Hola,
hemos habilitado la autenticación Kerberos para WAPT, así como la verificación de certificados, por lo que tenemos lo siguiente en nuestro archivo wapt-get.ini:
wapt-get.ini;use_kerberos=1
wapt-get.ini;verify_cert=C:\Program Files (x86)\wapt\ssl\server\ca.crt
Esto funciona perfectamente siempre que estemos usando una máquina con una conexión DJOIN preparada.
El problema surge con máquinas que no pertenecen al dominio.
Una vez que las máquinas que no pertenecen al dominio se implementan a través de WAPT, el agente no puede conectarse a WAPT automáticamente. Por lo tanto, tenemos que ir a la máquina y ejecutar "wapt-get register". Allí, se nos solicitan las credenciales de inicio de sesión del administrador de WAPT. Una vez iniciada la sesión, todo está en orden; la máquina aparece en WAPT y le enviamos el paquete de configuración asociado con su OU ficticia.
Dos preguntas:
- ¿Podemos hacer que estas máquinas se autentiquen en WAPT automáticamente a pesar de Kerberos y sin bajar el nivel de seguridad?
¿Podemos garantizar que el paquete de configuración (tenemos dos diferentes según la máquina) se asigne automáticamente (en función del nombre de la máquina o durante la configuración de la implementación en la consola WAPT, por ejemplo)?
Saludos.
Registro de máquinas fuera del dominio en WAPT mediante Kerberos
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Buen día,
Hay dos soluciones para que los agentes se registren automáticamente:
- Autenticación Kerberos para máquinas de dominio
- sin autenticación
La solución de autenticación de usuario/contraseña no es automática.
Para la segunda pregunta, es posible crear un paquete que instale otros paquetes (metapaquete) bajo ciertas condiciones:
O :
Este paquete podría incluirse en un grupo de paquetes principales.
Buen día,
Bertrand
Hay dos soluciones para que los agentes se registren automáticamente:
- Autenticación Kerberos para máquinas de dominio
- sin autenticación
La solución de autenticación de usuario/contraseña no es automática.
Para la segunda pregunta, es posible crear un paquete que instale otros paquetes (metapaquete) bajo ciertas condiciones:
Código: Seleccionar todo
# -*- coding: utf-8 -*-
from setuphelpers import *
def install():
if get_hostname().startswith('test'):
WAPT.install('préfixe-paquetconftest')Código: Seleccionar todo
# -*- coding: utf-8 -*-
from setuphelpers import *
def install():
if get_hostname().startswith('test'):
inifile_writestring(WAPT.config_filename, "global", "host_organizational_unit_dn", "OU=test,DC=hors_domaine")
Este paquete podría incluirse en un grupo de paquetes principales.
Buen día,
Bertrand
¿Cómo se instalan actualmente los agentes fuera del dominio? ¿Con otra herramienta de implementación o manualmente?
Para la autenticación con nombre de usuario y contraseña, es posible crear una cuenta dedicada (ACL específica) para el registro del agente. Si la instalación se realiza manualmente, se requiere un comando adicional para registrar el agente ("wapt-get register" y luego introducir el nombre de usuario y la contraseña).
Alternativamente, puede crear un script utilizando la siguiente línea de comando (contraseña de usuario en la línea de comando):
Para la autenticación con nombre de usuario y contraseña, es posible crear una cuenta dedicada (ACL específica) para el registro del agente. Si la instalación se realiza manualmente, se requiere un comando adicional para registrar el agente ("wapt-get register" y luego introducir el nombre de usuario y la contraseña).
Alternativamente, puede crear un script utilizando la siguiente línea de comando (contraseña de usuario en la línea de comando):
Código: Seleccionar todo
wapt-get register --wapt-server-user=WAPT_SERVER_USER --wapt-server-passwd=WAPT_SERVER_PASSWD
