Bonjour,
Nous avons activé l'authentification Kerberos pour WAPT ainsi que la vérification du certificat nous avons donc dans notre wapt-get.ini :
wapt-get.ini;use_kerberos=1
wapt-get.ini;verify_cert=C:\Program Files (x86)\wapt\ssl\server\ca.crt
Cela fonctionne très bien, tant que nous sommes avec une machine ayant un djoin préparé.
Le problème se pose pour des machines hors domaines.
Une fois les machines hors domaines déployé via WAPT, l'agent n'arrive pas à se connecter tout seul à WAPT, nous devons donc aller sur la machine "wapt-get register", là on nous demande les login admin de WAPT, une fois rentré tout est en ordre la machine apparait dans WAPT et nous lui envoyons le paquet de config lié à sa fausse OU.
2 questions :
- Pouvons nous faire en sorte que les machins s'authentifie tout seul à WAPT malgré kerberos et sans descendre le niveau de sécurité ?
- Pouvons nous faire en sorte que le paquet de config ( nous en avons 2 différent en fonction de la machine ) soit affecter automatiquement ( en fonction du nom de la machine / au moment de la configuration du déploiement dans la console WAPT par exemple ).
Cordialement,
Enregistrement machine hors domaine dans WAPT via kerberos
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Bonjour,
Pour que les agents s'enregistrent automatiquement, il y a 2 solutions :
- authentification Kerberos pour les machines du domaine
- sans authentification
La solution d'authentification user/password n'est pas automatique.
Pour la deuxième question, on peut faire un paquet qui en installe d'autres (metapaquet) sous certaines conditions :
ou :
Ce paquet pourrait être inclus dans un groupe de paquets socle.
Bonne journée,
Bertrand
Pour que les agents s'enregistrent automatiquement, il y a 2 solutions :
- authentification Kerberos pour les machines du domaine
- sans authentification
La solution d'authentification user/password n'est pas automatique.
Pour la deuxième question, on peut faire un paquet qui en installe d'autres (metapaquet) sous certaines conditions :
Code : Tout sélectionner
# -*- coding: utf-8 -*-
from setuphelpers import *
def install():
if get_hostname().startswith('test'):
WAPT.install('préfixe-paquetconftest')Code : Tout sélectionner
# -*- coding: utf-8 -*-
from setuphelpers import *
def install():
if get_hostname().startswith('test'):
inifile_writestring(WAPT.config_filename, "global", "host_organizational_unit_dn", "OU=test,DC=hors_domaine")
Ce paquet pourrait être inclus dans un groupe de paquets socle.
Bonne journée,
Bertrand
Comment sont installés les agents hors-domaine actuellement ? avec un autre outil de déploiement ou à la main ?
Pour l'authentification par user/password, il est possible de créer un compte dédié (ACL spécifique) à l'enregistrement des agents. Si l'installation se fait manuellement, c'est une commande supplémentaire pour enregistrer l'agent ("wapt-get register" puis entrer le user/password).
Sinon possibilité de scripter avec la ligne de commande suivante (mot de passe de l'utilisateur dans la ligne de commande ) :
Pour l'authentification par user/password, il est possible de créer un compte dédié (ACL spécifique) à l'enregistrement des agents. Si l'installation se fait manuellement, c'est une commande supplémentaire pour enregistrer l'agent ("wapt-get register" puis entrer le user/password).
Sinon possibilité de scripter avec la ligne de commande suivante (mot de passe de l'utilisateur dans la ligne de commande ) :
Code : Tout sélectionner
wapt-get register --wapt-server-user=WAPT_SERVER_USER --wapt-server-passwd=WAPT_SERVER_PASSWD
