Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).
Attention
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé dans le même répertoire lors de l’exécution de postconf.
Ce script de post-configuration DOIT être exécuté en tant que root.
CSPN En mode, l’installation du serveur WAPT active davantage de fonctionnalités de sécurité et est moins tolérante envers les erreurs de configuration.
Dans ce mode :
La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.
La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est imposée.
L’enregistrement et l’authentification Kerberos sont obligatoires.
L’authentification par certificat client est obligatoire.
La vérification du certificat SSL est obligatoire.
Divers paramètres de rétrocompatibilité sont désactivés.
Les fonctionnalités exclues de la TOE de la CSPN (à savoir les dépôts secondaires, WADS et WAPT WUA) sont désactivées.
La connexion de la console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).
La durée de vie maximale des cookies de session est de 12 heures.
La durée de vie par défaut des certificats signés par WAPT est de 3 ans.
Indication
Si vous souhaitez conserver une version spécifique de wapt sur le serveur, comme une version spécifique de CSPN, il est recommandé de désactiver la configuration du dépôt wapt en supprimant /etc/yum.repos.d/wapt.repo ou en spécifiant le numéro de version complet dans ce même fichier, comme :code: baseurl=https://wapt.tranquil.it/redhat10/wapt-2.6.1.17567/
Le compte de service Kerberos créé pour l’authentification sur le serveur Wapt doit être configuré avec msDS-SupportedEncryptionTypes : 24 (AES 128, AES 256), soit à l’échelle de l’AD, soit au moins sur l’objet ordinateur de service. Le script msktutil exécuté pendant la postconfiguration doit définir cette valeur correctement.
Vous pouvez passer cette étape en appuyant sur la touche Entrée du clavier.
Do you want to reset main admin (user: admin) password ? [y/N]: y
Please enter the wapt server password (min. 10):
Please enter the wapt server password again:
Choisissez le mode d’authentification pour l’enregistrement initial des agents WAPT :
WaptAgent Authentication type ?
1) Allow unauthenticated registration
2) Enable kerberos authentication required for machines registration
3) Disable Kerberos but registration require strong authentication
Select (1-3) [your previous choice was * ]:
Note
Le serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.
Sans certificat, il n’est pas possible de télécharger les paquets WAPT ni d’interroger certains points de terminaison du serveur WAPT.
Cette méthode est recommandée si vous installez WAPT pour la première fois.
Note
Active l’enregistrement initial via Kerberos (vous pouvez l’activer ultérieurement).
Si vous rencontrez des problèmes lors de la mise à niveau ou si vous utilisez un proxy inverse, cette méthode est recommandée pendant la mise à niveau.
Si votre fichier keytab Kerberos n’existe pas, le script postconf.sh le créera, une fois que vous aurez validé l’option 2.
Création de votre Keytab, après selection de l'activation kerberos pour la première fois.
N’active pas le mécanisme d’authentification Kerberos pour l’enregistrement initial des hôtes équipés de WAPT.
Le serveur WAPT exigera un login et un mot de passe pour chaque hôte s’enregistrant auprès de lui.
Avertissement
Si vous effectuez une mise à niveau de WAPT 2.X vers 2.5, vérifiez la configuration actuelle des agents WAPT et plus particulièrement l’option verify_cert.
Si, dans votre configuration actuelle, verify_cert est défini sur True ou sur un chemin d’accès à un fichier (certificate pinning), choisissez l’option n° 1 ci-dessous.
Si, dans votre configuration actuelle, verify_cert est défini sur False, choisissez l’option n° 2 ci-dessous.
Choisissez si vous souhaitez utiliser WAPT pour le déploiement du système d’exploitation.
Do you want to activate OS deployment (WADS)? [currently is * ] [Y/n]:
Note
Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS.
Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.
Si vous avez choisi Non pour confirmer la désactivation du déploiement du système d’exploitation (WADS), Nginx n’activera pas les points de terminaison API WADS pour les agents WAPT.
Si vous activez WADS, vous pouvez activer l’authentification sécurisée WADS.
Note
Choisissez Oui et mentionnez les sous-réseaux.
Vous pouvez mentionner les adresses IP des sous-réseaux exemptées de l’authentification WADS. Pour les autres, une authentification sécurisée sera requise.
Ajouté dans la version 2.5: L’accès à l’interface Web de WAPT est désormais protégé par un mot de passe.
Enfin, la commande postconf affiche certaines informations concernant le certificat SSL du serveur WAPT ainsi que l’URL permettant de télécharger WaptSetup et de l’installer sur l’ordinateur de l’administrateur WAPT.
Mais en mode TOE CSPN, le système de TOTP est requis sur le compte administrateur.
Liste des options du script de post-configuration¶
Options
Description
--force-https or -s
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443.
--cspn-toe
Définit les paramètres du mode CSPN TOE (défaut : False).
--server-names=SERVER_NAMES
Définit le nom et l’adresse IP du serveur pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None).
Avertissement
En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache, reporting et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.
Activation de Peer Cache dans la console WAPT :
En éditant une nouvelle configuration d’agent :
Allez dans Outils ‣ Modifier les configurations dynamiques d’agent. Cochez l’option Utiliser le peercache.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans Dépôt privé → Générer un modèle de paquet → Configuration dynamique de l’agent. Cochez l’option Utiliser le peercache.
Activer les dépôts secondaires dans la console WAPT :
Pour l’agent :
En éditant une nouvelle configuration d’agent :
Allez dans Outils ‣Modifier les configurations dynamique d’agent. Vérifiez Utiliser les règles de dépôt.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans Dépôt privé → Générer un modèle de paquet → Configuration dynamique de l’agent. Vérifiez l’option Utiliser les règles de dépôt.
Pour configurer un agent en tant que dépôt secondaire :
En éditant une nouvelle configuration d’agent :
Allez dans Outils ‣Modifier les configurations dynamiques de l’agent. Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → Générer un modèle de paquet → `. Allez dans l’onglet :guilabel:`Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent