Instalación en una estructura grande y específica

Preguntas sobre el servidor WAPT / Solicitudes y ayuda relacionadas con el servidor WAPT
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Bloqueado
Benjamín
Mensajes: 8
Inscripción: 25 de agosto de 2016 - 18:53

12 de noviembre de 2016 - 8:59 AM

Buen día,

Te respondo muy tarde, pero las cosas están avanzando a su propio ritmo aquí.

Gracias a todos sus útiles consejos, pude ejecutar mis pruebas en VirtualBox sin problemas y pude hacer una presentación/demostración a mis superiores. Agradecieron la herramienta y aprobaron la configuración de un experimento antes de una posible implementación en el mundo real.
A continuación, lanzamos una prueba en condición de establecimiento y funciona perfectamente en las condiciones mencionadas anteriormente en posts anteriores (servidor central que sirve como repositorio central, repositorio local en establecimiento para grupos y máquinas locales, y repositorio secundario sincronizado con el central, clientes configurados para estos 2 repositorios).

Espero poder organizar capacitaciones sobre el producto para mis colegas y para mí, e incluso contar con un servicio de implementación del sistema, incluyendo servicios para migrar de SE3 a Samba4. Pero eso es otro tema, y ​​antes de eso, necesito proporcionar información adicional.

Por lo tanto, a raíz de estas pruebas "reales" y las peticiones de mis superiores, tengo algunas preguntas respecto al uso previsto:
  • - ¿ Hay alguna forma de crear certificados en masa (a través de la línea de comandos desde el servidor, por ejemplo) para que se puedan generar con anticipación para todos los sitios, y luego indicar a los servidores/consolas/clientes locales que utilicen estos certificados en lugar de tener que generar uno durante la instalación de la consola local? Creo que sí, pero preferiría pedirte que consigas el comando o algunas indicaciones.
    - Otra pregunta muy importante en nuestro caso: ¿hay alguna forma en los servidores locales de las instituciones de prohibir el uso de las funciones "importar desde internet" e "importar desde archivo" para garantizar que las personas autorizadas a usar las consolas no puedan obtener paquetes "no autorizados" a través de internet? Puedo ver una forma de permitir nuestro repositorio solo a través de un firewall, pero preferiría que esta función no se pudiera usar.
    - Para confirmar, la diferencia entre usar el repositorio secundario central e importar manualmente desde él a través de la consola es: En el primer caso, una actualización de paquete se implementará automáticamente en las instalaciones sin intervención humana una vez que se haya realizado el rsync entre los repositorios central y secundario. En el segundo caso, donde el paquete actualizado se importa manualmente a una consola local, no se actualizará porque se considera un paquete nuevo con la firma local. ¿Es correcto?
    Además, para confirmar, un certificado perdido es irrecuperable; en este caso, ¿se debe generar uno nuevo y reimportar todos los paquetes para que adopten la nueva firma? (Esto me parece obvio, pero me gustaría confirmarlo).
Gracias por su invaluable ayuda pasada y futura.
@micalement,

Benjamín
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

13 de noviembre de 2016 - 21:24

Benjam escribió:Buen día,

Te respondo muy tarde, pero las cosas están avanzando a su propio ritmo aquí.

Gracias a todos sus útiles consejos, pude ejecutar mis pruebas en VirtualBox sin problemas y pude hacer una presentación/demostración a mis superiores. Agradecieron la herramienta y aprobaron la configuración de un experimento antes de una posible implementación en el mundo real.
A continuación, lanzamos una prueba en condición de establecimiento y funciona perfectamente en las condiciones mencionadas anteriormente en posts anteriores (servidor central que sirve como repositorio central, repositorio local en establecimiento para grupos y máquinas locales, y repositorio secundario sincronizado con el central, clientes configurados para estos 2 repositorios).

Espero poder organizar capacitaciones sobre el producto para mis colegas y para mí, e incluso contar con un servicio de implementación del sistema, incluyendo servicios para migrar de SE3 a Samba4. Pero eso es otro tema, y ​​antes de eso, necesito proporcionar información adicional.

Por lo tanto, a raíz de estas pruebas "reales" y las peticiones de mis superiores, tengo algunas preguntas respecto al uso previsto:
  • ¿Existe alguna forma de crear certificados de forma masiva (por ejemplo, mediante la línea de comandos del servidor) para que se generen con antelación para todos los sitios y, posteriormente, indicar a los servidores, consolas y clientes locales que utilicen estos certificados en lugar de tener que generarlos durante la instalación en la consola local? Creo que sí, pero preferiría que me proporcionaras el comando o algunas indicaciones.
¡Estamos usando OpenSSL, así que sí!
Benjam escribió: - Otra pregunta muy importante en nuestro caso: ¿hay alguna manera en los servidores locales de las instituciones de prohibir el uso de las funciones "importar desde internet" e "importar desde archivo" para garantizar que las personas autorizadas a usar la consola no puedan obtener paquetes "no autorizados" a través de internet? Entiendo cómo permitir el acceso a nuestro repositorio solo a través de un cortafuegos, pero preferiría que esta función no estuviera disponible.
Bueno ahí es donde se complica, porque no es algo que yo sepa y no es algo estandarizado.
Acabo de ser contratado en tranquil.it y sé que el caso que desea montar está en marcha y creo que quizás podamos ofrecerle algo.

Te sugiero que te pongas en contacto con Vincent Cardon de tranquil.it; él podrá responder a tu pregunta.
Benjam escribió: - Para confirmar, la diferencia entre usar el repositorio secundario central e importar manualmente desde él a través de la consola es la siguiente: En el primer caso, una actualización de paquete se implementará automáticamente en las instalaciones sin intervención humana una vez que se haya completado la sincronización (rsync) entre los repositorios central y secundario. En cambio, en el segundo caso, donde el paquete actualizado se importa manualmente a una consola local, no se actualizará porque se considerará un paquete nuevo con una firma local. ¿Es correcto?
¡Eso es todo!
Benjam escribió: - Además, para confirmar, ¿un certificado perdido es irrecuperable de forma permanente? En ese caso, ¿es necesario generar uno nuevo y volver a importar todos los paquetes para que adopten la nueva firma? (Me parece obvio, pero me gustaría confirmarlo).
¡Sí, eso es!
Benjam escribió: Gracias por su inestimable ayuda, tanto pasada como futura.
Atentamente,

Benjam.
Alto
Benjamín
Mensajes: 8
Inscripción: 25 de agosto de 2016 - 18:53

14 de noviembre de 2016 - 7:00 AM

Hola y gracias por sus respuestas, que confirman lo que pensaba.

Respecto a OpenSSL, revisaré con más detalle la generación masiva de todos los certificados y los procedimientos necesarios (copiarlos a privado y SSL, supongo, y especialmente cómo automatizar la implementación del cliente con este certificado) en consolas remotas para que puedan usarlo.
Todavía no lo estamos implementando en nuestras instituciones, así que no hay prisa, pero es para preparar un pequeño script con anticipación para cuando llegue el momento.

Gracias también por las confirmaciones.

Respecto al problema de las funciones de importación bloqueadas desde otros repositorios, me pondré en contacto con Vincent nuevamente.
En cualquier caso, nosotros (mis superiores y/o yo) necesitamos contactarlo pronto sobre Samba4/WAPT/Creación de paquetes, y aprovecharé la oportunidad para pedirle una solución a este problema, que podría ser un verdadero obstáculo para la implementación de esta solución para mis superiores.

Gracias nuevamente por sus respuestas.
Saludos cordiales,

Benjam
Alto
Bloqueado

Regresar a "Servidor WAPT"


  • Para ir más allá con WAPT