Contactez nous

[RESOLU] Probleme Kerberos

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum

* Questions can be asked in English or in French. If the thread is started in English, stick to English, if it is started in French, stick to French.
* Vous pouvez poser vos questions en Français ou en Anglais. Si un sujet est commencé en français, merci de répondre en français. Si un sujet est commencé en anglais, merci de répondre en anglais.

WAPT1.3.13
Debian8
Win7&10
-----------------------
Bonjour,
j'ai effectué en test la mise à jour 1.3.13 -> 1.5. Cela fonctionne plutot bien. Par contre, je souhaiterais activer kerberos pour des raisons de sécurité mais j'ai cette erreur :
FATAL ERROR : EWaptBadServerAuthentication: Authentication failed on server https://....

J'ai déjà vu ce topic mais je n'ai pas de pb avec le champ DNS SRV : viewtopic.php?t=1060
A quel moment activer kerberos ? Faut il mieux le faire lors du postconf.sh initial ou plus tard ?
Cela fonctionne t'il sous Debian 9 ? Une question bete peut etre mais quel est l'id/mdp à saisir lors d'un apt-get register ?
Merci
Lorsque vous activez kerberos sur le serveur les agent wapt doivent tenter de s'enregistrer avec un ticket kerberos.

Pour cela l'agent doit avoir use_kerberos = 1 dans sa configuration

https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt

Lorsque vous générez un agent depuis la console la case "Utiliser kerberos pour l'enregistrement initial" permet d'activer cela dans le waptagent.exe
Oui j'ai déjà vérifié les fichiers de conf côté serveur et client et j'effectue bien la génération de l'agent.
J'ai réinstallé et suis finalement passé sur Debian 9.5.

J'ai une nouvelle erreur :
wapt-get register -S
.... HTTPError : 403 Error : FOrbidden for url : https://...../add_host_kerberos

Pb de conf du nginx ?
Effectivement a l'heur actuel le postconf n'est pas super propre.

Il faut bien lancer le postconf avec l'option --use-kerberos

Code : Tout sélectionner

/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos
Sinon effectivement la conf nginx n'est pas adapté a kerberos
L'authentification Kerberos ne fonctionne pas du tout chez moi ..
J'ai pourtant suivi la doc pas à pas :
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)

Test 1 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 1 sur le client - use_kerberos = True, allow_unauthentificated_registration = False sur le serveur):):
wapt-get register -S
waptservice User : (admin local)
Password : ***
HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberos

Test 2 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 0 sur le client - use_kerberos = True, allow_unauthentificated_registration = False sur le serveur):
wapt-get register -S
waptservice User : (admin local)
Password : ***
EWaptBadServerAuthentification : Authentification failed on server https://wapt.0861234a.lan for action add_host

Test 3 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 0 sur le client - use_kerberos = True, allow_unauthentificated_registration = True sur le serveur):
wapt-get register -S
waptservice User : (admin local)
Password : ***
L'inventaire a été envoyé au serveur WAPT (la machine apparait bien sur la console

/var/log/nginx/error.log :
[error] *640 open() "/var/www/wapt-host/676.....wapt" failed (2: No such file or directory), client : IP, server: _, request : "GET ...

Conf client :
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0

Conf serveur : /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true

[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True
Au vu du message d'erreur

Code : Tout sélectionner

HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberos
la conf nginx est mauvaise
add_host_kerberos retourne 403 si --use-kerberos n'est pas passer en option (je viens de faire un correctif pour rendre le postconf plus propre)

vérifier votre conf nginx


si ceci est présent dans /etc/nginx/sites-enabled/wapt.conf:

Code : Tout sélectionner

        location /add_host_kerberos {
            return 403;
        }
        
Alors le postconf n'a pas été correctement appliqué
Bon effectivement je viens de relancer la commande
/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos
et il me modifie bien le contenu du /add_host_kerberos dans le /etc/nginx/sites-enabled/wapt.conf.

j'ai désormais :
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}

Par contre, ça ne fonctionne tjs pas ... je suis de retour avec mon erreur de début :
EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos..

Otez moi d'un doute, le WaptService User demandé pour le register est bien un compte admin local à fournir ? J'ai essayé avec l'admin du domaine et c'est pareil

J'ai toujours cette erreur :
/var/log/nginx/error.log :
[error] *640 open() "/var/www/wapt-host/676.....wapt" failed (2: No such file or directory), client : IP, server: _, request : "GET ...

---
Le kinit fonctionne bien .. le klist aussi .. msktutil ok - les droits ok
On est bien d'accord que l'on vide le contenu du fichier /etc/krb5.conf et l'on met ca :
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false

Juste un truc sinon le "Pour vérfier, la ligne de commande echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT."
moi il me renvoie juste son nom de machine à savoir wapt, est-ce normal ?

Merci
james a écrit :
20 septembre 2018, 17:02
Juste un truc sinon le "Pour vérfier, la ligne de commande echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT."
moi il me renvoie juste son nom de machine à savoir wapt, est-ce normal ?
Non
Comme l'indique la doc "echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT"

sinon votre serviceprincipalname ne sera pas correctement enregistré dans l'ad.

* Supprimer le compte machine du serveur wapt de l'ad
* Supprimer le ticket /etc/nginx/http-krb5.keytab

Recomencer maintenant la procédure du début avec un nom fqdn complet dans votre /etc/hostname
Effectivement le problème venait bien du hostname ..
Dernière question, comment enregistrer désormais une machine hors AD ? Merci
Bonjour James,
james a écrit :
25 septembre 2018, 13:59
Effectivement le problème venait bien du hostname ..
Dernière question, comment enregistrer désormais une machine hors AD ? Merci
il est recommandé d'ouvrir un nouveau topic pour un nouveau sujet. Je clôture celui ci en résolu.

Cordialement,

Denis