Forum IT Tranquillo

WAPT1.3.13
Debian8
Win7&10
-----------------------
Ciao,
ho eseguito un aggiornamento di prova dalla versione 1.3.13 alla 1.5. Funziona abbastanza bene. Tuttavia, vorrei abilitare Kerberos per motivi di sicurezza, ma ricevo questo errore:
ERRORE FATALE: EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://....

Ho già visto questo argomento, ma non ho problemi con il record DNS SRV: viewtopic.php?t=1060
Quando dovrei abilitare Kerberos? È meglio farlo durante il postconf.sh iniziale o in seguito?
Funziona su Debian 9? Forse è una domanda stupida, ma qual è il nome utente/password da inserire quando si esegue apt-get register?
Grazie

Quando si abilita Kerberos sul server, gli agenti WAPT devono tentare di registrarsi utilizzando un ticket Kerberos.

Affinché ciò funzioni, l'agente deve avere `use_kerberos = 1` nella sua configurazione

(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).

Quando si genera un agente dalla console, la casella di controllo "Usa Kerberos per la registrazione iniziale" abilita questa opzione nel file `waptagent.exe`.

Sì, ho già controllato i file di configurazione del server e del client e la generazione dell'agente avviene correttamente.
Ho reinstallato e infine sono passato a Debian 9.5. Ora

ricevo un nuovo errore:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.

Si tratta di un problema di configurazione di nginx?

In effetti, al momento il post-conferenza non è molto pulito.

È necessario avviare postconf con l'opzione --use-kerberos
Altrimenti, la configurazione nginx non è adatta per Kerberos

L'autenticazione Kerberos non funziona affatto per me...
Ho seguito la documentazione passo passo:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)

Test 1:
Test su un client registrato con AD (Computer) (use_kerberos = 1 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
HTTPError: 403 Errore: FORbidden per url: https://wapt.0861234a.lan//add_host_kerberos

Test 2:
Test su un client registrato con AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan per l'azione add_host

Test 3:
Test su un client referenziato su AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = True sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
L'inventario è stato inviato al server WAPT (la macchina appare correttamente sulla console

/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...

Conf client:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0

Configurazione server: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true

[opzioni]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
consenti_registrazione_non_autenticata = Falso
chiave_segreta = ...
usa_kerberos = Vero

Alla luce del messaggio di errore
la configurazione nginx è errata
add_host_kerberos restituisce 403 se --use-kerberos non viene passato come opzione (ho appena apportato una correzione per rendere il postconf più pulito)

controlla la configurazione di nginx


se questo è presente in /etc/nginx/sites-enabled/wapt.conf:
Quindi il postconf non è stato applicato correttamente

Ok, ho appena eseguito
di nuovo il comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
e ha effettivamente modificato il contenuto di `/add_host_kerberos` in `/etc/nginx/sites-enabled/wapt.conf`.

Ora ho: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`

Tuttavia, non funziona ancora... Sono tornato all'errore iniziale:
`EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan/ per l'azione add_host_kerberos...`

Per essere chiari, l'utente WaptService richiesto per la registrazione è effettivamente un account amministratore locale che deve essere fornito? Ho provato con l'amministratore di dominio ed è lo stesso.

Continuo a ricevere questo errore:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...

---
Kinit funziona bene... anche klist... msktutil OK - permessi OK.
Siamo d'accordo sul fatto che dovremmo cancellare il contenuto del file /etc/krb5.conf e aggiungere questo:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.

Solo una cosa, il messaggio "Per verificare, il comando da riga di comando echo $(hostname) dovrebbe restituire l'indirizzo DNS che useranno gli agenti WAPT."
restituisce solo il nome della macchina, ovvero wapt. È normale?

GRAZIE

James ha scritto: ↑20 set 2018 - 17:02 Solo una cosa, il comando "Per verificare, il comando da riga di comando echo $(hostname) dovrebbe restituire l'indirizzo DNS che useranno gli agenti WAPT."
restituisce solo il nome della macchina, ovvero wapt, è normale?

NO
Come indica la documentazione "echo $(hostname) dovrebbe restituire l'indirizzo DNS che gli agenti WAPT utilizzeranno"

in caso contrario il tuo serviceprincipalname non verrà registrato correttamente nell'annuncio.

* Rimuovere l'account della macchina dal server wapt nell'annuncio
* Eliminare il ticket /etc/nginx/http-krb5.keytab

Ora riavvia la procedura dall'inizio con un nome di dominio completo (FQDN) nel file /etc/hostname

Sì, il problema era effettivamente legato al nome host.
Un'ultima domanda: come faccio ora a registrare una macchina al di fuori di Active Directory? Grazie.

Ciao James,

James ha scritto: ↑25 set 2018 - 13:59 In effetti, il problema era con il nome host...
Un'ultima domanda: come faccio ora a registrare una macchina al di fuori di Active Directory? Grazie

Si consiglia di aprire un nuovo argomento per un nuovo argomento. Chiudo questo argomento perché risolto.

Sinceramente,

Denis