[RESOLU] nécessaire amélioration de l'agent Linux

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée ( 1.6.1 / 1.7.4 / 1.8.2 / etc.) AINSI QUE l'édition Enterprise / Community
* Préciser OS du serveur (Linux / Windows) et version (Debian Stretch/Buster - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets (Windows 7 / 10)
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter Camille ou Faustine au service commercial Tranquil IT au 02.40.97.57.55
vincent.lucy
Messages : 3
Inscription : 20 nov. 2019 - 16:33

07 oct. 2020 - 16:56

Bonjour,

notre ONG a environ 70% de son parc sous Linux. Nous avons pris une licence professionnelle mais du coup une grosse partie de notre parc n'est pas gérée par WAPT du fait des limitations actuelles :
  • Le paquet de l'agent sous Ubuntu (par exemple) n'est pas assez finalisé. Nous indiquons ci dessous ce que nous ajoutons après son installation et qui pourrait être intégré au paquet / pris en charge par dpkg
  • L'absence de gestion de la session utilisateur est pénalisante : nous nous efforçons de joindre les postes Linux au domaine AD Samba, mais pour l'instant sans valeur ajoutée, alors que nous souhaiterions automatiser la configuration de plusieurs logiciels sous Linux: Firefox, Thunderbird, Gnome, Nautilus, Nextcloud...
Voici les actions que nous réalisons actuellement pour l'installation de l'agent WAPT :

Code : Tout sélectionner

apt install apt-transport-https lsb-release gnupg
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg  | apt-key add -
echo "deb https://srvwapt-pro.tranquil.it/entreprise/ubuntu/wapt-1.8/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list

cat >> /etc/apt/auth.conf.d/tis.conf << EOF
machine srvwapt-pro.tranquil.it
login la_cle_de_login_entreprise
password le_mot-de_passe_entreprise
EOF

chmod 600 /etc/apt/auth.conf.d/tis.conf
apt update && apt install tis-waptagent

cat >> /opt/wpat/wpat-get.ini <<< EOF

[global]
repo_url=https://ip_server/wapt
wapt_server=https://ip_server/
use_hostpackages=1
use_kerberos=0
verify_cert=/opt/wapt/ssl/chemin_du_certificat.crt
verify_cert=0
EOF
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 658
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

07 oct. 2020 - 19:17

Je dirai que le problème ne vient pas forcément de l'agent, mais plus des différences entre l'infra Windows et l'infra Linux. Notamment par le fait qu'il n'y a pas de déploiement par GPO sous Linux, et qu'il faut donc utiliser des manières tierce (ansible, puppet, chef, à-la-mano, etc.) pour faire le déploiement initial, ainsi que le fonctionnement par dépôt apt/yum.

Le besoin de apt-get apt-transport-https lsb-release gnupg je dirais son assez standard de nos jours.

L'intégration des clients Ubuntu au domaine est plutôt un point positif. Sinon il n'y a pas de gestion du cycle de vie des comptes utilisateurs, des mdp, etc.

En fait le téléchargement de l'agent depuis le dépôt TIS n'est pas la bonne manière de faire, car il faut que l'agent soit dans la même version que le serveur, et qu'il faudrait plutôt le pré-télécharger sur le serveur et le télécharger directement depuis celui-ci (ce qui vous enlèverait de la même manière le pb de configuration d'une source apt supplémentaire). C'est ce que l'on est entrain de préparer pour la prochaine version 1.9. On va faire évoluer la doc avec.

Dans le cas des agents Windows on re-génère l'installeur à chaque mise à jour, ce qui est pratique car il est auto-contenu, mais qui pose un problème de validation de signature lors de l'installation sous Windows. Un compromis pourrait être de passer à l'agent lors de son install les paramètres de configuration avec une ligne de commande ou bien un .sh auto-contenu. On est aussi entrain d'étudier cela pour la version 1.9.
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 658
Inscription : 18 juin 2014 - 09:58
Localisation : Nantes
Contact :

08 oct. 2020 - 19:18

Au fait, je pensais à une chose, pour la partie jonction du poste linux, elle est nécessaire uniquement pour l'enregistrement automatique du poste dans le serveur WAPT si la sécurité Kerberos est activée (ce qui est pas mal d'un point de vu sécurisation et automatisation).
Pour la partie selfservice il est possible d'activer une authentification à travers le serveur WAPT ou le serveur LDAP.
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
vincent.lucy
Messages : 3
Inscription : 20 nov. 2019 - 16:33

12 oct. 2020 - 13:01

Merci Denis pour ces réponses,

Pour la jonction au domaine AD, ça on gère à la mano lors de l'installation des postes, on automatisera peut-être ça dans le futur, un collègue commence à maîtriser FOG.
Notamment par le fait qu'il n'y a pas de déploiement par GPO sous Linux, et qu'il faut donc utiliser des manières tierce (ansible, puppet, chef, à-la-mano, etc.) pour faire le déploiement initial, ainsi que le fonctionnement par dépôt apt/yum.
Ça effectivement on peut le gérer via Ansible. Nous gérons pour l'instant basiquement tous nos serveurs (ou services) via SaltStack, pour l'instant je n'ai pas trouvé mieux mais c'est plus fait pour des serveurs en ligne H24.
En fait le téléchargement de l'agent depuis le dépôt TIS n'est pas la bonne manière de faire, car il faut que l'agent soit dans la même version que le serveur, et qu'il faudrait plutôt le pré-télécharger sur le serveur et le télécharger directement depuis celui-ci (ce qui vous enlèverait de la même manière le pb de configuration d'une source apt supplémentaire). C'est ce que l'on est entrain de préparer pour la prochaine version 1.9. On va faire évoluer la doc avec.
Ça fera toujours un dépôt supplémentaire chez nous que nous devrons gérer, mais pourquoi pas. Le soucis comme pour le serveur WAPT est l'hébergement exposé sur Internet pour les postes nomades, donc sa nécessaire sécurisation.

Nous reviendrons vers vous pour un accompagnement sur plusieurs jours des admin sys de notre ONG pour une mise en œuvre plus efficace de WAPT.

Nous pourrions planifier ça avec la sortie de la version 1.9, avez-vous une idée du calendrier prévisionnel ?

Cordialement,

VL
Avatar de l’utilisateur
cfargues
Messages : 28
Inscription : 19 mai 2016 - 15:12
Contact :

13 oct. 2020 - 09:48

Bonjour Vincent,
La version 1.9 devrait sortir avant la fin de l'année. Je me note que vous souhaitez un accompagnement et vous contacte lors de la sortie.
Je marque le sujet comme résolu ;)
Bonne journée,
Camille
Camille FARGUES
Chargée d'affaires
Répondre