Forum IT Tranquillo

Ciao a tutti,

Descrizione dell'infrastruttura:
server Debian 12
aggiunto ad AD (tramite Winbind)
tis-waptserver 2.6.1.17705-092e11fc-amd64
Server WAPT e repository WAPT

Client 1 Debian 13
esterno ad AD (account locale)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Client 2 Debian 13
aggiunto ad AD (tramite Winbind)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Nel repository privato ho quattro applicazioni Linux, così come Un pacchetto "self-service" in cui due di queste applicazioni vengono distribuite tramite il gruppo "utente" (un gruppo locale presente su "Client1" che contiene il mio utente locale).
Questo pacchetto self-service viene applicato solo a "Client1".
Nell'interfaccia grafica "self-service" di "Client1", posso vedere le due applicazioni distribuite tramite il pacchetto self-service, e solo quelle due.
Tuttavia, su "Client2", sebbene né il pacchetto self-service né alcuna delle applicazioni siano distribuite tramite la console, l'interfaccia grafica "self-service" vede tutte e quattro le applicazioni presenti nel repository. È normale?

Entrambi i client hanno il certificato che ha firmato i quattro pacchetti.

Robocop ha scritto: ↑12 feb 2026 - 14:34 Tuttavia, sul "Client 2", sebbene né il self-service né alcuna delle applicazioni siano distribuite tramite la console, l'interfaccia grafica del "self-service" vede le 4 applicazioni presenti nel repository, è normale?

L'utente è un membro root, sudo o wheel?

Simone

Sì.

Italiano: https://www.wapt.fr/fr/doc/wapt-create- ... es-package

Per abilitare il filtro dei pacchetti per gli amministratori locali, impostare il seguente parametro nella configurazione WAPT: waptservice_admin_filter = True.

Questo garantisce che gli amministratori locali vedano solo i pacchetti che sono esplicitamente autorizzati a installare.


Tuttavia, un amministratore è pur sempre un amministratore; tecnicamente, può modificare autonomamente il parametro waptservice_admin_filter. Pertanto, questa impostazione è puramente a scopo di visualizzazione e non di sicurezza.

Perfetto, grazie.
Per curiosità, il comportamento è lo stesso anche su Windows? Un utente membro del gruppo BUILTIN\Administrators visualizzerà tutti i pacchetti?

Quindi, l'unico modo per impedire l'esecuzione di un pacchetto (ad esempio, uno soggetto a licenza) sul computer di un amministratore sarebbe quello di utilizzare un certificato dedicato?

Robocop ha scritto: ↑12 feb 2026 - 14:59 Per curiosità, il comportamento è lo stesso su Windows? Un utente membro di BUILTIN\Administrators vedrà tutti i pacchetti?

SÌ

Robocop ha scritto: ↑12 feb 2026 - 14:59 Quindi l'unica soluzione per impedire l'esecuzione di un pacchetto (ad esempio, uno soggetto a licenza) sulla macchina di un amministratore sarebbe quella di utilizzare un certificato dedicato?

No, nemmeno questa è una soluzione, perché non impedirà all'amministratore di scaricare il pacchetto e di avviare un'installazione manuale (dato che è un amministratore). Un amministratore è un amministratore

Quindi la cosa migliore da fare è crittografare i dati sensibili:

https://www.wapt.fr/fr/doc/wapt-create- ... se-feature

Con questo sistema, anche l'amministratore di una postazione di lavoro non può recuperare i dati crittografati se il pacchetto non è destinato a quella macchina.