Installation sur une grosse structure particulière

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Verrouillé
Benjam
Messages : 8
Enregistré le : 25 août 2016 - 18:53

12 nov. 2016 - 08:59

Bonjour,

Je reviens très tard vers vous mais les choses avancent à leur rythme chez nous.

Grâce à tous vos bons conseils, j'ai réussi à faire mes tests en virtualbox sans problème, j'ai pu faire une présentation/démo à ma hiérarchie. Elle a apprécié l'outil et validé la mise en place d'une expérimentation avant un éventuel déploiement réel.
Suite à ça on a lancé un test en condition établissement et ça fonctionne parfaitement dans les conditions citées plus haut dans les posts précédents (serveur central qui sert de dépôts central, dépôts local en établissement pour les groupes locaux et machines, et dépôts secondaire synchronisé avec le central, clients configurés pour ces 2 dépôts).

J'ai bon espoir de pouvoir avoir pour mes collègues et moi une formation sur le produit et même une presta de msie en place avec également presta pour migrer du SE3 vers Samba4. Mais c'est un autre sujet et avant cela je dois encore apporter quelques éléments supplémentaire.

C'est pourquoi, suite à ces tests "réels" et aux demandes de ma hiérarchie, j'ai quelques questions quand à l'utilisation dont on aurait besoin :
  • - Y a t'il moyen de créer les certificats en masse (en ligne de commande depuis le serveur par exemple) afin de pouvoir les générer d'avance pour tous les sites et ensuite de dire au serveurs/consoles/clients locaux d'utiliser ce certificats plutôt que de devoir en générer un à l'installation de la console locale ? Je pense que oui mais je préfère vous demander afin d'avoir des la commande ou des pistes.
    - Autre question très importante dans notre cas, y a t'il moyen sur les serveurs locaux des établissements d'interdire l'utilisation de la fonction "importer depuis internet" et "importer depuis un fichier" afin d'être sûr que les personnes habilitées à utiliser les console ne puissent pas récupérer des paquets "non autorisés" via internet ? Je vois bien le moyen de n’autoriser que notre dépôt via un pare-feu mais je préférerai que cette fonction ne soit pas utilisable.
    - Pour confirmation, la différence entre utiliser le dépôts secondaire central et importer manuelle via la console depuis celui-ci est : Dans le premier cas une maj de paquet se déploiera automatique dans les établissements sans intervention humaine à partir du moment ou le rsync entre le central et le secondaire aura été fait. Alors que dans le second cas ou l'on importe manuellement le paquets mis à jour dans une console locale, il ne sera pas mis à jour car considéré comme un nouveau paquet avec la signature local. Est-ce bien cela ?
    - Egalement pour confirmation, un certificat perdu est définitivement irrécupérable ; dans ce cas il faut en générer un nouveau et réimporter tous les paquets afin qu'ils prennent la nouvelles signature ? (ça me parait évident mais je voudrais confirmation)
Merci pour votre aide passé et future très précieuse.
@micalement,

Benjam
Haut
Avatar du membre
sfonteneau
Expert WAPT
Messages : 2084
Enregistré le : 10 juil. 2014 - 23:52
Contact :
Contacter sfonteneau

13 nov. 2016 - 21:24

Benjam a écrit :Bonjour,

Je reviens très tard vers vous mais les choses avancent à leur rythme chez nous.

Grâce à tous vos bons conseils, j'ai réussi à faire mes tests en virtualbox sans problème, j'ai pu faire une présentation/démo à ma hiérarchie. Elle a apprécié l'outil et validé la mise en place d'une expérimentation avant un éventuel déploiement réel.
Suite à ça on a lancé un test en condition établissement et ça fonctionne parfaitement dans les conditions citées plus haut dans les posts précédents (serveur central qui sert de dépôts central, dépôts local en établissement pour les groupes locaux et machines, et dépôts secondaire synchronisé avec le central, clients configurés pour ces 2 dépôts).

J'ai bon espoir de pouvoir avoir pour mes collègues et moi une formation sur le produit et même une presta de msie en place avec également presta pour migrer du SE3 vers Samba4. Mais c'est un autre sujet et avant cela je dois encore apporter quelques éléments supplémentaire.

C'est pourquoi, suite à ces tests "réels" et aux demandes de ma hiérarchie, j'ai quelques questions quand à l'utilisation dont on aurait besoin :
  • - Y a t'il moyen de créer les certificats en masse (en ligne de commande depuis le serveur par exemple) afin de pouvoir les générer d'avance pour tous les sites et ensuite de dire au serveurs/consoles/clients locaux d'utiliser ce certificats plutôt que de devoir en générer un à l'installation de la console locale ? Je pense que oui mais je préfère vous demander afin d'avoir des la commande ou des pistes.
On est sur de l'openssl donc oui !
Benjam a écrit : - Autre question très importante dans notre cas, y a t'il moyen sur les serveurs locaux des établissements d'interdire l'utilisation de la fonction "importer depuis internet" et "importer depuis un fichier" afin d'être sûr que les personnes habilitées à utiliser les console ne puissent pas récupérer des paquets "non autorisés" via internet ? Je vois bien le moyen de n’autoriser que notre dépôt via un pare-feu mais je préférerai que cette fonction ne soit pas utilisable.
Euh, c'est la que cela se complique, car pas à ma connaissance et c'est pas quelque chose de standardisée.
Je viens tout juste d'être embauché chez tranquil.it et je sais que le cas que tu souhaites mettre en place est dans les tuyaux et je pense qu'on pourrait te proposer quelque chose.

Je te propose de joindre Vincent Cardon de chez tranquil.it, il pourra répondre à ta problématique.
Benjam a écrit : - Pour confirmation, la différence entre utiliser le dépôts secondaire central et importer manuelle via la console depuis celui-ci est : Dans le premier cas une maj de paquet se déploiera automatique dans les établissements sans intervention humaine à partir du moment ou le rsync entre le central et le secondaire aura été fait. Alors que dans le second cas ou l'on importe manuellement le paquets mis à jour dans une console locale, il ne sera pas mis à jour car considéré comme un nouveau paquet avec la signature local. Est-ce bien cela ?
C'est ça !
Benjam a écrit : - Egalement pour confirmation, un certificat perdu est définitivement irrécupérable ; dans ce cas il faut en générer un nouveau et réimporter tous les paquets afin qu'ils prennent la nouvelles signature ? (ça me parait évident mais je voudrais confirmation)[/list]
Oui c'est ça !
Benjam a écrit : Merci pour votre aide passé et future très précieuse.
@micalement,

Benjam
Haut
Benjam
Messages : 8
Enregistré le : 25 août 2016 - 18:53

14 nov. 2016 - 07:00

Bonjour et merci de tes réponses qui confirment ce que je pensai.

Pour l'OpenSSL je v vais regarder ça de plus près pour la génération en masse de tous les certificats et sur les manipulations (copie dans private et ssl je suppose et surtout comment automatiser le déploiement des clients avec ce certificat) sur les consoles déportées afin qu'elles exploitent ce certificat.
On n'en est pas au déploiement dans nos établissements donc y a pas d'urgence mais c'est pour préparer un petit script d'avance pour le jour J.

Merci également pour les confirmations.

Pour le pb de blocage des fonctions d'import depuis d'autres dépôts, je vais recontacter Vincent.
De toute façon on (ma hiérarchie et/ou moi) doit le recontacter prochainement pour Samba4 / Wapt / Création de paquets, j'en profiterai pour demander une solution a ce pb qui pourrait être un vrai frein à la mise en place de cette solution pour ma hiérarchie.

Merci encore de tes réponses.
@micalement,

Benjam
Haut
Verrouillé

Retourner vers « WAPT Server »


  • Pour aller plus loin avec WAPT