Página 1 de 1
[RESUELTO] Mejora necesaria en el agente Linux
Publicado: 7 de octubre de 2020 - 16:56
por Vincent Lucy
Buen día,
Nuestra ONG tiene aproximadamente el 70% de sus sistemas en Linux. Adquirimos una licencia profesional, pero, por consiguiente, gran parte de nuestros sistemas no están gestionados por WAPT debido a las limitaciones actuales
- El paquete del agente en Ubuntu (por ejemplo) aún no está completamente desarrollado. A continuación, describimos lo que añadimos tras la instalación y que podría integrarse en el paquete o ser compatible con dpkg
- La falta de gestión de sesiones de usuario es un inconveniente: estamos intentando unir las estaciones de trabajo Linux al dominio AD Samba, pero por ahora no hay ningún valor añadido, mientras que nos gustaría automatizar la configuración de varios programas de software en Linux: Firefox, Thunderbird, Gnome, Nautilus, Nextcloud...
Estas son las acciones que estamos realizando actualmente para instalar el agente WAPT:
Código: Seleccionar todo
apt install apt-transport-https lsb-release gnupg
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg | apt-key add -
echo "deb https://srvwapt-pro.tranquil.it/entreprise/ubuntu/wapt-1.8/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list
cat >> /etc/apt/auth.conf.d/tis.conf << EOF
machine srvwapt-pro.tranquil.it
login la_cle_de_login_entreprise
password le_mot-de_passe_entreprise
EOF
chmod 600 /etc/apt/auth.conf.d/tis.conf
apt update && apt install tis-waptagent
cat >> /opt/wpat/wpat-get.ini <<< EOF
[global]
repo_url=https://ip_server/wapt
wapt_server=https://ip_server/
use_hostpackages=1
use_kerberos=0
verify_cert=/opt/wapt/ssl/chemin_du_certificat.crt
verify_cert=0
EOF
Re: Mejora necesaria del agente Linux
Publicado: 7 de octubre de 2020 - 19:17
por dcardon
Diría que el problema no radica necesariamente en el agente en sí, sino en las diferencias entre la infraestructura de Windows y Linux. En concreto, en Linux no existe la implementación de objetos de directiva de grupo (GPO), por lo que se requieren métodos de terceros (Ansible, Puppet, Chef, implementación manual, etc.) para la implementación inicial, además de la dependencia de los repositorios apt/yum.
La necesidad de `apt-get apt-transport-https lsb-release gnupg` es bastante común hoy en día.
La integración de clientes Ubuntu en el dominio es una ventaja indudable. Sin embargo, no se gestiona el ciclo de vida de las cuentas de usuario, las contraseñas, etc.
De hecho, descargar el agente del repositorio TIS no es el enfoque correcto, ya que el agente debe ser de la misma versión que el servidor. Sería mejor descargarlo previamente al servidor y luego descargarlo directamente desde allí (lo que también eliminaría la necesidad de configurar una fuente apt adicional). Esto es lo que estamos preparando para la próxima versión 1.9. Actualizaremos la documentación en consecuencia.
Para los agentes de Windows, regeneramos el instalador con cada actualización, lo cual es conveniente porque es autónomo, pero provoca un problema de validación de firma durante la instalación en Windows. Una solución intermedia podría ser pasar los parámetros de configuración al agente durante la instalación mediante la línea de comandos o un archivo .sh autónomo. También estamos estudiando esta opción para la versión 1.9.
Re: Mejora necesaria del agente Linux
Publicado: 8 de octubre de 2020 - 19:18
por dcardon
Por cierto, estaba pensando en algo: la conexión de la estación de trabajo Linux solo es necesaria para el registro automático de la estación de trabajo con el servidor WAPT si la seguridad Kerberos está habilitada (lo cual es bastante bueno desde el punto de vista de la seguridad y la automatización).
Para la funcionalidad de autoservicio, es posible habilitar la autenticación a través del servidor WAPT o del servidor LDAP.
Re: Mejora necesaria del agente Linux
Publicado: 12 de octubre de 2020 - 13:01
por Vincent Lucy
Gracias Denis por estas respuestas
Para unirnos al dominio AD, lo gestionamos manualmente durante la instalación de la estación de trabajo; podemos automatizarlo en el futuro; un colega está empezando a dominar FOG.
En particular, porque no hay implementación a través de GPO en Linux y, por lo tanto, se deben utilizar métodos de terceros (ansible, puppet, chef, manual, etc.) para la implementación inicial, así como la operación a través del repositorio apt/yum.
Sí, podemos gestionarlo mediante Ansible. Actualmente, gestionamos básicamente todos nuestros servidores (o servicios) mediante SaltStack; aún no he encontrado nada mejor, pero es más adecuado para servidores en línea 24/7.
De hecho, descargar el agente del repositorio de TIS no es la solución adecuada, ya que debe tener la misma versión que el servidor. Sería mejor descargarlo previamente al servidor y luego descargarlo directamente desde allí (lo que también eliminaría la necesidad de configurar una fuente de apt adicional). Esto es lo que estamos preparando para la próxima versión 1.9. Actualizaremos la documentación según corresponda.
Seguirá implicando un espacio de almacenamiento adicional que gestionar, pero ¿por qué no? El problema, al igual que con el servidor WAPT, es el alojamiento con conexión a internet para dispositivos móviles, de ahí la necesidad de seguridad.
Nos pondremos en contacto con usted para brindar apoyo durante varios días a los administradores de sistemas de nuestra ONG para una implementación más efectiva de WAPT.
Podríamos planificar esto con el lanzamiento de la versión 1.9, ¿tienes alguna idea del cronograma proyectado?
Atentamente,
VL
Re: Mejora necesaria del agente Linux
Publicado: 13 de octubre de 2020 - 09:48
por cfargues
Hola Vincent,
la versión 1.9 debería estar disponible antes de fin de año. He tomado nota de que necesitas soporte y me pondré en contacto contigo cuando se publique.
Marco esto como resuelto.
Que tengas un buen día,
Camille.