[RESUELTO] AUTOSERVICIO: Una operación ha fallado

[skoizer]

Buen día,
Migramos de wapt 2.2 a 2.5.5
Los agentes en Windows también han migrado.
Hemos cambiado a HTTPS con verificación del certificado del servidor (configuración del agente a continuación)

Si un usuario o administrador intenta instalar un paquete mediante autoservicio
Tenemos una ventana con este mensaje de error

Código: Seleccionar todo

Avertissement
"An operation has failed do you want to force the installation/removed
Operation:Installation de Toto-naps2 (tâche #60)

la conferencia de mi agente

Código: Seleccionar todo

[global]
use_hostpackages=1
repo_url=https://srvwapt.local.lan/wapt
wapt_server=https://srvwapt.local.lan
verify_cert=C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
use_repo_rules=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
waptservice_admin_filter=True
limit_bandwidth=500
use_kerberos=1
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
include_dmi_inventory=1
include_wmi_inventory=1
maturities=PROD,PREPROD,DEV

[skoizer]

en los registros

Código: Seleccionar todo

C:\Program Files (x86)\wapt\log\waptservice.log

Código: Seleccionar todo

Erreur lors de l'installation de ['toto-naps2']: erreurs dans les paquets [[('https://srvwapt.toto.lan/wapt/toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt', 'Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'), None], [PackageRequest(package='toto-naps2',architectures=['x64'],locales=['fr'],maturities=['PROD', 'PREPROD', 'DEV'],tags=['windows-10', 'win-10', 'w-10', 'windows10', 'win10', 'w10', 'windows', 'win', 'w'],min_os_version=Version('10.0.22631'),max_os_version=Version('10.0.22631')), PackageEntry('toto-naps2','7.5.1-1' architecture='x64',maturity='PROD',target_os='windows'), 'Traceback (most recent call last):\n  File "C:\\Program Files (x86)\\wapt\\common.py", line 5347, in install\n    raise EWaptDownloadError(\'Package file %s not downloaded properly.\' % p.filename)\nwaptpackage.EWaptDownloadError: Package file toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt not downloaded properly.\n']]

[Sfonteneau]

Buen día

La comprobación de la conexión HTTPS no funciona

¿El siguiente archivo aparentemente ha sido eliminado?

Código: Seleccionar todo

 C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt 

[skoizer]

No, el certificado existe en las PC en "C:\Archivos de programa (x86)\wapt\ssl\server"

[Sfonteneau]

Qué extraño, ¿puedes escribir este comando en la máquina?

Código: Seleccionar todo

type  "C:\Program Files (x86)\wapt\\ssl\server\srvwapt.local.lan.crt"

Para estar seguro

El servicio Wapt indica claramente:

Código: Seleccionar todo

Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'

[skoizer]

Si intento esto

Escriba "C:\Archivos de programa (x86)\wapt\ssl\server\srvwapt.local.lan.crt"

Puedo ver los datos del archivo mostrados correctamente.



en los registros
C:\Archivos de programa (x86)\wapt\log\waptservice.log

2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Creando cliente socketio: https://srvwapt.local.lan:443 certificado de autenticación del cliente: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxies: Ninguno verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Conectando Socketio a https://srvwapt.local.lan:443
2024-09-25 17:37:40,943 [waptws SocketIOClient 8764] WARNING Excepción ConnectionError('Error de conexión'), esperando 60 s antes de reintentar

[skoizer]

Acabo de notar un problema si me conecto al servidor a través de la interfaz web https://srvwapt.local.lan
Olvidé la P en wapt...

Tengo un error en el certificado autofirmado del servidor web WAPT; tiene dos nombres comunes
Nombre común: srvwapt.local.lan
Nombre común: srvwat.local.lan

El copiado a las PC tiene el mismo error
Nombre DNS=srvwapt.local.lan
Dirección IP=xxx73
Nombre DNS=srvwat.local.lan


Este es el certificado nginx autofirmado de cuando creamos el servidor WAPT
Encontré la información sobre la configuración de nginx aquí: /etc/nginx/sites-enabled/wapt.conf
El certificado y la clave se encuentran aquí: /opt/wapt/waptserver/ssl/

No entiendo por qué tengo un certificado diferente en el archivo de configuración del servidor WAPT
se encuentra aquí: /opt/wapt/conf/waptserver.ini

Código: Seleccionar todo

clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.fr.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://s09wapt-srv.local.lan/wapt/ssl/ca-s09wapt-srv.local.lan.fr.crl

[skoizer]

Corto
Firmé los certificados con mi supervisor y los cargué en nginx
Reinicio nginx y funciona, puedo ver el certificado correcto en HTTPS

Recuperé cert.pem y lo puse aquí "C:\Archivos de programa (x86)\wapt\ssl\server\srvwapt.local.lan.crt"
Lo mismo con verify_cert=1

Sigo recibiendo errores en el cliente wapt "C:\Archivos de programa (x86)\wapt\log"

2024-09-25 18:32:49,201 [waptws SocketIOClient 23868] ADVERTENCIA Excepción ConnectionError('Error de conexión'), esperando 60 s antes de reintentar
2024-09-25 18:33:18,261 [waptcore WaptTaskManager 10532] ADVERTENCIA No se puede actualizar el estado del servidor: 400 Error del cliente: Solicitud incorrecta para la URL: https://srvwapt.local.lan/update_host
2024-09-25 18:33:18,261 [wapttasks WaptTaskManager 10532] ADVERTENCIA El host en el servidor no se conoce o no se conoce bajo este nombre FQDN (conocido como None). Intentando registrar el equipo...
2024-09-25 18:33:19,708 [wapttasks WaptTaskManager 10532] ADVERTENCIA No se puede actualizar el estado del servidor: GSSAPIProxy requiere la biblioteca Python gssapi: No hay ningún módulo llamado 'gssapi'
2024-09-25 18:33:19,709 [wapttasks WaptTaskManager 10532] INFORMACIÓN No se puede actualizar el estado del servidor: Sin respuesta
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFORMACIÓN Los parámetros de conexión de Socketio han cambiado. Socketio necesita reconectarse
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO Creando cliente socketio: https://srvwapt.local.lan:443 certificado de autenticación del cliente: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxies: Ninguno verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 18:33:49,218 [wapttasks SocketIOClient 23868] INFO Conectando Socketio a https://srvwapt.local.lan:443
2024-09-25 18:33:49,235 [waptws SocketIOClient 23868] WARNING Excepción ConnectionError('Error de conexión'), esperando 60 s antes de reintentar

iniciar sesión en nginx para una PC

10.9.3.3 CN=4c4c4544-0058-3810-8032-b2c04f523434 FALLÓ: certificado autofirmado - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.3 - NINGUNO - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.3 - NINGUNO - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Licencia empresarial tipo 1500

[Sfonteneau]

Veo en tu presentación que tienes

Código: Seleccionar todo

use_kerberos=1

En su caso, la configuración de Kerberos no parece funcionar

Puedes seguir: https://www.wapt.fr/fr/doc-2.3/wapt-sec ... e-kerberos

[skoizer]

Buen día,
Gracias por tu respuesta.
Sí, he habilitado Kerberos

Pero como usamos un alias DNS para todo y el servidor está registrado con un nombre diferente, no funciona.
Eliminé la opción Kerberos

/opt/wapt/conf/waptserver.ini

[opciones]
secret_key = AEi2u6TD7XTGwlyDdrjkCwYtvCGk6zJ3ER4gjfyZ6rZoMxdJQtRvXgUMEwLlvibT
server_uuid = 29600a76-e04e-11ed-b4e3-005056bcfc82
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite
wapt_password = $pbkdf2-sha256$29000$3rv3HgNgTMmZM8bYO2eM8Q$sZoG5FmdqcXxhKIM6i.GBVAR7neQisG9JvIPLuiY0Ao
waptwua_folder = /var/www/waptwua
allow_unauthenticated_registration = True
allow_unauthenticated_connect = True
clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
wapt_admin_group = WAPT_ADMIN
ldap_auth_server = mondc.local.lan.fr
ldap_auth_base_dn = DC=local,DC=lan
ldap_auth_ssl_enabled = False
token_secret_key = uSFS1mfW8l8wzJghdpMiKusI4qXVKhGUDuD6V9qkKvgr8DJqCW7CB1Vsyq3wkO7J
use_kerberos = False
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://srvwapt.local.lan/wapt/ssl/ca-s0 ... al.lan.crl
ssl_additional_crls = /var/www/ssl
wads_enable = False
waptwua_enable = False

systemctl reiniciar wapt*

Siempre cometo errores

10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FALLÓ: certificado autofirmado - [26/Sep/2024:09:44:35 +0200] "GET /wapt-host/4c4c4544-0058-3810-8032-b2c04f523434.wapt HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FALLÓ: certificado autofirmado - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

En la consola veo la PC 10.9.3.16 conectada
Pero está duplicado en este... lo cual no es bueno

UUID 4C4C4544-0058-3810-8032-B2C04F523434
UUID de la nueva PC: 4c4c4544-0058-3810-8032-b2c04f523434