Foro de TI tranquilo

Hola a todos,

Descripción de la infraestructura:
Servidor Debian 12
unido a AD (a través de Winbind)
tis-waptserver 2.6.1.17705-092e11fc-amd64
Servidor WAPT y repositorio WAPT

Cliente 1 Debian 13
fuera de AD (cuenta local)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Cliente 2 Debian 13
unido a AD (a través de Winbind)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

En el repositorio privado tengo cuatro aplicaciones Linux, así como un paquete de "autoservicio" en ¿Cuáles de estas dos aplicaciones se implementan a través del grupo "user" (un grupo local presente en "Client1" que contiene mi usuario local)?
Este paquete de autoservicio solo se aplica a "Client1".
En la interfaz gráfica de usuario de "autoservicio" de "Client1", puedo ver las dos aplicaciones implementadas a través del paquete de autoservicio, y solo esas dos.
Sin embargo, en "Client2", aunque ni el paquete de autoservicio ni ninguna de las aplicaciones se implementan a través de la consola, la interfaz gráfica de usuario de "autoservicio" muestra las cuatro aplicaciones presentes en el repositorio. ¿Es esto normal?

Ambos clientes tienen el certificado que firmó los cuatro paquetes.

Robocop escribió: ↑12 de febrero de 2026 - 14:34 Sin embargo, en el "Cliente 2", aunque ni el autoservicio ni ninguna de las aplicaciones se implementan a través de la consola, la GUI de "autoservicio" ve las 4 aplicaciones presentes en el repositorio, ¿es esto normal?

¿El usuario es miembro de root, sudo o wheel?

Simón

Sí, lo es.

el

filtrado de paquetes para administradores locales, configure el siguiente parámetro en la configuración de WAPT: waptservice_admin_filter = True.

Esto garantiza que los administradores locales solo vean los paquetes que tienen autorización explícita para instalar.


Sin embargo, un administrador es un administrador; técnicamente, puede modificar el parámetro waptservice_admin_filter. Por lo tanto, esto es solo para fines de visualización y no de seguridad.

Perfecto, gracias.
Por curiosidad, ¿el comportamiento es el mismo en Windows? ¿Un usuario que pertenece al grupo BUILTIN\Administrators verá todos los paquetes?

Entonces, ¿la única forma de evitar que un paquete (por ejemplo, uno sujeto a una licencia) se ejecute en el equipo de un administrador sería mediante un certificado dedicado?

Robocop escribió: ↑12 de febrero de 2026 - 14:59 Por curiosidad, ¿el comportamiento es el mismo en Windows? ¿Un usuario que sea miembro de BUILTIN\Administrators verá todos los paquetes?

Sí

Robocop escribió: ↑12 de febrero de 2026 - 14:59 Entonces, ¿la única solución para evitar la ejecución de un paquete (por ejemplo, uno sujeto a una licencia) en la máquina de un administrador sería usar un certificado dedicado?

No, eso tampoco es una solución, ya que no impedirá que el administrador descargue el paquete e inicie una instalación manual (ya que es administrador). Un administrador es un administrador

Entonces lo mejor que se puede hacer es cifrar los datos confidenciales:

https://www.wapt.fr/fr/doc/wapt-create-... se-feature

Con este sistema, incluso el administrador de una estación de trabajo no puede recuperar los datos cifrados si el paquete no está destinado a esa máquina.