Ruhiges IT-Forum

Hallo zusammen,

Infrastrukturbeschreibung:
Debian 12 Server,
eingebunden in Active Directory (über Winbind)
, tis-waptserver 2.6.1.17705-092e11fc-amd64
(WAPT-Server und WAPT-Repository

. Client 1: Debian 13
außerhalb von Active Directory (lokales Konto),
tis-waptagent 2.6.1.17705-092e11fc-
, tis-waptagent-gui 2.6.1.17705-092e11fc-amd64.

Client 2: Debian 13, eingebunden
in Active Directory (über Winbind)
-waptagent 2.6.1.17705-092e11fc-amd64,
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64.

In meinem privaten Repository befinden sich vier Linux-Anwendungen sowie ein „Self-Service“-Paket. Zwei dieser Anwendungen wurden über die Benutzergruppe (eine lokale Gruppe auf Client1, die meinem Benutzer angehört) bereitgestellt.
Dieses Self-Service-Paket ist nur auf Client1 installiert.
In der Self-Service-Oberfläche von Client1 werden mir die beiden über das Paket bereitgestellten Anwendungen angezeigt – und nur diese.
Auf Client2 hingegen werden weder das Self-Service-Paket noch die Anwendungen über die Konsole bereitgestellt, dennoch sind in der Self-Service-Oberfläche alle vier Anwendungen im Repository vorhanden. Ist das normal?

Beide Clients besitzen das Zertifikat, mit dem die vier Pakete signiert wurden.

Robocop schrieb: ↑12. Feb. 2026 - 14:34 Uhr Allerdings werden auf "Client 2" weder die Self-Service-Plattform noch irgendeine der Anwendungen über die Konsole bereitgestellt, die 4 Anwendungen jedoch in der Benutzeroberfläche der Self-Service-Plattform im Repository angezeigt. Ist das normal?

Ist der Benutzer Mitglied von root, sudo oder wheel?

Simon

Ja, das ist es.

Um die Paketfilterung für lokale Administratoren zu aktivieren, setzen Sie den folgenden Parameter in der WAPT-Konfiguration: `waptservice_admin_filter = True`. Dadurch wird sichergestellt, dass lokale Administratoren nur Pakete sehen, für deren Installation sie explizit autorisiert sind. Da Administratoren jedoch technisch gesehen den Parameter `waptservice_admin_filter` selbst ändern können, dient diese Einstellung lediglich der Anzeige und nicht der Sicherheit.

Perfekt, vielen Dank.
Aus Neugier: Verhält es sich unter Windows genauso? Sind alle Pakete für Benutzer der Gruppe BUILTIN\Administratoren sichtbar?

Bedeutet das, dass die einzige Möglichkeit, die Ausführung eines Pakets (z. B. eines lizenzpflichtigen) auf dem Rechner eines Administrators zu verhindern, die Verwendung eines dedizierten Zertifikats ist?

Robocop schrieb: ↑12. Feb. 2026 - 14:59 Uhr Aus Neugier: Ist das Verhalten unter Windows identisch? Werden einem Benutzer, der Mitglied von BUILTIN\Administrators ist, alle Pakete angezeigt?

Ja

Robocop schrieb: ↑12. Feb. 2026 - 14:59 Uhr Wäre die einzige Lösung, um die Ausführung eines Pakets (z. B. eines lizenzpflichtigen Pakets) auf dem Rechner eines Administrators zu verhindern, die Verwendung eines dedizierten Zertifikats?

Nein, das ist auch keine Lösung, da der Administrator das Paket weiterhin herunterladen und die Installation manuell durchführen kann (schließlich ist er ja Administrator). Ein Administrator ist ein Administrator

Daher ist es am besten, sensible Daten zu verschlüsseln:

https://www.wapt.fr/fr/doc/wapt-create- ... se-feature

Mit diesem System kann selbst der Administrator einer Workstation die verschlüsselten Daten nicht abrufen, wenn das Datenpaket nicht für diese Maschine bestimmt ist.