[RESOLU] Déploiement de secrets sur les postes munis d'un agent WAPT
Publié : 31 mars 2022 - 12:48
Bonjour à tous,
Contexte:
Télétravail sans VPN
WAPT version : 2.1 Entreprise
OS serveur : Debian 11
OS console d'administration : Win10pro
OS poste dev de paquets : Win10pro
Nous avons un cas d'usage classique:
Nous souhaiterions envoyer ou mettre à jour un secret distinct pour chaque poste administré au moyen de WAPT, tout en préservant la confidentialité de ce secret entre les postes (un poste ne peut acquérir le secret de l'autre).
Une solution (1) serait de créer un paquet distinct par poste contenant le secret à déployer et de l'associer au poste concerné (en prenant soin de sécuriser le secret en s'inspirant de https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Néanmoins, cela s'avère rapidement fastidieux lorsque le nombre de postes est important et que la fréquence de mise à jour est élevée.
Une autre solution (2) serait de créer un paquet générique détectant le poste concerné et d'aller chercher ce secret sur un emplacement protégé. Mais comment n'accéder qu'au secret correspondant au poste sans déployer un autre secret au préalable ?
Une autre solution (3) serait d'automatiser la création et la mise à jour de paquets de la solution (1). Cette génération s'effectue sur un poste capable de signer les paquets (poste de dev WAPT hors poste avec console d'administration WAPT dédié).
Une autre solution (4) serait de pousser le secret à un emplacement donné sur le poste via un canal bidirectionnel établi (websocket agent?) et d'installer à la suite un paquet WAPT traitant ce secret directement sur le poste. Mais comment pousser le secret sur le système de fichier de la cible via ce canal?
Auriez-vous déjà rencontré ce cas et, si oui, comment l'avez vous traité ?
Christophe
Contexte:
Télétravail sans VPN
WAPT version : 2.1 Entreprise
OS serveur : Debian 11
OS console d'administration : Win10pro
OS poste dev de paquets : Win10pro
Nous avons un cas d'usage classique:
Nous souhaiterions envoyer ou mettre à jour un secret distinct pour chaque poste administré au moyen de WAPT, tout en préservant la confidentialité de ce secret entre les postes (un poste ne peut acquérir le secret de l'autre).
Une solution (1) serait de créer un paquet distinct par poste contenant le secret à déployer et de l'associer au poste concerné (en prenant soin de sécuriser le secret en s'inspirant de https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Néanmoins, cela s'avère rapidement fastidieux lorsque le nombre de postes est important et que la fréquence de mise à jour est élevée.
Une autre solution (2) serait de créer un paquet générique détectant le poste concerné et d'aller chercher ce secret sur un emplacement protégé. Mais comment n'accéder qu'au secret correspondant au poste sans déployer un autre secret au préalable ?
Une autre solution (3) serait d'automatiser la création et la mise à jour de paquets de la solution (1). Cette génération s'effectue sur un poste capable de signer les paquets (poste de dev WAPT hors poste avec console d'administration WAPT dédié).
Une autre solution (4) serait de pousser le secret à un emplacement donné sur le poste via un canal bidirectionnel établi (websocket agent?) et d'installer à la suite un paquet WAPT traitant ce secret directement sur le poste. Mais comment pousser le secret sur le système de fichier de la cible via ce canal?
Auriez-vous déjà rencontré ce cas et, si oui, comment l'avez vous traité ?
Christophe