[RESOLU] WAPT Console - Nouvel utilisateur (Entreprise)

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

17 juin 2022 - 07:41

Bonjour,

Je suis en train de réaliser quelques tests sur une version Entreprise dans le cadre de mon évaluation du produit WAPT, et je rencontre un problème dont je n'ai trouvé la réponse nulle part. Je me permet donc d'ouvrir ce sujet ici. J'utilise donc une version Entreprise sur un Ubuntu 20.04 LTS pour le serveur, et les postes de déploiement/administration sont sous Windows 10.

Je souhaite permettre à plusieurs administrateurs de gérer notre parc informatique d'une centaine de postes. Cela permet de résoudre le problème des absences et de la responsabilité individuelle du déploiement de paquets et de mises à jour. J'ai créé pour cela un compte utilisateur pour un de mes collègues dans la console WAPT et lui ai donné une quantité de droits nécessaire (il voit bien toutes les options dont il a besoin. En revanche, impossible pour lui de déployer des paquets, car les agents refusent son certificat.

Voici ce que j'ai déjà vérifié:
  • Sa clé est bien listée sur le serveur dans /var/www/ssl/
  • Il peut créer des paquets (notamment le WAPT Upgrade) mais ne peut pas les déployer
  • Les paquets qu'il crée ne sont pas déployable par d'autres utilisateurs
Comment faire en sorte que son certificat soit bien déployé correctement sur chaque agent afin qu'il puisse les gérer et que les paquets qu'il crée soient déployables ? Je n'ai trouvé aucune option nulle part.

Merci d'avance pour votre aide précieuse.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

17 juin 2022 - 10:18

Bonjour

Chaque utilisateur a un certificat ? Est-ce un certificat issue d'une autorité (signé par une CA) ou est-ce un certificat autosigné ?

En général le fonctionnement est lui suivant :

On génère une clé par entité (site) ou technicien.
On affecte dans les ACL le certificat a son utilisateur, puis on indique dans l'acl voir : "Allower where user certificate is deployed"

Avec la Clé admin (la clé qui a le plus de droit votre clé master), on créer un paquet de certificat (dépôt privé -> Générer un model de paquet -> Paquet de certificat) et on sélectionne le certificat a insérer dans le paquet.

On peu maintenant pousser ce paquet de certificat sur les machines pour lesquelles votre technicien a l'accès.
Une foit le paquet déployer sur la machine le technicien verra la machine dans la console (pas avant) et la machine acceptera les actions qui émane de ce certificat
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

17 juin 2022 - 12:00

Bonjour,

Merci de votre prompt réponse. Oui, chaque utilisateur dispose de son propre certificat autosigné généré au moment de sa première connexion à la console. Cela veut-il dire que je dois aller chercher le .crt de chaque technicien et le mettre dans la console en tant qu'admin via les ACLs ?

Concernant le déploiement sur les postes, cela signifie que si j'ai 15 techniciens (en plus de l'admin), je dois faire 15 paquets de certificat et les déployer sur les machines nécessaires, est-ce correct ?
Une foit le paquet déployer sur la machine le technicien verra la machine dans la console (pas avant) et la machine acceptera les actions qui émane de ce certificat
Actuellement, mon technicien ne peut pas pousser de paquets, mais il voit pourtant bien l'intégralité de mes machines de test, ce qui m'a semblé étrange (mais pas illogique).
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

17 juin 2022 - 12:18

alain17 a écrit : 17 juin 2022 - 12:00 Bonjour,

Merci de votre prompt réponse. Oui, chaque utilisateur dispose de son propre certificat autosigné généré au moment de sa première connexion à la console. Cela veut-il dire que je dois aller chercher le .crt de chaque technicien et le mettre dans la console en tant qu'admin via les ACLs ?

Concernant le déploiement sur les postes, cela signifie que si j'ai 15 techniciens (en plus de l'admin), je dois faire 15 paquets de certificat et les déployer sur les machines nécessaires, est-ce correct ?
Oui c'est ça.

L'autre méthode parfois plus simple c'est de faire Par entité (Une CA par entité):

- CA Global
---- Technicien global 1
---- Technicien global 2
- CA Site Paris
---- Technicien Paris 1
---- Technicien Paris 2
- CA Site Nantes
---- Technicien Nantes 1
---- Technicien Nantes 2


Les postes sur le site de Nantes on la clé Nantes et la clé Global
Les postes sur le site de Paris on la clé Paris et Global

Lorsque vous générer des clé a travers la console pour vos technicien vous pouvez spécifier le parent (l’autorité).

Pour les agents, lorsque un paquet est signé par les enfants de l'autorité, alors le paquet est accepter.

Ce mode permet de ne pas déployer le certificat de chaque technicien sur chaque machine mais de déployer uniquement les autorités
alain17 a écrit : 17 juin 2022 - 12:00
Actuellement, mon technicien ne peut pas pousser de paquets, mais il voit pourtant bien l'intégralité de mes machines de test, ce qui m'a semblé étrange (mais pas illogique).
En faite votre technicien vois tout actuellement car son ACL "Voir" doit être en mode "Allow any perimeter" ou alors son ACl est admin
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

20 juin 2022 - 09:45

Bonjour,

J'ai retenté avec l'approche orientée CA, qui me paraît élégante. J'ai donc procédé comme suit:
  1. J'ai créé un certificat CA pour l'organisation à gérer (auto-signé)
  2. J'ai créé un certificat pour mon technicien, signé par le CA de l'organisation
  3. En tant qu'admin, j'ai créé un paquet de certificat et envoyé mon certificat CA à toutes les machines nécessaires
  4. Toujours en tant qu'admin, j'ai resigné tous les paquets avec le certificat CA
  5. J'ai créé un utilisateur pour mon technicien et lui ai assigné via ACL son propre certificat signé par le CA
  6. Sur le poste du technicien, j'ai déployé le certificat du CA via WAPT, copié le certificat et la clé du technicien dans le répertoire "private" (il est bien reconnu, d'ailleurs) et me suis connecté avec son compte avec succès
Seulement, après tout ça, je n'arrive toujours pas à lui faire déployer correctement des paquets. Lorsqu'on fait une action comme la vérification des mises à jour ou le lancement des installations, rien ne se passe (aucune tâche n'est créée ni exécutée). Pourtant il me semble que là j'ai tout bon, non ?

J'ai également essayé d'envoyer des paquets avec un second administrateur dont le certificat assigné est celui du CA, mais rien n'y fait, aucune action n'est exécutée à moins que ce soit mon administrateur initial qui le fasse... J'avoue ne plus rien y comprendre.
En faite votre technicien vois tout actuellement car son ACL "Voir" doit être en mode "Allow any perimeter" ou alors son ACl est admin
Tout à fait, ceci explique cela, je vous remercie ;)
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

20 juin 2022 - 13:34

Re-bonjour,

J'ai avancé encore un peu en tentant une autre idée qui m'est venue en tête: j'ai lancé la création d'une nouvelle version de paquet WAPT Upgrade et signé avec le CA interne (autosigné). Cela a pour effet de déployer tous les certificats, mais n'a pas résolu le problème initial: les paquets ne peuvent toujours pas être déployés par le technicien, ni par le second administrateur.

J'avoue que je désespère un peu, j'ai passé beaucoup de temps sur cette configuration et à tenter de comprendre ce qui ne va pas (y compris sur mon weekend car mes ressources sont très limitées) et j'ai vraiment envie d'arriver au bout sans avoir à utiliser un seul compte (admin en plus !) pour tout gérer :(
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

21 juin 2022 - 12:55

Sur les machine sur lesquelles sont fait les test dans l'onglet certificat, vous voyez bien apparaitre les certificat autoriser (ca) que vous avez mentionner ?
Pièces jointes
Capture.PNG
Capture.PNG (3.7 Kio) Consulté 565 fois
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

21 juin 2022 - 14:27

Oui, tout à fait. Les certificats sont bien déployés sur les machines et apparaissent dans l'onglet "Certificats", d'où mon incompréhension. :shock:

EDIT: ça m'a donné une idée, j'ai créé un nouveau technicien avec un nouveau certificat dont le parent est le certificat CA de mon admin principal. L'opération s'est effectuée avec succès et le nouveau technicien peut déployer. À ce stade, je me demande pourquoi le second CA ne fonctionne pas :|

EDIT 2: Bien, après avoir tout redémarré, ça fonctionne. Je ne sais du coup pas si c'est le paquet de certificat qui aura fait effet ou le déploiement d'un paquet WAPT Upgrade, mais l'essentiel c'est que ça ait passé.
Verrouillé