Configuration du serveur WAPT avec Kerberos sans demande d'authentification

rebeccaS · 31 janv. 2020 - 11:12

Version WAPT Server : 1.8.0
Version WAPT Agent : 1.8.0.6641
version WAPT Setup : 1.8.0.6641
Version WAPT Deploy : 1.8.0.6641
Statut de la base: OK (1.8.0.0)

Os du serveur : Linux/Debian 10.2
Os de la machine d'administration/création des paquets : Windows 10

Bonjour,

Nous sommes actuellement en phase de test de la solution WAPT version community avant de migrer vers la version Entreprise.

J'ai suivi la configuration suivante :

https://www.wapt.fr/fr/doc/wapt-securit ... 20machines

afin d'authentifier les machines via Kerberos avant leurs enregistrements.

La configuration s'est bien déroulée, mais je souhaiterai savoir s'il y a un moyen de mettre en place cette configuration, sans pour autant être obligé de rentrer l'identifiant admin pour enregistrer la machine.

: auth_wapt.png (14 Kio) Vu 5024 fois

Faudrait-il mettre les identifiants dans le fichier de configuration du serveur ou celui du client ?

J'ai tenté de modifier le fichier de conf du serveur /opt/wapt/conf/waptserver.ini en mettant la valeur allow_unauthenticated_registration = True

[options]
waptwua_folder = /var/www/waptwua
server_uuid = xxxxxxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx
clients_signing_key = /opt/wapt/conf/ca-xxxxxxxxxxxxxx.lan.pem
clients_signing_certificate = /opt/wapt/conf/ca-xxxxxxxxxxxxx.lan.crt
wapt_password = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = True
allow_unauthenticated_connect = False
allow_unauthenticated_registration = True
secret_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Quand je lance le serveur WAPT en mode debug, j'ai ce retour :

2020-01-31 10:55:08,558 DEBUG Traceback (most recent call last):
File "/opt/wapt/waptserver/server.py", line 429, in register_host
valid_auth = auth_result and auth_result['auth_method'] in ['admin','passwd','ldap','kerb']
UnboundLocalError: local variable 'auth_result' referenced before assignment

Cordialement,

Rebecca

31 janv. 2020 - 12:00

Bonjour

Si vous souhaitez activer le kerberos il faut placer la valeur

Code : Tout sélectionner

use_kerberos=1

dans l'agent dans wapt-get.ini

Ensuite pour vérifier que le poste négocie bien un ticket kerberos vous pouvez lancer un psexec:

Code : Tout sélectionner

psexec -s cmd
wapt-get register
klist

Si aucun ticket ne parle de wapt, cela signifie votre l'enregistrement du serveur wapt dans l'ad ne s'est pas bien déroulé (problème de SPN certainement).

Lidentifiant mot de passe n'est demander que si l'authentification kerberos échoue

rebeccaS · 31 janv. 2020 - 14:28

Voilà la conf du wapt-get.ini

[global]
repo_url=https://wapt-server/wapt
send_usage_report=1
use_hostpackages=1
wapt_server=https:///wapt-server.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
use_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[wapt-templates]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

Après avoir lancé les commandes voici le résultat :

: wapt_client.png (51.27 Kio) Vu 5013 fois

31 janv. 2020 - 14:42

Il semblerais qu'il y a un problème dans wapt,

Pouvez-vous tester avec la version :

https://wapt.tranquil.it/wapt/nightly/w ... -acfedbd8/

rebeccaS · 31 janv. 2020 - 16:20

C'est à dire, au lieu d'utiliser https://wapt.tranquil.it/debian/wapt-1.8/ ?

Ou seulement un fichier en particulier ?

14 févr. 2020 - 12:32

Bonjour RebeccaS,

il y avait un régression dans la partie enregistrement kerberos dans la version WAPT 1.8.0. Ca a été corrigé dans la version 1.8.1. Si vous pouvez upgrader ça devrait résoudre votre problème.

Cordialement,

Denis

rebeccaS · 18 févr. 2020 - 12:43

Bonjour,

Je viens de retester la nouvelle version, mais j'ai toujours le même problème...

Et le problème apparait dès installation de la console de management...

Cordialement,

Rebecca.

20 févr. 2020 - 10:18

Difficile de diagnostiquer avec le peu d'information disponible.
* des log du client (%WAPT_HOME%\log\waptservice.log)
* des log du serveur (/var/log/waptserver.log ou /var/log/daemon.log)
* tester un wapt-get register -l debug dans un psexec -i -s cmd.exe avec la nouvelle version 1.8.1
Cordialement,
Denis

rebeccaS · 24 févr. 2020 - 16:26

Bonjour,

Voilà les informations que vous demandez :
* des log du client (%WAPT_HOME%\log\waptservice.log)

Serving on http://client:8088
2020-02-24 15:45:26,707 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
Get packages index
u'2 paquet(s) dans le d\xe9p\xf4t\nLe syst\xe8me est \xe0 jour'
2020-02-24 15:45:38,444 [waptcore ] WARNING Host on the server is not known or not known under this FQDN name (known as None). Trying to register the computer...
System Power Controls
2020-02-24 15:47:26,846 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:49:26,976 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:51:27,138 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:53:27,269 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:55:27,414 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:57:27,540 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 15:59:27,690 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)
2020-02-24 16:01:27,819 [waptws ] WARNING Websocket connect params: Unable to get auth token: Error on server:
EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxx-xxxxx-xx. Please register first.',)

* des log du serveur (/var/log/waptserver.log ou /var/log/daemon.log)

Feb 24 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,331 [waptserver ] CRITICAL Get_websocket_auth_token failed EWaptAuthenticationFailure(u'Unknown host UUID xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx. Please register first.',)
Feb 24 16:01:24 waptserver python[2598]: 2020-02-24 16:01:24,378 [waptws ] WARNING SocketIO connection refused for uuid xxxxxxx-xxxxxxxx-xxxxxxxx-xxxxx, sid xxxxxxxxxxxxxxxxx: SocketIO connection not authorized, invalid token: 400 Bad Request: The browser (or proxy) sent a request that this server could not understand., instance

* tester un wapt-get register -l debug dans un psexec -i -s cmd.exe avec la nouvelle version 1.8.1

: waptgerregister.png (112.83 Kio) Vu 4846 fois

Pour information :

wapt-get.ini (Client)

[global]
repo_url=https:// waptserver/wapt
send_usage_report=1
use_hostpackages=1
wapt_server=https:// waptserver
use_kerberos=1
check_certificates_validity=1
verify_cert=0
use_repo_rules=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hiberboot_enabled=0
[wapt-templates]
repo_url=https://store.wapt.fr/wapt
verify_cert=1

/etc/nginx/nginx.conf

location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}

/opt/wapt/conf/waptserver.ini

[options]
waptwua_folder = /var/www/waptwua
server_uuid = xxxxxxxxx-xxxxxxxx--xxxxxxxx-xxxxxx
clients_signing_key = /opt/wapt/conf/ca-waptserver.pem
clients_signing_certificate = /opt/wapt/conf/ca-waptserver.crt
wapt_password = $xxxxxxXXXXXXXXXXXXXxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_kerberos = True
allow_unauthenticated_connect = False
secret_key = xxxxxxxxxxxxxxXXXXXXXXXXXXXXXXXXXXXXXXxxxxxxx

Cordialement,

Rebecca.

25 févr. 2020 - 00:01

Code : Tout sélectionner

#2>     Client : mypc$ @ DOMAIN.LAN
        Serveur : HTTP/srvwapt.domain.lan @ DOMAIN.LAN
        Type de chiffrement KerbTicket : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de tickets 0x40a80000 -> forwardable renewable pre_authent 0x80000
        Heure de démarrage : 2/24/2020 23:57:17 (Local)
        Heure de fin :   2/25/2020 8:23:21 (Local)
        Heure de renouvellement : 3/2/2020 22:23:21 (Local)
        Type de clé de session : AES-256-CTS-HMAC-SHA1-96
        Indicateurs de cache : 0
        KDC appelé : srvrodc.domain.lan

Après le register en psexec avez vous un ticket pour srvwapt (comme ci-dessu) ?