2.1. Installation du Serveur WAPT sur Debian et Ubuntu¶
2.1.1. Configuration du serveur¶
Pour installer une version encore supportée de Debian et ses dérivés, ou de Red Hat et ses dérivés.
Avertissement
Installez la version 64bit.
Installez le Serveur sans interface graphique.
Systemd doit être activé
Attention
La procédure de mise à jour est différente de l’installation. Pour une mise à jour, rendez-vous sur la documentation pour mettre à jour le Serveur WAPT.
2.1.1.1. Configuration des paramètres réseau¶
Les différents paramètres présentés ci-dessous ne sont pas spécifiques à WAPT, vous pouvez les adapter en fonction de votre environnement.
Modifiez les fichiers suivants afin d’obtenir une stratégie de nommage (FQDN) et d’adressage réseau appropriée.
Dans l’exemple suivant :
2.1.1.2. Configuration du nom du Serveur WAPT¶
Indication
Le nom court du Serveur WAPT ne DOIT pas être supérieur à 15 caractères (la limite est due à la restriction du sAMAccountName dans Active Directory).
Le nom du Serveur WAPT DOIT être un FQDN, c’est-à-dire qu’il comporte à la fois le nom du serveur et le suffixe DNS.
Modifier le fichier
/etc/hostnameet écrire le nom FQDN du Serveur WAPT.
# /etc/hostname of the WAPT Server
srvwapt.mydomain.lan
Configurez le fichier
/etc/hosts, assurez-vous de mettre à la fois le FQDN et le nom court du Serveur WAPT.
# /etc/hosts of the WAPT Server
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.0.0.10 srvwapt.mydomain.lan srvwapt
Indication
Sur la ligne définissant l’adresse IP du serveur DNS, veillez à avoir l’IP du Serveur WAPT (et non pas 127.0.0.1), puis le FQDN, puis le nom court.
Ne changez pas la ligne avec localhost.
2.1.1.3. Configuration de l’adresse IP du Serveur WAPT¶
Configurez l’adresse IP du Serveur WAPT dans le
/etc/network/interfaces.
# /etc/network/interfaces of the WAPT Server
auto eth0
iface eth0 inet static
address 10.0.0.10
netmask 255.255.255.0
gateway 10.0.0.254
Appliquez la configuration réseau en redémarrant l’hôte avec un reboot.
reboot
Si cela n’a pas déjà été fait, créez l’entrée DNS pour le Serveur WAPT dans l’Active Directory ou le serveur DNS de l’Organisation.
Après le redémarrage, configurez la langue du système en anglais afin d’avoir des journaux non localisés pour faciliter la recherche des erreurs courantes.
apt install locales-all -y
update-locale set-locale LANG=en_US.UTF-8
localectl status
Vérifier si la machine est correctement synchronisée avec le serveur NTP. Si elle n’est pas synchronisée, se référer à la documentation du système d’exploitation pour configurer timedatectl.
timedatectl status
Mettre à jour et à niveau le système d’exploitation et s’assurer que le paquet d’Autorités de Certification par défaut de Debian est installé.
apt update && apt upgrade
apt install ca-certificates -y
Redémarrez le Serveur WAPT.
reboot
Le serveur est maintenant prêt.
L’installation de la partie Serveur de WAPT se décompose en plusieurs étapes :
Configuration des dépôts.
Installation de paquets Linux supplémentaires.
Installation et provisionnement de la base de données PostgreSQL.
Post-configuration du Serveur WAPT.
Note
Les paquets du Serveur WAPT et le dépôt sont signés par Tranquil IT et il est nécessaire d’obtenir la clé publique gpg ci-dessous afin d’éviter les messages d’avertissement pendant l’installation.
2.1.2. Installer les paquets du Serveur WAPT¶
Mettre à jour la source APT, récupérer la clé .gpg de Tranquil IT, puis ajouter le dépôt de Tranquil IT.
apt install apt-transport-https lsb-release gnupg wget -y bash -c 'wget -qO- https://wapt.tranquil.it/$(lsb_release -is)/tiswapt-pub-2026.gpg > /usr/share/keyrings/tiswapt-pub.gpg' echo "deb [signed-by=/usr/share/keyrings/tiswapt-pub.gpg] https://wapt.tranquil.it/$(lsb_release -is)/wapt-2.6/ $(lsb_release -c -s) main" > /etc/apt/sources.list.d/wapt.list
Avertissement
Changement important : pour les versions WAPT antérieures à la version 2.6.1.17654, veuillez utiliser cette clé gpg.
wget -qO- https://wapt.tranquil.it/$(lsb_release -is)/tiswapt-pub.gpg > /usr/share/keyrings/tiswapt-pub.gpg
Installer les paquets du Serveur WAPT.
export DEBIAN_FRONTEND=noninteractive apt update apt install tis-waptserver tis-waptsetup -y unset DEBIAN_FRONTEND
2.1.3. Mode de configuration standard¶
Note
Pour le mode sécurisé CSPN, veuillez visiter cette documentation.
Attention
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du Serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les Agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le Serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture pour l’enregistrement en mode Kerberos.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.
Ce script de post-configuration DOIT être exécuté en tant que root.
Indication
Si le script de post-configuration a déjà été exécuté, les valeurs définies précédemment seront conservées.
Pour gagner du temps, vous pouvez simplement valider chaque invite en appuyant sur la touche Entrée afin de conserver les paramètres actuels.
Exécutez le script.
/opt/wapt/waptserver/scripts/postconf.sh
Choisissez un mot de passe (si ce n’est pas déjà défini) pour le compte SuperAdmin du Serveur WAPT (longueur minimale de 10 caractères).
Please enter the wapt server password (min. 10):
Please enter the wapt server password again:
Do you want to reset main admin (user: admin) password ? [y/N]:
Indication
Vous pouvez passer cette étape en appuyant sur la touche Entrée du clavier.
Do you want to reset main admin (user: admin) password ? [y/N]: y
Please enter the wapt server password (min. 10):
Please enter the wapt server password again:
Choisissez le mode d’authentification pour l’enregistrement initial des Agents WAPT :
WaptAgent Authentication type ?
1) Allow unauthenticated registration
2) Enable kerberos authentication required for machines registration
3) Disable Kerberos but registration require strong authentication
Select (1-3) [your previous choice was * ]:
Note
Le serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.
Sans certificat, il n’est pas possible de télécharger les paquets WAPT ni d’interroger certains points de terminaison du serveur WAPT.
Cette méthode est recommandée si vous installez WAPT pour la première fois.
Note
Active l’enregistrement initial via Kerberos (vous pouvez l’activer ultérieurement).
Si vous rencontrez des problèmes lors de la mise à niveau ou si vous utilisez un proxy inverse, cette méthode est recommandée pendant la mise à niveau.
Si votre fichier keytab Kerberos n’existe pas, le script postconf.sh le créera, une fois que vous aurez validé l’option 2.
Création de votre Keytab, après selection de l'activation kerberos pour la première fois.
Enter a new Kerberos REALM (e.g., MYDOMAIN.LAN) or press Enter to keep [ * ]:
Enter a new Domain Controller name (e.g., DC01.MYDOMAIN.LAN) or press Enter to keep [ * ]:
Enter a username authorized to join machines (e.g., ADMINISTRATEUR) or press Enter to keep [ * ]:
Enter password for administrator:
Enter a new computer name for the WAPT server (e.g., SRV-WAPT) or press Enter to keep [ * ]:
Note
N’active pas le mécanisme d’authentification Kerberos pour l’enregistrement initial des hôtes équipés de WAPT.
Le serveur WAPT exigera un login et un mot de passe pour chaque hôte s’enregistrant auprès de lui.
Avertissement
Si vous effectuez une mise à niveau de WAPT 2.X vers 2.5, vérifiez la configuration actuelle des agents WAPT et plus particulièrement l’option verify_cert.
Si, dans votre configuration actuelle, verify_cert est défini sur True ou sur un chemin d’accès à un fichier (certificate pinning), choisissez l’option n° 1 ci-dessous.
Si, dans votre configuration actuelle, verify_cert est défini sur False, choisissez l’option n° 2 ci-dessous.
Choisissez si vous souhaitez utiliser WAPT pour le déploiement du système d’exploitation.
Do you want to activate OS deployment (WADS)? [currently is * ] [Y/n]:
Note
Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS.
Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.
Do you want to activate WADS secure authentication? [currently is * ] [y/N]:
Note
Si vous avez choisi Non pour confirmer la désactivation du déploiement du système d’exploitation (WADS), Nginx n’activera pas les points de terminaison API WADS pour les agents WAPT.
If you activate WADS, you can activate the WADS secure authentification.
Note
Choisissez Oui et mentionnez les sous-réseaux.
Vous pouvez mentionner les adresses IP des sous-réseaux exemptées de l’authentification WADS. Pour les autres, une authentification sécurisée sera requise.
Mention here the subnets ex: 192.168.1.0/24 [ * ]:
Note
Choisissez Non.
L’authentification sécurisée WADS restera désactivée.
Indiquez si vous souhaitez utiliser WAPT WUA pour Windows Update.
Do you want to activate Windows Update by WAPT (WUA)? [currently is * ] [Y/n]:
Note
Si vous choisissez Yes, Nginx activera les points de terminaison de l’API WUA pour les Agents WAPT.
Indicate the FQDN for the WAPT server.
FQDN for the WAPT server (eg. wapt.acme.com) [Currently your FQDN is * ]:
Attendez quelques secondes, la post-configuration est maintenant terminée.
[*] Postconfiguration completed.
Please connect to https://yourservername/ to access the server.
Ajouté dans la version 2.5: L’accès à l’interface web de WAPT est désormais protégé par un mot de passe.
Enfin, le postconf affiche quelques informations sur le certificat SSL du Serveur WAPT et l’URL pour télécharger WaptSetup et l’installer sur l’ordinateur de l’Administrateur WAPT.
Options |
Description |
|---|---|
|
Spécifie le chemin du fichier de configuration (par défaut : |
|
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443 |
|
Exécute la post-configuration en mode silencieux. |
|
Exécute la configuration de nginx si la post-configuration est en mode silencieux. |
|
Définit la taille de la clé dhparam (par défaut : 2048). |
|
Définit le mot de passe de l’administrateur du Serveur WAPT si la post-configuration est effectuée en mode silencieux. |
|
Définit le nom et l’adresse IP du Serveur WAPT pour les CN et SubjectAltNames des certificats. Le séparateur est une virgule (par défaut : fqdn et adresse IP). |
|
Définit les paramètres du mode TOE CSPN (par défaut : False). Cela permet d’activer des valeurs de sécurité par défaut plus strictes et de désactiver toutes les fonctionnalités qui ne sont pas incluses dans la TOE de la certification CSPN |
2.1.4. Mode de configuration sécurisé ( Mode CSPN )¶
Avertissement
Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).
Attention
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du Serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les Agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le Serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.
Ce script de post-configuration DOIT être exécuté en tant que root.
En mode CSPN, l’installation du serveur WAPT active davantage de fonctionnalités de sécurité et est moins tolérante aux erreurs de configuration.
Dans ce mode :
La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.
La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est appliquée.
L’enregistrement et l’authentification Kerberos sont obligatoires.
L’authentification par certificat client est obligatoire.
La vérification du certificat SSL est obligatoire.
Divers paramètres de rétrocompatibilité sont désactivés.
Les fonctionnalités exclues de la CSPN TOE (à savoir les référentiels secondaires, peercache, WADS et WAPT WUA) sont désactivées.
La connexion de la Console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).
La durée de vie maximale des cookies de session est de 12 heures.
La durée de vie par défaut des certificats signés par WAPT est de 3 ans.
Indication
Si vous souhaitez conserver une version spécifique de wapt sur le serveur, comme une version spécifique de CSPN, il est recommandé de désactiver la configuration du dépôt wapt en supprimant /etc/yum.repos.d/wapt.repo ou en spécifiant le numéro de version complet dans ce même fichier, comme :code: baseurl=https://wapt.tranquil.it/redhat10/wapt-2.6.1.17567/
Le compte de service Kerberos créé pour l’authentification sur le serveur Wapt doit être configuré avec msDS-SupportedEncryptionTypes : 24 (AES 128, AES 256), soit à l’échelle de l’AD, soit au moins sur l’objet ordinateur de service. Le script msktutil exécuté pendant la postconfiguration doit définir cette valeur correctement.
Exécutez le script avec l’option
--cspn-toe.
/opt/wapt/waptserver/scripts/postconf.sh --cspn-toe
Cliquez sur Oui pour exécuter le script de post-configuration.
Do you want to launch post configuration tool?
< yes > < no >
Cliquez sur ok si SELinux est détecté.
SELinux detected, tweaking httpd permissions.
< OK >
Cliquez sur ok si SELinux est correctement configuré pour le proxy inverse Nginx.
SELinux correctly configured for Nginx reverse proxy
< OK >
Choisissez un mot de passe (s’il n’est pas défini) pour le compte SuperAdmin du serveur WAPT. La longueur minimale est de 20 caractères, dont au moins 1 majuscule, 1 minuscule et 1 signe de ponctuation.
Please enter the wapt server password (min. 20 characters, punctuation, upper and lower case):
*****************
< OK > < Cancel >
Confirmez le mot de passe.
Please enter the server password again:
*****************
< OK > < Cancel >
Sélectionnez Oui pour configurer Nginx.
Do you want to configure nginx?
< Yes > < No >
Indiquez le FQDN du Serveur WAPT.
FQDN for the WAPT Server (eg. wapt.example.com)
---------------------------------------------
wapt.mydomain.lan
---------------------------------------------
< OK > < Cancel >
Entrez le nom du royaume Kerberos.
Enter Kerberos REALM
-------------------------------------------
MYDOMAIN.LAN
-------------------------------------------
< OK > < Cancel >
Saisir un nom de contrôleur de domaine valide.
Enter a Domain Controller name in write mode
-------------------------------------------
dc1
-------------------------------------------
< OK > < Cancel >
Saisir un nom d’utilisateur disposant de droits d’écriture sur l’Active Directory.
Enter a username with administrator privileges
-------------------------------------------
administrator
-------------------------------------------
< OK > < Cancel >
Saisir le mot de passe de l’utilisateur.
Enter administrator password
-------------------------------------------
*****************************
-------------------------------------------
< OK > < Cancel >
Entrez l’URL qui sera utilisée par le waptagent.
Enter the URL that will be used by the waptagent
---------------------------------------------
srvwaptname.mydomain.lan
---------------------------------------------
< OK > < Cancel >
Choisissez le nom de l’ordinateur utilisé par le waptagent.
Choose the name of the computer used by the waptserver
---------------------------------------------
srvwaptname
---------------------------------------------
< OK > < Cancel >
Si les informations d’identification sont correctes, le keytab est généré dans
/etc/nginx/http-krb5.keytab. Les ACL corrects y sont définis. Sinon, vous devez lire la documentation.Redémarrer Nginx.
The Nginx config is done.
We need to restart Nginx?
< OK >
La dernière étape consiste à démarrer waptserver et wapttasks.
Press OK to start
waptserver and wapttasks
daemons
< OK >
Le post-configuration est maintenant terminé.
Postconfiguration completed.
< OK >
Mais en mode TOE CSPN, TOTP est requis sur le compte administrateur.
code OTP sécurisé postconf¶
Utilisez votre deuxième appareil (smartphone, YubiKey, etc.) et obtenez le code qui apparaît dans l’image. Mettez le code dans le champ prévu à cet effet.
Note
Si vous avez des problèmes avec votre système kerberos. Vérifiez le propriétaire et le droit sur le fichier keytab ( http-krb5.keytab ).
chown root:nginx /etc/nginx/http-krb5.keytab
chmod 640 /etc/nginx/http-krb5.keytab
Options |
Description |
|---|---|
|
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443. |
|
Définit les paramètres du mode CSPN TOE (défaut : False). |
|
Définit le nom du serveur et l’adresse IP pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None). |
Avertissement
En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache, reporting et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.
- Activation de Peer Cache dans la console WAPT :
En éditant une nouvelle configuration d’agent :
Allez dans . Cochez l’option Use Peer Cache.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → . Cochez l’option Use Peer Cache.
- Activer les référentiels secondaires dans la console WAPT :
- Pour l’agent :
En éditant une nouvelle configuration d’agent :
Allez dans . Vérifiez Utiliser les règles du référentiel.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → . Vérifiez l’option Utiliser les règles du référentiel.
- Pour configurer un agent en tant que référentiel secondaire :
En éditant une nouvelle configuration d’agent :
Allez dans . Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → . Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent
Le Serveur WAPT est maintenant prêt. Vous pouvez consulter la documentation sur l’installation de la Console WAPT.