[RISOLTO] Targeting self-service su Linux

Domande sul packaging WAPT / Richieste e assistenza sui pacchetti Wapt.
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Risposta
Avatar utente
Robocop
Messaggi: 5
Iscrizioni: 2 febbraio 2026 - ore 17:07

12 febbraio 2026 - 14:34

Ciao a tutti,

Descrizione dell'infrastruttura:
server Debian 12
aggiunto ad AD (tramite Winbind)
tis-waptserver 2.6.1.17705-092e11fc-amd64
Server WAPT e repository WAPT

Client 1 Debian 13
esterno ad AD (account locale)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Client 2 Debian 13
aggiunto ad AD (tramite Winbind)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Nel repository privato ho quattro applicazioni Linux, così come Un pacchetto "self-service" in cui due di queste applicazioni vengono distribuite tramite il gruppo "utente" (un gruppo locale presente su "Client1" che contiene il mio utente locale).
Questo pacchetto self-service viene applicato solo a "Client1".
Nell'interfaccia grafica "self-service" di "Client1", posso vedere le due applicazioni distribuite tramite il pacchetto self-service, e solo quelle due.
Tuttavia, su "Client2", sebbene né il pacchetto self-service né alcuna delle applicazioni siano distribuite tramite la console, l'interfaccia grafica "self-service" vede tutte e quattro le applicazioni presenti nel repository. È normale?

Entrambi i client hanno il certificato che ha firmato i quattro pacchetti.

:tipo strano:
Ultima modifica di Robocop il 12 febbraio 2026 alle 18:14, modificato 1 volta.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

12 febbraio 2026 - 14:42

Robocop ha scritto: 12 feb 2026 - 14:34 Tuttavia, sul "Client 2", sebbene né il self-service né alcuna delle applicazioni siano distribuite tramite la console, l'interfaccia grafica del "self-service" vede le 4 applicazioni presenti nel repository, è normale?

L'utente è un membro root, sudo o wheel?

Simone
Alto
Avatar utente
Robocop
Messaggi: 5
Iscrizioni: 2 febbraio 2026 - ore 17:07

12 febbraio 2026 - 14:47

Sì.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

12 febbraio 2026 - 14:51

Italiano: https://www.wapt.fr/fr/doc/wapt-create- ... es-package

Per abilitare il filtro dei pacchetti per gli amministratori locali, impostare il seguente parametro nella configurazione WAPT: waptservice_admin_filter = True.

Questo garantisce che gli amministratori locali vedano solo i pacchetti che sono esplicitamente autorizzati a installare.


Tuttavia, un amministratore è pur sempre un amministratore; tecnicamente, può modificare autonomamente il parametro waptservice_admin_filter. Pertanto, questa impostazione è puramente a scopo di visualizzazione e non di sicurezza.
Alto
Avatar utente
Robocop
Messaggi: 5
Iscrizioni: 2 febbraio 2026 - ore 17:07

12 febbraio 2026 - 14:59

Perfetto, grazie.
Per curiosità, il comportamento è lo stesso anche su Windows? Un utente membro del gruppo BUILTIN\Administrators visualizzerà tutti i pacchetti?

Quindi, l'unico modo per impedire l'esecuzione di un pacchetto (ad esempio, uno soggetto a licenza) sul computer di un amministratore sarebbe quello di utilizzare un certificato dedicato?
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

12 febbraio 2026 - 15:12

Robocop ha scritto: 12 feb 2026 - 14:59 Per curiosità, il comportamento è lo stesso su Windows? Un utente membro di BUILTIN\Administrators vedrà tutti i pacchetti?

Robocop ha scritto: 12 feb 2026 - 14:59 Quindi l'unica soluzione per impedire l'esecuzione di un pacchetto (ad esempio, uno soggetto a licenza) sulla macchina di un amministratore sarebbe quella di utilizzare un certificato dedicato?
No, nemmeno questa è una soluzione, perché non impedirà all'amministratore di scaricare il pacchetto e di avviare un'installazione manuale (dato che è un amministratore). Un amministratore è un amministratore

Quindi la cosa migliore da fare è crittografare i dati sensibili:

https://www.wapt.fr/fr/doc/wapt-create- ... se-feature

Con questo sistema, anche l'amministratore di una postazione di lavoro non può recuperare i dati crittografati se il pacchetto non è destinato a quella macchina.
Alto
Risposta

Torna a "Pacchetti WAPT"


  • Per andare oltre con WAPT