Pagina 1 di 1
[RISOLTO] Miglioramento necessario all'agente Linux
Pubblicato: 7 ottobre 2020 - 16:56
di Vincent Lucy
Buongiorno,
La nostra ONG utilizza Linux su circa il 70% dei suoi sistemi. Abbiamo acquistato una licenza professionale, ma di conseguenza gran parte dei nostri sistemi non è gestita da WAPT a causa delle attuali limitazioni
- Il pacchetto agente su Ubuntu (ad esempio) non è ancora completamente sviluppato. Di seguito, descriviamo nel dettaglio cosa aggiungiamo dopo l'installazione che potrebbe essere integrato nel pacchetto/supportato da dpkg
- La mancanza di gestione delle sessioni utente è uno svantaggio: stiamo cercando di unire le postazioni Linux al dominio AD Samba, ma per ora non c'è alcun valore aggiunto, mentre vorremmo automatizzare la configurazione di diversi programmi software su Linux: Firefox, Thunderbird, Gnome, Nautilus, Nextcloud...
Ecco le azioni che stiamo attualmente intraprendendo per installare l'agente WAPT:
Codice: Seleziona tutto
apt install apt-transport-https lsb-release gnupg
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg | apt-key add -
echo "deb https://srvwapt-pro.tranquil.it/entreprise/ubuntu/wapt-1.8/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list
cat >> /etc/apt/auth.conf.d/tis.conf << EOF
machine srvwapt-pro.tranquil.it
login la_cle_de_login_entreprise
password le_mot-de_passe_entreprise
EOF
chmod 600 /etc/apt/auth.conf.d/tis.conf
apt update && apt install tis-waptagent
cat >> /opt/wpat/wpat-get.ini <<< EOF
[global]
repo_url=https://ip_server/wapt
wapt_server=https://ip_server/
use_hostpackages=1
use_kerberos=0
verify_cert=/opt/wapt/ssl/chemin_du_certificat.crt
verify_cert=0
EOF
Re: Miglioramento necessario dell'agente Linux
Pubblicato: 7 ottobre 2020 - 19:17
di dcardon
Direi che il problema non deriva necessariamente dall'agente in sé, ma piuttosto dalle differenze tra l'infrastruttura Windows e quella Linux. Nello specifico, su Linux non è prevista la distribuzione tramite Criteri di gruppo (GPO), quindi per la distribuzione iniziale sono necessari metodi di terze parti (Ansible, Puppet, Chef, distribuzione manuale, ecc.), oltre alla dipendenza dai repository apt/yum.
La necessità di `apt-get apt-transport-https lsb-release gnupg` è ormai piuttosto comune.
L'integrazione dei client Ubuntu nel dominio è sicuramente un vantaggio. Tuttavia, non è prevista la gestione del ciclo di vita degli account utente, delle password, ecc.
In effetti, scaricare l'agente dal repository TIS non è l'approccio corretto, perché l'agente deve essere della stessa versione del server. Sarebbe meglio pre-scaricarlo sul server e poi scaricarlo direttamente da lì (il che eliminerebbe anche la necessità di configurare un'ulteriore sorgente apt). Questo è ciò che stiamo preparando per la prossima versione 1.9. Aggiorneremo la documentazione di conseguenza.
Per gli agenti Windows, rigeneriamo il programma di installazione a ogni aggiornamento, il che è comodo perché è autonomo, ma causa un problema di convalida della firma durante l'installazione su Windows. Un compromesso potrebbe essere quello di passare i parametri di configurazione all'agente durante l'installazione tramite riga di comando o un file .sh autonomo. Stiamo valutando anche questa soluzione per la versione 1.9.
Re: Miglioramento necessario dell'agente Linux
Pubblicato: 8 ottobre 2020 - 19:18
di dcardon
A proposito, stavo pensando a una cosa: la connessione della workstation Linux è necessaria solo per la registrazione automatica della workstation con il server WAPT se è abilitata la sicurezza Kerberos (che è un'ottima soluzione dal punto di vista della sicurezza e dell'automazione).
Per la funzionalità self-service, è possibile abilitare l'autenticazione tramite il server WAPT o il server LDAP.
Re: Miglioramento necessario dell'agente Linux
Pubblicato: 12 ottobre 2020 - 13:01
di Vincent Lucy
Grazie Denis per queste risposte
Per quanto riguarda l'adesione al dominio AD, la gestiamo manualmente durante l'installazione della workstation; in futuro potremmo automatizzarla; un collega sta iniziando a padroneggiare FOG.
In particolare, poiché non esiste alcuna distribuzione tramite GPO su Linux, è necessario utilizzare metodi di terze parti (ansible, puppet, chef, manual, ecc.) per la distribuzione iniziale, nonché per l'operazione tramite repository apt/yum.
Sì, possiamo gestirlo tramite Ansible. Attualmente, gestiamo praticamente tutti i nostri server (o servizi) tramite SaltStack; non ho ancora trovato nulla di meglio, ma è più adatto per server online 24 ore su 24, 7 giorni su 7.
In effetti, scaricare l'agente dal repository TIS non è l'approccio corretto, perché l'agente deve essere della stessa versione del server. Sarebbe meglio scaricarlo in anticipo sul server e poi scaricarlo direttamente da lì (il che eliminerebbe anche la necessità di configurare una sorgente apt aggiuntiva). Questo è ciò che stiamo preparando per la prossima versione 1.9. Aggiorneremo la documentazione di conseguenza.
Significherebbe comunque uno spazio di archiviazione in più da gestire, ma perché no? Il problema, come per il server WAPT, è l'hosting rivolto a Internet per i dispositivi mobili, da qui la necessità di sicurezza.
Vi ricontatteremo per fornire supporto per diversi giorni agli amministratori di sistema della nostra ONG, al fine di un'implementazione più efficace di WAPT.
Potremmo pianificarlo con il rilascio della versione 1.9, hai idea della tempistica prevista?
Sinceramente,
VL
Re: Miglioramento necessario dell'agente Linux
Pubblicato: 13 ottobre 2020 - 09:48
di cfargues
Ciao Vincent,
la versione 1.9 dovrebbe essere rilasciata entro la fine dell'anno. Ho preso nota del tuo desiderio di supporto e ti contatterò al momento del rilascio.
Contrassegno questa richiesta come risolta.
Buona giornata,
Camille