Configurazione del server WAPT con Kerberos senza richiedere l'autenticazione

[RebeccaS]

Versione del server WAPT: 1.8.0
Versione dell'agente WAPT: 1.8.0.6641
Versione di installazione WAPT: 1.8.0.6641
Versione di distribuzione WAPT: 1.8.0.6641
Stato del database: OK (1.8.0.0)

Sistema operativo del server: Linux/Debian 10.2
Sistema operativo della macchina di amministrazione/creazione pacchetti: Windows 10

Buongiorno,

Al momento siamo nella fase di test della soluzione WAPT Community Version prima di passare alla versione Enterprise.

Ho seguito la seguente configurazione:

https://www.wapt.fr/fr/doc/wapt-securit ... 20machines

per autenticare le macchine tramite Kerberos prima che vengano registrate.

L'installazione è andata bene, ma vorrei sapere se esiste un modo per impostare questa configurazione senza dover inserire l'ID amministratore per registrare la macchina.

auth_wapt.png (14 KB) Visualizzato 9545 volte

Le credenziali devono essere inserite nel file di configurazione del server o in quello del client?

Ho provato a modificare il file di configurazione del server /opt/wapt/conf/waptserver.ini impostando il valore allow_unauthenticated_registration = True

[opzioni]
cartella_waptwua = /var/www/waptwua
server_uuid = xxxxxxxx-xxxx-xxxx-xxxxxx-xxxxxxxxxxxx
clients_signing_key = /opt/wapt/conf/ca-xxxxxxxxxxxxxxx.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-xxxxxxxxxxxxxx.lan.crt
wapt_password = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = Vero
allow_unauthenticated_connect = Falso
allow_unauthenticated_registration = Vero
chiave_segreta = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Quando avvio il server WAPT in modalità debug, ottengo questo output:

2020-01-31 10:55:08,558 DEBUG Traceback (ultima chiamata più recente):
File "/opt/wapt/waptserver/server.py", riga 429, in register_host
valid_auth = auth_result e auth_result['auth_method'] in ['admin','passwd','ldap','kerb']
UnboundLocalError: variabile locale 'auth_result' referenziata prima dell'assegnazione



Sinceramente,

Rebecca

[sfontenau]

Buongiorno

Se vuoi abilitare Kerberos, devi impostare il valore

Codice: Seleziona tutto

use_kerberos=1

nell'agente in wapt-get.ini

Successivamente, per verificare che la workstation stia negoziando correttamente un ticket Kerberos, è possibile eseguire un comando psexec:

Codice: Seleziona tutto

psexec -s cmd
wapt-get register
klist

Se nessun ticket menziona wapt, significa che la registrazione del server wapt in AD non è andata a buon fine (probabilmente a causa di un problema SPN).

Il nome utente e la password vengono richiesti solo se l'autenticazione Kerberos fallisce

[RebeccaS]

Ecco la configurazione di wapt-get.ini

[complessivamente]
repo_url=https://wapt-server/wapt
invia_rapporto_utilizzo=1
usa_pacchettihost=1
wapt_server=https:///wapt-server.lan
usa_kerberos=1
verifica_validità_certificati=1
verify_cert=0
usa_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[modelli wapt]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

Dopo aver eseguito i comandi, ecco il risultato:

wapt_client.png (51,27 KB) Visualizzato 9534 volte

[sfontenau]

Sembra esserci un problema con Wapt.

Potresti provare con questa versione:

https://wapt.tranquil.it/wapt/nightly/w ... -acfedbd8/

[RebeccaS]

In altre parole, invece di usare https://wapt.tranquil.it/debian/wapt-1.8/ ?

O semplicemente un file specifico?

[dcardon]

Ciao RebeccaS,

nella versione 1.8.0 di WAPT si è verificato un problema nella sezione di registrazione Kerberos. Questo problema è stato risolto nella versione 1.8.1. Se puoi aggiornare, il problema dovrebbe risolversi.

Cordiali saluti,

Denis

[RebeccaS]

Ciao,

ho appena testato di nuovo la nuova versione, ma ho ancora lo stesso problema...

E il problema si presenta non appena installo la console di gestione...

Cordiali saluti,

Rebecca.

[dcardon]

Difficile da diagnosticare con le informazioni limitate disponibili.
* Log del client (%WAPT_HOME%\log\waptservice.log)
* Log del server (/var/log/waptserver.log o /var/log/daemon.log)
* Prova con `wapt-get register -l debug` in `psexec -i -s cmd.exe` usando la nuova versione 1.8.1.
Cordiali saluti,
Denis

[RebeccaS]

Buongiorno,

Ecco le informazioni che hai richiesto:
* registri client (%WAPT_HOME%\log\waptservice.log)

Servire su http://client:8088
2020-02-24 15:45:26,707 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
Ottieni l'indice dei pacchetti
u'2 pacchetti nel d\xe9p\xf4t\nIl sistema è \xe0 giorno'
2020-02-24 15:45:38,444 [waptcore ] ATTENZIONE L'host sul server non è noto o non è noto con questo nome FQDN (noto come Nessuno). Tentativo di registrazione del computer...
Controlli di potenza del sistema
2020-02-24 15:47:26,846 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:49:26,976 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:51:27,138 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:53:27,269 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:55:27,414 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:57:27,540 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 15:59:27,690 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)
2020-02-24 16:01:27,819 [waptws ] AVVISO Parametri di connessione Websocket: Impossibile ottenere il token di autorizzazione: Errore sul server:
EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Registrati prima.',)

* Registri del server (/var/log/waptserver.log o /var/log/daemon.log)

24 feb 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,331 [waptserver ] CRITICO Get_websocket_auth_token non riuscito EWaptAuthenticationFailure(u'UUID host sconosciuto xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx. Registrati prima.',)
24 feb 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,378 [waptws ] ATTENZIONE Connessione SocketIO rifiutata per uuid xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx, sid xxxxxxxxxxxxxxxxxx: Connessione SocketIO non autorizzata, token non valido: 400 Richiesta non valida: il browser (o il proxy) invia una richiesta che questo server non è riuscito a comprendere., istanza

* Prova un comando `wapt-get register -l debug` in un `psexec -i -s cmd.exe` con la nuova versione 1.8.1

waptgerregister.png (112,83 KB) Visualizzato 9367 volte

Per vostra informazione:

wapt-get.ini (client)

[complessivamente]
repo_url=https://waptserver/wapt
invia_rapporto_utilizzo=1
usa_pacchettihost=1
wapt_server=https://waptserver
usa_kerberos=1
verifica_validità_certificati=1
verify_cert=0
usa_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[modelli wapt]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

/etc/nginx/nginx.conf

posizione /add_host_kerberos {
auth_gss acceso;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}


/opt/wapt/conf/waptserver.ini

[opzioni]
cartella_waptwua = /var/www/waptwua
server_uuid = xxxxxxxxx-xxxxxxxx--xxxxxxxx-xxxxxx
clients_signing_key = /opt/wapt/conf/ca-waptserver.pem
clients_signing_certificate = /opt/wapt/conf/ca-waptserver.crt
wapt_password = $xxxxxxXXXXXXXXXXXXXXXxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = Vero
allow_unauthenticated_connect = Falso
chiave_segreta = xxxxxxxxxxxxxXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxxx


Sinceramente,

Rebecca.

[sfontenau]

Codice: Seleziona tutto

#2>     Client : mypc$ @ DOMAIN.LAN
        Serveur : HTTP/srvwapt.domain.lan @ DOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a80000 -> forwardable renewable pre_authent 0x80000
        Heure de démarrage : 2/24/2020 23:57:17 (Local)
        Heure de fin :   2/25/2020 8:23:21 (Local)
        Heure de renouvellement : 3/2/2020 22:23:21 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.domain.lan

Dopo esserti registrato con psexec, hai un ticket per srvwapt (come sopra)?