Avertissement

Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).

Attention

Pour que la post-configuration fonctionne correctement :

  • Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.

  • Le résolveur DNS DOIT être correctement configuré.

  • Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.

Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé dans le même répertoire lors de l’exécution de postconf.

Ce script de post-configuration DOIT être exécuté en tant que root.

CSPN En mode, l’installation du serveur WAPT active davantage de fonctionnalités de sécurité et est moins tolérante envers les erreurs de configuration.

Dans ce mode :

  • La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.

  • La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est imposée.

  • L’enregistrement et l’authentification Kerberos sont obligatoires.

  • L’authentification par certificat client est obligatoire.

  • La vérification du certificat SSL est obligatoire.

  • Divers paramètres de rétrocompatibilité sont désactivés.

  • Les fonctionnalités exclues de la TOE de la CSPN (à savoir les dépôts secondaires, WADS et WAPT WUA) sont désactivées.

  • La connexion de la console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).

  • La durée de vie maximale des cookies de session est de 12 heures.

  • La durée de vie par défaut des certificats signés par WAPT est de 3 ans.


Indication

Si vous souhaitez conserver une version spécifique de wapt sur le serveur, comme une version spécifique de CSPN, il est recommandé de désactiver la configuration du dépôt wapt en supprimant /etc/yum.repos.d/wapt.repo ou en spécifiant le numéro de version complet dans ce même fichier, comme :code: baseurl=https://wapt.tranquil.it/redhat10/wapt-2.6.1.17567/

Le compte de service Kerberos créé pour l’authentification sur le serveur Wapt doit être configuré avec msDS-SupportedEncryptionTypes : 24 (AES 128, AES 256), soit à l’échelle de l’AD, soit au moins sur l’objet ordinateur de service. Le script msktutil exécuté pendant la postconfiguration doit définir cette valeur correctement.

  • Exécutez le script avec l’option --cspn-toe.

  • Exécutez le script.

/opt/wapt/waptserver/scripts/postconf.sh --cspn-toe
  • Choisissez un mot de passe (si ce n’est pas déjà défini) pour le compte SuperAdmin du Serveur WAPT (longueur minimale de 10 caractères).

Please enter the wapt server password (min. 10):

Please enter the wapt server password again:
Do you want to reset main admin (user: admin) password ? [y/N]:

Indication

Vous pouvez passer cette étape en appuyant sur la touche Entrée du clavier.

Do you want to reset main admin (user: admin) password ? [y/N]: y

Please enter the wapt server password (min. 10):

Please enter the wapt server password again:
  • Choisissez le mode d’authentification pour l’enregistrement initial des agents WAPT :

WaptAgent Authentication type ?
  1) Allow unauthenticated registration
  2) Enable kerberos authentication required for machines registration
  3) Disable Kerberos but registration require strong authentication
Select (1-3) [your previous choice was * ]:

Note

Le serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.

Sans certificat, il n’est pas possible de télécharger les paquets WAPT ni d’interroger certains points de terminaison du serveur WAPT.

Cette méthode est recommandée si vous installez WAPT pour la première fois.

Note

Active l’enregistrement initial via Kerberos (vous pouvez l’activer ultérieurement).

Si vous rencontrez des problèmes lors de la mise à niveau ou si vous utilisez un proxy inverse, cette méthode est recommandée pendant la mise à niveau.

Si votre fichier keytab Kerberos n’existe pas, le script postconf.sh le créera, une fois que vous aurez validé l’option 2.

Création de votre Keytab, après selection de l'activation kerberos pour la première fois.
Enter a new Kerberos REALM (e.g., MYDOMAIN.LAN) or press Enter to keep [ * ]:
Enter a new Domain Controller name (e.g., DC01.MYDOMAIN.LAN) or press Enter to keep [ * ]:
Enter a username authorized to join machines (e.g., ADMINISTRATEUR) or press Enter to keep [ * ]:
Enter password for administrator:
Enter a new computer name for the WAPT server (e.g., SRV-WAPT) or press Enter to keep [ * ]:

Note

N’active pas le mécanisme d’authentification Kerberos pour l’enregistrement initial des hôtes équipés de WAPT.

Le serveur WAPT exigera un login et un mot de passe pour chaque hôte s’enregistrant auprès de lui.

Avertissement

Si vous effectuez une mise à niveau de WAPT 2.X vers 2.5, vérifiez la configuration actuelle des agents WAPT et plus particulièrement l’option verify_cert.

Si, dans votre configuration actuelle, verify_cert est défini sur True ou sur un chemin d’accès à un fichier (certificate pinning), choisissez l’option n° 1 ci-dessous.

Si, dans votre configuration actuelle, verify_cert est défini sur False, choisissez l’option n° 2 ci-dessous.

  • Choisissez si vous souhaitez utiliser WAPT pour le déploiement du système d’exploitation.

Do you want to activate OS deployment (WADS)? [currently is * ] [Y/n]:

Note

Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS.

Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.

Do you want to activate WADS secure authentication? [currently is * ] [y/N]:

Note

Si vous avez choisi Non pour confirmer la désactivation du déploiement du système d’exploitation (WADS), Nginx n’activera pas les points de terminaison API WADS pour les agents WAPT.

  • Si vous activez WADS, vous pouvez activer l’authentification sécurisée WADS.

    Note

    Choisissez Oui et mentionnez les sous-réseaux.

    Vous pouvez mentionner les adresses IP des sous-réseaux exemptées de l’authentification WADS. Pour les autres, une authentification sécurisée sera requise.

    Mention here the subnets ex: 192.168.1.0/24 [ * ]:
    

    Note

    Choisissez Non.

    L’authentification sécurisée WADS restera désactivée.

  • Indiquez si vous souhaitez activer la configuration par défaut du proxycache pour le serveur WAPT.

Do you want to enable/copy the default wapt proxycache configuration ? [Y/n]:

Note

Sélectionnez Yes ; un nouveau service sera alors lancé sur le serveur WAPT : waptproxycache.

Pour plus d’informations à ce sujet ici.

Note

Sélectionnez No ; le service waptproxycache sera alors désactivé et arrêté.

  • Indiquez si vous souhaitez utiliser WAPT WUA pour Windows Update.

Do you want to activate Windows Update by WAPT (WUA)? [currently is * ] [Y/n]:

Note

Si vous sélectionnez Yes, Nginx activera les points de terminaison de l’API WUA pour les agents WAPT.

  • Indiquez le FQDN du serveur WAPT.

FQDN for the WAPT server (eg. wapt.acme.com) [Currently your FQDN is * ]:
  • Attendez quelques secondes, la post-configuration est maintenant terminée.

[*] Postconfiguration completed.
Please connect to https://yourservername/ to access the server.

Ajouté dans la version 2.5: L’accès à l’interface Web de WAPT est désormais protégé par un mot de passe.

Enfin, la commande postconf affiche certaines informations concernant le certificat SSL du serveur WAPT ainsi que l’URL permettant de télécharger WaptSetup et de l’installer sur l’ordinateur de l’administrateur WAPT.

Mais en mode TOE CSPN, le système de TOTP est requis sur le compte administrateur.

le mode sécurisé du Postconf avec OTP code

le mode sécurisé du Postconf avec OTP code

Utilisez votre deuxième appareil (télépone, YubiKey, etc.) et obtenez le code qui apparaît dans l’image. Mettez le code dans le champ dédié.

Note

Si vous avez des problèmes avec votre système kerberos. Vérifiez le propriétaire et le droit sur le fichier keytab ( http-krb5.keytab ).

chown root:nginx /etc/nginx/http-krb5.keytab
chmod 640 /etc/nginx/http-krb5.keytab
Liste des options du script de post-configuration

Options

Description

--force-https or -s

Configure Nginx pour que le port 80 soit redirigé en permanence vers 443.

--cspn-toe

Définit les paramètres du mode CSPN TOE (défaut : False).

--server-names=SERVER_NAMES

Définit le nom et l’adresse IP du serveur pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None).

Avertissement

En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache, reporting et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.

Activation de Peer Cache dans la console WAPT :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣ Modifier les configurations dynamiques d’agent. Cochez l’option Utiliser le peercache.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans Dépôt privéGénérer un modèle de paquet → Configuration dynamique de l’agent. Cochez l’option Utiliser le peercache.

Activer les dépôts secondaires dans la console WAPT :
Pour l’agent :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣Modifier les configurations dynamique d’agent. Vérifiez Utiliser les règles de dépôt.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans Dépôt privéGénérer un modèle de paquet → Configuration dynamique de l’agent. Vérifiez l’option Utiliser les règles de dépôt.

Pour configurer un agent en tant que dépôt secondaire :

En éditant une nouvelle configuration d’agent :

Allez dans Outils ‣Modifier les configurations dynamiques de l’agent. Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.

En utilisant un paquet de configuration WAPT :

Créez un paquet dans WAPT PackagesGénérer un modèle de paquet → `. Allez dans l’onglet :guilabel:`Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent