WAPT1.3.13
Debian8
Win7&10
-----------------------
Hola,
realicé una actualización de prueba de la versión 1.3.13 a la 1.5. Funciona bastante bien. Sin embargo, me gustaría habilitar Kerberos por motivos de seguridad, pero obtengo este error:
ERROR FATAL: EWaptBadServerAuthentication: Falló la autenticación en el servidor https://....
Ya he visto este tema, pero no tengo problemas con el registro DNS SRV: viewtopic.php?t=1060 ¿
Cuándo debería habilitar Kerberos? ¿Es mejor hacerlo durante el postconf.sh inicial o más tarde? ¿
Funciona en Debian 9? Quizás sea una pregunta tonta, pero ¿cuál es el nombre de usuario/contraseña que debo ingresar al ejecutar apt-get register?
Gracias
[RESUELTO] Problema de Kerberos
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Al habilitar Kerberos en el servidor, los agentes WAPT deben intentar registrarse mediante un ticket Kerberos.
Para que esto funcione, el agente debe tener `use_kerberos = 1` en su configuración
(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).
Al generar un agente desde la consola, la casilla de verificación "Usar Kerberos para el registro inicial" habilita esta opción en el archivo `waptagent.exe`.
Para que esto funcione, el agente debe tener `use_kerberos = 1` en su configuración
(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).
Al generar un agente desde la consola, la casilla de verificación "Usar Kerberos para el registro inicial" habilita esta opción en el archivo `waptagent.exe`.
Sí, ya revisé los archivos de configuración del servidor y del cliente, y el agente se genera correctamente.
Reinstalé y finalmente cambié a Debian 9.5.
Me aparece un nuevo error:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.
¿Es un problema de configuración de nginx?
Reinstalé y finalmente cambié a Debian 9.5.
Me aparece un nuevo error:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.
¿Es un problema de configuración de nginx?
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
De hecho, por el momento el panorama posterior a la conferencia no es muy limpio.
Debe iniciar postconf con la opción --use-kerberos
De lo contrario, la configuración de nginx no es adecuada para Kerberos
Debe iniciar postconf con la opción --use-kerberos
Código: Seleccionar todo
/opt/wapt/waptserver/scripts/postconf.sh --use-kerberosLa autenticación Kerberos no me funciona en absoluto...
Seguí la documentación paso a paso:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)
Prueba 1:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 1 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
HTTPError: 403 Error: FORbidden para la URL: https://wapt.0861234a.lan//add_host_kerberos
Prueba 2:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
EWaptBadServerAuthentication: Falló la autenticación en el servidor https://wapt.0861234a.lan para la acción add_host
Prueba 3:
Prueba en un cliente referenciado en AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = True en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
El inventario se envió al servidor WAPT (la máquina aparece correctamente en la consola
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe tal archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...
Cliente de configuración:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0
Configuración del servidor: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true
[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True
Seguí la documentación paso a paso:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)
Prueba 1:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 1 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
HTTPError: 403 Error: FORbidden para la URL: https://wapt.0861234a.lan//add_host_kerberos
Prueba 2:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
EWaptBadServerAuthentication: Falló la autenticación en el servidor https://wapt.0861234a.lan para la acción add_host
Prueba 3:
Prueba en un cliente referenciado en AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = True en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
El inventario se envió al servidor WAPT (la máquina aparece correctamente en la consola
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe tal archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...
Cliente de configuración:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0
Configuración del servidor: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true
[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
En vista del mensaje de error
La configuración de nginx es mala
add_host_kerberos devuelve 403 si no se pasa --use-kerberos como opción (simplemente hice una corrección para que la postconf sea más limpia)
Comprueba tu configuración de nginx
Si esto está presente en /etc/nginx/sites-enabled/wapt.conf:
Entonces la postconf no se aplicó correctamente
Código: Seleccionar todo
HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberosadd_host_kerberos devuelve 403 si no se pasa --use-kerberos como opción (simplemente hice una corrección para que la postconf sea más limpia)
Comprueba tu configuración de nginx
Si esto está presente en /etc/nginx/sites-enabled/wapt.conf:
Código: Seleccionar todo
location /add_host_kerberos {
return 403;
}
Bien, acabo de ejecutar de
nuevo el comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
, y sí modifica el contenido de `/add_host_kerberos` en `/etc/nginx/sites-enabled/wapt.conf`.
Ahora tengo: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`.
Sin embargo, sigue sin funcionar... He vuelto a mi error inicial:
`EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos...`.
Para que quede claro, ¿el usuario de WaptService solicitado para el registro es realmente una cuenta de administrador local que debe proporcionarse? Lo intenté con el administrador del dominio y es lo mismo.
Sigo recibiendo este error:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe el archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...
---
Kinit funciona bien... klist también... msktutil OK - permisos OK.
Estamos de acuerdo en que debemos borrar el contenido del archivo /etc/krb5.conf y agregar esto:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.
Solo una cosa, el mensaje "Para verificar, el comando echo $(hostname) debería devolver la dirección DNS que usarán los agentes WAPT."
solo devuelve su nombre de máquina, es decir, wapt. ¿Es eso normal?
GRACIAS
nuevo el comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
, y sí modifica el contenido de `/add_host_kerberos` en `/etc/nginx/sites-enabled/wapt.conf`.
Ahora tengo: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`.
Sin embargo, sigue sin funcionar... He vuelto a mi error inicial:
`EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos...`.
Para que quede claro, ¿el usuario de WaptService solicitado para el registro es realmente una cuenta de administrador local que debe proporcionarse? Lo intenté con el administrador del dominio y es lo mismo.
Sigo recibiendo este error:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe el archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...
---
Kinit funciona bien... klist también... msktutil OK - permisos OK.
Estamos de acuerdo en que debemos borrar el contenido del archivo /etc/krb5.conf y agregar esto:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.
Solo una cosa, el mensaje "Para verificar, el comando echo $(hostname) debería devolver la dirección DNS que usarán los agentes WAPT."
solo devuelve su nombre de máquina, es decir, wapt. ¿Es eso normal?
GRACIAS
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
No
Como indica la documentación "echo $(hostname) debe devolver la dirección DNS que usarán los agentes WAPT"
De lo contrario, su serviceprincipalname no se registrará correctamente en el anuncio.
*Eliminar la cuenta de la máquina del servidor wapt en el anuncio
* Eliminar el ticket /etc/nginx/http-krb5.keytab
Ahora reinicie el procedimiento desde el principio con un nombre de dominio completo (FQDN) en su archivo /etc/hostname
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola James,
Atentamente,
Denis
Se recomienda abrir un nuevo tema para un nuevo asunto. Cierro este por resuelto.
Atentamente,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
