[RISOLTO] SELF-SERVICE: Un'operazione è fallita

[skoizer]

Buongiorno,
Siamo passati da wapt 2.2 a 2.5.5
Anche gli agenti su Windows sono stati migrati.
Siamo passati a HTTPS con verifica del certificato del server (configurazione dell'agente di seguito)

se un utente o un amministratore tenta di installare un pacchetto utilizzando il self-service
Abbiamo una finestra con questo messaggio di errore

Codice: Seleziona tutto

Avertissement
"An operation has failed do you want to force the installation/removed
Operation:Installation de Toto-naps2 (tâche #60)

la conferenza del mio agente

Codice: Seleziona tutto

[global]
use_hostpackages=1
repo_url=https://srvwapt.local.lan/wapt
wapt_server=https://srvwapt.local.lan
verify_cert=C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
use_repo_rules=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
waptservice_admin_filter=True
limit_bandwidth=500
use_kerberos=1
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
include_dmi_inventory=1
include_wmi_inventory=1
maturities=PROD,PREPROD,DEV

[skoizer]

nei registri

Codice: Seleziona tutto

C:\Program Files (x86)\wapt\log\waptservice.log

Codice: Seleziona tutto

Erreur lors de l'installation de ['toto-naps2']: erreurs dans les paquets [[('https://srvwapt.toto.lan/wapt/toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt', 'Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'), None], [PackageRequest(package='toto-naps2',architectures=['x64'],locales=['fr'],maturities=['PROD', 'PREPROD', 'DEV'],tags=['windows-10', 'win-10', 'w-10', 'windows10', 'win10', 'w10', 'windows', 'win', 'w'],min_os_version=Version('10.0.22631'),max_os_version=Version('10.0.22631')), PackageEntry('toto-naps2','7.5.1-1' architecture='x64',maturity='PROD',target_os='windows'), 'Traceback (most recent call last):\n  File "C:\\Program Files (x86)\\wapt\\common.py", line 5347, in install\n    raise EWaptDownloadError(\'Package file %s not downloaded properly.\' % p.filename)\nwaptpackage.EWaptDownloadError: Package file toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt not downloaded properly.\n']]

[sfontenau]

Buongiorno

Il controllo della connessione HTTPS non funziona

Il seguente file è stato apparentemente eliminato?

Codice: Seleziona tutto

 C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt 

[skoizer]

No, il certificato esiste sui PC in "C:\Programmi (x86)\wapt\ssl\server"

[sfontenau]

Strano, è possibile digitare questo comando sulla macchina?

Codice: Seleziona tutto

type  "C:\Program Files (x86)\wapt\\ssl\server\srvwapt.local.lan.crt"

Per essere certi

Il servizio Wapt indica chiaramente:

Codice: Seleziona tutto

Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'

[skoizer]

se provo questo

digitare "C:\Programmi (x86)\wapt\ssl\server\srvwapt.local.lan.crt"

Vedo che i dati del file vengono visualizzati correttamente.



nei registri
C:\Programmi (x86)\wapt\log\waptservice.log

2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Creazione del client socketio: https://srvwapt.local.lan:443 certificato di autenticazione client: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxy: Nessuno verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Connessione di Socketio a https://srvwapt.local.lan:443
2024-09-25 17:37:40,943 [waptws SocketIOClient 8764] WARNING Eccezione ConnectionError('Errore di connessione'), attendo 60 secondi prima di riprovare

[skoizer]

Ho appena notato un problema se mi connetto al server tramite l'interfaccia web https://srvwapt.local.lan
Ho dimenticato la P in wapt...

Ho un errore nel certificato autofirmato del server web WAPT; ha due nomi comuni
Nome comune: srvwapt.local.lan
Nome comune: srvwat.local.lan

Quello copiato sui PC ha lo stesso errore
Nome DNS=srvwapt.local.lan
Indirizzo IP=xxx73
Nome DNS=srvwat.local.lan


Questo è il certificato nginx autofirmato utilizzato quando abbiamo creato il server WAPT
Ho trovato le informazioni sulla configurazione di nginx qui: /etc/nginx/sites-enabled/wapt.conf
Il certificato e la chiave si trovano qui: /opt/wapt/waptserver/ssl/

Non capisco perché ho un certificato diverso nel file di configurazione del server WAPT
trovato qui: /opt/wapt/conf/waptserver.ini

Codice: Seleziona tutto

clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.fr.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://s09wapt-srv.local.lan/wapt/ssl/ca-s09wapt-srv.local.lan.fr.crl

[skoizer]

Corto
Ho firmato i certificati con il mio supervisore e li ho caricati su nginx
Riavvia nginx e funziona, riesco a vedere il certificato corretto su HTTPS

Ho recuperato cert.pem e l'ho messo qui "C:\Programmi (x86)\wapt\ssl\server\srvwapt.local.lan.crt"
lo stesso con verify_cert=1

Continuo a ricevere errori sul client wapt "C:\Programmi (x86)\wapt\log"

2024-09-25 18:32:49,201 [waptws SocketIOClient 23868] AVVISO Eccezione ConnectionError('Errore di connessione'), attendi 60 secondi prima di riprovare
2024-09-25 18:33:18,261 [waptcore WaptTaskManager 10532] AVVISO Impossibile aggiornare lo stato del server: 400 Errore client: Richiesta non valida per l'URL: https://srvwapt.local.lan/update_host
2024-09-25 18:33:18,261 [wapttasks WaptTaskManager 10532] AVVISO L'host sul server non è noto o non è noto con questo nome FQDN (noto come None). Tentativo di registrazione del computer...
2024-09-25 18:33:19,708 [wapttasks WaptTaskManager 10532] AVVISO Impossibile aggiornare lo stato del server: GSSAPIProxy richiede la libreria Python gssapi: nessun modulo denominato 'gssapi'
2024-09-25 18:33:19,709 [wapttasks WaptTaskManager 10532] INFO Impossibile aggiornare lo stato del server: nessuna risposta
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO I parametri di connessione Socketio sono cambiati. Socketio necessita di riconnessione
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO Creazione del client socketio: https://srvwapt.local.lan:443 certificato di autenticazione client: ('C:\\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\Program Files (x86)\wapt\private\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxy: Nessuno verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 18:33:49,218 [wapttasks SocketIOClient 23868] INFO Connessione di Socketio a https://srvwapt.local.lan:443
2024-09-25 18:33:49,235 [waptws SocketIOClient 23868] WARNING Eccezione ConnectionError('Errore di connessione'), attendo 60 secondi prima di riprovare

log nginx per un PC

10.9.3.3 CN=4c4c4544-0058-3810-8032-b2c04f523434 NON RIUSCITO: certificato autofirmato - [25/set/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.3 - NESSUNO - [25/set/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.3 - NESSUNO - [25/set/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Licenza aziendale tipo 1500

[sfontenau]

Vedo dalla tua presentazione che hai

Codice: Seleziona tutto

use_kerberos=1

Nel tuo caso, la configurazione Kerberos non sembra funzionare

Puoi seguire: https://www.wapt.fr/fr/doc-2.3/wapt-sec ... e-kerberos

[skoizer]

Buongiorno,
Grazie per la risposta.
Sì, ho abilitato Kerberos

Ma poiché utilizziamo un alias DNS per tutto e il server è registrato con un nome diverso, non funziona.
Ho rimosso l'opzione Kerberos

/opt/wapt/conf/waptserver.ini

[opzioni]
secret_key = AEi2u6TD7XTGwlyDdrjkCwYtvCGk6zJ3ER4gjfyZ6rZoMxdJQtRvXgUMEwLlvibT
server_uuid = 29600a76-e04e-11ed-b4e3-005056bcfc82
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite
wapt_password = $pbkdf2-sha256$29000$3rv3HgNgTMmZM8bYO2eM8Q$sZoG5FmdqcXxhKIM6i.GBVAR7neQisG9JvIPLuiY0Ao
waptwua_folder = /var/www/waptwua
allow_unauthenticated_registration = True
allow_unauthenticated_connect = True
clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
wapt_admin_group = WAPT_ADMIN
ldap_auth_server = mondc.local.lan.fr
ldap_auth_base_dn = DC=local,DC=lan
ldap_auth_ssl_enabled = False
token_secret_key = uSFS1mfW8l8wzJghdpMiKusI4qXVKhGUDuD6V9qkKvgr8DJqCW7CB1Vsyq3wkO7J
use_kerberos = False
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://srvwapt.local.lan/wapt/ssl/ca-s0 ... al.lan.crl
ssl_additional_crls = /var/www/ssl
wads_enable = False
waptwua_enable = False

systemctl restart wapt*

Faccio sempre degli errori

10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 NON RIUSCITO: certificato autofirmato - [26/set/2024:09:44:35 +0200] "GET /wapt-host/4c4c4544-0058-3810-8032-b2c04f523434.wapt HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 NON RIUSCITO: certificato autofirmato - [26/set/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 - NESSUNO - [26/set/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.16 - NESSUNO - [26/set/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Sulla console vedo il PC 10.9.3.16 connesso
ma è duplicato in questo... il che non è un bene

Codice identificativo univoco 4C4C4544-0058-3810-8032-B2C04F523434
UUID del nuovo PC: 4c4c4544-0058-3810-8032-b2c04f523434