Avertissement
Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).
Attention
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé dans le même répertoire lors de l’exécution de postconf.
Ce script de post-configuration DOIT être exécuté en tant que root.
CSPN En mode, l’installation du serveur WAPT active davantage de fonctionnalités de sécurité et est moins tolérante envers les erreurs de configuration.
Dans ce mode :
La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.
La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est imposée.
L’enregistrement et l’authentification Kerberos sont obligatoires.
L’authentification par certificat client est obligatoire.
La vérification du certificat SSL est obligatoire.
Divers paramètres de rétrocompatibilité sont désactivés.
Les fonctionnalités exclues de la TOE de la CSPN (à savoir les dépôts secondaires, WADS et WAPT WUA) sont désactivées.
La connexion de la console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).
La durée de vie maximale des cookies de session est de 12 heures.
La durée de vie par défaut des certificats signés par WAPT est de 3 ans.
Indication
Si vous souhaitez conserver une version spécifique de wapt sur le serveur, comme une version spécifique de CSPN, il est recommandé de désactiver la configuration du dépôt wapt en supprimant /etc/yum.repos.d/wapt.repo ou en spécifiant le numéro de version complet dans ce même fichier, comme :code: baseurl=https://wapt.tranquil.it/redhat10/wapt-2.6.1.17567/
Le compte de service Kerberos créé pour l’authentification sur le serveur Wapt doit être configuré avec msDS-SupportedEncryptionTypes : 24 (AES 128, AES 256), soit à l’échelle de l’AD, soit au moins sur l’objet ordinateur de service. Le script msktutil exécuté pendant la postconfiguration doit définir cette valeur correctement.
Exécutez le script avec l’option
--cspn-toe.
/opt/wapt/waptserver/scripts/postconf.sh --cspn-toe
Cliquer sur Oui pour lancer le script de postconf.
Do you want to launch post configuration tool?
< yes > < no >
Cliquez sur ok si SELinux est détecté.
SELinux detected, tweaking httpd permissions.
< OK >
Cliquez sur ok si SELinux est correctement configuré pour le proxy inverse Nginx.
SELinux correctly configured for Nginx reverse proxy
< OK >
Choisir un mot de passe (s’il n’est pas défini) pour le compte SuperAdmin du serveur WAPT. La longueur minimale est de 20 caractères avec au moins 1 caractère majuscule, 1 caractère minuscule et 1 signe de ponctuation.
Please enter the wapt server password (min. 20 characters, punctuation, upper and lower case):
*****************
< OK > < Cancel >
Confirmer le mot de passe.
Please enter the server password again:
*****************
< OK > < Cancel >
Sélectionner Oui pour configurer Nginx.
Do you want to configure nginx?
< Yes > < No >
Indiquer le FQDN du serveur WAPT.
FQDN for the WAPT Server (eg. wapt.example.com)
---------------------------------------------
wapt.mydomain.lan
---------------------------------------------
< OK > < Cancel >
Saisir le nom du royaume Kerberos.
Enter Kerberos REALM
-------------------------------------------
MYDOMAIN.LAN
-------------------------------------------
< OK > < Cancel >
Saisir un nom de contrôleur de domaine valide.
Enter a Domain Controller name in write mode
-------------------------------------------
dc1
-------------------------------------------
< OK > < Cancel >
Saisir un nom d’utilisateur disposant de droits d’écriture sur l’Active Directory.
Enter a username with administrator privileges
-------------------------------------------
administrator
-------------------------------------------
< OK > < Cancel >
Saisir le mot de passe de l’utilisateur.
Enter administrator password
-------------------------------------------
*****************************
-------------------------------------------
< OK > < Cancel >
Entrez l’URL qui sera utilisée par le waptagent.
Enter the URL that will be used by the waptagent
---------------------------------------------
srvwaptname.mydomain.lan
---------------------------------------------
< OK > < Cancel >
Choisissez le nom de l’ordinateur utilisé par le waptagent.
Choose the name of the computer used by the waptserver
---------------------------------------------
srvwaptname
---------------------------------------------
< OK > < Cancel >
Si les informations d’identification sont correctes, le keytab est généré dans
/etc/nginx/http-krb5.keytab. Les ACL corrects y sont définis. Sinon, vous devez lire la documentation.Redémarrer Nginx.
The Nginx config is done.
We need to restart Nginx?
< OK >
La dernière étape consiste à démarrer waptserver et wapttasks.
Press OK to start
waptserver and wapttasks
daemons
< OK >
La post-configuration est maintenant terminée.
Postconfiguration completed.
< OK >
Mais en mode TOE CSPN, le système de TOTP est requis sur le compte administrateur.
le mode sécurisé du Postconf avec OTP code¶
Utilisez votre deuxième appareil (télépone, YubiKey, etc.) et obtenez le code qui apparaît dans l’image. Mettez le code dans le champ dédié.
Note
Si vous avez des problèmes avec votre système kerberos. Vérifiez le propriétaire et le droit sur le fichier keytab ( http-krb5.keytab ).
chown root:nginx /etc/nginx/http-krb5.keytab
chmod 640 /etc/nginx/http-krb5.keytab
Options |
Description |
|---|---|
|
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443. |
|
Définit les paramètres du mode CSPN TOE (défaut : False). |
|
Définit le nom et l’adresse IP du serveur pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None). |
Avertissement
En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache, reporting et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.
- Activation de Peer Cache dans la console WAPT :
En éditant une nouvelle configuration d’agent :
Allez dans . Cochez l’option Utiliser le peercache.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans Dépôt privé → . Cochez l’option Utiliser le peercache.
- Activer les dépôts secondaires dans la console WAPT :
- Pour l’agent :
En éditant une nouvelle configuration d’agent :
Allez dans . Vérifiez Utiliser les règles de dépôt.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans Dépôt privé → . Vérifiez l’option Utiliser les règles de dépôt.
- Pour configurer un agent en tant que dépôt secondaire :
En éditant une nouvelle configuration d’agent :
Allez dans . Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → et cochez Synchroniser les paquets et les mises à jour du système sur l’agent