[RESOLU] [WAPT 1.8.2] Déploiement via GPO et demande MDP superadmin

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum
* English support on www.reddit.com/r/wapt
* Le support en français se fait sur ce forum
* Merci de préfixer le titre du thread par [RESOLU] s'il est résolu.
* Préciser version de WAPT installée ( 1.3.13 / 1.5 / 1.7.4)
* Préciser OS du serveur (Linux / Windows) et version (Debian Stretch/Buster - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets (Windows 7 / 10)
ozsupport
Messages : 13
Enregistré le : 06 juil. 2020 - 16:52

06 juil. 2020 - 17:40

Hello la communauté.

Mon déploiement via GPO se lance bien sur ma machine mais tourne sans doute un boucle car ne s'arrête jamais. Et d'autres part, j'ai spécifié sur mon serveur de demander le mot de passe superadmin lors du déploiement de l'agent.

De ce fait, comment faites-vous pour spécifier ce mot de passe lors du déploiement via GPO ?

OS SERVEUR : Debian 10
OS client : Windows Server 2012R2
OS Machine administration : Windows Server 2016

Mercid'avance pour vos réponses et bonne fin de journée :)

PA.
Modifié en dernier par ozsupport le 22 juil. 2020 - 09:27, modifié 2 fois.
Avatar du membre
sfonteneau
Expert WAPT
Messages : 1161
Enregistré le : 10 juil. 2014 - 23:52
Contact :

06 juil. 2020 - 21:02

ozsupport a écrit :
06 juil. 2020 - 17:40
Hello la communauté.

Mon déploiement via GPO se lance bien sur ma machine mais tourne sans doute un boucle car ne s'arrête jamais. Et d'autres part, j'ai spécifié sur mon serveur de demander le mot de passe superadmin lors du déploiement de l'agent.

De ce fait, comment faites-vous pour spécifier ce mot de passe lors du déploiement via GPO ?
Effectivement l'installation attend le mot de passe pour l'enregistrement
En règle générale on modifie directement l'agent :

https://github.com/tranquilit/WAPT/blob ... n.iss#L209

Code : Tout sélectionner

wapt-get register --wapt-server-user=admin --wapt-server-passwd=password
Ensuite relancer la recréation d'un agent.

Attention en terme de sécu c'est pas top, il faut préférer l'authentification kerberos !
ozsupport
Messages : 13
Enregistré le : 06 juil. 2020 - 16:52

07 juil. 2020 - 10:21

Bonjour,

Alors en effet, c'est pas trop clean, mais admettons. :D

Notre soucis c'est que l'on est dans un cas multi-domaine sans liaison. Est-il possible alors de spécifier pour un utilisateur provenant d'un lien LDAP sur la console WAPT, d'uniquement avoir les droits d'intégration des clients sur la console ?

Car dans le principe, on pourrait très bien :
  • Modifier l'agent.
    Générer les agents.
    Modifier à nouveau les agents pour virer le mot de passe.
    Générer à nouveaux les agents afin d'éviter que quiconque puissent éventuellement récupérer l'agent
Avatar du membre
sfonteneau
Expert WAPT
Messages : 1161
Enregistré le : 10 juil. 2014 - 23:52
Contact :

08 juil. 2020 - 09:17

ozsupport a écrit :
07 juil. 2020 - 10:21
Bonjour,

Alors en effet, c'est pas trop clean, mais admettons. :D

Notre soucis c'est que l'on est dans un cas multi-domaine sans liaison.
Pas de problème:

https://www.wapt.fr/fr/doc/wapt-securit ... lationship

Le serveur wapt n'a pas besoin d'avoir l'accès a l'AD pour que le kerberos fonctionne. Il faut juste un compte pour le serveur wapt dans chaque domaine.

Il faut juste avoir un keytab.

Pour générer un keytab sans que le serveur wapt n'est l'accès a l'ad:

https://www.wapt.fr/fr/doc/wapt-securit ... -directory
ozsupport
Messages : 13
Enregistré le : 06 juil. 2020 - 16:52

15 juil. 2020 - 17:51

Merci pour le retour au top ! On va regarder ça d'ici très peu ! :)

Par contre, si on génère le paquet qui va bien pour le déploiement via GPO pour nos différents domaines. Admettons que je génère ensuite un nouveau paquet mais avec l'identification par mot de passe. Le paquet précédemment généré avce les keytab sera t'il toujours utilisable ?

Merci d'avance :)
Avatar du membre
sfonteneau
Expert WAPT
Messages : 1161
Enregistré le : 10 juil. 2014 - 23:52
Contact :

16 juil. 2020 - 23:02

Le waptagent ne contient pas les keytabs, c'est le serveur qui a le keytab ;)

Le waptagent lui a juste l'indication de savoir comment il doit s'enregistrer (password ou kerberos)
ozsupport
Messages : 13
Enregistré le : 06 juil. 2020 - 16:52

17 juil. 2020 - 14:23

On commence à comprendre comment ça marche avec tout ça :)
Bon par contre si on active l'auth par kerberos on est obligé d'avoir des machines appartenant à un domaine, on peut pas mixer kerberos et mdp pour le coup ?

Et sinon, pque je me casse les dents sur le kerberos, quand dans la doc il y a le cas de : "Mon serveur WAPT n’a pas accès à un Active Directory en écriture" est-ce que ça marche aussi pour "Mon serveur WAPT n'a pas d'accès à un Active Directory" ?

Pour situer l'ensemble, on veut notre serveur WAPT en tant que service 'autonome', qui autorise les admins à se connecter depuis un 1er domaine via la liaison LDAP (ça c'est ok) et après on a des serveurs sur plusieurs domaines sans liens les uns avec les autres et surtout sans lien "lan" avec le serveur wapt et sur ces domaines on souhaite déployer par GPO.
En // on a aussi quelques serveurs "services supports" qui ne sont dans aucun domaine.

On y arrivera un jour ou c'est un cas d'usage non couvert ?

D.
Avatar du membre
sfonteneau
Expert WAPT
Messages : 1161
Enregistré le : 10 juil. 2014 - 23:52
Contact :

17 juil. 2020 - 16:27

ozsupport a écrit :
17 juil. 2020 - 14:23
On commence à comprendre comment ça marche avec tout ça :)
Bon par contre si on active l'auth par kerberos on est obligé d'avoir des machines appartenant à un domaine, on peut pas mixer kerberos et mdp pour le coup ?
Si kerberos ne fonctionne pas, wapt va demander un mot de passe pour l'enregistrement.
ozsupport a écrit :
17 juil. 2020 - 14:23
Et sinon, pque je me casse les dents sur le kerberos, quand dans la doc il y a le cas de : "Mon serveur WAPT n’a pas accès à un Active Directory en écriture" est-ce que ça marche aussi pour "Mon serveur WAPT n'a pas d'accès à un Active Directory" ?
Oui ;)
ozsupport a écrit :
17 juil. 2020 - 14:23
Pour situer l'ensemble, on veut notre serveur WAPT en tant que service 'autonome', qui autorise les admins à se connecter depuis un 1er domaine via la liaison LDAP (ça c'est ok) et après on a des serveurs sur plusieurs domaines sans liens les uns avec les autres et surtout sans lien "lan" avec le serveur wapt et sur ces domaines on souhaite déployer par GPO.
En // on a aussi quelques serveurs "services supports" qui ne sont dans aucun domaine.

On y arrivera un jour ou c'est un cas d'usage non couvert ?

D.
Le serveur wapt n'a pas besoin de voir l'ad tant qu'il a un keytab ok.

Il te faudrait deux agents, un avec kerberos et et sans kerberos
ozsupport
Messages : 13
Enregistré le : 06 juil. 2020 - 16:52

20 juil. 2020 - 12:33

Bon donc y'a bien un problème quelque part ...

Pour le moment je n'essai qu'avec un des domaines dont j'aurai besoin à terme.
j'ai :
  • configuré mon fichier /etc/krb5.conf
  • créé mon compte ordinateur sur le domaine en question
  • ajouté le spn (et vérifié par la fiche ordinateur)
  • créé mon keytab (normal le /mapuser dans la commande alors que c'est un compte utilisateur ?)
  • uploadé mon keytab et changé les droits
  • relancé le post-conf pour activer kerberos
mais avec ça:
  • ma GPO s'appliquer bien, l'agent s'install et le service existe
  • le service se lance pas, il faut que je le lance à la mano
  • j'ai des logs sur le serveur WAPT me disant que le fqdn en question n'est pas reconnu et qu'il faut que je le "register first"
  • si j'essai de l'enregistrer manuellement il me demande un login

Code : Tout sélectionner

PS C:\Users\Administrateur.XXXXXX\Downloads\PSTools> .\psexec.exe -s cmd

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>wapt-get register -ldebug
2020-07-20 12:27:20,569 DEBUG Default encoding : ascii
2020-07-20 12:27:20,569 DEBUG Setting encoding for stdout and stderr to cp850
2020-07-20 12:27:20,585 DEBUG Python path ['C:\\Program Files (x86)\\wapt', 'C:\\Program Files (x86)\\wapt', 'C:\\Progra
m Files (x86)\\wapt\\python27.zip', 'C:\\Program Files (x86)\\wapt\\DLLs', 'C:\\Program Files (x86)\\wapt\\lib', 'C:\\Pr
ogram Files (x86)\\wapt\\lib\\plat-win', 'C:\\Program Files (x86)\\wapt\\lib\\lib-tk', 'C:\\Program Files (x86)\\wapt',
'C:\\Program Files (x86)\\wapt\\lib\\site-packages', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\pywin32-227-py2
.7-win32.egg', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\win32', 'C:\\Program Files (x86)\\wapt\\lib\\site-pac
kages\\win32\\lib', 'C:\\Program Files (x86)\\wapt\\lib\\site-packages\\Pythonwin']
2020-07-20 12:27:20,585 INFO Using local waptservice configuration C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,585 DEBUG Config file: C:\Program Files (x86)\wapt\wapt-get.ini
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o global auth
2020-07-20 12:27:20,601 DEBUG Thread 5932 is connecting to wapt db
2020-07-20 12:27:20,601 DEBUG DB Start transaction
2020-07-20 12:27:20,601 DEBUG DB commit
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxxx.local.pem for rep
o wapt auth
2020-07-20 12:27:20,617 INFO Main repository: https://xxxxxx.xxxxxxxxxx.xx/wapt
2020-07-20 12:27:20,617 DEBUG Using host certificate C:\Program Files (x86)\wapt\private\mqt-rds.xxxxxxxx.local.pem for rep
o wapt-host auth
2020-07-20 12:27:20,617 INFO User Groups:[]
2020-07-20 12:27:20,617 DEBUG WAPT base directory : C:\Program Files (x86)\wapt
2020-07-20 12:27:20,617 DEBUG Package cache dir : C:\Program Files (x86)\wapt\cache
2020-07-20 12:27:20,617 DEBUG WAPT DB Structure version;: 20200415
2020-07-20 12:27:20,631 DEBUG DB Start transaction
2020-07-20 12:27:20,631 DEBUG DB commit
Registering host against server: https://xxxxx.xxxxxxx.xx
2020-07-20 12:27:20,648 DEBUG DB Start transaction
2020-07-20 12:27:20,648 DEBUG DB commit
2020-07-20 12:27:20,678 DEBUG DB Start transaction
2020-07-20 12:27:20,678 DEBUG DB commit
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,944 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1975 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-1988 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2029 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,960 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2613 : (1332, 'Lo
okupAccountSid', 'Le mappage entre les noms de compte et les ID de s\xe9curit\xe9 n\x92a pas \xe9t\xe9 effectu\xe9.'), u
sing profile directory instead
2020-07-20 12:27:20,976 DEBUG Unable to GET username from SID S-1-5-21-3790108901-3680768173-678536012-2645.bak : (1337,
 'ConvertStringSidToSid', 'Structure d\x92ID de s\xe9curit\xe9 non valide.'), using profile directory instead
2020-07-20 12:27:21,039 DEBUG DB Start transaction
2020-07-20 12:27:21,039 DEBUG DB commit
2020-07-20 12:27:21,053 DEBUG Stores cert chain check in cache
2020-07-20 12:27:21,210 INFO Run "dmidecode -q"
2020-07-20 12:27:21,303 INFO dmidecode -q command returns code 0
2020-07-20 12:27:24,992 DEBUG Loading ssl context with cert C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.crt
and key C:\Program Files (x86)\wapt\private\mqt-rds.XXXXXXXXX.local.pem
2020-07-20 12:27:25,023 DEBUG Starting new HTTPS connection (1): cloud:443
2020-07-20 12:27:25,101 DEBUG https://xxxxxx.xxxxxxxxxx.xx:443 "POST /add_host HTTP/1.1" 401 41
Please get login for add_host:
Avatar du membre
sfonteneau
Expert WAPT
Messages : 1161
Enregistré le : 10 juil. 2014 - 23:52
Contact :

20 juil. 2020 - 14:55

Il faut vérifier avec un psexec si un ticket est bien négocier :

Code : Tout sélectionner

psexec -s -i cmd
klist
tu peux faire un :

Code : Tout sélectionner

wapt-get register
Quel sujet qui peuvent t'aider:

viewtopic.php?f=13&t=2428&p=7994&hilit=kerberos#p7994
Répondre