Configuración del servidor WAPT con Kerberos sin necesidad de autenticación

[Rebecca S]

Versión del servidor WAPT: 1.8.0
Versión del agente WAPT: 1.8.0.6641
Versión de configuración de WAPT: 1.8.0.6641
Versión de implementación de WAPT: 1.8.0.6641
Estado de la base de datos: OK (1.8.0.0)

Sistema operativo del servidor: Linux/Debian 10.2
Sistema operativo de la máquina de administración/creación de paquetes: Windows 10

Buen día,

Actualmente estamos en la fase de prueba de la solución de la versión comunitaria WAPT antes de migrar a la versión Enterprise.

Seguí la siguiente configuración:

https://www.wapt.fr/fr/doc/wapt-securit ... 20máquinas

para autenticar máquinas a través de Kerberos antes de que se registren.

La configuración fue bien, pero me gustaría saber si hay alguna manera de configurar esta configuración sin tener que ingresar el ID de administrador para registrar la máquina.

auth_wapt.png (14 KB) Visto 9565 veces

¿Las credenciales deben colocarse en el archivo de configuración del servidor o en el archivo de configuración del cliente?

Intenté modificar el archivo de configuración del servidor /opt/wapt/conf/waptserver.ini estableciendo el valor allow_unauthenticated_registration = True

[opciones]
carpeta_waptwua = /var/www/waptwua
uuid_servidor = xxxxxxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx
clave_de_firma_del_cliente = /opt/wapt/conf/ca-xxxxxxxxxxxxxx.lan.pem
certificado_de_firma_de_clientes = /opt/wapt/conf/ca-xxxxxxxxxxxxx.lan.crt
contraseña_wapt = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = Verdadero
permitir_conexión_no_autenticada = Falso
permitir_registro_no_autenticado = Verdadero
clave_secreta = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Cuando inicio el servidor WAPT en modo de depuración, obtengo este resultado:

2020-01-31 10:55:08,558 DEBUG Traceback (última llamada):
Archivo "/opt/wapt/waptserver/server.py", línea 429, en register_host
valid_auth = auth_result y auth_result['auth_method'] en ['admin','passwd','ldap','kerb']
UnboundLocalError: variable local 'auth_result' referenciada antes de la asignación



Atentamente,

Rebeca

[Sfonteneau]

Buen día

Si desea habilitar Kerberos, debe establecer el valor

Código: Seleccionar todo

use_kerberos=1

en el agente en wapt-get.ini

A continuación, para verificar que la estación de trabajo esté negociando correctamente un ticket Kerberos, puede ejecutar psexec:

Código: Seleccionar todo

psexec -s cmd
wapt-get register
klist

Si ningún ticket menciona wapt, significa que su registro en el servidor wapt en AD no salió bien (probablemente un problema de SPN).

El nombre de usuario y la contraseña solo se solicitan si falla la autenticación Kerberos

[Rebecca S]

Aquí está la configuración de wapt-get.ini

[en general]
URL del repositorio=https://servidor-wapt/wapt
enviar_informe_de_uso=1
use_hostpackages=1
servidor_wapt=https:///servidor-wapt.lan
use_kerberos=1
comprobar_validez_de_certificados=1
verificar_certificado=0
reglas_de_repositorio_de_uso=0
dominiodns=
espera máxima del script GPO=180
tiempo de espera previo al apagado=180
hiberboot_enabled=0
[plantillas wapt]
URL del repositorio=https://store.wapt.fr/wapt
verificar_certificado=1

Después de ejecutar los comandos, aquí está el resultado:

wapt_client.png (51,27 KB) Visto 9554 veces

[Sfonteneau]

Parece que hay un problema con Wapt.

¿Podrías probar con esta versión:

https://wapt.tranquil.it/wapt/nightly/w ... -acfedbd8/?

[Rebecca S]

En otras palabras, ¿en lugar de usar https://wapt.tranquil.it/debian/wapt-1.8/ ? ¿

O simplemente un archivo específico?

[dcardón]

Hola RebeccaS,

hubo una regresión en la sección de registro de Kerberos en la versión 1.8.0 de WAPT. Esto se ha corregido en la versión 1.8.1. Si puedes actualizar, debería solucionarse tu problema.

Saludos,

Denis

[Rebecca S]

Hola,

acabo de volver a probar la nueva versión, pero sigo teniendo el mismo problema...

Y el problema aparece en cuanto se instala la consola de administración...

Saludos cordiales,

Rebecca.

[dcardón]

Es difícil diagnosticar el problema con la información limitada disponible.
* Registros del cliente (%WAPT_HOME%\log\waptservice.log)
* Registros del servidor (/var/log/waptserver.log o /var/log/daemon.log)
* Pruebe con `wapt-get register -l debug` en `psexec -i -s cmd.exe` usando la nueva versión 1.8.1.
Saludos,
Denis

[Rebecca S]

Buen día,

Aquí está la información que usted solicitó:
* registros del cliente (%WAPT_HOME%\log\waptservice.log)

Sirviendo en http://cliente:8088
2020-02-24 15:45:26,707 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
Obtener el índice de paquetes
u'2 paquete(s) en el d\xe9p\xf4t\nEl sistema es \xe0 día'
2020-02-24 15:45:38,444 [waptcore] ADVERTENCIA: El host del servidor es desconocido o no se conoce con este nombre FQDN (se conoce como Ninguno). Intentando registrar el equipo...
Controles de energía del sistema
2020-02-24 15:47:26,846 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:49:26,976 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:51:27,138 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:53:27,269 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:55:27,414 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:57:27,540 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 15:59:27,690 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)
2020-02-24 16:01:27,819 [waptws ] ADVERTENCIA Parámetros de conexión de Websocket: No se puede obtener el token de autenticación: Error en el servidor:
EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Regístrese primero.',)

* Registros del servidor (/var/log/waptserver.log o /var/log/daemon.log)

24 feb 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,331 [waptserver ] CRÍTICO Error en Get_websocket_auth_token EWaptAuthenticationFailure(u'UUID de host desconocido xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx. Regístrese primero.',)
24 feb 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,378 [waptws ] ADVERTENCIA Conexión SocketIO rechazada para uuid xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx, sid xxxxxxxxxxxxxxxxx: Conexión SocketIO no autorizada, token no válido: 400 Solicitud incorrecta: el navegador (o proxy) envía una solicitud que este servidor no pudo entender., instancia

* Pruebe un comando `wapt-get register -l debug` en un `psexec -i -s cmd.exe` con la nueva versión 1.8.1

waptgerregister.png (112,83 KB) Visto 9387 veces

Para tu información:

wapt-get.ini (Cliente)

[en general]
repo_url=https://servidorwapt/wapt
enviar_informe_de_uso=1
use_hostpackages=1
servidor wapt=https://servidor wapt
use_kerberos=1
comprobar_validez_de_certificados=1
verificar_certificado=0
reglas_de_repositorio_de_uso=0
dominiodns=
espera máxima del script GPO=180
tiempo de espera previo al apagado=180
hiberboot_enabled=0
[plantillas wapt]
URL del repositorio=https://store.wapt.fr/wapt
verificar_certificado=1

/etc/nginx/nginx.conf

ubicación /add_host_kerberos {
auth_gss activado;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
contraseña de proxy http://127.0.0.1:8080;
}


/opt/wapt/conf/waptserver.ini

[opciones]
carpeta_waptwua = /var/www/waptwua
uuid_servidor = xxxxxxxxx-xxxxxxxx--xxxxxxxx-xxxxxx
clave_de_firma_del_cliente = /opt/wapt/conf/ca-waptserver.pem
certificado_de_firma_de_clientes = /opt/wapt/conf/ca-waptserver.crt
contraseña_wapt = $xxxxxxXXXXXXXXXXXXXXXxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = Verdadero
permitir_conexión_no_autenticada = Falso
clave_secreta = xxxxxxxxxxxxxxXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx


Atentamente,

Rebeca.

[Sfonteneau]

Código: Seleccionar todo

#2>     Client : mypc$ @ DOMAIN.LAN
        Serveur : HTTP/srvwapt.domain.lan @ DOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a80000 -> forwardable renewable pre_authent 0x80000
        Heure de démarrage : 2/24/2020 23:57:17 (Local)
        Heure de fin :   2/25/2020 8:23:21 (Local)
        Heure de renouvellement : 3/2/2020 22:23:21 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.domain.lan

Después de registrarse en psexec, ¿tiene un ticket para srvwapt (como se indica arriba)?