[RISOLTO] L'agente non si registra in WAPT

[PaulSLA]

Buongiorno,

In seguito all'implementazione dell'autenticazione Kerberos sul nostro server WAPT e alla configurazione di una workstation di prova con Kerberos abilitato, riscontriamo un problema durante la distribuzione di nuove workstation tramite WADS. Le workstation sono visibili nella sezione di distribuzione del sistema operativo, Windows viene installato, ma poi la workstation si avvia normalmente ma non è registrata con WAPT. Dobbiamo eseguire il comando `register`, che richiede login/password WAPT, registra la workstation e avvia gli aggiornamenti dei pacchetti come di consueto. Abbiamo provato a modificare lo script `conf` della workstation come segue:

Codice: Seleziona tutto

ping 127.0.0.1 -n 30
net stop waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" update 
"C:\Program Files (x86)\wapt\wapt-get.exe" install base_software
net start waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" register --wapt-server-user=XXXXX --wapt-server-passwd=XXXXX

Il computer dovrebbe registrarsi automaticamente al termine dell'installazione di Windows, ma si blocca nella fase "Utente: Esecuzione script post-installazione", che non termina mai. Il computer rimane bloccato in un loop sulla schermata di avvio di Windows (il logo di Windows con il puntino all'interno). Se spegniamo il computer e riaccediamo, possiamo registrarlo manualmente.

Non abbiamo altri problemi con la gestione WAPT; le workstation sono raggiungibili e gli aggiornamenti vengono eseguiti correttamente, indipendentemente dal fatto che Kerberos sia a 0 o 1.

Qualcun altro ha riscontrato questo problema e, in tal caso, come lo ha risolto?



Se necessario:

file waptserver.ini:

Codice: Seleziona tutto

[options]
server_uuid = 
secret_key = 
wapt_password = 
clients_signing_key = /opt/wapt/conf/ca-srv-wapt.XXXX.dom.pem
clients_signing_certificate = /opt/wapt/conf/ca-srv-wapt.XXXX.dom.crt
ldap_auth_server = XXXX.dom
ldap_auth_base_dn = DC=XXXX,DC=dom
ldap_account_service_login = wapt@XXXX.dom
ldap_account_service_password = 
token_secret_key = 
clients_signing_crl = /var/www/ssl/ca-srv-wapt.XXXX.dom.crl
clients_signing_crl_url = http://srv-wapt.XXXX.dom/wapt/ssl/ca-srv-wapt.XXXX.dom.crl
ssl_additional_crls = /var/www/ssl
waptwua_enable = True
allow_unauthenticated_registration = False
wads_enable = True
login_on_wads = False
use_kerberos = True
ldap_auth_ssl_enabled = False

wat-get.ini dalla stazione di prova:

Vedi file allegato poste1.png

Poste1.png (234,66 KB) Visualizzato 8921 volte

postazione di lavoro di produzione wat-get.ini:

Vedi file allegato poste2.png

Poste2.png (226,96 KB) Visualizzato 8921 volte

Grazie in anticipo per le vostre risposte
Sinceramente,

[dcardon]

Ciao Paul,

hai riavviato postconf dopo aver modificato il file waptserver.ini? Ci sono alcune modifiche che devono essere riflesse nel file di configurazione di nginx.

Saluti,

Denis

[PaulSLA]

Ciao,

ho appena riprovato per sicurezza (anche se sono certo di averlo già fatto), ma non è cambiato nulla.

Attualmente, le workstation sono bloccate sullo "script di postinstallazione" e devo spegnerle in modo errato, riavviarle e infine registrarle con WAPT.

Ho modificato lo script di postinstallazione aggiungendo il comando: "C:\Program Files (x86)\wapt\wapt-get.exe" register --wapt-server-user=XXXX--wapt-server-passwd=XXXX""
pensando che questo avrebbe permesso la registrazione, ma non è successo. Dopo aver ripristinato lo script al suo stato normale, il problema persiste (mentre prima della modifica, il PC completava l'installazione di Windows normalmente ma non riusciva a registrarsi con WAPT).

Ecco lo script corrente:
ping 127.0.0.1 -n 30
net stop waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" update
"C:\Program Files (x86)\wapt\wapt-get.exe" install base_software
net start waptservice Cordiali

saluti,

[dcardon]

Ciao Paul,

La registrazione Kerberos funziona su un agente WAPT al di fuori dei WAD?

Per effettuare il test, è possibile utilizzare una macchina pulita o già integrata. Se la macchina è integrata, è necessario rimuoverla dall'inventario ed eliminare i file del certificato client c:\program files (x86)\wapt\private\*.{crt,p12,pem}

Dopodiché, esegui un'escalation dei privilegi nel SISTEMA LOCALE utilizzando psexec

Codice: Seleziona tutto

psexec -i -s cmd.exe

Quindi esegui un registro wapt-get senza nome utente/password per verificare che la macchina sia in grado di registrarsi correttamente in Kerberos.

Sinceramente,

Denis

[PaulSLA]

Salve,

ho effettuato una prova. Dopo aver impostato `use kerberos` su 1 sul lato agente e riavviato il servizio WAPT, l'autenticazione funziona direttamente senza password. Se `use kerberos` è impostato su 0, sono richiesti nome utente e password.

La registrazione Kerberos sembra quindi funzionare. Ho poi provato l'opzione self-service e ho ricevuto un messaggio di errore "password errata". Inserendo la mia password di Windows, tutto ha funzionato. Ma con Kerberos, non dovrebbe essere automatico?

Rimane comunque il problema della registrazione dei nuovi PC. Come posso visualizzare la configurazione predefinita distribuita e verificare che utilizzi Kerberos? Se non lo utilizza, posso semplicemente generare un nuovo agente che utilizzi Kerberos per risolvere il problema?

In tal caso, cosa succede agli agenti attualmente distribuiti? Si registreranno tutti di nuovo?

Cordiali saluti,

[dcardon]

Ciao di nuovo Paul,

Test effettuato: dopo aver impostato `use kerberos` su 1 sul lato agente e riavviato il servizio WAPT, l'autenticazione funziona direttamente senza password. Se `use kerberos` è impostato su 0, sono richiesti nome utente e password.

Bene, significa che la parte Kerberos è configurata correttamente.

La registrazione Kerberos sembra funzionare. Ho provato l'opzione self-service, ma ho ricevuto un messaggio di errore "password errata". Ho inserito la mia password di Windows e tutto ha funzionato. Ma con Kerberos, non dovrebbe essere automatico?

Sì, dovrebbe funzionare automaticamente. Sul computer di prova è presente `service_auth_type=waptserver-ldap`, ma non sull'altro. Il test è stato eseguito sul computer di prova?

Questo causa sempre problemi con la registrazione dei nuovi PC. Come posso visualizzare la configurazione di distribuzione predefinita e verificare che utilizzi Kerberos? In caso contrario, posso semplicemente generare un nuovo agente che utilizzi Kerberos per risolvere il problema?

Le workstation appena installate visualizzano l'ora corretta? Kerberos è piuttosto sensibile al tempo. Vale la pena notare che WinPE registra l'ora del BIOS in UTC, mentre un sistema Windows installato localmente registra l'ora del BIOS nel fuso orario locale. Questo è piuttosto incoerente. Non c'è un fuso orario nel BIOS e Windows non è coerente nell'uso dell'ora all'interno del BIOS... (anche Linux registra l'ora in UTC).

In tal caso, che dire degli agenti attualmente impiegati? Verranno tutti nuovamente registrati?

Se un agente è registrato, dispone del suo certificato client (.pem / .p12) e lo utilizza per autenticarsi sul server. Utilizzerà l'autenticazione Kerberos solo se non dispone di un certificato client o se questo non funziona (ad esempio, è stato revocato). Pertanto, no, non ci sarà alcuna nuova registrazione delle workstation già distribuite/registrate.

Sinceramente,

Denis

[PaulSLA]

Ciao,

grazie per le risposte. Ho la riga "service_auth_type=waptserver-ldap" in [global] sulla macchina dove sto eseguendo il test. Non la sto ancora inserendo sulle macchine di produzione perché non sono sicuro di aver compreso appieno tutti i dettagli di questa configurazione.
Ho anche la riga, trovata sul forum, che all'epoca risolse un problema simile: "ldap_auth_ssl_enabled=False".

Sono riuscito a risolvere il problema sui nuovi PC. Per qualche motivo che non conosco, lo script di post-installazione si blocca e l'installazione non prosegue. Dato che questo script non svolge più un lavoro utile, sono riuscito a eliminarlo e l'installazione continua. Una volta terminata l'installazione, il PC si registra correttamente con Kerberos (dopo aver generato un nuovo agente che lo supporti, ovviamente).


Grazie per le informazioni relative alle macchine esistenti. Quindi, posso cambiare `use_kerberos` da 0 a 1 sulle mie macchine; questo non avrà alcun impatto sulla produzione? Ma se ho capito bene, questo è di scarsa utilità, solo per registrarli nuovamente se necessario in futuro.

Quindi l'unico problema rimanente è che la funzionalità self-service non funziona con l'SSO nonostante la presenza delle righe menzionate sopra e la configurazione del server già pubblicata.
Se la riga "service_auth_type=waptserver-ldap" è presente, il self-service inizia con un messaggio di errore rosso che indica che la password non è corretta. Se la rimuovo, non compare alcun messaggio e mi viene semplicemente richiesta la password. Purtroppo non ho molte altre idee per risolvere questo problema.

Cordiali saluti,

[dcardon]

Ciao Paul,

ho qualche difficoltà con la configurazione del self-service. La tua organizzazione ha sottoscritto un abbonamento per l'assistenza telefonica. La cosa migliore da fare è aprire un ticket e chiedere a un tecnico di esaminare la configurazione insieme a te in tempo reale; non dovrebbe essere troppo complicato.

Cordiali saluti,

Denis

[PaulSLA]

Salve,

ho continuato a esaminare la questione e il metodo 2 della documentazione funziona:

"ldap_auth_ssl_enabled = True
verify_cert_ldap = False".

Il terzo metodo, tuttavia, non funziona, ma poiché prevediamo di abilitare anche la verifica del certificato, apriremo un ticket per entrambi i problemi contemporaneamente, dato che entrambi sembrano correlati a un problema di certificato.

Grazie per l'aiuto!

Cordiali saluti,