktober 2020 - 09:48 Uhr
von cfargues
Hallo Vincent,
Version 1.9 sollte noch vor Jahresende erscheinen. Ich habe Ihren Supportwunsch zur Kenntnis genommen und melde mich nach der Veröffentlichung bei Ihnen.
Ich markiere diesen Vorgang als erledigt.
Schönen Tag noch,
Camille