Ruhiges IT-Forum

Guten Morgen,

Ich führe derzeit im Rahmen meiner WAPT-Produktbewertung Tests mit einer Enterprise-Version durch und bin dabei auf ein Problem gestoßen, für das ich bisher keine Lösung finden konnte. Daher eröffne ich diesen Thread. Ich verwende die Enterprise-Version auf Ubuntu 20.04 LTS als Server, während die Arbeitsstationen für Bereitstellung und Administration unter Windows 10 laufen.

Ich möchte mehreren Administratoren die Verwaltung unserer IT-Infrastruktur mit rund hundert Arbeitsstationen ermöglichen. Dadurch werden Abwesenheitsprobleme und die individuelle Verantwortung für die Bereitstellung von Paketen und Updates gelöst. Zu diesem Zweck habe ich für einen meiner Kollegen ein Benutzerkonto in der WAPT-Konsole erstellt und ihm die erforderlichen Berechtigungen erteilt (er hat Zugriff auf alle benötigten Optionen). Er kann jedoch keine Pakete bereitstellen, da die Agenten sein Zertifikat ablehnen.

Folgendes habe ich bereits überprüft:

• Der Schlüssel ist auf dem Server in /var/www/ssl/ korrekt aufgeführt.
• Es kann Pakete erstellen (einschließlich des WAPT-Upgrades), aber nicht bereitstellen.
• Die von ihm erstellten Pakete können von anderen Benutzern nicht bereitgestellt werden.

Wie kann ich sicherstellen, dass mein Zertifikat auf jedem Agenten korrekt bereitgestellt wird, sodass dieser die Agenten verwalten kann und die erstellten Pakete bereitstellbar sind? Ich habe dazu bisher keine Informationen gefunden.

Vielen Dank im Voraus für Ihre wertvolle Hilfe.

Hallo,

besitzt jeder Benutzer ein Zertifikat? Handelt es sich um ein von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat (signiert von einer CA) oder um ein selbstsigniertes Zertifikat?

Der Prozess läuft im Allgemeinen wie folgt ab:

Für jede Entität (Standort) oder jeden Techniker wird ein Schlüssel generiert.
Das Zertifikat wird dem Benutzer in der Zugriffssteuerungsliste (ACL) zugewiesen, und anschließend wird das Feld „Bereitstellung des Benutzerzertifikats zulassen“ in der ACL konfiguriert.

Mithilfe des Administratorschlüssels (des Schlüssels mit den meisten Berechtigungen, Ihrem Hauptschlüssel) wird ein Zertifikatspaket erstellt (Privates Repository → Paketvorlage generieren → Zertifikatspaket), und das in das Paket einzufügende Zertifikat wird ausgewählt.

Dieses Zertifikatspaket kann dann auf die Rechner übertragen werden, auf die Ihr Techniker Zugriff hat.
Sobald das Paket auf dem Rechner bereitgestellt ist, wird der Rechner vom Techniker in der Konsole angezeigt (nicht vorher), und der Rechner akzeptiert Aktionen, die von diesem Zertifikat ausgehen.

Guten Morgen,

Vielen Dank für Ihre schnelle Antwort. Ja, jeder Benutzer erhält bei seiner ersten Anmeldung an der Konsole ein eigenes, selbstsigniertes Zertifikat. Bedeutet das, dass ich die .crt-Datei jedes Technikers abrufen und sie als Administrator über die Zugriffskontrolllisten (ACLs) auf die Konsole hochladen muss?

Bezüglich der Bereitstellung auf den Arbeitsstationen: Bedeutet das, dass ich bei 15 Technikern (zusätzlich zum Administrator) 15 Zertifikatspakete erstellen und diese auf den entsprechenden Rechnern bereitstellen muss? Stimmt das?

Sobald das Paket auf dem Rechner bereitgestellt ist, wird der Techniker den Rechner in der Konsole sehen (nicht vorher) und der Rechner wird die von diesem Zertifikat ausgehenden Aktionen akzeptieren.

Mein Techniker kann derzeit keine Pakete übertragen, aber er kann immer noch alle meine Testmaschinen sehen, was mir seltsam vorkam (aber nicht unlogisch).

alain17 schrieb: ↑17. Juni 2022 - 12:00 Uhr Hallo,

vielen Dank für Ihre schnelle Antwort. Ja, jeder Benutzer erhält bei seiner ersten Anmeldung an der Konsole ein eigenes, selbstsigniertes Zertifikat. Bedeutet das, dass ich die .crt-Datei jedes Technikers abrufen und sie als Administrator über die Zugriffskontrolllisten (ACLs) zur Konsole hinzufügen muss?

Bezüglich der Bereitstellung auf den Arbeitsstationen: Bedeutet das, dass ich bei 15 Technikern (zusätzlich zum Administrator) 15 Zertifikatspakete erstellen und diese auf den entsprechenden Rechnern verteilen muss? Stimmt das?

Ja, genau das ist es.

Die andere, manchmal einfachere Methode besteht darin, dies pro Entität durchzuführen (eine CA pro Entität):

- CA Global
---- Globaler Techniker 1
---- Globaler Techniker 2
- CA Paris Standort
---- Techniker Paris 1
---- Techniker Paris 2
- Standort Nantes, Kalifornien
---- Techniker Nantes 1
---- Techniker Nantes 2


Die Arbeitsstationen am Standort Nantes verfügen über den Nantes-Schlüssel und den globalen Schlüssel.
Die Stellenangebote auf der Pariser Website enthalten die Schlüsselbegriffe Paris und Global.

Wenn Sie über die Konsole Schlüssel für Ihre Techniker generieren, können Sie das übergeordnete Schlüsselsystem (die Autorität) angeben.

Für die Agenten gilt: Wenn ein Paket von den Kindern der Behörde unterschrieben wird, dann wird es angenommen.

Dieser Modus vermeidet die Installation des Zertifikats jedes Technikers auf jedem Rechner und installiert stattdessen nur die Berechtigungszertifikate.

alain17 schrieb: ↑17. Juni 2022 - 12:00
Mein Techniker kann derzeit keine Pakete übertragen, aber er kann alle meine Testmaschinen sehen, was mir seltsam vorkommt (aber nicht unlogisch).

Tatsächlich kann Ihr Techniker jetzt alles sehen, weil seine "View"-ACL im Modus "Allow any perimeter" eingestellt sein muss oder seine ACL auf Admin gesetzt ist.

Guten Morgen,

Ich habe es erneut mit dem CA-orientierten Ansatz versucht, der mir elegant erscheint. Daher bin ich wie folgt vorgegangen:

1. Ich habe ein CA-Zertifikat für die Organisation zur Verwaltung erstellt (selbstsigniert).
2. Ich habe für meinen Techniker ein Zertifikat erstellt, das vom Vorstand der Organisation unterzeichnet wurde.
3. Als Administrator habe ich ein Zertifikatspaket erstellt und mein CA-Zertifikat an alle notwendigen Rechner gesendet.
4. Ich agierte weiterhin als Administrator und signierte alle Pakete erneut mit dem CA-Zertifikat.
5. Ich habe einen Benutzer für meinen Techniker angelegt und ihm über die Zugriffskontrollliste (ACL) ein eigenes, von der Zertifizierungsstelle signiertes Zertifikat zugewiesen.
6. Auf der Workstation des Technikers habe ich das CA-Zertifikat über WAPT bereitgestellt, das Zertifikat und den Schlüssel des Technikers in das Verzeichnis "private" kopiert (es wird übrigens korrekt erkannt) und mich erfolgreich mit seinem Konto angemeldet.

Trotz all dem gelingt es mir immer noch nicht, Pakete korrekt bereitzustellen. Wenn ich Aktionen wie die Suche nach Updates oder den Start von Installationen durchführe, passiert nichts (es wird kein Task erstellt oder ausgeführt). Dabei habe ich doch eigentlich alles richtig gemacht, oder?

Ich habe auch versucht, Pakete mit einem zweiten Administrator zu senden, dessen zugewiesenes Zertifikat das der Zertifizierungsstelle ist, aber nichts funktioniert, keine Aktion wird ausgeführt, es sei denn, mein ursprünglicher Administrator tut dies... Ich gestehe, ich verstehe überhaupt nichts mehr.

Tatsächlich kann Ihr Techniker jetzt alles sehen, weil seine "View"-ACL im Modus "Allow any perimeter" eingestellt sein muss oder seine ACL auf Admin gesetzt ist.

Absolut, das erklärt es, danke.

Hallo nochmal,

ich bin ein Stück weitergekommen, indem ich eine andere Idee ausprobiert habe: Ich habe eine neue Version des WAPT-Upgrade-Pakets erstellt und sie mit der internen Zertifizierungsstelle (selbstsigniert) signiert. Dadurch wurden zwar alle Zertifikate bereitgestellt, aber das ursprüngliche Problem besteht weiterhin: Die Pakete lassen sich weder vom Techniker noch vom zweiten Administrator bereitstellen.

Ich gebe zu, ich bin langsam etwas verzweifelt. Ich habe viel Zeit mit dieser Konfiguration und der Fehlersuche verbracht (sogar mein Wochenende, da meine Ressourcen sehr begrenzt sind), und ich möchte das Problem unbedingt lösen, ohne alles mit einem einzigen Konto (und dann auch noch einem Administratorkonto!) verwalten zu müssen.

Sehen Sie auf den Maschinen, auf denen die Tests durchgeführt werden, im Zertifikatsmenü die von Ihnen erwähnten autorisierten Zertifikate (CA)?

Ja, absolut. Die Zertifikate sind tatsächlich auf den Rechnern installiert und werden im Tab „Zertifikate“ angezeigt, daher meine Verwirrung.

NACHTRAG: Das brachte mich auf eine Idee: Ich habe einen neuen Techniker mit einem neuen Zertifikat erstellt, dessen übergeordnetes Zertifikat das CA-Zertifikat meines Hauptadministrators ist. Der Vorgang war erfolgreich, und der neue Techniker kann die Zertifikate bereitstellen. Nun frage ich mich, warum die zweite CA nicht funktioniert.

NACHTRAG 2: Nun, nach einem Neustart aller Systeme funktioniert es. Ich weiß nicht, ob es am Zertifikatspaket oder an der Bereitstellung eines WAPT-Upgrade-Pakets lag, aber Hauptsache, es hat funktioniert.