[RISOLTO] Console WAPT - Nuovo utente (Enterprise)

Condividi qui i tuoi suggerimenti o problemi riguardanti la console WAPT o l'agente WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
alain17
Messaggi: 24
Registrazione: 17 giugno 2022 - 07:32

17 giugno 2022 - 07:41

Buongiorno,

Sto attualmente eseguendo alcuni test su una versione Enterprise nell'ambito della mia valutazione del prodotto WAPT e ho riscontrato un problema per il quale non sono riuscito a trovare una soluzione. Pertanto, apro questa discussione qui. Sto utilizzando una versione Enterprise su Ubuntu 20.04 LTS per il server e le workstation di distribuzione/amministrazione eseguono Windows 10.

Voglio consentire a diversi amministratori di gestire la nostra infrastruttura IT composta da circa un centinaio di postazioni di lavoro. Questo risolve il problema delle assenze e la responsabilità individuale della distribuzione di pacchetti e aggiornamenti. A tal fine, ho creato un account utente per uno dei miei colleghi nella console WAPT e gli ho concesso i privilegi necessari (può visualizzare tutte le opzioni di cui ha bisogno). Tuttavia, non è in grado di distribuire i pacchetti perché gli agenti rifiutano il suo certificato.

Ecco cosa ho già controllato:
  • La sua chiave è correttamente elencata sul server in /var/www/ssl/
  • Può creare pacchetti (incluso l'aggiornamento WAPT) ma non può distribuirli
  • I pacchetti da lui creati non possono essere distribuiti da altri utenti
Come posso assicurarmi che il mio certificato sia distribuito correttamente su ciascun agente, in modo che possa gestirli e che i pacchetti che crea siano distribuibili? Non ho trovato alcuna opzione da nessuna parte.

Grazie in anticipo per il vostro prezioso aiuto.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

17 giugno 2022 - 10:18

Salve,

ogni utente possiede un certificato? Si tratta di un certificato rilasciato da un'autorità (firmato da una CA) o di un certificato autofirmato?

In genere, la procedura è la seguente:

viene generata una chiave per ogni entità (sito) o tecnico.
Il certificato viene assegnato all'utente nell'ACL e successivamente viene specificato il campo "Consenti dove viene distribuito il certificato utente" nell'ACL.

Utilizzando la chiave di amministratore (la chiave con i privilegi più elevati, la chiave master), viene creato un pacchetto di certificati (Repository privato -> Genera un modello di pacchetto -> Pacchetto di certificati) e viene selezionato il certificato da inserire nel pacchetto.

Questo pacchetto di certificati può quindi essere distribuito alle macchine a cui il tecnico ha accesso.
Una volta distribuito il pacchetto sulla macchina, il tecnico visualizzerà la macchina nella console (non prima) e la macchina accetterà le azioni originate da questo certificato.
Alto
alain17
Messaggi: 24
Registrazione: 17 giugno 2022 - 07:32

17 giugno 2022 - 12:00

Buongiorno,

Grazie per la pronta risposta. Sì, ogni utente ha il proprio certificato autofirmato generato al primo accesso alla console. Questo significa che devo recuperare il file .crt di ogni tecnico e caricarlo sulla console come amministratore tramite ACL?

Per quanto riguarda la distribuzione alle postazioni di lavoro, significa che se ho 15 tecnici (oltre all'amministratore), devo creare 15 pacchetti di certificati e distribuirli alle macchine necessarie? È corretto?
Una volta distribuito il pacchetto sulla macchina, il tecnico vedrà la macchina nella console (non prima) e la macchina accetterà le azioni provenienti da questo certificato
Attualmente il mio tecnico non può inviare pacchetti, ma riesce comunque a vedere tutte le mie macchine di prova, il che mi è sembrato strano (ma non illogico).
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

17 giugno 2022 - 12:18

alain17 ha scritto: 17 giugno 2022 - 12:00 Salve,

grazie per la pronta risposta. Sì, ogni utente ha il proprio certificato autofirmato generato al primo accesso alla console. Questo significa che devo recuperare il file .crt di ogni tecnico e aggiungerlo alla console come amministratore tramite ACL?

Per quanto riguarda la distribuzione alle workstation, significa che se ho 15 tecnici (oltre all'amministratore), devo creare 15 pacchetti di certificati e distribuirli alle macchine necessarie? È corretto?
Sì, è proprio così.

L'altro metodo, a volte più semplice, consiste nell'eseguirlo per entità (una CA per entità):

- CA Global
---- Tecnico globale 1
---- Tecnico globale 2
- Sito CA di Parigi
---- Tecnico Parigi 1
---- Tecnico Parigi 2
- Sito CA Nantes
---- Tecnico Nantes 1
---- Tecnico Nantes 2


Le postazioni di lavoro presso la sede di Nantes dispongono della chiave Nantes e della chiave Global
Le posizioni sul sito di Parigi hanno la chiave Parigi e Global

Quando generi chiavi tramite la console per i tuoi tecnici, puoi specificare il genitore (l'autorità).

Per gli agenti, quando un pacco viene firmato dai figli dell'autorità, allora il pacco è accettato.

Questa modalità evita di distribuire il certificato di ciascun tecnico su ogni macchina, ma distribuisce solo le autorità
alain17 ha scritto: 17 giugno 2022 - 12:00
Attualmente, il mio tecnico non può distribuire pacchetti, ma può vedere tutte le mie macchine di test, il che mi è sembrato strano (ma non illogico).
In effetti, il tuo tecnico può vedere tutto in questo momento perché il suo ACL "Visualizza" deve essere in modalità "Consenti qualsiasi perimetro" oppure il suo ACL è impostato su amministratore
Alto
alain17
Messaggi: 24
Registrazione: 17 giugno 2022 - 07:32

20 giugno 2022 - 09:45

Buongiorno,

Ho riprovato con l'approccio orientato alla CA, che mi sembra elegante. Quindi ho proceduto come segue:
  1. Ho creato un certificato CA da gestire per l'organizzazione (autofirmato)
  2. Ho creato un certificato per il mio tecnico, firmato dal consiglio di amministrazione dell'organizzazione
  3. In qualità di amministratore, ho creato un pacchetto di certificati e ho inviato il mio certificato CA a tutte le macchine necessarie
  4. Agendo ancora come amministratore, ho firmato nuovamente tutti i pacchetti con il certificato CA
  5. Ho creato un utente per il mio tecnico e gli ho assegnato, tramite ACL, il suo certificato firmato dalla CA
  6. Sulla postazione di lavoro del tecnico, ho distribuito il certificato CA tramite WAPT, ho copiato il certificato e la chiave del tecnico nella directory "privata" (tra l'altro, è stata riconosciuta correttamente) e ho effettuato l'accesso con successo al suo account
Tuttavia, nonostante tutto questo, non riesco ancora a distribuire correttamente i pacchetti. Quando eseguo un'azione come la verifica degli aggiornamenti o l'avvio di installazioni, non succede nulla (non viene creata o eseguita alcuna attività). Eppure mi sembra di aver fatto tutto correttamente, non è vero?

Ho provato anche a inviare pacchetti con un secondo amministratore il cui certificato assegnato è quello della CA, ma non funziona nulla, non viene eseguita alcuna azione a meno che non la faccia il mio amministratore iniziale... Confesso che non ci capisco più niente.
In effetti, il tuo tecnico può vedere tutto in questo momento perché il suo ACL "Visualizza" deve essere in modalità "Consenti qualsiasi perimetro" oppure il suo ACL è impostato su amministratore
Assolutamente, questo spiega tutto, grazie ;)
Alto
alain17
Messaggi: 24
Registrazione: 17 giugno 2022 - 07:32

20 giugno 2022 - 13:34

Ciao di nuovo,

ho fatto qualche progresso provando un'altra idea che mi è venuta in mente: ho creato una nuova versione del pacchetto di aggiornamento WAPT e l'ho firmata con la CA interna (autofirmata). Questo ha distribuito tutti i certificati, ma non ha risolto il problema iniziale: i pacchetti non possono ancora essere distribuiti né dal tecnico né dal secondo amministratore.

Ammetto di essere un po' disperato; ho dedicato molto tempo a questa configurazione e a cercare di capire cosa non va (compreso il mio fine settimana perché le mie risorse sono molto limitate), e vorrei davvero arrivare alla fine senza dover usare un singolo account (per giunta un account amministratore!) per gestire tutto. :(
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

21 giugno 2022 - 12:55

Nelle macchine su cui vengono eseguiti i test, nella scheda dei certificati, vedi i certificati autorizzati (CA) che hai menzionato?
Allegati
Cattura.PNG
Capture.PNG (3,7 KB) Visualizzato 5421 volte
Alto
alain17
Messaggi: 24
Registrazione: 17 giugno 2022 - 07:32

21 giugno 2022 - 14:27

Sì, assolutamente. I certificati sono effettivamente distribuiti sulle macchine e compaiono nella scheda "Certificati", da qui la mia confusione. :shock:

MODIFICA: Questo mi ha dato un'idea; ho creato un nuovo tecnico con un nuovo certificato il cui genitore è il certificato CA del mio amministratore principale. L'operazione è andata a buon fine e il nuovo tecnico può effettuare la distribuzione. A questo punto, mi chiedo perché la seconda CA non funzioni. :|

MODIFICA 2: Bene, dopo aver riavviato tutto, funziona. Non so se sia stato il pacchetto di certificati ad avere effetto o la distribuzione di un pacchetto di aggiornamento WAPT, ma l'importante è che abbia funzionato.
Alto
Bloccato

Torna a "Utilizzo WAPT (Console, Agente) / Utilizzo WAPT (Console, Agente)"


  • Per andare oltre con WAPT