[RESOLU] Erreur 405 Kerberos

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

22 mars 2023 - 13:54

Bonjour à tous,

Nous avons en production notre serveur WAPT Entreprise (à jour) sur un serveur Ubuntu (à jour aussi) depuis plus d'un an maintenant.

Pour les détails de version :
WAPT 2.3.0.13516
Ubuntu 22.04.2 LTS
Nous souhaitions nous passer de NTLM dans notre domaine et n'utiliser plus que Kerberos.

Nous avons donc entrepris de configurer le WAPT avec Kerberos.

- Toutes la configuration respecte les prérequi (Partie installation de Debian)
- Nous avons suivi la documentation sur "renforcer la sécurité de votre serveur WAPT" (Sauf la partie Firewall que nous mettrons en place à l'issue de Kerberos).

Toute la partie "configuration et post configuration de Kerberos ce passe bien.

Seulement impossible maintenant de se connecter depuis le centre de logiciel WAPT.

Si je suis la documentation cela donne :
- use_kerberos=True bien activé coté client et serveur
- Le Keytab est bon et est conforme à ce que la documentation présente
- La commande "kinit -k -t /etc/nginx/http-krb5.keytab srvwapt\$@AD.TRANQUIL.IT " me génère bien un ticket pour le serveur (klist)
- Sur un pc client en console system avec la commande "wapt-get register" j'arrive bien a enregistré le poste :
C:\windows\system32>wapt-get register
Using config file: C:\Program Files (x86)\wapt\wapt-get.ini
Registering host against server: https://srvwapt.toto.local
Host correctly registered against server https://srvwapt.toto.local.
Si je fait un test avec la commande Curl j'ai une erreur http/1.1 405 METHOD NOT ALLOWED :
> GET /add_host_kerberos HTTP/1.1
> Host: frscmwapt.scmlemans.com
> Authorization: Negotiate CLE_EFFACE
> User-Agent: curl/7.81.0
> Accept: */*
>
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Mark bundle as not supporting multiuse
< HTTP/1.1 405 METHOD NOT ALLOWED
< Server: nginx
< Date: Wed, 22 Mar 2023 12:33:32 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 178
< Connection: keep-alive
< WWW-Authenticate: Negotiate CLE_EFFACE
< WWW-Authenticate: Basic realm=""
< Allow: OPTIONS, POST, HEAD
< Strict-Transport-Security: max-age=63072000
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>405 Method Not Allowed</title>
<h1>Method Not Allowed</h1>
<p>The method is not allowed for the requested URL.</p>
* Connection #0 to host srvwapt.toto.local left intact
Si je fait le test sous Firefox comme cité une ou deux fois sur le forum j'ai le meme résultat (405 METHOD NOT ALLOWED)

Si je demande un ticket depuis un pc utilisateur, il me retourne ceci :
C:\windows\system32>klist get https://srvwapt.toto.local

LogonId est 0:0x3e7
Erreur lors de l'appel de l'API LsaCallAuthenticationPackage (sous-statut GetTicket) : 0x6fb

klist a échoué avec 0xc000018b/-1073741429: La base de données SAM du serveur Windows n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail.
Pour finir, aucun utilisateur ne peut maintenant utiliser le centre de logiciel (pour moi logique vue que la demande Kerberos n'abouti pas)
Cependant la console admin elle fonctionne toujours (logique aussi puisse qu'elle n'utilise pas Kerberos).

Désolé pour le "pavé" et merci de m'avoir lu.
Dernière modification par marceld le 23 mars 2023 - 17:10, modifié 2 fois.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

22 mars 2023 - 14:41

Si vous avez le message Method Not Allowed c'est que c'est bon ;)

Vous pouvez d'ailleurs avec le navigateur essayer avec l'url :

Code : Tout sélectionner

https://srvwapt.mydomain.lan/api/v3/login_kerberos
Pour que le kerberos fonctionne coter selfservice vous devez dans le wapt-get.ini de vos agent avec ceci :

Code : Tout sélectionner

[global]
use_kerberos=1
service_auth_type=waptserver-ldap
et coter serveur wapt configurer ldap dans /opt/wapt/conf/waptserver.ini

mettre :

Code : Tout sélectionner

[options]
ldap_auth_server = srvads.mydomain.lan
ldap_auth_base_dn = DC=mydomain,DC=lan
ldap_auth_ssl_enabled = False
verify_cert_ldap = False
ldap_account_service_login = wapt-ldap@mydomain.lan
ldap_account_service_password = password

puis reboot le server wapt :

Code : Tout sélectionner

systemctl restart waptserver
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

22 mars 2023 - 14:59

Bonjour Sfonteneau,

Alors :

A priori il m'indique "Authentification OK" :
ok.JPG
ok.JPG (27.79 Kio) Consulté 420 fois
[global]
use_kerberos=1
service_auth_type=waptserver-ldap
Alors la c'est justement un point que je souhaitai relever, J'ai parcouru beaucoup les docs ainsi que le forum et parfois c'est "1" et d'autre fois c'est "True". Les deux sont acceptées ?
[options]
ldap_auth_server = srvads.mydomain.lan
ldap_auth_base_dn = DC=mydomain,DC=lan
ldap_auth_ssl_enabled = False
verify_cert_ldap = False
ldap_account_service_login = wapt-ldap@mydomain.lan
ldap_account_service_password = password
J'avais déjà tenté de les ajouter (je les ai décommenté mais cela n'a pas changé mon problème)
Il faut la juste un compte utilisateur standard ou bien lui faut t'il des droits spécifique ?

Merci pour votre temps.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

22 mars 2023 - 16:48

marceld a écrit : 22 mars 2023 - 14:59
Alors la c'est justement un point que je souhaitai relever, J'ai parcouru beaucoup les docs ainsi que le forum et parfois c'est "1" et d'autre fois c'est "True". Les deux sont acceptées ?

Oui tout a fait, 1 = True donc vous pouvez mettre ce que vous voulez
Il faut la juste un compte utilisateur standard ou bien lui faut t'il des droits spécifique ?
Il lui faut les droit de lire l'attribut memberof des fiche utilisateurs (vous pouvez tester avec le petit logiciel ldapadmin)
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

22 mars 2023 - 18:42

Merci pour l'outil.

L'utilisateur crée peut effectivement bien lire l'attribut "Member Of".

Si les tests Kerberos sont OK mais pas le "SSO" du centre de logiciel d'où cela pourrais venir alors ?
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

23 mars 2023 - 10:17

La seul chose que nous n'avons pas vérifier c'est vos paquet de règle self service.

Il y a bien un paquet de règle selfservice installé ?

Vous avez un message d'erreur a l'ouverture ?
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

23 mars 2023 - 12:05

Bonjour,

Oui il y a bien un paquet self service pour les utilisateurs.

Il fonctionnai bien avec l'authentification NTLM.

Il m'indique juste "mot de passe ou utilisateur incorrect" que cela soit avec ou sans mot de passe.

Je ne peut pas non plus l'ouvrir avec un compte qui possède les droits d'administrateur local.

Bonne journée
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

23 mars 2023 - 12:19

Si votre agent est bien dans cette config il ne dervrait pas demander de password justement :

Code : Tout sélectionner

[global]
use_kerberos=1
service_auth_type=waptserver-ldap
puis :

Code : Tout sélectionner

net stop waptservice
net start waptservice
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

23 mars 2023 - 15:23

Si votre agent est bien dans cette config il ne dervrait pas demander de password justement :
Ah ok, pourtant dans un autre topic vous précisiez que justement l'id et le mot de passe etait toujours demandé si jamais on avait besoin de passer en admin .


use_kerberos=1
service_auth_type=waptserver-ldap
Je vous confirme que c'est bien cette configuration que j'ai sur mon client de test.

Je ne voit rien dans les log coté client concernant une erreur éventuel. Il y a t'il un endroit spécifique ou je pourrait avoir des log concernant la tentative de connexion ?
marceld
Messages : 21
Inscription : 22 mars 2023 - 13:19

23 mars 2023 - 17:10

Pour information et après échange avec le support au téléphone :

C'etait une erreur de ma part :

je modifiai la ligne suivante :
service_auth_type=waptserver-ldap
par :
service_auth_type=monserveurwapt.toto.local
c'était une erreur de ma part il ne fallait pas modifier cette ligne.

Merci encore pour votre réactivité !

Nous allons enfin pouvoir nous débarrasser du NTLM :D
Verrouillé