Forum Tranquil IT

Bonjour à tous,

Description de l'infra :
Serveur Debian 12
Joint à l'AD (via winbind)
tis-waptserver 2.6.1.17705-092e11fc-amd64
Serveur WAPT et dépôt WAPT à la fois

Client 1 Debian 13
hors AD (compte local)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Client 2 Debian 13
Joint à l'AD (via winbind)
tis-waptagent 2.6.1.17705-092e11fc-amd64
tis-waptagent-gui 2.6.1.17705-092e11fc-amd64

Dans le dépôt privé j'ai 4 applications Linux, ainsi qu'un paquet "self-service" dans lequel 2 de ces applications sont déployées via le groupe "user" (groupe local présent sur le "Client1" qui contient mon utilisateur local).
Ce paquet self-service n'est appliqué que sur le "Client 1".
Dans la gui "self-service" du "Client 1", je vois bien les 2 applications déployées via le paquet self-service, et uniquement ces deux-là.
Par contre sur le "Client 2", bien que ni le self service ni aucune des applications ne soit déployée via la console, la gui "self-service" voit les 4 applications présentes sur le dépôt, est-ce normal ?

Les 2 clients ont le certificat qui a signé les 4 paquets.

Robocop a écrit : ↑12 févr. 2026 - 14:34 Par contre sur le "Client 2", bien que ni le self service ni aucune des applications ne soit déployée via la console, la gui "self-service" voit les 4 applications présentes sur le dépôt, est-ce normal ?

L'utilisateur serais t'il membre de root , sudo ou wheel ?

Simon

Oui il l'est.

https://www.wapt.fr/fr/doc/wapt-create- ... es-package

Pour activer le filtrage des paquets pour les administrateurs locaux, définissez le paramètre suivant dans la configuration de WAPT : waptservice_admin_filter = True.

Cela garantit que les administrateurs locaux ne voient que les paquets qu’ils sont explicitement autorisés à installer.


Mais bon, un admin est un admin, techniquement il pourra lui même changer le paramètre de waptservice_admin_filter. Ce n'est donc que de l'affichage ce n'est pas une sécu

Parfait merci.
Par curiosité, le comportement est-il le même sur Windows, un utilisateur membre de BUILTIN\Administrateurs verra tous les paquets ?

La seule solution pour empêcher l'exécution d'un paquet (par exemple soumis à licence) sur le poste d'un admin serait donc d'utiliser un certificat dédié ?

Robocop a écrit : ↑12 févr. 2026 - 14:59 Par curiosité, le comportement est-il le même sur Windows, un utilisateur membre de BUILTIN\Administrateurs verra tous les paquets ?

Oui

Robocop a écrit : ↑12 févr. 2026 - 14:59 La seule solution pour empêcher l'exécution d'un paquet (par exemple soumis à licence) sur le poste d'un admin serait donc d'utiliser un certificat dédié ?

Non ce n'est pas une solution non plus puisque ça n’empêchera pas l'admin de télécharger le paquet et dans lancer une installation a la main lui même (puisque il est admin) , un admin est admin

Donc le mieux c'est de chiffrer la donnée sensible :

https://www.wapt.fr/fr/doc/wapt-create- ... se-feature

Avec ce fonctionnement même l'admin d'un poste ne peu pas récupérer la donnée chiffrée si le paquet n'est pas a destination de cette machine .