[RISOLTO] [WAPT 1.8.2] Distribuzione tramite GPO e richiesta password superadmin

Condividi qui i tuoi suggerimenti o problemi riguardanti la console WAPT o l'agente WAPT
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Bloccato
supporto oz
Messaggi: 13
Registrazione: 6 luglio 2020 - 16:52

6 luglio 2020 - 17:40

Ciao a tutti.

La mia distribuzione tramite GPO inizia correttamente sulla mia macchina, ma sembra bloccarsi in un ciclo infinito. Inoltre, ho configurato il mio server in modo che richieda la password di superamministratore durante la distribuzione dell'agente.

Come si configura questa password durante la distribuzione tramite GPO?

SISTEMA OPERATIVO SERVER: Debian 10
SISTEMA OPERATIVO CLIENT: Windows Server 2012R2
SISTEMA OPERATIVO MACCHINA AMMINISTRATRICE: Windows Server 2016

Grazie in anticipo per l'aiuto e buona giornata :)

. PA.
Ultima modifica da ozsupport il 22 luglio 2020 - 09:27, modificato 2 volte.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

6 luglio 2020 - 21:02

ozsupport ha scritto: 6 luglio 2020 - 17:40 Salve a tutti.

La mia distribuzione tramite GPO inizia correttamente sulla mia macchina, ma sembra bloccarsi in un ciclo perché non si ferma mai. Inoltre, ho configurato il mio server in modo che richieda la password di superamministratore durante la distribuzione dell'agente.

Quindi, come si specifica questa password durante la distribuzione tramite GPO?
Infatti l'installazione è in attesa della password per registrarsi
Di norma, l'agente viene modificato direttamente:

https://github.com/tranquilit/WAPT/blob ... n.iss#L209

Codice: Seleziona tutto

wapt-get register --wapt-server-user=admin --wapt-server-passwd=password
Quindi riavviare la ricreazione di un agente.

Tieni presente che in termini di sicurezza non è il massimo, dovresti preferire l'autenticazione Kerberos!
Alto
supporto oz
Messaggi: 13
Registrazione: 6 luglio 2020 - 16:52

7 luglio 2020 - 10:21

Buongiorno,

Quindi sì, non è molto pulito, ma ammettiamolo. :D

La nostra preoccupazione è che si tratti di una configurazione multidominio senza connessione. È possibile specificare, per un utente che accede alla console WAPT tramite un collegamento LDAP, che abbia solo diritti di integrazione client sulla console?

Perché in linea di principio potremmo benissimo:
  • Modifica l'agente.
    Genera gli agenti.
    Modifica nuovamente gli agenti per rimuovere la password.
    Genera nuovamente gli agenti per impedire a chiunque di recuperare l'agente.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

8 luglio 2020 - 09:17

ozsupport ha scritto: 7 luglio 2020 - 10:21 Salve,

quindi in effetti non è molto pulito, ma supponiamo che lo sia. :D

Il nostro problema è che ci troviamo in un caso multidominio senza connessione.
Nessun problema:

https://www.wapt.fr/fr/doc/wapt-securit ... relazione

Il server WAPT non necessita dell'accesso ad Active Directory per il funzionamento di Kerberos. È richiesto un account separato per il server WAPT in ogni dominio.

Tutto ciò di cui hai bisogno è un keytab.

Per generare un keytab senza che il server WAPT abbia accesso ad AD:

https://www.wapt.fr/fr/doc/wapt-securit ... -directory
Alto
supporto oz
Messaggi: 13
Registrazione: 6 luglio 2020 - 16:52

15 luglio 2020 - 17:51

Grazie per l'ottimo feedback! Lo esamineremo al più presto! :)

Tuttavia, se generiamo il pacchetto corretto per la distribuzione tramite GPO per i nostri diversi domini e poi generiamo un nuovo pacchetto con autenticazione tramite password, il pacchetto precedentemente generato con i file keytab sarà ancora utilizzabile?

Grazie in anticipo. :)
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

16 luglio 2020 - 23:02

Il Waptagent non contiene i file keytab; questi sono in possesso del server. ;)

Il Waptagent dispone solo delle informazioni necessarie per la registrazione (password o Kerberos).
Alto
supporto oz
Messaggi: 13
Registrazione: 6 luglio 2020 - 16:52

17 luglio 2020 - 14:23

Stiamo iniziando a capire come funziona il tutto. :)
Tuttavia, se abilitiamo l'autenticazione Kerberos, siamo obbligati ad avere macchine appartenenti a un dominio; in tal caso non possiamo combinare Kerberos e password, giusto?

Inoltre, dato che ho qualche difficoltà con Kerberos, quando la documentazione menziona il caso "Il mio server WAPT non ha accesso in scrittura ad Active Directory", si applica anche al caso "Il mio server WAPT non ha accesso ad Active Directory"?

Per chiarire, vogliamo che il nostro server WAPT sia un servizio autonomo, che consenta agli amministratori di connettersi da un dominio primario tramite LDAP (e questo va bene), e poi abbiamo server su diversi domini senza alcuna connessione tra loro, e soprattutto senza connessione LAN al server WAPT. Vogliamo distribuire il sistema su questi domini utilizzando gli Oggetti Criteri di gruppo (GPO).
Parallelamente, abbiamo anche alcuni server per i "servizi di supporto" che non appartengono ad alcun dominio.

Riusciremo a farlo prima o poi, o si tratta di un caso d'uso non ancora coperto?

D.
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

17 luglio 2020 - 16:27

ozsupport ha scritto: 17 lug 2020 - 14:23 Stiamo iniziando a capire come funziona tutto questo. :)
Tuttavia, se abilitiamo l'autenticazione Kerberos, siamo obbligati ad avere macchine appartenenti a un dominio; in questo caso non possiamo combinare Kerberos e password?
Se Kerberos non funziona, Wapt richiederà una password per la registrazione.
ozsupport ha scritto: 17 lug 2020 - 14:23 Inoltre, dato che ho difficoltà con Kerberos, quando la documentazione menziona il caso: "Il mio server WAPT non ha accesso in scrittura ad Active Directory", questo vale anche per "Il mio server WAPT non ha accesso ad Active Directory"?
;)
ozsupport ha scritto: 17 lug 2020 - 14:23 Per darvi un po' di contesto, vogliamo che il nostro server WAPT sia un servizio autonomo, consentendo agli amministratori di connettersi da un dominio primario tramite LDAP (e questo va bene). Poi abbiamo server su diversi domini senza alcuna connessione tra loro, e soprattutto senza connessione LAN al server WAPT. Vogliamo distribuire il sistema su questi domini tramite GPO.
Parallelamente, abbiamo anche alcuni server "servizi di supporto" che non si trovano in nessun dominio.

Riusciremo mai a far funzionare tutto questo, o si tratta di un caso d'uso non supportato?

D.
Il server wapt non ha bisogno di vedere la pubblicità, purché abbia un keytab ok.

Avresti bisogno di due agenti, uno con Kerberos e uno senza
Alto
supporto oz
Messaggi: 13
Registrazione: 6 luglio 2020 - 16:52

20 luglio 2020 - 12:33

Ok, quindi c'è sicuramente un problema da qualche parte...

Per il momento sto testando solo uno dei domini di cui avrò bisogno in futuro.
Io ho :
  • configurato il mio file /etc/krb5.conf
  • Ho creato il mio account computer sul dominio in questione
  • aggiunto lo spn (e verificato dal record del computer)
  • Ho creato il mio keytab (è normale avere /mapuser nel comando quando si tratta di un account utente?)
  • ho caricato il mio keytab e ho modificato i permessi
  • riavviato il post-conferenza per attivare Kerberos
ma con questo:
  • Il mio GPO è applicato correttamente, l'agente viene installato e il servizio esiste
  • Il servizio non si avvia; devo avviarlo manualmente
  • Ho dei registri sul server WAPT che mi dicono che il nome di dominio completo in questione non è riconosciuto e che devo "prima registrarlo"
  • Se provo a registrarlo manualmente, mi chiede di effettuare il login

Codice: Seleziona tutto

PS C:\Users\Administrateur.XXXXXX\Downloads\PSTools> .\psexec.exe -s cmd

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>wapt-get register -ldebug
2020-07-20 12:27:20,569 DEBUG Default encoding : ascii
2020-07-20 12:27:20,569 DEBUG Setting encoding for stdout and stderr to cp850
2020-07-20 12:27:20,585 DEBUG Python path ['C:\\Program Files (x86)\\wapt', 'C:\\Program Files (x86)\\wapt', 'C:\\Progra
m Files (x86)\\wapt\\python27.zip', 'C:\\Program Files (x86)\\wapt\\DLLs', 'C:\\Program Files (x86)\\wapt\\lib', 'C:\\Pr
ogram Files (x86)\\wapt\\lib\\plat-win', 'C:\\Program Files (x86)\\wapt\\lib\\lib-tk', 'C:\\Program Files (x86)\\wapt',
'C:\\Program Files (x86)\\wapt\\lib\\site-packages', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\pywin32-227-py2
.7-win32.egg', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\win32', 'C:\\Program Files (x86)\\wapt\\lib\\site-pac
kages\\win32\\lib', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\Pythonwin']
2020-07-20 12:27:20,585 INFO Using local waptservice configuration C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,585 DEBUG Config file: C:\Program Files (x86)\wapt\wapt-get.ini
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o global auth
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG DB Start transaction
2020-07-20 12:27:20,601 DEBUG DB commit
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxxx.local.pem for rep
o wapt auth
2020-07-20 12:27:20,617 INFO Main repository: https://xxxxxx.xxxxxxxxxx.xx/wapt
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o wapt-host auth
2020-07-20 12:27:20,617 INFO User Groups:[]
2020-07-20 12:27:20,617 DEBUG WAPT base directory : C:\Program Files (x86)\wapt
2020-07-20 12:27:20,617 DEBUG Package cache dir : C:\Program Files (x86)\wapt\cache
2020-07-20 12:27:20,617 DEBUG WAPT DB Structure version;: 20200415
2020-07-20 12:27:20,631 DEBUG DB Start transaction
2020-07-20 12:27:20,631 DEBUG DB commit
Registering host against server: https://xxxxx.xxxxxxx.xx
2020-07-20 12:27:20,648 DEBUG DB Start transaction
2020-07-20 12:27:20,648 DEBUG DB commit
2020-07-20 12:27:20,678 DEBUG DB Start transaction
2020-07-20 12:27:20,678 DEBUG DB commit
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,976 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:21,039 DEBUG DB Start transaction
2020-07-20 12:27:21,039 DEBUG DB commit
2020-07-20 12:27:21,053 DEBUG Stores cert chain check in cache
2020-07-20 12:27:21,210 INFO Run "dmidecode -q"
2020-07-20 12:27:21,303 INFO dmidecode -q command returns code 0
2020-07-20 12:27:24,992 DEBUG Loading ssl context with cert C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.crt
and key C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.pem
2020-07-20 12:27:25,023 DEBUG Starting new HTTPS connection (1): cloud:443
2020-07-20 12:27:25,101 DEBUG https://xxxxxx.xxxxxxxxxx.xx:443 "POST /add_host HTTP/1.1" 401 41
Please get login for add_host:
Alto
Avatar utente
sfontenau
Esperto WAPT
Messaggi: 2312
Registrato: 10 luglio 2014 - 23:52
Contatto:
Contatta Sfonteneau

20 luglio 2020 - 14:55

È necessario verificare con un psexec se un ticket è stato negoziato correttamente:

Codice: Seleziona tutto

psexec -s -i cmd
klist
Puoi fare:

Codice: Seleziona tutto

wapt-get register
Quali argomenti potrebbero esserti utili?

viewtopic.php?f=13&t=2428&p=7994&hilit=kerberos#p7994
Alto
Bloccato

Torna a "Utilizzo WAPT (Console, Agente) / Utilizzo WAPT (Console, Agente)"


  • Per andare oltre con WAPT