Nous avons en production notre serveur WAPT Entreprise (à jour) sur un serveur Ubuntu (à jour aussi) depuis plus d'un an maintenant.
Pour les détails de version :
WAPT 2.3.0.13516
Nous souhaitions nous passer de NTLM dans notre domaine et n'utiliser plus que Kerberos.Ubuntu 22.04.2 LTS
Nous avons donc entrepris de configurer le WAPT avec Kerberos.
- Toutes la configuration respecte les prérequi (Partie installation de Debian)
- Nous avons suivi la documentation sur "renforcer la sécurité de votre serveur WAPT" (Sauf la partie Firewall que nous mettrons en place à l'issue de Kerberos).
Toute la partie "configuration et post configuration de Kerberos ce passe bien.
Seulement impossible maintenant de se connecter depuis le centre de logiciel WAPT.
Si je suis la documentation cela donne :
- use_kerberos=True bien activé coté client et serveur
- Le Keytab est bon et est conforme à ce que la documentation présente
- La commande "kinit -k -t /etc/nginx/http-krb5.keytab srvwapt\$@AD.TRANQUIL.IT " me génère bien un ticket pour le serveur (klist)
- Sur un pc client en console system avec la commande "wapt-get register" j'arrive bien a enregistré le poste :
Si je fait un test avec la commande Curl j'ai une erreur http/1.1 405 METHOD NOT ALLOWED :C:\windows\system32>wapt-get register
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Registering host against server: https://srvwapt.toto.local
Host correctly registered against server https://srvwapt.toto.local.
Si je fait le test sous Firefox comme cité une ou deux fois sur le forum j'ai le meme résultat (405 METHOD NOT ALLOWED)> GET /add_host_kerberos HTTP/1.1
> Host: frscmwapt.scmlemans.com
> Authorization: Negotiate CLE_EFFACE
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Mark bundle as not supporting multiuse
< HTTP/1.1 405 METHOD NOT ALLOWED
< Server: nginx
< Date: Wed, 22 Mar 2023 12:33:32 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 178
< Connection: keep-alive
< WWW-Authenticate: Negotiate CLE_EFFACE
< WWW-Authenticate: Basic realm=""
< Allow: OPTIONS, POST, HEAD
< Strict-Transport-Security: max-age=63072000
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>405 Method Not Allowed</title>
<h1>Method Not Allowed</h1>
<p>The method is not allowed for the requested URL.</p>
* Connection #0 to host srvwapt.toto.local left intact
Si je demande un ticket depuis un pc utilisateur, il me retourne ceci :
Pour finir, aucun utilisateur ne peut maintenant utiliser le centre de logiciel (pour moi logique vue que la demande Kerberos n'abouti pas)C:\windows\system32>klist get https://srvwapt.toto.local
LogonId est 0:0x3e7
Erreur lors de l'appel de l'API LsaCallAuthenticationPackage (sous-statut GetTicket) : 0x6fb
klist a échoué avec 0xc000018b/-1073741429: La base de données SAM du serveur Windows n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail.
Cependant la console admin elle fonctionne toujours (logique aussi puisse qu'elle n'utilise pas Kerberos).
Désolé pour le "pavé" et merci de m'avoir lu.