Avertissement

Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).

Attention

Pour que la post-configuration fonctionne correctement :

  • Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.

  • Le résolveur DNS DOIT être correctement configuré.

  • Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.

Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé dans le même répertoire lors de l’exécution de postconf.

Ce script de post-configuration DOIT être exécuté en tant que root.

In CSPN mode, the WAPT Server installation activates more security features and is less tolerant with misconfigurations.

Dans ce mode :

  • La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.

  • La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est imposée.

  • L’enregistrement et l’authentification Kerberos sont obligatoires.

  • L’authentification par certificat client est obligatoire.

  • La vérification du certificat SSL est obligatoire.

  • Divers paramètres de rétrocompatibilité sont désactivés.

  • Les fonctionnalités exclues de la TOE de la CSPN (à savoir les dépôts secondaires, WADS et WAPT WUA) sont désactivées.

  • La connexion de la console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).

  • La durée de vie maximale des cookies de session est de 12 heures.

  • La durée de vie par défaut des certificats signés par WAPT est de 3 ans.


Indication

If you want to stick to one specific wapt version on the server, like a specific CSPN version, it is recommanded to disable wapt repo configuration by removing /etc/yum.repos.d/wapt.conf or specifying the full version number in that same file, like baseurl=https://wapt.tranquil.it/redhat10/wapt-2.6.1.17567/

The Kerberos service account created for authentication on the Wapt server must be configured with msDS-SupportedEncryptionTypes: 24 (AES 128, AES 256), either AD wide or at least on the service computer object. The msktutil script run during postconf should set this value correctly.

  • Exécutez le script avec l’option --cspn-toe.

/opt/wapt/waptserver/scripts/postconf.sh --cspn-toe

  • Cliquer sur Oui pour lancer le script de postconf.

do you want to launch post configuration tool?

            < yes >          < no >

  • Choisir un mot de passe (s’il n’est pas défini) pour le compte SuperAdmin du serveur WAPT. La longueur minimale est de 20 caractères avec au moins 1 caractère majuscule, 1 caractère minuscule et 1 signe de ponctuation.

Please enter the wapt server password (min. 20 characters, punctuation, upper and lower case):

*****************

                < OK >          < Cancel >

  • Confirmer le mot de passe.

Please enter the server password again:

*****************

                < OK >          < Cancel >

  • Sélectionner Oui pour configurer Nginx.

Do you want to configure nginx?

        < Yes >        < No >

  • Indiquer le FQDN du serveur WAPT.

FQDN for the WAPT Server (eg. wapt.example.com)

---------------------------------------------
wapt.mydomain.lan
---------------------------------------------

            < OK >          < Cancel >

  • Saisir le nom du royaume Kerberos.

Enter Kerberos REALM

-------------------------------------------
MYDOMAIN.LAN
-------------------------------------------

            < OK >          < Cancel >

  • Saisir un nom de contrôleur de domaine valide.

Enter a Domain Controller name in write mode

-------------------------------------------
dc1
-------------------------------------------

            < OK >          < Cancel >

  • Saisir un nom d’utilisateur disposant de droits d’écriture sur l’Active Directory.

Enter a username with administrator privileges

-------------------------------------------
administrator
-------------------------------------------

            < OK >          < Cancel >

  • Saisir le mot de passe de l’utilisateur.

Enter administrator password

-------------------------------------------
*****************************
-------------------------------------------

            < OK >          < Cancel >

  • Si les informations d’identification sont correctes, le keytab est généré dans /etc/nginx/http-krb5.keytab. Les ACL corrects y sont définis. Sinon, vous devez lire la documentation.

  • Redémarrer Nginx.

The Nginx config is done.
We need to restart Nginx?

              < OK >

  • La dernière étape consiste à démarrer waptserver et wapttasks.

Press OK to start
waptserver and wapttasks
daemons

              < OK >

La post-configuration est maintenant terminée.

Postconfiguration completed.

                                  < OK >

Mais en mode TOE CSPN, le système de TOTP est requis sur le compte administrateur.

le mode sécurisé du Postconf avec OTP code

le mode sécurisé du Postconf avec OTP code

Utilisez votre deuxième appareil (télépone, YubiKey, etc.) et obtenez le code qui apparaît dans l’image. Mettez le code dans le champ dédié.

Note

Si vous avez des problèmes avec votre système kerberos. Vérifiez le propriétaire et le droit sur le fichier keytab ( http-krb5.keytab ).

chown root:nginx /etc/nginx/http-krb5.keytab
chmod 640 /etc/nginx/http-krb5.keytab
Liste des options du script de post-configuration

Options

Description

--force-https or -s

Configure Nginx pour que le port 80 soit redirigé en permanence vers 443.

--cspn-toe

Définit les paramètres du mode CSPN TOE (défaut : False).

--server-names=SERVER_NAMES

Définit le nom et l’adresse IP du serveur pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None).

Avertissement

En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.

Activation de Peer Cache dans la console WAPT :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣ Modifier les configurations dynamiques d’agent. Cochez l’option Utiliser le peercache.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans Dépôt privéGénérer un modèle de paquet → Configuration dynamique de l’agent. Cochez l’option Utiliser le peercache.

Activer les dépôts secondaires dans la console WAPT :
Pour l’agent :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣Modifier les configurations dynamique d’agent. Vérifiez Utiliser les règles de dépôt.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans Dépôt privéGénérer un modèle de paquet → Configuration dynamique de l’agent. Vérifiez l’option Utiliser les règles de dépôt.

Pour configurer un agent en tant que dépôt secondaire :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣Modifier les configurations dynamiques de l’agent. Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans WAPT PackagesGénérer un modèle de paquet → `. Allez dans l’onglet :guilabel:`Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent