[RESUELTO] Consola WAPT - Nuevo usuario (Enterprise)

[alain17]

Buen día,

Actualmente estoy realizando pruebas en una versión Enterprise como parte de mi evaluación del producto WAPT y he encontrado un problema para el cual no he encontrado solución. Por lo tanto, inicio este hilo aquí. Uso una versión Enterprise en Ubuntu 20.04 LTS para el servidor, y las estaciones de trabajo de implementación/administración ejecutan Windows 10.

Quiero permitir que varios administradores gestionen nuestra infraestructura de TI, compuesta por aproximadamente cien estaciones de trabajo. Esto soluciona el problema de las ausencias y la responsabilidad individual de implementar paquetes y actualizaciones. Para ello, creé una cuenta de usuario para uno de mis compañeros en la consola WAPT y le otorgué los privilegios necesarios (puede ver todas las opciones que necesita). Sin embargo, no puede implementar paquetes porque los agentes rechazan su certificado.

Esto es lo que ya he comprobado:

• Su clave está listada correctamente en el servidor en /var/www/ssl/
• Puede crear paquetes (incluida la actualización WAPT) pero no puede implementarlos
• Los paquetes que crea no pueden ser implementados por otros usuarios

¿Cómo puedo asegurarme de que mi certificado se implemente correctamente en cada agente para que pueda administrarlos y que los paquetes que crea sean implementables? No he encontrado ninguna opción.

Gracias de antemano por su valiosa ayuda.

[Sfonteneau]

Hola,

¿cada usuario tiene un certificado? ¿Es un certificado emitido por una autoridad (firmado por una CA) o es un certificado autofirmado?

Generalmente, el proceso es el siguiente:

Se genera una clave para cada entidad (sitio) o técnico.
El certificado se asigna al usuario en la ACL, y luego se especifica el campo "Permitir dónde se implementa el certificado de usuario" en la ACL.

Usando la clave de administrador (la clave con más privilegios, su clave maestra), se crea un paquete de certificados (Repositorio privado -> Generar una plantilla de paquete -> Paquete de certificados) y se selecciona el certificado que se insertará en el paquete.

Este paquete de certificados se puede luego enviar a las máquinas a las que su técnico tiene acceso.
Una vez que el paquete se implementa en la máquina, el técnico verá la máquina en la consola (no antes), y la máquina aceptará acciones originadas por este certificado.

[alain17]

Buen día,

Gracias por su pronta respuesta. Sí, cada usuario tiene su propio certificado autofirmado, generado al iniciar sesión por primera vez en la consola. ¿Significa esto que debo recuperar el archivo .crt de cada técnico y subirlo a la consola como administrador mediante las listas de control de acceso (ACL)?

Respecto a la implementación en estaciones de trabajo, ¿significa esto que si tengo 15 técnicos (además del administrador), necesito crear 15 paquetes de certificados e implementarlos en las máquinas necesarias? ¿Es correcto?

Una vez implementado el paquete en la máquina, el técnico verá la máquina en la consola (no antes) y la máquina aceptará las acciones que emanan de este certificado

Actualmente, mi técnico no puede enviar paquetes, pero aún puede ver todas mis máquinas de prueba, lo que me pareció extraño (pero no ilógico).

[Sfonteneau]

Hola,

gracias por su pronta respuesta. Sí, cada usuario tiene su propio certificado autofirmado generado al iniciar sesión por primera vez en la consola. ¿Significa esto que debo recuperar el archivo .crt de cada técnico y agregarlo a la consola como administrador mediante ACL?

Con respecto a la implementación en las estaciones de trabajo, ¿significa esto que si tengo 15 técnicos (además del administrador), debo crear 15 paquetes de certificados e implementarlos en las máquinas necesarias? ¿Es correcto?

Sí, eso es.

El otro método, a veces más sencillo, es hacerlo por entidad (una CA por entidad):

- CA Global
---- Técnico global 1
---- Técnico global 2
- Sitio de CA París
---- Técnico París 1
---- Técnico París 2
- Sitio de CA Nantes
---- Técnico Nantes 1
---- Técnico Nantes 2


Las estaciones de trabajo en el sitio de Nantes tienen la clave Nantes y la clave Global
Las posiciones en el sitio de París tienen la clave París y Global

Cuando genera claves a través de la consola para sus técnicos, puede especificar el padre (la autoridad).

Para los agentes, cuando un paquete está firmado por los hijos de la autoridad, entonces el paquete es aceptado.

Este modo evita implementar el certificado de cada técnico en cada máquina, implementando en su lugar solo las autoridades

Actualmente, mi técnico no puede enviar paquetes, pero puede ver todas mis máquinas de prueba, lo que me pareció extraño (pero no ilógico).

De hecho, su técnico puede ver todo ahora mismo porque su ACL "Ver" debe estar en modo "Permitir cualquier perímetro" o su ACL está configurada como administrador

[alain17]

Buen día,

Lo intenté de nuevo con el enfoque orientado a CA, que me parece elegante. Así que procedí de la siguiente manera:

1. Creé un certificado CA para que la organización lo administre (autofirmado)
2. Creé un certificado para mi técnico, firmado por la junta directiva de la organización
3. Como administrador, creé un paquete de certificados y envié mi certificado CA a todas las máquinas necesarias
4. Siguiendo actuando como administrador, volví a firmar todos los paquetes con el certificado CA
5. Creé un usuario para mi técnico y le asigné, vía ACL, su propio certificado firmado por la CA
6. En la estación de trabajo del técnico, implementé el certificado CA a través de WAPT, copié el certificado y la clave del técnico en el directorio "privado" (por cierto, se reconoce correctamente) e inicié sesión exitosamente con su cuenta

Sin embargo, después de todo eso, sigo sin conseguir que se implementen los paquetes correctamente. Al realizar acciones como buscar actualizaciones o iniciar instalaciones, no ocurre nada (no se crea ni se ejecuta ninguna tarea). Aun así, me parece que lo he hecho todo bien, ¿verdad?

También intenté enviar paquetes con un segundo administrador cuyo certificado asignado es el de la CA, pero nada funciona, no se ejecuta ninguna acción a menos que mi administrador inicial lo haga... Confieso que ya no entiendo nada.

De hecho, su técnico puede ver todo ahora mismo porque su ACL "Ver" debe estar en modo "Permitir cualquier perímetro" o su ACL está configurada como administrador

Absolutamente, eso lo explica, gracias

[alain17]

Hola de nuevo,

he avanzado un poco más probando otra idea que se me ocurrió: creé una nueva versión del paquete de actualización de WAPT y la firmé con la CA interna (autofirmada). Esto desplegó todos los certificados, pero no resolvió el problema inicial: los paquetes aún no pueden ser desplegados ni por el técnico ni por el segundo administrador.

Admito que estoy un poco desesperado; he dedicado mucho tiempo a esta configuración y a intentar comprender qué falla (incluido mi fin de semana, ya que mis recursos son muy limitados), y realmente quiero terminar con esto sin tener que usar una sola cuenta (¡y encima una cuenta de administrador!) para gestionarlo todo.

[Sfonteneau]

En las máquinas donde se realizan las pruebas, en la pestaña de certificados, ¿ves los certificados autorizados (CA) que mencionaste?

[alain17]

Sí, absolutamente. Los certificados están efectivamente implementados en las máquinas y aparecen en la pestaña "Certificados", de ahí mi confusión.

EDIT: Eso me dio una idea; creé un nuevo técnico con un nuevo certificado cuyo padre es el certificado CA de mi administrador principal. La operación fue exitosa y el nuevo técnico puede implementar. En este punto, me pregunto por qué la segunda CA no funciona.

EDIT 2: Bueno, después de reiniciar todo, funciona. No sé si fue el paquete de certificados el que surtió efecto o la implementación de un paquete de actualización de WAPT, pero lo importante es que funcionó.