[RESUELTO] [WAPT 1.8.2] Implementación mediante GPO y solicitud de contraseña de superadministrador

Comparta sus sugerencias o problemas relacionados con la consola WAPT o el agente WAPT aquí
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Bloqueado
ozsupport
Mensajes: 13
Inscripción: 6 de julio de 2020 - 16:52

6 de julio de 2020 - 17:40

Hola a todos.

Mi despliegue mediante GPO se inicia correctamente en mi máquina, pero parece estar atascado en un bucle, ya que nunca se detiene. Además, he configurado mi servidor para que requiera la contraseña de superadministrador durante el despliegue del agente. ¿

Cómo se configura esta contraseña durante el despliegue mediante GPO?

Sistema operativo del servidor: Debian 10.
Sistema operativo del cliente: Windows Server 2012R2.
Sistema operativo de la máquina de administración: Windows Server 2016.

Gracias de antemano por su ayuda y que tengan un buen día :)

. PA.
Última edición realizada por ozsupport el 22 de julio de 2020 a las 09:27, editado 2 veces.
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

6 de julio de 2020 - 21:02

ozsupport escribió: 6 de julio de 2020 - 17:40 Hola a todos.

Mi implementación mediante GPO se inicia correctamente en mi máquina, pero parece estar atascada en un bucle porque nunca se detiene. Además, configuré mi servidor para que requiera la contraseña de superadministrador durante la implementación del agente.

Entonces, ¿cómo se especifica esta contraseña durante la implementación mediante GPO?
De hecho, la instalación está esperando la contraseña para registrarse
Como regla general, el agente se modifica directamente:

https://github.com/tranquilit/WAPT/blob ... n.iss#L209

Código: Seleccionar todo

wapt-get register --wapt-server-user=admin --wapt-server-passwd=password
Luego reinicia la recreación de un agente.

¡Ten en cuenta que en términos de seguridad no es muy bueno, deberías preferir la autenticación Kerberos!
Alto
ozsupport
Mensajes: 13
Inscripción: 6 de julio de 2020 - 16:52

7 de julio de 2020 - 10:21

Buen día,

Así que sí, no está muy limpio, pero admitámoslo. :D

Nos preocupa que estemos tratando con una configuración multidominio sin conexión. ¿Es posible especificar que un usuario que accede a la consola WAPT mediante un enlace LDAP solo tenga derechos de integración de cliente en la consola?

Porque en principio podríamos perfectamente:
  • Modifique el agente.
    Genere los agentes.
    Modifique los agentes nuevamente para eliminar la contraseña.
    Genere los agentes nuevamente para evitar que alguien pueda recuperarlos.
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

8 de julio de 2020 - 09:17

ozsupport escribió: 7 de julio de 2020 - 10:21 AM Hola,

efectivamente, no es muy limpio, pero supongamos que lo es. :D

Nuestro problema es que estamos en un caso de múltiples dominios sin conexión.
Ningún problema:

https://www.wapt.fr/fr/doc/wapt-securit ... relación

El servidor WAPT no necesita acceso a Active Directory para que Kerberos funcione. Se requiere una cuenta independiente para el servidor WAPT en cada dominio.

Solo necesitas un teclado.

Para generar una tabla de claves sin que el servidor WAPT tenga acceso a AD:

https://www.wapt.fr/fr/doc/wapt-securit ... -directorio
Alto
ozsupport
Mensajes: 13
Inscripción: 6 de julio de 2020 - 16:52

15 de julio de 2020 - 17:51

¡Gracias por sus valiosos comentarios! Lo revisaremos muy pronto. :)

Sin embargo, si generamos el paquete correcto para la implementación mediante GPO para nuestros diferentes dominios y luego generamos un nuevo paquete con autenticación por contraseña, ¿seguirá siendo utilizable el paquete generado previamente con los archivos keytab?

Gracias de antemano. :)
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

16 de julio de 2020 - 23:02

El Waptagent no contiene los archivos keytab; el servidor los tiene. ;)

El Waptagent solo dispone de la información necesaria para registrarse (contraseña o Kerberos).
Alto
ozsupport
Mensajes: 13
Inscripción: 6 de julio de 2020 - 16:52

17 de julio de 2020 - 14:23

Estamos empezando a entender cómo funciona todo. :)
Sin embargo, si habilitamos la autenticación Kerberos, nos vemos obligados a tener máquinas que pertenezcan a un dominio; en ese caso, no podemos mezclar Kerberos y contraseñas, ¿verdad?

Además, como tengo dificultades con Kerberos, cuando la documentación menciona el caso de "Mi servidor WAPT no tiene acceso de escritura a un Active Directory", ¿se aplica también a "Mi servidor WAPT no tiene acceso a un Active Directory"?

Para aclarar, queremos que nuestro servidor WAPT sea un servicio independiente, que permita a los administradores conectarse desde un dominio principal a través de LDAP (eso está bien), y luego tenemos servidores en varios dominios sin conexión entre sí, y especialmente sin conexión LAN al servidor WAPT. Queremos implementarlo en estos dominios usando objetos de directiva de grupo (GPO).
Paralelamente, también tenemos algunos servidores de "servicios de soporte" que no están en ningún dominio. ¿

Llegaremos a eso algún día, o es este un caso de uso no contemplado?

D.
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

17 de julio de 2020 - 16:27

ozsupport escribió: 17 de julio de 2020 - 14:23 Estamos empezando a entender cómo funciona todo esto. :)
Sin embargo, si habilitamos la autenticación Kerberos, nos vemos obligados a tener máquinas que pertenezcan a un dominio; ¿no podemos combinar Kerberos y contraseñas en este caso?
Si Kerberos no funciona, wapt solicitará una contraseña para el registro.
ozsupport escribió: 17 de julio de 2020 - 14:23 Y también, porque estoy teniendo problemas con Kerberos, cuando la documentación menciona el caso de: "Mi servidor WAPT no tiene acceso de escritura a un Active Directory", ¿eso también se aplica a "Mi servidor WAPT no tiene acceso a un Active Directory"?
;)
ozsupport escribió: 17 de julio de 2020 - 14:23 Para darte algo de contexto, queremos que nuestro servidor WAPT sea un servicio independiente, permitiendo a los administradores conectarse desde un dominio principal a través de LDAP (eso está bien). Luego tenemos servidores en varios dominios sin conexión entre sí, y especialmente sin conexión LAN al servidor WAPT. Queremos implementarlo en estos dominios usando GPO.
Paralelamente, también tenemos algunos servidores de "servicios de soporte" que no están en ningún dominio. ¿

Alguna vez lograremos que esto funcione, o es un caso de uso no compatible?

D.
El servidor wapt no necesita ver el anuncio siempre que tenga una clave correcta.

Necesitarías dos agentes, uno con Kerberos y otro sin él
Alto
ozsupport
Mensajes: 13
Inscripción: 6 de julio de 2020 - 16:52

20 de julio de 2020 - 12:33

Bueno, definitivamente hay un problema en alguna parte...

Por el momento solo estoy probando con uno de los dominios que eventualmente necesitaré.
Tengo :
  • configuré mi archivo /etc/krb5.conf
  • He creado mi cuenta de ordenador en el dominio en cuestión
  • Se agregó el spn (y verificado por el registro de la computadora)
  • Creé mi tabla de claves (¿es normal tener /mapuser en el comando cuando es una cuenta de usuario?)
  • Subí mi keytab y cambié los permisos
  • Reinicié la postconferencia para activar Kerberos
pero con esto:
  • Mi GPO se aplica correctamente, el agente se instala y el servicio existe
  • El servicio no se inicia; tengo que iniciarlo manualmente
  • Tengo registros en el servidor WAPT que me indican que el FQDN en cuestión no se reconoce y que necesito "registrarlo primero"
  • Si intento registrarlo manualmente me pide login

Código: Seleccionar todo

PS C:\Users\Administrateur.XXXXXX\Downloads\PSTools> .\psexec.exe -s cmd

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>wapt-get register -ldebug
2020-07-20 12:27:20,569 DEBUG Default encoding : ascii
2020-07-20 12:27:20,569 DEBUG Setting encoding for stdout and stderr to cp850
2020-07-20 12:27:20,585 DEBUG Python path ['C:\\Program Files (x86)\\wapt', 'C:\\Program Files (x86)\\wapt', 'C:\\Progra
m Files (x86)\\wapt\\python27.zip', 'C:\\Program Files (x86)\\wapt\\DLLs', 'C:\\Program Files (x86)\\wapt\\lib', 'C:\\Pr
ogram Files (x86)\\wapt\\lib\\plat-win', 'C:\\Program Files (x86)\\wapt\\lib\\lib-tk', 'C:\\Program Files (x86)\\wapt',
'C:\\Program Files (x86)\\wapt\\lib\\site-packages', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\pywin32-227-py2
.7-win32.egg', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\win32', 'C:\\Program Files (x86)\\wapt\\lib\\site-pac
kages\\win32\\lib', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\Pythonwin']
2020-07-20 12:27:20,585 INFO Using local waptservice configuration C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,585 DEBUG Config file: C:\Program Files (x86)\wapt\wapt-get.ini
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o global auth
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG DB Start transaction
2020-07-20 12:27:20,601 DEBUG DB commit
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxxx.local.pem for rep
o wapt auth
2020-07-20 12:27:20,617 INFO Main repository: https://xxxxxx.xxxxxxxxxx.xx/wapt
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o wapt-host auth
2020-07-20 12:27:20,617 INFO User Groups:[]
2020-07-20 12:27:20,617 DEBUG WAPT base directory : C:\Program Files (x86)\wapt
2020-07-20 12:27:20,617 DEBUG Package cache dir : C:\Program Files (x86)\wapt\cache
2020-07-20 12:27:20,617 DEBUG WAPT DB Structure version;: 20200415
2020-07-20 12:27:20,631 DEBUG DB Start transaction
2020-07-20 12:27:20,631 DEBUG DB commit
Registering host against server: https://xxxxx.xxxxxxx.xx
2020-07-20 12:27:20,648 DEBUG DB Start transaction
2020-07-20 12:27:20,648 DEBUG DB commit
2020-07-20 12:27:20,678 DEBUG DB Start transaction
2020-07-20 12:27:20,678 DEBUG DB commit
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,976 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:21,039 DEBUG DB Start transaction
2020-07-20 12:27:21,039 DEBUG DB commit
2020-07-20 12:27:21,053 DEBUG Stores cert chain check in cache
2020-07-20 12:27:21,210 INFO Run "dmidecode -q"
2020-07-20 12:27:21,303 INFO dmidecode -q command returns code 0
2020-07-20 12:27:24,992 DEBUG Loading ssl context with cert C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.crt
and key C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.pem
2020-07-20 12:27:25,023 DEBUG Starting new HTTPS connection (1): cloud:443
2020-07-20 12:27:25,101 DEBUG https://xxxxxx.xxxxxxxxxx.xx:443 "POST /add_host HTTP/1.1" 401 41
Please get login for add_host:
Alto
Avatar de usuario
Sfonteneau
Experto en WAPT
Mensajes: 2312
Registrado: 10 de julio de 2014 - 23:52
Contacto :
Contacto Sfonteneau

20 de julio de 2020 - 14:55

Debes consultar con un psexec si un ticket se ha negociado correctamente:

Código: Seleccionar todo

psexec -s -i cmd
klist
Puedes hacer lo siguiente:

Código: Seleccionar todo

wapt-get register
¿Qué temas podrían ayudarte?

viewtopic.php?f=13&t=2428&p=7994&hilit=kerberos#p7994
Alto
Bloqueado

Volver a "Uso de WAPT (Consola, Agente) / Uso de WAPT (Consola, Agente)"


  • Para ir más allá con WAPT