[RESOLU] Agent qui ne s'enregistre pas dans WAPT

PaulSLA · 22 juil. 2024 - 11:31

Bonjour,

Suite à la mise en place de l'authentification kerberos sur notre serveur WAPT et la configuration d'un poste de test avec use kerberos. Nous rencontrons un soucis lors du deploiement de nouveau poste via WADS, les postes sont visible dans la partie déploiement d'OS, windows s'installe mais ensuite le poste démarre normalement mais n'est pas enregistrer dans wapt et nous devons faire la commande register, qui nous demande le login/mot de passe de wapt et qui ensuite enregistre le poste et lance les mises à jours de paquets classiquement. Nous avons essayer de modifier le script de poste conf telle que suivant :

Code : Tout sélectionner

ping 127.0.0.1 -n 30
net stop waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" update 
"C:\Program Files (x86)\wapt\wapt-get.exe" install base_software
net start waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" register --wapt-server-user=XXXXX --wapt-server-passwd=XXXXX

Pour que le poste s’enregistre automatiquement à la fin de l’installation de Windows mais cela bloque le poste sur la phase "User : Running script postinstall" qui ne finit jamais. Le poste reste bloqué en boucle sur le démarrage Windows ( le logo Windows avec le rond en petit point ). Si nous éteignons le poste et nous connectons dessus nous pouvons l'enregistrer manuellement.

Nous n'avons aucun soucis avec la gestion WAPT autrement, les postes sont joignables et les mises à jours se font correctement, que Kerberos soit à 0 ou 1.

Est-ce que quelqu'un à déjà rencontre le soucis et si oui comment l'a-t-il réglé ?

Si besoin :

Fichier waptserver.ini :

Code : Tout sélectionner

[options]
server_uuid = 
secret_key = 
wapt_password = 
clients_signing_key = /opt/wapt/conf/ca-srv-wapt.XXXX.dom.pem
clients_signing_certificate = /opt/wapt/conf/ca-srv-wapt.XXXX.dom.crt
ldap_auth_server = XXXX.dom
ldap_auth_base_dn = DC=XXXX,DC=dom
ldap_account_service_login = wapt@XXXX.dom
ldap_account_service_password = 
token_secret_key = 
clients_signing_crl = /var/www/ssl/ca-srv-wapt.XXXX.dom.crl
clients_signing_crl_url = http://srv-wapt.XXXX.dom/wapt/ssl/ca-srv-wapt.XXXX.dom.crl
ssl_additional_crls = /var/www/ssl
waptwua_enable = True
allow_unauthenticated_registration = False
wads_enable = True
login_on_wads = False
use_kerberos = True
ldap_auth_ssl_enabled = False

wat-get.ini du poste de test :

Voir pièce jointe poste1.png

: Poste1.png (234.66 Kio) Consulté 2527 fois

wat-get.ini poste de prod :

Voir pièce jointe poste2.png

: Poste2.png (226.96 Kio) Consulté 2527 fois

Merci d'avance pour vos réponses,
Cordialement,

23 juil. 2024 - 15:32

Bonjour Paul,

est ce que vous avez bien relancé le postconf après avoir modifié le waptserver.ini ? Il y a des modifications à reporter sur le fichier de conf nginx.

Cordialement,

Denis

PaulSLA · 24 juil. 2024 - 08:43

Bonjour,

Je viens de le refaire dans le doute ( bien que je sois sur de l'avoir déjà fait ), cela n'a rien changer.

Actuellement les postes restes bloqué sur "script postinstall" et je doit les arrêtes de manière incorrect puis les redémarrés et enfin les enregistrés dans WAPT.

J'avais modifié le script post install pour ajouter la commande : "C:\Program Files (x86)\wapt\wapt-get.exe" register --wapt-server-user=XXXX--wapt-server-passwd=XXXX""
En croyant que cela les ferais s’enregistre mais non. Après avoir remis le script dans son état normal le problème persiste toujours ( alors qu'avant la modification, le PC finissait l'installation Windows normalement mais juste ne s’enregistrer pas sur wapt.

Voici le script actuel :
ping 127.0.0.1 -n 30
net stop waptservice
"C:\Program Files (x86)\wapt\wapt-get.exe" update
"C:\Program Files (x86)\wapt\wapt-get.exe" install base_software
net start waptservice

Cordialement,

24 juil. 2024 - 09:42

Bonjour Paul,

est ce que l'enregistrement kerberos marche sur un agent wapt hors wads?

Pour tester, vous pouvez prendre une machine vierge ou bien une machine déjà intégré. Si la machine est intégré, il faut la supprimer dans l'inventaire et supprimer les fichiers de certificat client c:\program files (x86)\wapt\private\*.{crt,p12,pem}

Après vous faite une élévation de privilège en LOCAL SYSTEM avec psexec

Code : Tout sélectionner

psexec -i -s cmd.exe

Puis vous lancer un wapt-get register sans identifiant/mdp pour vérifier que la machine arrive bien à s'enregister en kerberos.

Cordialement,

Denis

PaulSLA · 24 juil. 2024 - 10:13

Bonjour,

Test fait, après avoir remis use kerberos à 1 coté agent et reboot le service WAPT l’authentification se fait directement sans mot de passe. Si use kerberos est à 0 alors un login mot de passe est demandé.

L'enregistrement kerberos semble donc fonctionnel. J'ai donc essayez le le selfservice, j'ai un message d'erreur "mot de passe incorrect", je rentre mon mot de passe Windows et tout fonctionne. Mais avec kerberos cela devrait être automatique non ?

Cela pose toujours le soucis des nouveau PC qui s'enregistre. Comment puis-je consulter la configuration par défaut déployer et vérifier qu'il utilise kerberos ? S'il ne l'utilise pas il me suffit de générez un nouvel agent qui utilise kerberos pour que le soucis soit réglé ?

SI oui, quid des agents actuellement déployé ? Vont-il tous se réenregistrer ?

Cordialement,

24 juil. 2024 - 11:18

rebonjour Paul,

PaulSLA a écrit : ↑24 juil. 2024 - 10:13 Test fait, après avoir remis use kerberos à 1 coté agent et reboot le service WAPT l’authentification se fait directement sans mot de passe. Si use kerberos est à 0 alors un login mot de passe est demandé.

ok, ça veut dire que la partie kerberos est bien configuré.

L'enregistrement kerberos semble donc fonctionnel. J'ai donc essayez le le selfservice, j'ai un message d'erreur "mot de passe incorrect", je rentre mon mot de passe Windows et tout fonctionne. Mais avec kerberos cela devrait être automatique non ?

oui ça devrait fonctionner en automatique. Vous avez bien service_auth_type=waptserver-ldap sur le poste de test, mais pas sur l'autre. Est ce que le test a été fait sur le poste de test?

Cela pose toujours le soucis des nouveau PC qui s'enregistre. Comment puis-je consulter la configuration par défaut déployer et vérifier qu'il utilise kerberos ? S'il ne l'utilise pas il me suffit de générez un nouvel agent qui utilise kerberos pour que le soucis soit réglé ?

Est ce que les postes nouvellement déployé sont à l'heure? Kerberos est un peu sensible l'heure. Il faut savoir que le winpe enregistre son heure bios en UTC alors qu'un Windows installé localement enregistre son temps Bios dans la timezone locale. C'est un peu pourri. Il n'y a pas de timezone dans le bios, et Windows n'est pas consistant dans son utilisation du temps dans le bios... (Linux enregistre le temps en UTC ausi).

SI oui, quid des agents actuellement déployé ? Vont-il tous se réenregistrer ?

Si un agent est enregistré, il a son certificat client (.pem / .p12) et l'utilise pour s'authentifier sur le serveur. Il ne va utiliser l'auth kerberos uniquement si il n'a pas de certificat client ou bien si il ne fonctionne pas (ie il a été révoqué). Donc non, il n'y aura pas de ré-enregistrement des postes déjà déployés/enregistrés.

Cordialement,

Denis

PaulSLA · 24 juil. 2024 - 13:09

Bonjour,

Merci de ces réponses, j'ai bien la ligne "service_auth_type=waptserver-ldap" dans [global] sur le poste ou je fait mon test. Je ne la met pas encore sur ceux de prod car ne suit pas sur de comprendre tout les tenant et aboutissant de cette configuration.
j'ai aussi la ligne, trouvé sur le forum qui avait à l'époque résolu un soucis similaire : "ldap_auth_ssl_enabled=False"

J'ai pu réglé le problème des nouveaux PC. Pour une raison que j'ignore le script de postinstall reste bloqué et l'installation ne continuer jamais. Ce script ne faisant plus grand chose d'utile j'ai pu le supprimer est ainsi l'installation continue. Une fois l'installation fini le PC s'enregistre bien avec Kerberos ( après avoir généré un nouvel agent qui le supporte bien sur ).

Merci de l'information pour les postes déjà existant. Je peut donc passer sur mes postes installer use_kerberos de 0 à 1 cela n'aura aucun impact sur la production ? Mais si j'ai bien compris cela n'a que peu d’intérêt, uniquement pour les réenregistrer si besoin un jour.

Il ne reste donc plus que le soucis de selfservice qui ne marche pas en SSO malgré la présence des lignes évoques ci dessus et la configuration du serveur déjà posté.
Si la ligne "service_auth_type=waptserver-ldap" est présente alors le selfservice démarre avec un message d'erreur rouge disant que le mot de passe est incorrect. Si je la supprime alors aucun message n'apaprait et on me demande simplement le mot de passe. Je n'ai pas beaucoup plus d'idée pour corriger ce problème malheureusement.

Cordialement,

24 juil. 2024 - 14:49

Bonjour Paul,

pour le pb de conf selfservice je sèche un peu. Votre structure a souscrit du support téléphonique. Le mieux c'est d'ouvrir un ticket et que quelqu'un regarde en direct la configuration avec vous, ça doit pas être grand chose.

Cordialement,

Denis

PaulSLA · 24 juil. 2024 - 14:54

Bonjour,

J'ai continué à regardé et avec la méthode 2 de la documentation cela fonctionne.

"ldap_auth_ssl_enabled = True
verify_cert_ldap = False"

La 3eme ne fonctionne par contre pas mais comme nous comptons aussi activé la vérification des certificats nous ouvrirons un ticket pour les 2 soucis en même temps vu les 2 semble lié à un problème de certificat.

Merci pour votre aide !

Cordialement,