12. Renforcer la sécurité de votre installation WAPT - Côté Console

12.1. Génération de l’autorité de certification (CA) WAPT Enterprise feature WAPT Enterprise feature

Lors de l’installation de WAPT, il vous est demandé de créer une paire .pem / .crt en cochant les cases Pour Signature de code et Pour usage en tant que CA.

Cette paire .pem / .crt permettra de signer les paquets WAPT et les nouveaux certificats.

12.1.1. Générer un nouveau certificat avec l’Autorité de Certification

Construire une nouvelle paire .pem / .crt.

Note

Le nouveau certificat ne sera pas un certificat auto-signé ;

Ce nouveau certificat sera signé par le CA (la clé générée lors de la première installation de WAPT) ;

Vous devez ensuite remplir la Clé privée de l’autorité et le Certificat de l’autorité.

Lors de la génération de la nouvelle paire pem/ crt, vous avez la possibilité de choisir si le nouveau certificat sera de type Pour Signature de code ou non.

Indication

Pour rappel, un certificat Pour Signature de code est réservé aux personnes ayant le rôle Administrateur dans le contexte de WAPT et un simple certificat SSL sans l’attribut Pour Signature de code est réservé aux personnes ayant le rôle Déployeur de paquet.

Les Administrateurs seront autorisés à signer les paquets qui CONTIENNENT un fichier exécutable setup.py (c’est-à-dire les paquets base).

Les personnes ayant le rôle de Déployeur de paquet seront autorisées à signer les paquets qui NE CONTIENNENT PAS le fichier exécutable setup.py (c’est-à-dire les paquets host, unit et group).

Génération d'un certificat sans l'attribut *Pour Signature de code*

Génération d’un certificat sans l’attribut Pour Signature de code

Les clés et les certificats qui ne sont pas Signature de code peuvent être distribués aux personnes chargées de déployer les paquets sur la base installée des appareils équipés de WAPT.

Une autre équipe disposant de certificats ayant l’attribut Pour Signature de code préparera les paquets WAPT contenant les applications qui devront être configurées conformément aux directives de sécurité de l’Organisation et aux personnalisations utilisateur souhaitées par celle-ci.

Génération d'un certificat avec l'attribut *Pour Signature de code*

Génération d’un certificat avec l’attribut Pour Signature de code

La génération d’une nouvelle paire .pem / .crt permettra également d’identifier formellement la personne qui a signé un paquet en recherchant l’attribut CN du certificat de paquet WAPT.

Indication

Les nouveaux certificats ne seront pas des Autorités de Certification, ce qui signifie qu’ils ne seront pas autorisés à signer d’autres certificats.

En règle générale, il n’y a qu’une seule paire pem / crt d”Autorité de Certification par Organisation.

Attention

Il n’est pas nécessaire de déployer des certificats enfants avec l’Agent WAPT.

Les certificats enfants sont utilisés avec la Console WAPT pour autoriser ou restreindre les actions dans la console.

12.1.2. Déploiement des certificats des administrateurs informatiques locaux sur les clients

Indication

Certaines organisations choisiront de laisser les administrateurs informatiques locaux effectuer des actions sur les appareils équipés de WAPT en leur délivrant des certificats personnels qui fonctionneront sur l’ensemble des appareils dont les administrateurs informatiques locaux sont responsables.

Les administrateurs informatiques du siège déploieront les certificats des administrateurs informatiques locaux sur les ordinateurs que les administrateurs locaux gèrent sur leurs sites respectifs.

Ainsi, les administrateurs informatiques locaux ne pourront pas gérer les ordinateurs situés au siège, mais uniquement sur leurs propres sites.

Il est possible de gérer simplement et de manière plus fine en utilisant Access Control Lists avec la version Enterprise de WAPT.

Vous devrez copier les certificats des administrateurs informatiques locaux autorisés sur les clients WAPT dans C:\program files(x86)\wapt\ssl.

Indication

Ne pas oublier de redémarrer le service WAPT sur les clients pour qu’ils utilisent leur nouveau certificat. Ouvrez une console en ligne de commande cmd.exe.

net stop waptservice && net start waptservice

Si vous voulez déployer les certificats en utilisant WAPT, utilisez un paquet de certificat

12.2. Afficher l’onglet des certificats dans la Console WAPT

Dans cet onglet, vous pouvez voir les certificats auxquels la machine accepte de faire confiance.

Fenêtre montrant les certificats approuvés par la machine sélectionnée

Fenêtre montrant les certificats approuvés par la machine sélectionnée

12.3. Configuration des listes de contrôle d’accès WAPT Enterprise feature WAPT Enterprise feature

Indication

L’utilisateur SuperAdmin de WAPT est authentifié par un mot de passe stocké dans waptserver.ini comme valeur de l’attribut wapt_password. Les autres utilisateurs WAPT peuvent être des utilisateurs locaux htpasswd_path) ou des utilisateurs de comptes AD (ldap_auth_server / ldap_auth_base_dn).

Les ACL définissent les actions autorisées pour tous les types d’utilisateurs dans le contexte WAPT.

Note

Les ACLs par défaut au niveau utilisateur sont définies par default_ldap_users_acls dans waptserver.ini.

L’ACL par défaut pour un nouvel utilisateur est vue.

Attention

La sécurité est définie par le certificat déployé sur les clients, et non par les ACL.

Les ACL limitent simplement les actions que le serveur est autorisé à relayer de la Console WAPT aux Agents WAPT.

A la date du 2026-07-15 , les Agents WAPT ne vérifient pas les droits ACL.

Pour configurer les ACL dans WAPT, allez dans Serveur ‣ Gérer les utilisateurs WAPT et des droits.

Liste de menus pour la gestion des ACL dans la Console WAPT

Note

Au premier lancement après l’installation du Serveur WAPT, seul le compte SuperAdmin est présent dans la liste des utilisateurs.

Si le compte SuperAdmin n’existe pas ou ne possède pas le droit admin, le compte est recréé en redémarrant le service du Serveur WAPT.

Le compte SuperAdmin est authentifié en utilisant la valeur de wapt_password dans le fichier de configuration waptserver.ini.

12.3.1. Création du compte utilisateur

Deux types de comptes sont gérables par ACL, local et Active Directory.

  • Dans la fenêtre Droits des Utilisateurs WAPT, cliquez sur Nouveau compte.

Créer un nouveau compte local

Il est possible de renommer des comptes en appuyant sur F2 sur la colonne User.

Entrez le nom d’utilisateur, par exemple user1 .

Note

Les utilisateurs locaux sont définis dans un fichier .htpasswd.

Remplissez le nom d’utilisateur et ajoutez @votre_domaine.lan, par exemple user1@mydomain.lan.

Note

Pour gérer les utilisateurs WAPT avec Active Directory, vous devez activer l’authentification Active Directory.

  • Sauvegardez en cliquant sur Enregistrer les comptes.

  • Pour définir un mot de passe, voir le point Changez le mot de passe.

  • Pour définir les droits, consultez la section gérer les droits ACL.

Si l’utilisateur local a un mot de passe dans waptusers.htpasswd, alors, le nom d’utilisateur apparaît en gras et Mots de passe est coché, sinon changez le mot de passe pour cet utilisateur.

12.3.2. Changer le mot de passe de l’utilisateur

Pour changer le mot de passe du compte sélectionné :

  • Faites un clic droit sur le compte ‣ Changer le mot de passe utilisateur sur le Serveur WAPT.

wapt change user password on waptserver
  • Saisissez le nouveau mot de passe.

Boîte de dialogue permettant de modifier le mot de passe de l'utilisateur dans le fichier htaccess

Boîte de dialogue permettant de modifier le mot de passe de l’utilisateur dans le fichier htaccess

L’utilisateur local apparaît en gras et la case Mots de passe est cochée.

12.3.3. Blocage des comptes d’utilisateurs locaux

Pour désenregistrer les utilisateurs locaux, faites clic droit sur le compte ‣ Invalider le mot de passe de l’utilisateur sur le Serveur WAPT.

wapt invalidate user password on waptserver

Le compte sera bloqué et ne pourra plus gérer quoi que ce soit dans WAPT.

12.3.4. Liste des droits

De nombreux droits et restrictions peuvent être définis pour chaque utilisateur dans la Console WAPT.

Liste des droits des utilisateurs

Droit

Description

Admin

Comme SuperAdmin, tous les droits sont accordés sauf Mot de passe.

Voir

Permet de visualiser uniquement les informations sur la Console WAPT.

voir avec certificat

Limite l’affichage de la vue, au certificat associé à l’utilisateur.

Inscrire machine

Permet d’utiliser les informations d’identification de l’administrateur pour enregistrer manuellement une machine sur le Serveur WAPT.

Désinscrire machine

Permet de supprimer une machine depuis la Console WAPT.

Modifier la machine

Permet de modifier le paquet machine sur la Console WAPT.

Affecter des paquets

Permet d’attribuer un ou plusieurs paquets sur des hôtes à l’aide de la console WAPT.

Actions distantes machine

Permet d’utiliser les outils Windows de Gestion de l’ordinateur avec la Console WAPT.

Lancer les mises à jour

Permet d’appliquer à distance des mises à jour sur son périmètre, si la machine est en statut PENDING.

Modif paquets

Permet de modifier les paquets de base qu’elle est autorisée à modifier.

Modif groupes

Permet de modifier les paquets de groupe sur la Console WAPT.

Modif self-service

Permet de modifier les règles de self-service sur la Console WAPT.

Modif WUA

Permet de modifier les règles WUA / WSUS sur la Console WAPT.

Modif groupes AD

Permet de modifier les packages profile sur la Console WAPT.

Modif Org Units

Permet de modifier les paquets unit sur la Console WAPT.

Modifier paquets configuration

Permet de créer, modifier ou supprimer des paquets de configuration sur la console WAPT.

Modifier requêtes

Permet de créer ou modifier des requêtes de rapport.

Lancer requête

Permet de exécuter des rapports SQL existants.

Voir les données d’audit

Permet de lire le contenu des données d’audit de l’onglet sur la console WAPT.

Admin WADS

Permet à un utilisateur de disposer des droits d’administrateur pour WADS sur la console WAPT.

Déploiement de machine WADS

Permet à un utilisateur d’activer le bouton de déploiement sur la console WAPT.

Vue WADS

Permet de lire le contenu de l’onglet OS Deploy.

MAJ données audit

Permet de créer, modifier ou supprimer les données de l’onglet Audit Data sur les hôtes.

Modifier depôt

Permet à un utilisateur de créer, modifier et supprimer des règles de dépôts secondaires.

gestion compte

Permet de créer des comptes utilisateurs. Vous ne pouvez pas attribuer des autorisations supérieures à celles de votre propre compte.

Géré par

Indique le gestionnaire (créateur) du compte. Ce champ précise qui a créé l’utilisateur et qui est habilité à modifier ses listes de contrôle d’accès (ACL). Il garantit également que les ACL effectives du compte géré ne peuvent pas dépasser celles de son gestionnaire.

Ajouter une ressource

Permet de mettre à jour l’hôte avec des données personnalisées.

12.3.5. Configuration des rôles

WAPT prend en charge la gestion RBAC (contrôle d’accès basé sur les rôles).

La mise en place de rôles vous permet de définir des autorisations pour les techniciens affectés à des tâches similaires, en créant un seul rôle plutôt que d’attribuer des autorisations individuellement à chaque utilisateur.

Cette approche réduit le risque d’erreurs, car l’opération n’est pas répétée plusieurs fois, et simplifie la maintenance, puisque la mise à jour d’un rôle applique automatiquement les modifications à tous les utilisateurs qui y sont associés.

Deux types de rôles sont disponibles :

Définis directement sur le serveur WAPT et attribués manuellement aux utilisateurs.

  1. Ouvrir la console WAPT.

  2. Accédez à : ServeurGérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.

  3. Cliquez sur Nouveau rôle et donnez un nom à votre rôle local.

  4. Choisissez une ou plusieurs ACLs à assigner.

  5. Définissez l’autorisation ( souvent interdire ou autoriser).

  6. Sauvegarder vos changements.

Créer un rôle local

Exemple : Créer un rôle local et l’attribuer.

Si un rôle AD porte exactement le même nom qu’un groupe d’utilisateurs dans Active Directory, WAPT peut l’attribuer automatiquement aux utilisateurs membres de ce groupe AD. Cela permet une synchronisation dynamique entre les groupes AD et les rôles WAPT.

Action AD ( RSAT ou OpenRSAT )

  1. Créez un groupe d’utilisateurs (par exemple, wapt-register).

Dans la console WAPT.

  1. Ouvrir la console WAPT.

  2. Accédez à : ServeurGérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.

  3. Cliquez sur Nouveau rôle et nommez votre rôle AD en utilisant son nom complet (par exemple, wapt-register@mydomain.lan).

  4. Choisissez une ou plusieurs ACLs à assigner.

  5. Définissez l’autorisation ( souvent interdire ou autoriser).

  6. Sauvegarder vos changements.

Créer un rôle AD

Exemple :Créer un rôle AD et l’attribuer.

12.3.6. Gestion des droits

12.3.6.1. Attribuer un droit à un utilisateur

Pour les autres utilisateurs, il est possible d’associer un certificat généré à partir du WAPT PKI ou d’une autre CA.

Ces certificats peuvent ou non être des enfants de l’autorité de certification WAPT.

Important

Si les certificats ne sont pas émis par l’autorité de certification :

  • Les paquets WAPT mis à jour ne sont disponibles que sur les ordinateurs sur lesquels des certificats sont déployés. Utilisez cette section pour créer et déployer facilement des certificats utilisateur.

  • Les ACL sont valides uniquement sur le périmètre des hôtes où le certificat de l’administrateur est déployé.

  1. Sélectionner un utilisateur.

  2. Choisissez une ou plusieurs ACLs à assigner.

  3. Définissez l’autorisation ( souvent interdire ou autoriser).

  4. Sauvegarder vos changements.

Attribuer via le mode direct ACL

Exemple : attribuer une liste d’accès (ACL) directe à l’utilisateur user1.

  1. Ouvrir la console WAPT.

  2. Accédez à : ServeurGérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.

  3. Cliquez sur Nouveau rôle et donnez un nom à votre rôle local.

  4. Une fois le rôle créé, vous pouvez y ajouter des listes ACL.

  5. Attribuez le rôle aux utilisateurs concernés à l’aide du bouton + (Rôles explicites pour l’utilisateur).

  6. Enregistrez les modifications.

Créer un rôle local et l'attribuer

Exemple : attribuer le rôle local « wapt-register » à l’utilisateur user1.

Action AD ( RSAT ou OpenRSAT )

  1. Créez un groupe d’utilisateurs (par exemple, wapt-register).

  2. Ajoutez les utilisateurs concernés à ce groupe.

Dans la console WAPT.

  1. Accédez à : ServeurGérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.

  2. Cliquez sur Nouveau rôle et nommez votre rôle AD en utilisant son nom complet (par exemple, wapt-register@mydomain.lan).

  3. Une fois le rôle créé, vous pouvez y ajouter des listes ACL.

  4. Automatiquement, tous les utilisateurs du groupe AD hériteront des listes ACL attribuées au rôle.

  5. Enregistrez les modifications.

Créer un rôle AD et l'attribuer

Exemple : attribuer le rôle publicitaire « waptpackage@domain.lan » aux utilisateurs AD.

12.3.6.2. Associer un certificat à un utilisateur

Indication

Par défaut, aucun certificat n’est défini pour aucun utilisateur (y compris SuperAdmin).

Le compte dans la Console WAPT apparaît en italic si aucun certificat n’est associé à l’utilisateur.

Il existe deux méthodes classiques pour associer un certificat à un utilisateur.

Sélectionnez un utilisateur et effectuez un clic droitEnregistrer le certificat utilisateur

Attribution du certificat utilisateur : 1ère méthode

Ensuite, choisissez le certificat à associer à l’utilisateur.

Sélectionnez un utilisateur et cliquez sur Enregistrer le certificat utilisateur dans le bandeau supérieur.

Attribution du certificat utilisateur : 2ème méthode

Ensuite, choisissez le certificat à associer à l’utilisateur.

12.3.6.3. Restreindre le périmètre des droits accordés à l’utilisateur

Il est possible d’associer un périmètre à un droit donné à un utilisateur.

12.3.6.3.1. Vue
Définition du périmètre autorisé

Périmètre

Description

Tout refuser

Refuse tout droit de consultation (case non cochée).

Autoriser sur tout le périmètre

Accorde un droit de consultation à tous les agents WAPT.

Autoriser des périmètres spécifiques

Permet de consulter directement le périmètre sélectionné, défini sous la forme d’une liste de certificats.

Autoriser lorsque le certificat utilisateur est déployé

Permet l’accès en lecture seule sur le périmètre où le certificat de l’administrateur WAPT est déployé.

Lorsque l’option Afficher avec le certificat est activée. L’utilisateur ne pourra voir que les hôtes sur lesquels le certificat est déployé.

N’oubliez pas d’attribuer au préalable un certificat à l’utilisateur.

12.3.6.3.2. Modifier les paquets de groupe

Indication

Tous les paquets de groupe fonctionnent sur le même principe, décrit ci-dessous.

Définition du périmètre autorisé

Périmètre

Description

Interdire tous les paquets

Aucune édition n’est autorisée pour aucun paquet (non coché).

Autoriser tous les paquets

Le droit de modification est autorisé pour tous les paquets WAPT.

Autoriser des noms de paquets spécifiques

Permet le droit d’édition pour les paquets WAPT sélectionnés dans la liste.

12.4. Re-signer les paquets sur le serveur WAPT en utilisant la console WAPT

Il est possible qu’un paquet ait été créé par un utilisateur WAPT dont le certificat n’est pas reconnu sur certaines machines. Toutefois, le paquet peut encore convenir à ces machines. Dans ce cas, vous pouvez re-signer le paquet en utilisant le certificat d’un autre utilisateur WAPT qui a des privilèges plus élevés au sein du réseau.

Allez dans Dépôt privé, identifiez votre paquet et cliquez avec le bouton droit sur Resigner les paquets.

Re-signer avec la console WAPT

Re-signer avec la console WAPT

Ensuite, cliquez sur Resign packages, et attendez la OK, vous pouvez close.

Fenêtres de re-signature avec la console WAPT

Fenêtres de re-signature avec la console WAPT

Toutefois, si cela ne fonctionne pas, la seule façon d’effectuer l’opération est de résigner sur la ligne de commande.

12.5. Méthodes d’authentification disponibles pour la console WAPT

À partir de la version 2.7, plusieurs méthodes sont disponibles pour se connecter à la console WAPT.

Vous pouvez toujours vous connecter à l’aide de comptes locaux sur le serveur WAPT ou de comptes Active Directory (AD).

Toutefois, d’autres méthodes d’authentification ont été mises en place :

  • Connectez-vous via Kerberos soit en utilisant votre session Windows actuelle (aucun mot de passe requis), soit en indiquant un nom d’utilisateur et un mot de passe différents.

  • Des méthodes d’authentification sécurisées telles que OAuth2/OpenID Connect et Bearer Token.


Au démarrage de waptconsole, vous pouvez choisir différentes méthodes d’authentification

Utilisateur et mot de passe

Cette méthode permet l’authentification à l’aide d’un identifiant et d’un mot de passe.

Pour activer cette fonctionnalité, assurez-vous que « passwd » figure bien dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.

systemctl restart waptserver wapttasks

Pour utiliser cette fonctionnalité :

Utiliser la session courante (Kerberos)

Cette méthode vous permet de vous authentifier sans saisir de mot de passe en tirant parti de votre session Kerberos active.

Pour activer cette fonctionnalité, assurez-vous que « kerb » figure bien dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.

systemctl restart waptserver wapttasks

Pour utiliser cette fonctionnalité :

Kerberos avec utilisateur et mot de passe

This method allows you to log in using a Kerberos account and password, without requiring an active Windows session. Unlike LDAP authentication, the password is never exposed to the WAPT server, making it more secure.

Pour activer cette fonctionnalité, assurez-vous que « kerb » et « passwd » figurent dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.

systemctl restart waptserver wapttasks

Pour utiliser cette fonctionnalité :

OAuth2 / OpenID Connect

Cette méthode permet l’authentification via OAuth2/OpenID Connect, en utilisant un fournisseur d’identité (tel que Microsoft Entra ID) pour une connexion sécurisée et sans mot de passe.

Conditions préalables pour Microsoft Entra ID :

  • Un tenant Microsoft Entra ID (anciennement Azure AD) disposant de droits d’administrateur.

  • Un navigateur Web permettant de valider l’authentification.

  • Un serveur proxy (si cela est nécessaire dans votre environnement) pour accéder à Microsoft Entra ID.

  • Accès au serveur WAPT et droits d’administrateur dans la console WAPT.

Processus de configuration :

1. Enregistrer l’application dans Microsoft Entra ID :

  • Accédez à entra.microsoft.com.

  • Accédez à Identité > Applications > Enregistrements d’applications.

  • Cliquez sur Nouvelle inscription et renseignez les informations demandées :

    • Nom : Nom de votre application (par exemple, WAPT OpenID).

    • URI de redirection : http://localhost:8095/callback.

  • Accédez à la section Certificats et secrets et créez un nouveau secret client. Conservez ce secret en lieu sûr.

2. Configurer le serveur WAPT :

  • Ouvrez le fichier de configuration : /opt/wapt/conf/waptserver.ini.

  • Ajoutez la section « [openid] » en indiquant les informations suivantes :

    [openid]
    issuer=https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/v2.0
    client_id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    client_secret=mysecretcode
    redirect_uri=http://localhost:8095/callback
    username_key=upn
    
  • Si vous utilisez un proxy, ajoutez la ligne suivante :

    http_proxy=http://srvproxy.mydomain.lan:8080
    

3. Mise à jour des méthodes d’authentification globales :

  • Modifiez la section « [global] » du fichier « waptserver.ini » afin d’ajouter « oidc » au paramètre « login_auth_methods » :

    registration_auth_methods = oidc,kerb,admin,passwd
    login_auth_methods = oidc,kerb,admin,passwd
    

4. Redémarrer les services WAPT :

  • Appliquez les modifications en redémarrant les services WAPT :

    systemctl restart waptserver wapttasks
    

5. Tests en local :

  • Arrêtez le service waptservice sur l’hôte.

net stop waptservice
  • Ajoutez la section [openid] dans le fichier wapt-get.ini sur l’hôte

  • Démarrer le service de WAPT sur l’hôte.

net start waptservice
  • Exécutez la commande suivante dans une fenêtre d’invite de commande pour tester la configuration :

    C:\Users\htouvet>wapt-get openid-auth -c "c:\Program Files (x86)\wapt\wapt-get.ini"
    
  • Une fenêtre de navigateur s’ouvrira pour vous demander d’autoriser l’accès à l’application. Cochez la case de consentement correspondant à votre organisation.

  • Résultat attendu :

    Code: 1.AR8AbB103-z_eEidXlooPaYJLuvHmHHwvztCsV7nQNvj_yhMAbwfAA.AgABBAIAAABVrSpeuWamRam2jAF1XRQEAwDs_wUA9P9CWi14DUUxhFdifAJG6aygRZwO_bcwGzCXOSlkGUD_YmYsWHGIiBHLiUX5lWnYU0qk847CCOmJxnKZyDepL6-d40yYYhHq
    ...
    ClientSecret is known, using it to exchange code for a token...
    Token: {"aud":"00000003-0000-0000-c000-000000000000","iss":"https://sts.windows.net/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/","iat":1758812637,"nbf":1758812637,"exp":1758817061,"acct":0,"acr":"1","acrs":
    [...0","b79fbf4d-3ef9-4689-8143-76b194e85509"],"xms_ftd":"4Bv2ZusNHcpIBqPAClu5jRjnL-ldhsTz0S54w-3nbrABZXVyb3Bld2VzdC1kc21z","xms_idrel":"1 10","xms_st":{"sub":"xRnlPpQ8mrb2xYcinckhWxAIaaoeiUfLoX3sFoKidK8"},"xms_tcdt":1517
    233874,"xms_tdbr":"EU"}
    ID Token: {"aud":"7198c7eb-bff0-423b-b15e-e740dbe3ff28","iss":"https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/v2.0","iat":1758812637,"nbf":1758812637,"exp":1758816537,"rh":"1.A
    R8AbB103-z_eEidXlooPaYJLuvHmHHwvztCsV7nQNvj_yhMAbwfAA.","sub":"xRnlPpQ8mrb2xYcinckhWxAIaaoeiUfLoX3sFoKidK8","tid":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","uti":"cABi3a7vQECEsCD_EAVUAA","ver":"2.0"}
    User authenticated: XXXX XXXXXXX
    End session: 1
    

6. Attribuer des rôles d’application :

  • Dans Microsoft Entra ID, accédez à Applications d’entreprise.

  • Sélectionnez votre application nouvellement enregistrée.

  • Accédez à Utilisateurs et groupes > Ajouter un utilisateur/groupe.

  • Sélectionnez les utilisateurs qui disposeront du rôle waptadmins.

7. Vérifier l’attribution des rôles dans le jeton :

  • Vérifiez à nouveau l’authentification à l’aide de la commande suivante :

    wapt-get openid-auth -c "c:\Program Files (x86)\wapt\wapt-get.ini"
    
  • Assurez-vous que le jeton contient l’attribution de rôle suivante : "roles":["waptadmins"].

8. Configurer les rôles dans la console WAPT :

  • Connectez-vous à la console WAPT à l’aide d’un compte administrateur.

  • Accédez à Gestion des utilisateurs et des droits.

  • Sélectionnez Rôles > Nouveau rôle.

  • Renommez le rôle par défaut (par exemple, « role1 ») en waptadmins.

  • Attribuez les autorisations souhaitées, puis fermez la fenêtre et déconnectez-vous.

  • Rouvrez la console et connectez-vous à l’aide de l’option OAuth2/OpenID Connect.

Bearer Token

Un jeton au porteur peut être généré à l’aide de différentes méthodes d’authentification permettant de vérifier l’identité de l’utilisateur, telles que Kerberos ou un identifiant et un mot de passe.

Pour activer cette fonctionnalité, ajoutez token au paramètre login_auth_methods dans le fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les modifications soient prises en compte :

systemctl restart waptserver wapttasks

Exemples de création d’un jeton :

  • Ouvrez une fenêtre d’invite de commande sur l’ordinateur

  • Exécutez la commande wapt-get server-login et saisissez vos identifiants (compte local ou user@mydomain.lan)

  • Un jeton sera généré, vous pourrez l’utiliser pour accéder à la console

  • Exécutez wapt-get server-login --login_method=sessionkerberos

  • Un jeton sera généré, vous pourrez l’utiliser pour accéder à la console

Note

Pour l’instant, la durée de vie du jeton est de 12 heures. Pour la modifier, vous pouvez changer la valeur de la variable token_lifetime dans le fichier /opt/wapt/waptserver/config.py.

x509 certificate

Il est possible de se connecter à la console WAPT à l’aide d’un certificat X.509. Cette méthode offre une option d’authentification sécurisée et sans mot de passe.

Comment le configurer

Activer l’authentification X509 :

Dans le fichier waptserver.ini :

  • Ajouter l’opton ssl au paramètre login_auth_methods.

  • Définissez « use_ssl_client_allowed_certificates_map = True ».

Appliquer les modifications :

Exécutez la commande postconf pour appliquer les mises à jour.

Ajouter un utilisateur avec certificat :

Dans les ACL, créez un utilisateur dont le nom correspond au nom commun (CN) du certificat.

Méthode recommandée : il suffit de glisser-déposer le certificat dans la fenêtre des listes ACL. Le système effectuera automatiquement les opérations suivantes :

  • Générer un fichier regroupant tous les certificats autorisés (y compris celui de l’autorité de certification pour les agents).

  • Créer une liste des numéros de série des certificats autorisés à accéder aux terminaux de la console.

Redémarrer les services :

Les certificats autorisés sont automatiquement utilisés par Nginx pour sécuriser toutes les connexions, y compris le point de terminaison « /login ». Redémarrez les services WAPT :

systemctl restart waptserver wapttasks waptserver-uwsgi

Indication

Vous pouvez tester n’importe quelle méthode d’authentification en saisissant les identifiants requis dans les champs de connexion (par exemple, nom d’utilisateur/mot de passe ou jeton).

La méthode sélectionnée avec succès sera enregistrée pour la prochaine session.