Page 1 sur 1

[RESOLU] nécessaire amélioration de l'agent Linux

Publié : 07 oct. 2020 - 16:56
par vincent.lucy
Bonjour,

notre ONG a environ 70% de son parc sous Linux. Nous avons pris une licence professionnelle mais du coup une grosse partie de notre parc n'est pas gérée par WAPT du fait des limitations actuelles :
  • Le paquet de l'agent sous Ubuntu (par exemple) n'est pas assez finalisé. Nous indiquons ci dessous ce que nous ajoutons après son installation et qui pourrait être intégré au paquet / pris en charge par dpkg
  • L'absence de gestion de la session utilisateur est pénalisante : nous nous efforçons de joindre les postes Linux au domaine AD Samba, mais pour l'instant sans valeur ajoutée, alors que nous souhaiterions automatiser la configuration de plusieurs logiciels sous Linux: Firefox, Thunderbird, Gnome, Nautilus, Nextcloud...
Voici les actions que nous réalisons actuellement pour l'installation de l'agent WAPT :

Code : Tout sélectionner

apt install apt-transport-https lsb-release gnupg
wget -O - https://wapt.tranquil.it/debian/tiswapt-pub.gpg  | apt-key add -
echo "deb https://srvwapt-pro.tranquil.it/entreprise/ubuntu/wapt-1.8/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list

cat >> /etc/apt/auth.conf.d/tis.conf << EOF
machine srvwapt-pro.tranquil.it
login la_cle_de_login_entreprise
password le_mot-de_passe_entreprise
EOF

chmod 600 /etc/apt/auth.conf.d/tis.conf
apt update && apt install tis-waptagent

cat >> /opt/wpat/wpat-get.ini <<< EOF

[global]
repo_url=https://ip_server/wapt
wapt_server=https://ip_server/
use_hostpackages=1
use_kerberos=0
verify_cert=/opt/wapt/ssl/chemin_du_certificat.crt
verify_cert=0
EOF

Re: nécessaire amélioration de l'agent Linux

Publié : 07 oct. 2020 - 19:17
par dcardon
Je dirai que le problème ne vient pas forcément de l'agent, mais plus des différences entre l'infra Windows et l'infra Linux. Notamment par le fait qu'il n'y a pas de déploiement par GPO sous Linux, et qu'il faut donc utiliser des manières tierce (ansible, puppet, chef, à-la-mano, etc.) pour faire le déploiement initial, ainsi que le fonctionnement par dépôt apt/yum.

Le besoin de apt-get apt-transport-https lsb-release gnupg je dirais son assez standard de nos jours.

L'intégration des clients Ubuntu au domaine est plutôt un point positif. Sinon il n'y a pas de gestion du cycle de vie des comptes utilisateurs, des mdp, etc.

En fait le téléchargement de l'agent depuis le dépôt TIS n'est pas la bonne manière de faire, car il faut que l'agent soit dans la même version que le serveur, et qu'il faudrait plutôt le pré-télécharger sur le serveur et le télécharger directement depuis celui-ci (ce qui vous enlèverait de la même manière le pb de configuration d'une source apt supplémentaire). C'est ce que l'on est entrain de préparer pour la prochaine version 1.9. On va faire évoluer la doc avec.

Dans le cas des agents Windows on re-génère l'installeur à chaque mise à jour, ce qui est pratique car il est auto-contenu, mais qui pose un problème de validation de signature lors de l'installation sous Windows. Un compromis pourrait être de passer à l'agent lors de son install les paramètres de configuration avec une ligne de commande ou bien un .sh auto-contenu. On est aussi entrain d'étudier cela pour la version 1.9.

Re: nécessaire amélioration de l'agent Linux

Publié : 08 oct. 2020 - 19:18
par dcardon
Au fait, je pensais à une chose, pour la partie jonction du poste linux, elle est nécessaire uniquement pour l'enregistrement automatique du poste dans le serveur WAPT si la sécurité Kerberos est activée (ce qui est pas mal d'un point de vu sécurisation et automatisation).
Pour la partie selfservice il est possible d'activer une authentification à travers le serveur WAPT ou le serveur LDAP.

Re: nécessaire amélioration de l'agent Linux

Publié : 12 oct. 2020 - 13:01
par vincent.lucy
Merci Denis pour ces réponses,

Pour la jonction au domaine AD, ça on gère à la mano lors de l'installation des postes, on automatisera peut-être ça dans le futur, un collègue commence à maîtriser FOG.
Notamment par le fait qu'il n'y a pas de déploiement par GPO sous Linux, et qu'il faut donc utiliser des manières tierce (ansible, puppet, chef, à-la-mano, etc.) pour faire le déploiement initial, ainsi que le fonctionnement par dépôt apt/yum.
Ça effectivement on peut le gérer via Ansible. Nous gérons pour l'instant basiquement tous nos serveurs (ou services) via SaltStack, pour l'instant je n'ai pas trouvé mieux mais c'est plus fait pour des serveurs en ligne H24.
En fait le téléchargement de l'agent depuis le dépôt TIS n'est pas la bonne manière de faire, car il faut que l'agent soit dans la même version que le serveur, et qu'il faudrait plutôt le pré-télécharger sur le serveur et le télécharger directement depuis celui-ci (ce qui vous enlèverait de la même manière le pb de configuration d'une source apt supplémentaire). C'est ce que l'on est entrain de préparer pour la prochaine version 1.9. On va faire évoluer la doc avec.
Ça fera toujours un dépôt supplémentaire chez nous que nous devrons gérer, mais pourquoi pas. Le soucis comme pour le serveur WAPT est l'hébergement exposé sur Internet pour les postes nomades, donc sa nécessaire sécurisation.

Nous reviendrons vers vous pour un accompagnement sur plusieurs jours des admin sys de notre ONG pour une mise en œuvre plus efficace de WAPT.

Nous pourrions planifier ça avec la sortie de la version 1.9, avez-vous une idée du calendrier prévisionnel ?

Cordialement,

VL

Re: nécessaire amélioration de l'agent Linux

Publié : 13 oct. 2020 - 09:48
par cfargues
Bonjour Vincent,
La version 1.9 devrait sortir avant la fin de l'année. Je me note que vous souhaitez un accompagnement et vous contacte lors de la sortie.
Je marque le sujet comme résolu ;)
Bonne journée,
Camille