Forum IT Tranquillo

Buongiorno,

In seguito all'implementazione dell'autenticazione Kerberos sul nostro server WAPT e alla configurazione di una workstation di prova con Kerberos abilitato, riscontriamo un problema durante la distribuzione di nuove workstation tramite WADS. Le workstation sono visibili nella sezione di distribuzione del sistema operativo, Windows viene installato, ma poi la workstation si avvia normalmente ma non è registrata con WAPT. Dobbiamo eseguire il comando `register`, che richiede login/password WAPT, registra la workstation e avvia gli aggiornamenti dei pacchetti come di consueto. Abbiamo provato a modificare lo script `conf` della workstation come segue:
Il computer dovrebbe registrarsi automaticamente al termine dell'installazione di Windows, ma si blocca nella fase "Utente: Esecuzione script post-installazione", che non termina mai. Il computer rimane bloccato in un loop sulla schermata di avvio di Windows (il logo di Windows con il puntino all'interno). Se spegniamo il computer e riaccediamo, possiamo registrarlo manualmente.

Non abbiamo altri problemi con la gestione WAPT; le workstation sono raggiungibili e gli aggiornamenti vengono eseguiti correttamente, indipendentemente dal fatto che Kerberos sia a 0 o 1.

Qualcun altro ha riscontrato questo problema e, in tal caso, come lo ha risolto?



Se necessario:

file waptserver.ini:
wat-get.ini dalla stazione di prova:

Vedi file allegato poste1.png postazione di lavoro di produzione wat-get.ini:

Vedi file allegato poste2.png
Grazie in anticipo per le vostre risposte
Sinceramente,

Ciao Paul,

hai riavviato postconf dopo aver modificato il file waptserver.ini? Ci sono alcune modifiche che devono essere riflesse nel file di configurazione di nginx.

Saluti,

Denis

Ciao,

ho appena riprovato per sicurezza (anche se sono certo di averlo già fatto), ma non è cambiato nulla.

Attualmente, le workstation sono bloccate sullo "script di postinstallazione" e devo spegnerle in modo errato, riavviarle e infine registrarle con WAPT.

Ho modificato lo script di postinstallazione aggiungendo il comando: "C:\Program Files (x86)\wapt\wapt-get.exe" register --wapt-server-user=XXXX--wapt-server-passwd=XXXX""
pensando che questo avrebbe permesso la registrazione, ma non è successo. Dopo aver ripristinato lo script al suo stato normale, il problema persiste (mentre prima della modifica, il PC completava l'installazione di Windows normalmente ma non riusciva a registrarsi con WAPT).

Ecco lo script corrente:
ping 127.0.0.1 -n 30
net stop waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" update
"C:\Program Files (x86)\wapt\wapt-get.exe" install base_software
net start waptservice Cordiali

saluti,

Ciao Paul,

La registrazione Kerberos funziona su un agente WAPT al di fuori dei WAD?

Per effettuare il test, è possibile utilizzare una macchina pulita o già integrata. Se la macchina è integrata, è necessario rimuoverla dall'inventario ed eliminare i file del certificato client c:\program files (x86)\wapt\private\*.{crt,p12,pem}

Dopodiché, esegui un'escalation dei privilegi nel SISTEMA LOCALE utilizzando psexec
Quindi esegui un registro wapt-get senza nome utente/password per verificare che la macchina sia in grado di registrarsi correttamente in Kerberos.

Sinceramente,

Denis

Salve,

ho effettuato una prova. Dopo aver impostato `use kerberos` su 1 sul lato agente e riavviato il servizio WAPT, l'autenticazione funziona direttamente senza password. Se `use kerberos` è impostato su 0, sono richiesti nome utente e password.

La registrazione Kerberos sembra quindi funzionare. Ho poi provato l'opzione self-service e ho ricevuto un messaggio di errore "password errata". Inserendo la mia password di Windows, tutto ha funzionato. Ma con Kerberos, non dovrebbe essere automatico?

Rimane comunque il problema della registrazione dei nuovi PC. Come posso visualizzare la configurazione predefinita distribuita e verificare che utilizzi Kerberos? Se non lo utilizza, posso semplicemente generare un nuovo agente che utilizzi Kerberos per risolvere il problema?

In tal caso, cosa succede agli agenti attualmente distribuiti? Si registreranno tutti di nuovo?

Cordiali saluti,

Ciao di nuovo Paul,

PaulSLA ha scritto: ↑24 luglio 2024 - 10:13 Test effettuato: dopo aver impostato `use kerberos` su 1 sul lato agente e riavviato il servizio WAPT, l'autenticazione funziona direttamente senza password. Se `use kerberos` è impostato su 0, sono richiesti nome utente e password.

Bene, significa che la parte Kerberos è configurata correttamente.

La registrazione Kerberos sembra funzionare. Ho provato l'opzione self-service, ma ho ricevuto un messaggio di errore "password errata". Ho inserito la mia password di Windows e tutto ha funzionato. Ma con Kerberos, non dovrebbe essere automatico?

Sì, dovrebbe funzionare automaticamente. Sul computer di prova è presente `service_auth_type=waptserver-ldap`, ma non sull'altro. Il test è stato eseguito sul computer di prova?

Questo causa sempre problemi con la registrazione dei nuovi PC. Come posso visualizzare la configurazione di distribuzione predefinita e verificare che utilizzi Kerberos? In caso contrario, posso semplicemente generare un nuovo agente che utilizzi Kerberos per risolvere il problema?

Le workstation appena installate visualizzano l'ora corretta? Kerberos è piuttosto sensibile al tempo. Vale la pena notare che WinPE registra l'ora del BIOS in UTC, mentre un sistema Windows installato localmente registra l'ora del BIOS nel fuso orario locale. Questo è piuttosto incoerente. Non c'è un fuso orario nel BIOS e Windows non è coerente nell'uso dell'ora all'interno del BIOS... (anche Linux registra l'ora in UTC).

In tal caso, che dire degli agenti attualmente impiegati? Verranno tutti nuovamente registrati?

Se un agente è registrato, dispone del suo certificato client (.pem / .p12) e lo utilizza per autenticarsi sul server. Utilizzerà l'autenticazione Kerberos solo se non dispone di un certificato client o se questo non funziona (ad esempio, è stato revocato). Pertanto, no, non ci sarà alcuna nuova registrazione delle workstation già distribuite/registrate.

Sinceramente,

Denis

Ciao,

grazie per le risposte. Ho la riga "service_auth_type=waptserver-ldap" in [global] sulla macchina dove sto eseguendo il test. Non la sto ancora inserendo sulle macchine di produzione perché non sono sicuro di aver compreso appieno tutti i dettagli di questa configurazione.
Ho anche la riga, trovata sul forum, che all'epoca risolse un problema simile: "ldap_auth_ssl_enabled=False".

Sono riuscito a risolvere il problema sui nuovi PC. Per qualche motivo che non conosco, lo script di post-installazione si blocca e l'installazione non prosegue. Dato che questo script non svolge più un lavoro utile, sono riuscito a eliminarlo e l'installazione continua. Una volta terminata l'installazione, il PC si registra correttamente con Kerberos (dopo aver generato un nuovo agente che lo supporti, ovviamente).


Grazie per le informazioni relative alle macchine esistenti. Quindi, posso cambiare `use_kerberos` da 0 a 1 sulle mie macchine; questo non avrà alcun impatto sulla produzione? Ma se ho capito bene, questo è di scarsa utilità, solo per registrarli nuovamente se necessario in futuro.

Quindi l'unico problema rimanente è che la funzionalità self-service non funziona con l'SSO nonostante la presenza delle righe menzionate sopra e la configurazione del server già pubblicata.
Se la riga "service_auth_type=waptserver-ldap" è presente, il self-service inizia con un messaggio di errore rosso che indica che la password non è corretta. Se la rimuovo, non compare alcun messaggio e mi viene semplicemente richiesta la password. Purtroppo non ho molte altre idee per risolvere questo problema.

Cordiali saluti,

Ciao Paul,

ho qualche difficoltà con la configurazione del self-service. La tua organizzazione ha sottoscritto un abbonamento per l'assistenza telefonica. La cosa migliore da fare è aprire un ticket e chiedere a un tecnico di esaminare la configurazione insieme a te in tempo reale; non dovrebbe essere troppo complicato.

Cordiali saluti,

Denis

Salve,

ho continuato a esaminare la questione e il metodo 2 della documentazione funziona:

"ldap_auth_ssl_enabled = True
verify_cert_ldap = False".

Il terzo metodo, tuttavia, non funziona, ma poiché prevediamo di abilitare anche la verifica del certificato, apriremo un ticket per entrambi i problemi contemporaneamente, dato che entrambi sembrano correlati a un problema di certificato.

Grazie per l'aiuto!

Cordiali saluti,