Salve,
attualmente disponiamo di un server WAPT (enterprise) 2.3.0.13516 (Bullseye).
Al momento, è accessibile solo dalla nostra rete interna (indirizzamento privato) o tramite VPN.
Per utilizzare le unità organizzative (OU) di Active Directory, abbiamo abilitato l'autenticazione Kerberos, con tutti i client membri del dominio.
Con la crescente diffusione del lavoro da remoto e la mobilità di alcuni dipendenti, purtroppo abbiamo computer che non sono quasi mai connessi alla rete interna e quindi non beneficiano degli aggiornamenti automatici.
Stiamo valutando la possibilità di rendere il server WAPT accessibile da Internet, idealmente tramite un reverse proxy, ma non vogliamo rendere pubblici i controller di dominio.
Come possiamo procedere? Possiamo forzare la registrazione degli agenti tramite Kerberos e accettare agenti già registrati senza di esso?
Grazie per il vostro aiuto.
[RISOLTO] Server WAPT accessibile dall'esterno in un contesto AD
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao Arnaud,
È quindi possibile registrare la workstation sulla rete locale dove Active Directory è accessibile. Per i passaggi successivi, non è necessario che AD sia accessibile dalla workstation client (solo il server WAPT) [1].
È quindi possibile proteggere il server WAPT a livello di server nginx abilitando l'autenticazione tramite certificato client direttamente nella configurazione nginx (disponibile nella versione enterprise di WAPT). Il server WAPT è quindi correttamente configurato e protetto per l'accesso diretto a Internet in una DMZ.
Per quanto riguarda il reverse proxy, è piuttosto complicato configurarlo correttamente (proprio a causa dell'autenticazione tramite certificato client). Pertanto, si consiglia di posizionare il server WAPT direttamente nella DMZ senza un reverse proxy.
Sinceramente,
Denis Cardon
[1] Nota: per quanto riguarda il self-service, è necessario prestare attenzione ad essere in modalità di autenticazione waptserver-ldap (vedere la documentazione) se la workstation è in the wild.
Le workstation devono visualizzare i server Active Directory per la registrazione iniziale (se la registrazione Kerberos è abilitata). Durante la registrazione, la workstation invierà una richiesta di firma del certificato (CSR) per generare un certificato client. La workstation utilizzerà quindi questo certificato client per autenticarsi sul server WAPT.arnaud.houdelette ha scritto: ↑11 aprile 2023 - 11:17 Attualmente, quest'ultimo è accessibile solo sulla nostra rete interna (indirizzamento privato) o tramite VPN.
Per utilizzare le unità OU di AD, abbiamo abilitato l'autenticazione Kerberos, con tutti i client membri del dominio.
Con la diffusione del lavoro da remoto e la mobilità di alcuni dipendenti, purtroppo abbiamo macchine che non sono quasi mai connesse alla rete interna e quindi non beneficiano degli aggiornamenti automatici.
Stiamo valutando la possibilità di rendere il server WAPT accessibile da Internet, se possibile tramite un reverse proxy, ma non vogliamo rendere pubblici i controller di dominio.
Come possiamo procedere? Possiamo forzare la registrazione degli agenti tramite Kerberos e accettare agenti già registrati senza di esso?
È quindi possibile registrare la workstation sulla rete locale dove Active Directory è accessibile. Per i passaggi successivi, non è necessario che AD sia accessibile dalla workstation client (solo il server WAPT) [1].
È quindi possibile proteggere il server WAPT a livello di server nginx abilitando l'autenticazione tramite certificato client direttamente nella configurazione nginx (disponibile nella versione enterprise di WAPT). Il server WAPT è quindi correttamente configurato e protetto per l'accesso diretto a Internet in una DMZ.
Per quanto riguarda il reverse proxy, è piuttosto complicato configurarlo correttamente (proprio a causa dell'autenticazione tramite certificato client). Pertanto, si consiglia di posizionare il server WAPT direttamente nella DMZ senza un reverse proxy.
Sinceramente,
Denis Cardon
[1] Nota: per quanto riguarda il self-service, è necessario prestare attenzione ad essere in modalità di autenticazione waptserver-ldap (vedere la documentazione) se la workstation è in the wild.
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
-
arnaud.houdelette
- Messaggi: 7
- Registrazione: 02 ott 2019 - 11:24
Grazie per il chiarimento.
Il nostro Active Directory non è accessibile dalla DMZ. Pertanto, non possiamo installare il server WAPT lì.
Tuttavia, data la configurazione Nginx del server, non dovrei avere troppi problemi a trovare una soluzione.
Volevo semplicemente assicurarmi che la mancanza di connessione dei client ad Active Directory non interferisse con il client WAPT (ad esempio, con l'assegnazione delle unità OU).
Il nostro Active Directory non è accessibile dalla DMZ. Pertanto, non possiamo installare il server WAPT lì.
Tuttavia, data la configurazione Nginx del server, non dovrei avere troppi problemi a trovare una soluzione.
Volevo semplicemente assicurarmi che la mancanza di connessione dei client ad Active Directory non interferisse con il client WAPT (ad esempio, con l'assegnazione delle unità OU).
-
arnaud.houdelette
- Messaggi: 7
- Registrazione: 02 ott 2019 - 11:24
Buonasera.
Sono riuscito a configurare un proxy inverso abbastanza facilmente (con autenticazione del certificato forzata, fatta eccezione per il websocket).
I client si connettono correttamente al server, effettuano l'aggiornamento, ecc.
Tuttavia, ho avuto qualche difficoltà a far funzionare il self-service.
La documentazione fornisce 3 metodi per abilitare l'autenticazione LDAP, ma specifica che è richiesto un account AD solo per il terzo... o forse ho capito male.
Ora funziona.
Analogamente, utilizziamo anche un'istanza Nginx inversa, che ci permette, ad esempio, di limitare l'accesso alla console dall'esterno della nostra rete.
Se non ricordo male, ci consente anche di mantenere valido il certificato autofirmato del backend indipendentemente dalla sua validità. Funziona piuttosto bene.
Se non ricordo male, ci consente anche di mantenere valido il certificato autofirmato del backend indipendentemente dalla sua validità. Funziona piuttosto bene.
-
aurouze.eliott
- Messaggi: 1
- Registrazione: 27 aprile 2023 - 13:58
Salve, sto riscontrando problemi nell'accesso all'interfaccia self-service remota. Riesco ad accedervi solo specificando il DN, ad esempio: INT\aurouze.e, mentre funziona correttamente anche senza specificarlo quando accedo localmente.
Grazie in anticipo per l'aiuto.
Grazie in anticipo per l'aiuto.
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
@eliott, grazie per aver aperto una nuova discussione per una nuova domanda. Chiudo questa discussione.
Cordiali saluti,
Denis
Cordiali saluti,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
