[SOLVED] probleme avec NewPSDrive

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

06 févr. 2018 - 16:09

Bonjour,

Version de WAPT : 1.3.13
Serveur sous Debian
Machine de dev sous Windows 10

J'utilise dans un de mes paquets, un script Powershell. J'ai besoin de connecter un lecteur réseau au début, et j'utilise la commande NewPSDrive.

Ce script fonctionne parfaitement, quand je le lance "à la main" dans une console powershell, mais plante quand je le lance à partir de wapt.
La commande est plutôt basique :

New-PSDrive -Name Z -Root "\\serveur.domaine.fr\monrep$" -PSProvider Filesystem
Mais lancée par wapt, j'ai un message d'erreur : New-PSDrive : La racine de lecteur spécifiée "\\serveur.domaine.fr\monrep$" n'existe pas ou n'est pas un dossier.

J'ai essayé de comprendre les différences qu'il pouvait y avoir entre la situation ou je lance le script dans une console, ou par wapt. J'ai vérifié avec un test-connection : le partage répond bien. J'ai également ajouté un test qui vérifie qu'il n'y a pas de lecteur Z: déja mappé, ce n'est pas le cas.

La seule différence que je trouve, c'est quand je lui fais afficher le nom d'utilisateur : c'est MonPC\administrateur quand je le lance à la main, et AUTORITE NT\Système quand il se lance par WAPT. Je ne sais pas, par contre, si le probleme peut venir de là.

Après avoir lancé pas mal de bouteilles à la mer sur des forums dédiés à Powershell, sans réponse pour l'instant, je me suis dit qu'après tout, peut être d'autres utilisateurs de wapt ont déja rencontré ce probleme.

PS : le setup.py du package concerné (bien qu'il n'y ait pas grand chose de ce coté là qui doit jouer là dedans):
def install():
print('installing cdburnerXP')
run_powershell(r'./cdburn.ps1')

Merci d'avance
E.T.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

06 févr. 2018 - 17:04

Bonjour

Wapt est conçu pour ne pas faire appel à des sources externes. (comme un lecteur réseau)
En effet, dans ce cas la sécurité du paquet wapt est compromise. Également, si le réseau n'est pas disponible au moment de l'installation, l'installation plantera (lors d'un waptexit par exemple)
Wapt n'a pas été conçu pour cela.

Pourquoi ne pas embarquer les sources du logiciel directement dans le paquet WAPT ?

Surtout pour cdburner !

Je vous invite a relire la documentation création de paquet de wapt:
https://www.wapt.fr/fr/doc/CreationPaquets/index.html
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

06 févr. 2018 - 17:20

Bonjour,

J'ai bien compris à quoi servait wapt, et comment l'utiliser en mode "normal". Je le fais déja, et tout va bien à ce niveau là, rassurez vous ;-)
Mais nous avons déja une infrastructure d'install automatique de logiciels, utilisée par d'autres logiciels (mdt ...)
Notre idée est de ne pas avoir à maintenir plusieurs dépots à chaque mise à jour.
Bref, ça correspond à un besoin local, même s'il est vrai qu'on n'est pas dans le cas classique d'utilisation de WAPT. Je me doute bien qu'il existe déja un paquet cdburnerxp sur les dépots wapt, mais ça ne correspond pas à nos besoins, dans le cas de ce logiciel.

E.T.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1364
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

06 févr. 2018 - 18:43

Bonjour Eric,
erict a écrit : 06 févr. 2018 - 17:20 J'ai bien compris à quoi servait wapt, et comment l'utiliser en mode "normal". Je le fais déja, et tout va bien à ce niveau là, rassurez vous ;-)
Mais nous avons déja une infrastructure d'install automatique de logiciels, utilisée par d'autres logiciels (mdt ...)
La manière correcte d'intégrer WAPT et MDT est de faire les paquets normalement à la mode WAPT, d'installer le waptagent à la fin de la procédure MDT et d'appeler un wapt-get install de son paquet machine directement derrière.
erict a écrit : 06 févr. 2018 - 17:20 Notre idée est de ne pas avoir à maintenir plusieurs dépots à chaque mise à jour.
Bref, ça correspond à un besoin local, même s'il est vrai qu'on n'est pas dans le cas classique d'utilisation de WAPT. Je me doute bien qu'il existe déja un paquet cdburnerxp sur les dépots wapt
Désolé de le dire comme ça, mais c'est vraiment une très très mauvaise idée. La disponibilité d'un partage réseau au moment de l'exécution d'install WAPT n'est pas garanti (par ex. waptexit ne contrôle pas cela).
erict a écrit : 06 févr. 2018 - 17:20 , mais ça ne correspond pas à nos besoins, dans le cas de ce logiciel.
L'utilisation de paquet WAPT "self-contained" est une condition indispensable pour garantir un taux de réussite de déploiement correct...

Après pour répondre à votre problème précis (mais bon là je suis entrain de vous aider à vous créer des problèmes...), le compte utilisé lors d'un montage réseau en compte LocalSystem (Autorité NT\Système) est le compte Kerberos de la machine (par ex. MYCOMPUTER$). Il faut donc donner les droits en lecture au groupe "domain computers" au partage contenant les installeurs. C'est une question purement Windows, c'est bizarre qu'il n'y ait personne qui ait pu répondre sur votre forum powershell... (ok, je trolle un peu :-)

Mais bon, je répète, ce n'est vraiment pas une bonne idée. Je vais encore le répéter une fois de plus, histoire que l'on ne m'accuse pas d'inciter les gens à se faire du mal : ce n'est vraiment pas une bonne idée!

C'est pas parce que l'on n'a pas la solution que l'on vous encourage à faire des paquets WAPT correctement, c'est juste que si c'est pour lancer un script powershell qui a besoin de faire un montage réseau, dans ce cas là autant utiliser des GPO, ça buguera tout autant (ou d'autre outils de déploiement qui bugue tout autant en suivant ce même modèle).

Ceci dit, si votre problème est le python et la création de setup.py pour WAPT, vous avez des dizaines de paquets sur lesquels chercher votre inspiration. Et si vous voulez aller plus rapidement et devenir des packageur ceinture noire troisième dan en WAPT, Alexandre et Simon donne des formations rapide et efficace! :-)

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

07 févr. 2018 - 09:53

Merci beaucoup pour votre réponse très complète.
J'ai bien noté tout ce que vous dites sur l'utilisation de WAPT. Nous sommes en fait en train d'en tester les possibilités pour voir l'utilisation que nous pourrions en avoir par rapport aux GPO, à MDT et au systeme que nous utilisons pour l'instant en terme de déploiement de systemes et logiciels sur les postes, mais aussi de mises à jour.
Nous sommes obligés d'y aller progressivement, ne pouvant pas tout modifier d'un seul coup, et un grand nombre de questions se posent.
WAPT semble prometteur, plus facile à mettre à disposition des collègues, que d'ouvrir la possibilité à tout le monde de faire des GPO, par exemple.
Bref, nous sommes en phase de tests et de réflexion sur comment l'intégrer progressivement en parallèle et/ou en remplacement de certains de nos outils, et le moyen choisi est de l'intégrer dans l'infra actuelle, et d'étendre son utilisation au fur et à mesure si cela s'avère utile/cohérent.
La souplesse de votre produit permet ça, et c'est justement une des choses qui ont poussé notre choix.

Merci encore pour votre aide et votre travail sur cet outil.
E.T.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1364
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

07 févr. 2018 - 13:49

Bonjour Eric,
erict a écrit : 07 févr. 2018 - 09:53 Merci beaucoup pour votre réponse très complète.
J'ai bien noté tout ce que vous dites sur l'utilisation de WAPT. Nous sommes en fait en train d'en tester les possibilités pour voir l'utilisation que nous pourrions en avoir par rapport aux GPO, à MDT et au systeme que nous utilisons pour l'instant en terme de déploiement de systemes et logiciels sur les postes, mais aussi de mises à jour.
Nous sommes obligés d'y aller progressivement, ne pouvant pas tout modifier d'un seul coup, et un grand nombre de questions se posent.
WAPT semble prometteur, plus facile à mettre à disposition des collègues, que d'ouvrir la possibilité à tout le monde de faire des GPO, par exemple.
Bref, nous sommes en phase de tests et de réflexion sur comment l'intégrer progressivement en parallèle et/ou en remplacement de certains de nos outils, et le moyen choisi est de l'intégrer dans l'infra actuelle, et d'étendre son utilisation au fur et à mesure si cela s'avère utile/cohérent.
La souplesse de votre produit permet ça, et c'est justement une des choses qui ont poussé notre choix.
si l'objectif est juste d'installer un msi ou exe qui s'exécute correctement silencieusement, il suffit de lancer la commande suivante pour avec le paquet, puis d'y faire un build-upload (deux minutes max pour un petit paquet)...

Code : Tout sélectionner

wapt-get make-template moninstalleur.msi
La surcharge de travail du fait d'avoir les deux systèmes en parallèle pendant la période de test ne devrait pas être trop lourde... :-)

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

07 févr. 2018 - 16:07

Re,

Merci pour vos infos.
Même si ça ne rentre pas dans le cadre de l'utilisation "normale" de WAPT, je poste la solution ici, si jamais ça peut servir à quelqu'un :
Il y avait effectivement un probleme de credential pour l'utilisateur system. Notre partage ne nécessite pas d'authentification (en lecture seule), mais il faut quand même fournir des identifiants/mot de passe, même bidon.

Pour notre méthode de transition éventuelle entre notre systeme actuel et WAPT, on a de bonnes raisons pour pratiquer comme on fait, qui seraient un peu trop longues à détailler ici (et sans grand intérêt, de toute manière)

Merci encore
Cordialement

E.T.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1364
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

07 févr. 2018 - 16:55

erict a écrit : 07 févr. 2018 - 16:07 Re,

Merci pour vos infos.
Même si ça ne rentre pas dans le cadre de l'utilisation "normale" de WAPT, je poste la solution ici, si jamais ça peut servir à quelqu'un :
Il y avait effectivement un probleme de credential pour l'utilisateur system. Notre partage ne nécessite pas d'authentification (en lecture seule), mais il faut quand même fournir des identifiants/mot de passe, même bidon.

Pour notre méthode de transition éventuelle entre notre systeme actuel et WAPT, on a de bonnes raisons pour pratiquer comme on fait, qui seraient un peu trop longues à détailler ici (et sans grand intérêt, de toute manière)

Merci encore
Cordialement

E.T.
Je suis désolé d'insister lourdement, mais pour ceux qui vont lire ce post : il ne faut pas suivre cet exemple!

Si vous avez un partage sans authentification, un simple MITM avec un peu d'ARP/DNS/NetBIOS spoofing permettra de détourner les postes utilisateurs vers un partage vérolé, et tout ce qui sera exécuté le sera en compte LocalSystem qui bypassera la plupart des checks de sécurité habituels. En gros, à moins que vous ayez du 802.1x, des pVLAN et des protections contre l'ARP cache poisoning sur l'ensemble du parc, et que les vous n'avez aucun ordinateurs portables, vous mettez en place un super gros trou de sécurité qui permettra à n'importe quels script-kiddies d'owner le réseau!

Le modèle de fonctionnement WAPT est sain d'un point de vu sécurité. Je préférerai que le nom WAPT ne soit pas associé à de telles méthodes...

Par ailleurs, une simple authentification mutuelle en Kerberos en utilisant le compte machine aurait au moins permis d'éviter ce MITM. Je ne suis pas un expert PowerShell, mais un simple "net use" en compte LocalSystem permet de s'authentifier et de mapper un lecteur sur un partage avec les droits en lecture pour "domain computers":

Code : Tout sélectionner

psexec -i -s cmd
    whoami
    net use f:   \\mondomain.lan\sysvol
    dir f:
Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
erict
Messages : 56
Inscription : 22 déc. 2017 - 19:09

07 févr. 2018 - 17:22

Re,

Je n'ai pas assez de connaissance réseau/"hacking" pour comprendre tous les tenants et aboutissants de votre remarque, mais je vais transmettre à l'ingé qui a mis en place ce systeme, histoire de voir ce qu'il en pense. Ceci dit, nous avons effectivement du 802.1x, des vlan, et tout un tas de protections réseau plutôt solides... ce qui n'est pas une raison pour faire n'importe quoi, on est bien d'accord.

Effectivement, pour l'instant, nous "tordons le bras" à WAPT pour lui faire faire des choses qui ne sont pas prévues à la base, et je comprends que vous préfériez bien préciser les choses.

Pour net use, il me semble que j'avais essayé, et que ça n'avait pas donné plus de résultats que New-PSDrive, mais je referai le test, à l'occasion (bien que fondamentalement, si j'ai bien compris, ça ne change pas grand chose au probleme de sécurité évoqué).

Cordialement
E.T.
Verrouillé