Ruhiges IT-Forum

Hallo,

ich habe Wapt im cspn-toe-Modus installiert. Ich habe keinen Zugriff auf die Webseite des Servers (Fehler 401) – laut Forum ist das aber im cspn-toe-Modus normal. Die Agent-Datei (.exe) konnte ich erfolgreich herunterladen.

Ich möchte diesen Agent per Gruppenrichtlinie (GPO) bereitstellen. Allerdings werde ich aufgefordert, den Hash und weitere Parameter von der Serverwebseite zu kopieren: https://www.wapt.fr/fr/doc/wapt-deploy-agent.html#. Wie kann ich diesen Hash und die anderen Parameter abrufen, ohne die Webseite zu verwenden? Möglicherweise habe ich etwas in der Dokumentation zur GPO-Bereitstellung im cspn-toe-Modus übersehen.

Ich verwende Discovery Version 2.6.1.
Der Server läuft unter Debian 13.
Die Konsole ist auf einer Windows 11 VM installiert.

Vielen Dank für Ihre Hilfe und einen schönen Tag,

Mélyne

Hallo Mélyne,

der CSPN-Modus wird in der Discovery-Version nicht unterstützt. Daher müssen Sie im normalen Modus bleiben (der bereits über ein hohes Maß an Sicherheit verfügt, um die Integrität Ihrer Bereitstellungen zu gewährleisten).

Es stimmt jedoch, dass in der Dokumentation einige Details fehlen. Was den Agenten-Hash betrifft: Bei der Erstellung des Agenten wird dieser auf dem Rechner des Administrators abgelegt, der ihn erstellt hat. Sie müssen lediglich einen SHA256-Hash mit einem beliebigen Tool berechnen, das auf diesem Rechner verfügbar ist (z. B. 7-Zip).

Viele Grüße,

Denis

Hallo Mélyne,

ich möchte noch hinzufügen, dass der CSPN-TOE-Modus, wie der Name schon sagt, auf dem TOE (Target of Evaluation) der CSPN-Zertifizierung für WAPT basiert. Die CSPN-Zertifizierung ist zeitlich und budgetär begrenzt. Daher sind einige Funktionen, wie z. B. WADS, WaptWUA, sekundäre Repositories usw., nicht im TOE enthalten.

Sofern Sie sich nicht in einer Umgebung mit strengen Sicherheitsanforderungen befinden, ist die Installation im CSPN-TOE-Modus daher nicht empfehlenswert. Wenn Sie alle WAPT-Sicherheitsfunktionen korrekt implementieren, verfügen Sie bereits über eine sehr sichere Umgebung (gültiges HTTPS-Zertifikat, Kerberos-Authentifizierung für die Erstregistrierung der Workstations, Kerberos-Authentifizierung für Administratoren, Signaturschlüssel durch Adminsys usw.).

Viele Grüße,

Denis

Hallo,

vielen Dank für Ihr Feedback! Jetzt ist es viel klarer.

Ich habe es im Standardmodus neu installiert. Momentan bin ich noch im Erkennungsmodus, zumindest während dieser Testphase. Ich habe die Kerberos-Authentifizierung gewählt.
Die manuelle Installation des Agenten auf Windows-Client-Rechnern funktioniert, aber nicht per Gruppenrichtlinie (GPO), weder über eine geplante Aufgabe noch über ein Startskript. Die GPO wird korrekt bereitgestellt. Der Client-PC erscheint jedoch nicht in der Konsole, als ob die Bereitstellung nicht startet. Könnte die Kerberos-Authentifizierung das Problem sein? Sollte ich im Erkennungsmodus eine andere Authentifizierungsmethode wählen, damit die GPO-Bereitstellung funktioniert?

Vielen Dank (falls ich diesen Thread woanders starten sollte, geben Sie mir bitte Bescheid; meine Nachricht wäre im Agent/Konsolen-Bereich wahrscheinlich besser aufgehoben).

Beste Grüße,

Mélyne

Hallo Mélyne,

der Kerberos-Modus ist in Discovery nicht verfügbar.
Falls Sie sich in der Testphase befinden, können Sie beim Vertrieb eine temporäre Lizenz für einige Arbeitsstationen anfordern.

Viele Grüße,

Hubert