Forum Tranquil IT

Bonjour,

Je suis en train de réaliser quelques tests sur une version Entreprise dans le cadre de mon évaluation du produit WAPT, et je rencontre un problème dont je n'ai trouvé la réponse nulle part. Je me permet donc d'ouvrir ce sujet ici. J'utilise donc une version Entreprise sur un Ubuntu 20.04 LTS pour le serveur, et les postes de déploiement/administration sont sous Windows 10.

Je souhaite permettre à plusieurs administrateurs de gérer notre parc informatique d'une centaine de postes. Cela permet de résoudre le problème des absences et de la responsabilité individuelle du déploiement de paquets et de mises à jour. J'ai créé pour cela un compte utilisateur pour un de mes collègues dans la console WAPT et lui ai donné une quantité de droits nécessaire (il voit bien toutes les options dont il a besoin. En revanche, impossible pour lui de déployer des paquets, car les agents refusent son certificat.

Voici ce que j'ai déjà vérifié:

• Sa clé est bien listée sur le serveur dans /var/www/ssl/
• Il peut créer des paquets (notamment le WAPT Upgrade) mais ne peut pas les déployer
• Les paquets qu'il crée ne sont pas déployable par d'autres utilisateurs

Comment faire en sorte que son certificat soit bien déployé correctement sur chaque agent afin qu'il puisse les gérer et que les paquets qu'il crée soient déployables ? Je n'ai trouvé aucune option nulle part.

Merci d'avance pour votre aide précieuse.

Bonjour

Chaque utilisateur a un certificat ? Est-ce un certificat issue d'une autorité (signé par une CA) ou est-ce un certificat autosigné ?

En général le fonctionnement est lui suivant :

On génère une clé par entité (site) ou technicien.
On affecte dans les ACL le certificat a son utilisateur, puis on indique dans l'acl voir : "Allower where user certificate is deployed"

Avec la Clé admin (la clé qui a le plus de droit votre clé master), on créer un paquet de certificat (dépôt privé -> Générer un model de paquet -> Paquet de certificat) et on sélectionne le certificat a insérer dans le paquet.

On peu maintenant pousser ce paquet de certificat sur les machines pour lesquelles votre technicien a l'accès.
Une foit le paquet déployer sur la machine le technicien verra la machine dans la console (pas avant) et la machine acceptera les actions qui émane de ce certificat

Bonjour,

Merci de votre prompt réponse. Oui, chaque utilisateur dispose de son propre certificat autosigné généré au moment de sa première connexion à la console. Cela veut-il dire que je dois aller chercher le .crt de chaque technicien et le mettre dans la console en tant qu'admin via les ACLs ?

Concernant le déploiement sur les postes, cela signifie que si j'ai 15 techniciens (en plus de l'admin), je dois faire 15 paquets de certificat et les déployer sur les machines nécessaires, est-ce correct ?

Une foit le paquet déployer sur la machine le technicien verra la machine dans la console (pas avant) et la machine acceptera les actions qui émane de ce certificat

Actuellement, mon technicien ne peut pas pousser de paquets, mais il voit pourtant bien l'intégralité de mes machines de test, ce qui m'a semblé étrange (mais pas illogique).

alain17 a écrit : ↑17 juin 2022 - 12:00 Bonjour,

Merci de votre prompt réponse. Oui, chaque utilisateur dispose de son propre certificat autosigné généré au moment de sa première connexion à la console. Cela veut-il dire que je dois aller chercher le .crt de chaque technicien et le mettre dans la console en tant qu'admin via les ACLs ?

Concernant le déploiement sur les postes, cela signifie que si j'ai 15 techniciens (en plus de l'admin), je dois faire 15 paquets de certificat et les déployer sur les machines nécessaires, est-ce correct ?

Oui c'est ça.

L'autre méthode parfois plus simple c'est de faire Par entité (Une CA par entité):

- CA Global
---- Technicien global 1
---- Technicien global 2
- CA Site Paris
---- Technicien Paris 1
---- Technicien Paris 2
- CA Site Nantes
---- Technicien Nantes 1
---- Technicien Nantes 2


Les postes sur le site de Nantes on la clé Nantes et la clé Global
Les postes sur le site de Paris on la clé Paris et Global

Lorsque vous générer des clé a travers la console pour vos technicien vous pouvez spécifier le parent (l’autorité).

Pour les agents, lorsque un paquet est signé par les enfants de l'autorité, alors le paquet est accepter.

Ce mode permet de ne pas déployer le certificat de chaque technicien sur chaque machine mais de déployer uniquement les autorités

alain17 a écrit : ↑17 juin 2022 - 12:00
Actuellement, mon technicien ne peut pas pousser de paquets, mais il voit pourtant bien l'intégralité de mes machines de test, ce qui m'a semblé étrange (mais pas illogique).

En faite votre technicien vois tout actuellement car son ACL "Voir" doit être en mode "Allow any perimeter" ou alors son ACl est admin

Bonjour,

J'ai retenté avec l'approche orientée CA, qui me paraît élégante. J'ai donc procédé comme suit:

1. J'ai créé un certificat CA pour l'organisation à gérer (auto-signé)
2. J'ai créé un certificat pour mon technicien, signé par le CA de l'organisation
3. En tant qu'admin, j'ai créé un paquet de certificat et envoyé mon certificat CA à toutes les machines nécessaires
4. Toujours en tant qu'admin, j'ai resigné tous les paquets avec le certificat CA
5. J'ai créé un utilisateur pour mon technicien et lui ai assigné via ACL son propre certificat signé par le CA
6. Sur le poste du technicien, j'ai déployé le certificat du CA via WAPT, copié le certificat et la clé du technicien dans le répertoire "private" (il est bien reconnu, d'ailleurs) et me suis connecté avec son compte avec succès

Seulement, après tout ça, je n'arrive toujours pas à lui faire déployer correctement des paquets. Lorsqu'on fait une action comme la vérification des mises à jour ou le lancement des installations, rien ne se passe (aucune tâche n'est créée ni exécutée). Pourtant il me semble que là j'ai tout bon, non ?

J'ai également essayé d'envoyer des paquets avec un second administrateur dont le certificat assigné est celui du CA, mais rien n'y fait, aucune action n'est exécutée à moins que ce soit mon administrateur initial qui le fasse... J'avoue ne plus rien y comprendre.

En faite votre technicien vois tout actuellement car son ACL "Voir" doit être en mode "Allow any perimeter" ou alors son ACl est admin

Tout à fait, ceci explique cela, je vous remercie

Re-bonjour,

J'ai avancé encore un peu en tentant une autre idée qui m'est venue en tête: j'ai lancé la création d'une nouvelle version de paquet WAPT Upgrade et signé avec le CA interne (autosigné). Cela a pour effet de déployer tous les certificats, mais n'a pas résolu le problème initial: les paquets ne peuvent toujours pas être déployés par le technicien, ni par le second administrateur.

J'avoue que je désespère un peu, j'ai passé beaucoup de temps sur cette configuration et à tenter de comprendre ce qui ne va pas (y compris sur mon weekend car mes ressources sont très limitées) et j'ai vraiment envie d'arriver au bout sans avoir à utiliser un seul compte (admin en plus !) pour tout gérer

Sur les machine sur lesquelles sont fait les test dans l'onglet certificat, vous voyez bien apparaitre les certificat autoriser (ca) que vous avez mentionner ?

Oui, tout à fait. Les certificats sont bien déployés sur les machines et apparaissent dans l'onglet "Certificats", d'où mon incompréhension.

EDIT: ça m'a donné une idée, j'ai créé un nouveau technicien avec un nouveau certificat dont le parent est le certificat CA de mon admin principal. L'opération s'est effectuée avec succès et le nouveau technicien peut déployer. À ce stade, je me demande pourquoi le second CA ne fonctionne pas

EDIT 2: Bien, après avoir tout redémarré, ça fonctionne. Je ne sais du coup pas si c'est le paquet de certificat qui aura fait effet ou le déploiement d'un paquet WAPT Upgrade, mais l'essentiel c'est que ça ait passé.