Foro de TI tranquilo

WAPT1.3.13
Debian8
Win7&10
-----------------------
Hola,
realicé una actualización de prueba de la versión 1.3.13 a la 1.5. Funciona bastante bien. Sin embargo, me gustaría habilitar Kerberos por motivos de seguridad, pero obtengo este error:
ERROR FATAL: EWaptBadServerAuthentication: Falló la autenticación en el servidor https://....

Ya he visto este tema, pero no tengo problemas con el registro DNS SRV: viewtopic.php?t=1060 ¿
Cuándo debería habilitar Kerberos? ¿Es mejor hacerlo durante el postconf.sh inicial o más tarde? ¿
Funciona en Debian 9? Quizás sea una pregunta tonta, pero ¿cuál es el nombre de usuario/contraseña que debo ingresar al ejecutar apt-get register?
Gracias

Al habilitar Kerberos en el servidor, los agentes WAPT deben intentar registrarse mediante un ticket Kerberos.

Para que esto funcione, el agente debe tener `use_kerberos = 1` en su configuración

(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).

Al generar un agente desde la consola, la casilla de verificación "Usar Kerberos para el registro inicial" habilita esta opción en el archivo `waptagent.exe`.

Sí, ya revisé los archivos de configuración del servidor y del cliente, y el agente se genera correctamente.
Reinstalé y finalmente cambié a Debian 9.5.

Me aparece un nuevo error:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.

¿Es un problema de configuración de nginx?

De hecho, por el momento el panorama posterior a la conferencia no es muy limpio.

Debe iniciar postconf con la opción --use-kerberos
De lo contrario, la configuración de nginx no es adecuada para Kerberos

La autenticación Kerberos no me funciona en absoluto...
Seguí la documentación paso a paso:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)

Prueba 1:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 1 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
HTTPError: 403 Error: FORbidden para la URL: https://wapt.0861234a.lan//add_host_kerberos

Prueba 2:
Prueba en un cliente registrado con AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = False en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
EWaptBadServerAuthentication: Falló la autenticación en el servidor https://wapt.0861234a.lan para la acción add_host

Prueba 3:
Prueba en un cliente referenciado en AD (Computers) (use_kerberos = 0 en el cliente - use_kerberos = True, allow_unauthentificated_registration = True en el servidor):
wapt-get register -S
waptservice Usuario: (admin local)
Contraseña: ***
El inventario se envió al servidor WAPT (la máquina aparece correctamente en la consola

/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe tal archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...

Cliente de configuración:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0

Configuración del servidor: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true

[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True

En vista del mensaje de error
La configuración de nginx es mala
add_host_kerberos devuelve 403 si no se pasa --use-kerberos como opción (simplemente hice una corrección para que la postconf sea más limpia)

Comprueba tu configuración de nginx


Si esto está presente en /etc/nginx/sites-enabled/wapt.conf:
Entonces la postconf no se aplicó correctamente

Bien, acabo de ejecutar de
nuevo el comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
, y sí modifica el contenido de `/add_host_kerberos` en `/etc/nginx/sites-enabled/wapt.conf`.

Ahora tengo: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`.

Sin embargo, sigue sin funcionar... He vuelto a mi error inicial:
`EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos...`.

Para que quede claro, ¿el usuario de WaptService solicitado para el registro es realmente una cuenta de administrador local que debe proporcionarse? Lo intenté con el administrador del dominio y es lo mismo.

Sigo recibiendo este error:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" falló (2: No existe el archivo o directorio), cliente: IP, servidor: _, solicitud: "GET ...

---
Kinit funciona bien... klist también... msktutil OK - permisos OK.
Estamos de acuerdo en que debemos borrar el contenido del archivo /etc/krb5.conf y agregar esto:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.

Solo una cosa, el mensaje "Para verificar, el comando echo $(hostname) debería devolver la dirección DNS que usarán los agentes WAPT."
solo devuelve su nombre de máquina, es decir, wapt. ¿Es eso normal?

GRACIAS

James escribió: ↑20 de septiembre de 2018 - 17:02 Solo una cosa, el comando "Para verificar, la línea de comandos echo $(hostname) debería devolver la dirección DNS que usarán los agentes WAPT."
solo devuelve el nombre de la máquina, es decir, wapt, ¿es eso normal?

No
Como indica la documentación "echo $(hostname) debe devolver la dirección DNS que usarán los agentes WAPT"

De lo contrario, su serviceprincipalname no se registrará correctamente en el anuncio.

*Eliminar la cuenta de la máquina del servidor wapt en el anuncio
* Eliminar el ticket /etc/nginx/http-krb5.keytab

Ahora reinicie el procedimiento desde el principio con un nombre de dominio completo (FQDN) en su archivo /etc/hostname

Sí, el problema estaba efectivamente en el nombre de host.
Una última pregunta: ¿cómo registro ahora una máquina fuera de Active Directory? Gracias.

Hola James,

James escribió: ↑25 de septiembre de 2018 - 13:59 En efecto, el problema estaba en el nombre de host...
Una última pregunta: ¿cómo registro ahora una máquina fuera de Active Directory? Gracias

Se recomienda abrir un nuevo tema para un nuevo asunto. Cierro este por resuelto.

Atentamente,

Denis