[RESOLU] SELF-SERVICE: An operation have Failed

skoizer · 25 sept. 2024 - 15:08

Bonjour,
Nous avons migré de wapt 2.2 a 2.5.5
les agents sur les windows ont également migrés.
Nous sommes passé en https avec une verification de certif serveur (conf agent en dessous)

si un utilisateur ou un admin essaye d'installer un paquet avec le self service
on a une fenêtre avec ce message d'erreur

Code : Tout sélectionner

Avertissement
"An operation has failed do you want to force the installation/removed
Operation:Installation de Toto-naps2 (tâche #60)

ma conf de l'agent

Code : Tout sélectionner

[global]
use_hostpackages=1
repo_url=https://srvwapt.local.lan/wapt
wapt_server=https://srvwapt.local.lan
verify_cert=C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
use_repo_rules=1
use_ad_groups=1
allow_remote_reboot=1
allow_remote_shutdown=1
waptservice_admin_filter=True
limit_bandwidth=500
use_kerberos=1
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
include_dmi_inventory=1
include_wmi_inventory=1
maturities=PROD,PREPROD,DEV

skoizer · 25 sept. 2024 - 15:38

dans les log

Code : Tout sélectionner

C:\Program Files (x86)\wapt\log\waptservice.log

Code : Tout sélectionner

Erreur lors de l'installation de ['toto-naps2']: erreurs dans les paquets [[('https://srvwapt.toto.lan/wapt/toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt', 'Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'), None], [PackageRequest(package='toto-naps2',architectures=['x64'],locales=['fr'],maturities=['PROD', 'PREPROD', 'DEV'],tags=['windows-10', 'win-10', 'w-10', 'windows10', 'win10', 'w10', 'windows', 'win', 'w'],min_os_version=Version('10.0.22631'),max_os_version=Version('10.0.22631')), PackageEntry('toto-naps2','7.5.1-1' architecture='x64',maturity='PROD',target_os='windows'), 'Traceback (most recent call last):\n  File "C:\\Program Files (x86)\\wapt\\common.py", line 5347, in install\n    raise EWaptDownloadError(\'Package file %s not downloaded properly.\' % p.filename)\nwaptpackage.EWaptDownloadError: Package file toto-naps2_7.5.1-1_x64_windows_PROD_747ca02d392427964812ed7c806d0817.wapt not downloaded properly.\n']]

25 sept. 2024 - 15:58

Bonjour

La vérification de la connexion https ne fonctionne pas

visiblement le fichier suivant a été supprimé?

Code : Tout sélectionner

 C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt

skoizer · 25 sept. 2024 - 16:42

non le certificat existe bien les pc sur "C:\Program Files (x86)\wapt\ssl\server'

25 sept. 2024 - 17:23

Etrange, vous pouvez taper cette commande sur la mahcine?

Code : Tout sélectionner

type  "C:\Program Files (x86)\wapt\\ssl\server\srvwapt.local.lan.crt"

Pour être certain

Le service wapt indique bien :

Code : Tout sélectionner

Could not find a suitable TLS CA certificate bundle, invalid path: C:\\Program Files (x86)\\wapt\\ssl\\server\\srvwapt.local.lan.crt'

skoizer · 25 sept. 2024 - 17:40

si j'essaye ceci

type "C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt"

j'ai bien les données du fichier qui s 'affichent.

dans les log
C:\Program Files (x86)\wapt\log\waptservice.log

2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Creating socketio client: https://srvwapt.local.lan:443 client auth cert: ('C:\\Program Files (x86)\\wapt\\private\\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\\Program Files (x86)\\wapt\\private\\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxies: None verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 17:37:40,928 [wapttasks SocketIOClient 8764] INFO Connecting Socketio to https://srvwapt.local.lan:443
2024-09-25 17:37:40,943 [waptws SocketIOClient 8764] WARNING Exception ConnectionError('Connection error'), waiting 60s before retrying

skoizer · 25 sept. 2024 - 17:41

je viens de voir un probléme si je me connecte en web sur le serveur https://srvwapt.local.lan
j'ai oublié le P de wapt ...

j'ai une erreur sur le certificat autosigné du serveur web wapt, il a deux noms courant
Nom courant : srvwapt.local.lan
Nom courant : srvwat.local.lan

celui copié sur les pc a la même erreur
Nom DNS=srvwapt.local.lan
Adresse IP=x.x.x.73
Nom DNS=srvwat.local.lan

c'est le certificat autosigné nginx quand nous avons créé le serveur WAPT
j'ai trouvé les infos sur la conf nginx ici /etc/nginx/sites-enabled/wapt.conf
le certificat et la key sont ici /opt/wapt/waptserver/ssl/

je ne comprend pas pourquoi dans le fichier de conf de wapt serveur, j'ai d'autre certificat
trouvé ici : /opt/wapt/conf/waptserver.ini

Code : Tout sélectionner

clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.fr.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://s09wapt-srv.local.lan/wapt/ssl/ca-s09wapt-srv.local.lan.fr.crl

skoizer · 25 sept. 2024 - 18:35

bref
j'ai signé avec mon autorité les certtificats et je les ai mis sur nginx
restart nginx et ça fonctionne, je vois bien le bon certif sur le https

j'ai récupéré cert.pem et je l'ai mis ici "C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt"
idem avec verify_cert=1

j'ai toujours des erreurs sur le client wapt "C:\Program Files (x86)\wapt\log"

2024-09-25 18:32:49,201 [waptws SocketIOClient 23868] WARNING Exception ConnectionError('Connection error'), waiting 60s before retrying
2024-09-25 18:33:18,261 [waptcore WaptTaskManager 10532] WARNING Unable to update server status : 400 Client Error: Bad Request for url: https://srvwapt.local.lan/update_host
2024-09-25 18:33:18,261 [wapttasks WaptTaskManager 10532] WARNING Host on the server is not known or not known under this FQDN name (known as None). Trying to register the computer...
2024-09-25 18:33:19,708 [wapttasks WaptTaskManager 10532] WARNING Unable to update server status : GSSAPIProxy requires the Python gssapi library: No module named 'gssapi'
2024-09-25 18:33:19,709 [wapttasks WaptTaskManager 10532] INFO Unable to update server status: No answer
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO Socketio connection params have changed. Socketio needs reconnect
2024-09-25 18:33:49,217 [wapttasks SocketIOClient 23868] INFO Creating socketio client: https://srvwapt.local.lan:443 client auth cert: ('C:\\Program Files (x86)\\wapt\\private\\4c4c4544-0058-3810-8032-b2c04f523434.crt', 'C:\\Program Files (x86)\\wapt\\private\\4c4c4544-0058-3810-8032-b2c04f523434.pem') proxies: None verify_cert: C:\Program Files (x86)\wapt\ssl\server\srvwapt.local.lan.crt
2024-09-25 18:33:49,218 [wapttasks SocketIOClient 23868] INFO Connecting Socketio to https://srvwapt.local.lan:443
2024-09-25 18:33:49,235 [waptws SocketIOClient 23868] WARNING Exception ConnectionError('Connection error'), waiting 60s before retrying

log nginx pour un pc

10.9.3.3 CN=4c4c4544-0058-3810-8032-b2c04f523434 FAILED:self signed certificate - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.3 - NONE - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.3 - NONE - [25/Sep/2024:19:51:48 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

Licence type entreprise 1500

25 sept. 2024 - 20:52

Je vois dans votre conf que vous avez

Code : Tout sélectionner

use_kerberos=1

dans votre cas la configuration kerberos ne semble pas fonctionnel

Vous pouvez suivre : https://www.wapt.fr/fr/doc-2.3/wapt-sec ... e-kerberos

skoizer · 26 sept. 2024 - 09:45

Bonjour,
merci pour ta réponse.
Effectivement, j'ai activé le kerberos

Mais comme nous utilisons un alias DNS pour tout et que le serveur est enregistré avec un autre nom, cela ne fonctionne pas.
J'ai enlevé l'option kerberos

/opt/wapt/conf/waptserver.ini

[options]
secret_key = AEi2u6TD7XTGwlyDdrjkCwYtvCGk6zJ3ER4gjfyZ6rZoMxdJQtRvXgUMEwLlvibT
server_uuid = 29600a76-e04e-11ed-b4e3-005056bcfc82
wapt_huey_db = /opt/wapt/db/waptservertasks.sqlite
wapt_password = $pbkdf2-sha256$29000$3rv3HgNgTMmZM8bYO2eM8Q$sZoG5FmdqcXxhKIM6i.GBVAR7neQisG9JvIPLuiY0Ao
waptwua_folder = /var/www/waptwua
allow_unauthenticated_registration = True
allow_unauthenticated_connect = True
clients_signing_key = /opt/wapt/conf/ca-s09wapt-srv.local.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-s09wapt-srv.local.lan.crt
wapt_admin_group = WAPT_ADMIN
ldap_auth_server = mondc.local.lan.fr
ldap_auth_base_dn = DC=local,DC=lan
ldap_auth_ssl_enabled = False
token_secret_key = uSFS1mfW8l8wzJghdpMiKusI4qXVKhGUDuD6V9qkKvgr8DJqCW7CB1Vsyq3wkO7J
use_kerberos = False
clients_signing_crl = /var/www/ssl/ca-s09wapt-srv.local.lan.crl
clients_signing_crl_url = http://srvwapt.local.lan/wapt/ssl/ca-s0 ... al.lan.crl
ssl_additional_crls = /var/www/ssl
wads_enable = False
waptwua_enable = False

systemctl restart wapt*

j'ai toujours des erreurs

10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FAILED:self signed certificate - [26/Sep/2024:09:44:35 +0200] "GET /wapt-host/4c4c4544-0058-3810-8032-b2c04f523434.wapt HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 CN=4c4c4544-0058-3810-8032-b2c04f523434 FAILED:self signed certificate - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 400 208 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"
10.9.3.16 - NONE - [26/Sep/2024:09:44:36 +0200] "GET /licences.json HTTP/1.1" 401 17 "-" "wapt/2.5.5"

sur la console, je vois le pc 10.9.3.16 connecté
mais il est en double dans celle ci... ce qui n'est pas bon

UUID 4C4C4544-0058-3810-8032-B2C04F523434
UUID du nouveau pc 4c4c4544-0058-3810-8032-b2c04f523434