<no title> - Documentation WAPT

Note

Pour le mode sécurisé CSPN, veuillez visiter cette documentation.

Attention

Pour que la post-configuration fonctionne correctement :

Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.

Le résolveur DNS DOIT être correctement configuré.

Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture pour l’enregistrement en mode Kerberos.

Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.

Ce script de post-configuration DOIT être exécuté en tant que root.

Indication

Si le script post-configuration a déjà été exécuté, les valeurs précédemment définies seront conservées.

Pour gagner du temps, vous pouvez simplement valider chaque invite en appuyant sur la touche Entrée afin de conserver les paramètres existants.

Exécutez le script.

/opt/wapt/waptserver/scripts/postconf.sh

Choisissez un mot de passe (si ce n’est pas déjà défini) pour le compte SuperAdmin du serveur WAPT (longueur minimale de 10 caractères).

Premier lancement du script de post-configuration

Please enter the wapt server password (min. 10):

Please enter the wapt server password again:

Conserver le mot de passe administrateur actuel

Do you want to reset main admin (user: admin) password ? [y/N]:

Indication

Vous pouvez passer cette étape en appuyant sur la touche Entrée du clavier.

Réinitialiser le mot de passe administrateur

Do you want to reset main admin (user: admin) password ? [y/N]: y

Please enter the wapt server password (min. 10):

Please enter the wapt server password again:

Choisissez le mode d’authentification pour l’enregistrement initial des agents WAPT :

WaptAgent Authentication type ?
  1) Allow unauthenticated registration
  2) Enable kerberos authentication required for machines registration
  3) Disable Kerberos but registration require strong authentication
Select (1-3) [your previous choice was * ]:

Option 1 : Inscription ouverte

Note

Le serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.

Sans certificat, il n’est pas possible de télécharger les paquets WAPT ni d’interroger certains points de terminaison du serveur WAPT.

Cette méthode est recommandée si vous installez WAPT pour la première fois.

Option 2 : Enregistrement via Kerberos

Note

Active l’enregistrement initial via Kerberos (vous pouvez l’activer ultérieurement).

Si vous rencontrez des problèmes lors de la mise à niveau ou si vous utilisez un proxy inverse, cette méthode est recommandée pendant la mise à niveau.

Si votre fichier keytab Kerberos n’existe pas, le script postconf.sh le créera, une fois que vous aurez validé l’option 2.

Création de votre Keytab, après selection de l'activation kerberos pour la première fois.

Enter a new Kerberos REALM (e.g., MYDOMAIN.LAN) or press Enter to keep [ * ]:

Enter a new Domain Controller name (e.g., DC01.MYDOMAIN.LAN) or press Enter to keep [ * ]:

Enter a username authorized to join machines (e.g., ADMINISTRATEUR) or press Enter to keep [ * ]:

Enter password for administrator:

Enter a new computer name for the WAPT server (e.g., SRV-WAPT) or press Enter to keep [ * ]:

Option 3 : Enregistrement via compte identifié

Note

N’active pas le mécanisme d’authentification Kerberos pour l’enregistrement initial des hôtes équipés de WAPT.

Le serveur WAPT exigera un login et un mot de passe pour chaque hôte s’enregistrant auprès de lui.

Avertissement

Si vous effectuez une mise à niveau de WAPT 2.X vers 2.5, vérifiez la configuration actuelle des agents WAPT et plus particulièrement l’option verify_cert.

Si, dans votre configuration actuelle, verify_cert est défini sur True ou sur un chemin d’accès à un fichier (certificate pinning), choisissez l’option n° 1 ci-dessous.

Si, dans votre configuration actuelle, verify_cert est défini sur False, choisissez l’option n° 2 ci-dessous.

Choisissez si vous souhaitez utiliser WAPT pour le déploiement du système d’exploitation.

Do you want to activate OS deployment (WADS)? [currently is * ] [Y/n]:

Activer WADS

Note

Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS.

Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.

Do you want to activate WADS secure authentication? [currently is * ] [y/N]:

Désactiver WADS

Note

Si vous avez choisi Non pour confirmer la désactivation du déploiement du système d’exploitation (WADS), Nginx n’activera pas les points de terminaison API WADS pour les agents WAPT.

Si vous activez WADS, vous pouvez activer l’authentification sécurisée WADS.
Activer l’authentification sécurisée WADS
Note

Choisissez Oui et mentionnez les sous-réseaux.

Vous pouvez mentionner les adresses IP des sous-réseaux exemptées de l’authentification WADS. Pour les autres, une authentification sécurisée sera requise.
Mention here the subnets ex: 192.168.1.0/24 [ * ]:
Désactiver l’authentification sécurisée WADS

Note

Choisissez Non.

L’authentification sécurisée WADS restera désactivée.
Indiquez si vous souhaitez utiliser WAPT WUA pour Windows Update.

Do you want to activate Windows Update by WAPT (WUA)? [currently is * ] [Y/n]:

Note

Si vous choisissez Yes, Nginx activera les points de terminaison de l’API WUA pour les Agents WAPT.

Indiquez le FQDN du serveur WAPT.

FQDN for the WAPT server (eg. wapt.acme.com) [Currently your FQDN is * ]:

Attendez quelques secondes, la post-configuration est maintenant terminée.

[*] Postconfiguration completed.
Please connect to https://yourservername/ to access the server.

Ajouté dans la version 2.5: L’accès à l’interface web de WAPT est désormais protégé par un mot de passe.

Enfin, le postconf affiche quelques informations sur le certificat SSL du serveur WAPT et l’URL pour télécharger WaptSetup et l’installer sur l’ordinateur de l’Administrateur WAPT.

Liste des options du script de post-configuration¶
Options	Description
`-c` or `--config`	Spécifie le chemin du fichier de configuration (par défaut : `/opt/wapt/conf/waptserver.ini`).
`-s` or `--force-https`	Configure Nginx pour que le port 80 soit redirigé en permanence vers 443
`-q` or `--quiet`	Exécute la post-configuration en mode silencieux.
`-n` or `--nginx`	Exécute la configuration de nginx si la post-configuration est en mode silencieux.
`--dhparam-key-size=NUMBER`	Définit la taille de la clé dhparam (par défaut : 2048).
`-p` or `--admin-password`	Définit le mot de passe de l’administrateur du serveur WAPT si la post-configuration est effectuée en mode silencieux.
`--server-names=SERVER_NAMES`	Définit le nom et l’adresse IP du Serveur WAPT pour les CN et SubjectAltNames des certificats. Le séparateur est une virgule (par défaut : fqdn et adresse IP).
`--cspn-toe`	Définit les paramètres du mode TOE CSPN (par défaut : False). Cela permet d’activer des valeurs de sécurité par défaut plus strictes et de désactiver toutes les fonctionnalités qui ne sont pas incluses dans la TOE de la certification CSPN