12. Renforcer la sécurité de votre installation WAPT - Côté Console¶
12.1. Génération de l’autorité de certification (CA) ¶
Lors de l’installation de WAPT, il vous est demandé de créer une paire .pem / .crt en cochant les cases Pour Signature de code et Pour usage en tant que CA.
Cette paire .pem / .crt permettra de signer les paquets WAPT et les nouveaux certificats.
12.1.1. Générer un nouveau certificat avec l’Autorité de Certification¶
Le nouveau certificat ne sera pas un certificat auto-signé ;
Ce nouveau certificat sera signé par le CA (la clé générée lors de la première installation de WAPT) ;
Vous devez ensuite remplir la Clé privée de l’autorité et le Certificat de l’autorité.
Lors de la génération de la nouvelle paire pem/ crt, vous avez la possibilité de choisir si le nouveau certificat sera de type Pour Signature de code ou non.
Indication
Pour rappel, un certificat Pour Signature de code est réservé aux personnes ayant le rôle Administrateur dans le contexte de WAPT et un simple certificat SSL sans l’attribut Pour Signature de code est réservé aux personnes ayant le rôle Déployeur de paquet.
Les Administrateurs seront autorisés à signer les paquets qui CONTIENNENT un fichier exécutable setup.py (c’est-à-dire les paquets base).
Les personnes ayant le rôle de Déployeur de paquet seront autorisées à signer les paquets qui NE CONTIENNENT PAS le fichier exécutable setup.py (c’est-à-dire les paquets host, unit et group).
Génération d’un certificat sans l’attribut Pour Signature de code¶
Les clés et les certificats qui ne sont pas Signature de code peuvent être distribués aux personnes chargées de déployer les paquets sur la base installée des appareils équipés de WAPT.
Une autre équipe disposant de certificats ayant l’attribut Pour Signature de code préparera les paquets WAPT contenant les applications qui devront être configurées conformément aux directives de sécurité de l’Organisation et aux personnalisations utilisateur souhaitées par celle-ci.
Génération d’un certificat avec l’attribut Pour Signature de code¶
La génération d’une nouvelle paire .pem / .crt permettra également d’identifier formellement la personne qui a signé un paquet en recherchant l’attribut CN du certificat de paquet WAPT.
Indication
Les nouveaux certificats ne seront pas des Autorités de Certification, ce qui signifie qu’ils ne seront pas autorisés à signer d’autres certificats.
En règle générale, il n’y a qu’une seule paire pem / crt d”Autorité de Certification par Organisation.
Attention
Il n’est pas nécessaire de déployer des certificats enfants avec l’Agent WAPT.
Les certificats enfants sont utilisés avec la Console WAPT pour autoriser ou restreindre les actions dans la console.
12.1.2. Déploiement des certificats des administrateurs informatiques locaux sur les clients¶
Indication
Certaines organisations choisiront de laisser les administrateurs informatiques locaux effectuer des actions sur les appareils équipés de WAPT en leur délivrant des certificats personnels qui fonctionneront sur l’ensemble des appareils dont les administrateurs informatiques locaux sont responsables.
Les administrateurs informatiques du siège déploieront les certificats des administrateurs informatiques locaux sur les ordinateurs que les administrateurs locaux gèrent sur leurs sites respectifs.
Ainsi, les administrateurs informatiques locaux ne pourront pas gérer les ordinateurs situés au siège, mais uniquement sur leurs propres sites.
Il est possible de gérer simplement et de manière plus fine en utilisant Access Control Lists avec la version Enterprise de WAPT.
Vous devrez copier les certificats des administrateurs informatiques locaux autorisés sur les clients WAPT dans C:\programfiles(x86)\wapt\ssl.
Indication
Ne pas oublier de redémarrer le service WAPT sur les clients pour qu’ils utilisent leur nouveau certificat. Ouvrez une console en ligne de commande cmd.exe.
netstopwaptservice&&netstartwaptservice
Si vous voulez déployer les certificats en utilisant WAPT, utilisez un paquet de certificat
12.2. Afficher l’onglet des certificats dans la Console WAPT¶
Dans cet onglet, vous pouvez voir les certificats auxquels la machine accepte de faire confiance.
Fenêtre montrant les certificats approuvés par la machine sélectionnée¶
12.3. Configuration des listes de contrôle d’accès ¶
Indication
L’utilisateur SuperAdmin de WAPT est authentifié par un mot de passe stocké dans waptserver.ini comme valeur de l’attribut wapt_password. Les autres utilisateurs WAPT peuvent être des utilisateurs locaux htpasswd_path) ou des utilisateurs de comptes AD (ldap_auth_server / ldap_auth_base_dn).
Les ACL définissent les actions autorisées pour tous les types d’utilisateurs dans le contexte WAPT.
Note
Les ACLs par défaut au niveau utilisateur sont définies par default_ldap_users_acls dans waptserver.ini.
L’ACL par défaut pour un nouvel utilisateur est vue.
Attention
La sécurité est définie par le certificat déployé sur les clients, et non par les ACL.
Les ACL limitent simplement les actions que le serveur est autorisé à relayer de la Console WAPT aux Agents WAPT.
A la date du 2026-07-15 , les Agents WAPT ne vérifient pas les droits ACL.
Pour configurer les ACL dans WAPT, allez dans Serveur ‣ Gérer les utilisateurs WAPT et des droits.
Note
Au premier lancement après l’installation du Serveur WAPT, seul le compte SuperAdmin est présent dans la liste des utilisateurs.
Si le compte SuperAdmin n’existe pas ou ne possède pas le droit admin, le compte est recréé en redémarrant le service du Serveur WAPT.
Le compte SuperAdmin est authentifié en utilisant la valeur de wapt_password dans le fichier de configuration waptserver.ini.
Si l’utilisateur local a un mot de passe dans waptusers.htpasswd, alors, le nom d’utilisateur apparaît en gras et Mots de passe est coché, sinon changez le mot de passe pour cet utilisateur.
Permet de lire le contenu des données d’audit de l’onglet sur la console WAPT.
Admin WADS
Permet à un utilisateur de disposer des droits d’administrateur pour WADS sur la console WAPT.
Déploiement de machine WADS
Permet à un utilisateur d’activer le bouton de déploiement sur la console WAPT.
Vue WADS
Permet de lire le contenu de l’onglet OS Deploy.
MAJ données audit
Permet de créer, modifier ou supprimer les données de l’onglet Audit Data sur les hôtes.
Modifier depôt
Permet à un utilisateur de créer, modifier et supprimer des règles de dépôts secondaires.
gestion compte
Permet de créer des comptes utilisateurs. Vous ne pouvez pas attribuer des autorisations supérieures à celles de votre propre compte.
Géré par
Indique le gestionnaire (créateur) du compte. Ce champ précise qui a créé l’utilisateur et qui est habilité à modifier ses listes de contrôle d’accès (ACL). Il garantit également que les ACL effectives du compte géré ne peuvent pas dépasser celles de son gestionnaire.
Ajouter une ressource
Permet de mettre à jour l’hôte avec des données personnalisées.
WAPT prend en charge la gestion RBAC (contrôle d’accès basé sur les rôles).
La mise en place de rôles vous permet de définir des autorisations pour les techniciens affectés à des tâches similaires, en créant un seul rôle plutôt que d’attribuer des autorisations individuellement à chaque utilisateur.
Cette approche réduit le risque d’erreurs, car l’opération n’est pas répétée plusieurs fois, et simplifie la maintenance, puisque la mise à jour d’un rôle applique automatiquement les modifications à tous les utilisateurs qui y sont associés.
Deux types de rôles sont disponibles :
Définis directement sur le serveur WAPT et attribués manuellement aux utilisateurs.
Ouvrir la console WAPT.
Accédez à : Serveur → Gérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.
Cliquez sur Nouveau rôle et donnez un nom à votre rôle local.
Choisissez une ou plusieurs ACLs à assigner.
Définissez l’autorisation ( souvent interdire ou autoriser).
Si un rôle AD porte exactement le même nom qu’un groupe d’utilisateurs dans Active Directory, WAPT peut l’attribuer automatiquement aux utilisateurs membres de ce groupe AD. Cela permet une synchronisation dynamique entre les groupes AD et les rôles WAPT.
Pour les autres utilisateurs, il est possible d’associer un certificat généré à partir du WAPT PKI ou d’une autre CA.
Ces certificats peuvent ou non être des enfants de l’autorité de certification WAPT.
Important
Si les certificats ne sont pas émis par l’autorité de certification :
Les paquets WAPT mis à jour ne sont disponibles que sur les ordinateurs sur lesquels des certificats sont déployés. Utilisez cette section pour créer et déployer facilement des certificats utilisateur.
Les ACL sont valides uniquement sur le périmètre des hôtes où le certificat de l’administrateur est déployé.
Sélectionner un utilisateur.
Choisissez une ou plusieurs ACLs à assigner.
Définissez l’autorisation ( souvent interdire ou autoriser).
Sauvegarder vos changements.
Exemple : attribuer une liste d’accès (ACL) directe à l’utilisateur user1.¶
Ouvrir la console WAPT.
Accédez à : Serveur → Gérer les utilisateurs et les droits Wapt → puis sélectionnez Rôles.
Cliquez sur Nouveau rôle et donnez un nom à votre rôle local.
Une fois le rôle créé, vous pouvez y ajouter des listes ACL.
Attribuez le rôle aux utilisateurs concernés à l’aide du bouton + (Rôles explicites pour l’utilisateur).
Enregistrez les modifications.
Exemple : attribuer le rôle local « wapt-register » à l’utilisateur user1.¶
Aucune édition n’est autorisée pour aucun paquet (non coché).
Autoriser tous les paquets
Le droit de modification est autorisé pour tous les paquets WAPT.
Autoriser des noms de paquets spécifiques
Permet le droit d’édition pour les paquets WAPT sélectionnés dans la liste.
12.4. Re-signer les paquets sur le serveur WAPT en utilisant la console WAPT¶
Il est possible qu’un paquet ait été créé par un utilisateur WAPT dont le certificat n’est pas reconnu sur certaines machines. Toutefois, le paquet peut encore convenir à ces machines. Dans ce cas, vous pouvez re-signer le paquet en utilisant le certificat d’un autre utilisateur WAPT qui a des privilèges plus élevés au sein du réseau.
Allez dans Dépôt privé, identifiez votre paquet et cliquez avec le bouton droit sur Resigner les paquets.
Toutefois, si cela ne fonctionne pas, la seule façon d’effectuer l’opération est de résigner sur la ligne de commande.
12.5. Méthodes d’authentification disponibles pour la console WAPT¶
À partir de la version 2.7, plusieurs méthodes sont disponibles pour se connecter à la console WAPT.
Vous pouvez toujours vous connecter à l’aide de comptes locaux sur le serveur WAPT ou de comptes Active Directory (AD).
Toutefois, d’autres méthodes d’authentification ont été mises en place :
Connectez-vous via Kerberos soit en utilisant votre session Windows actuelle (aucun mot de passe requis), soit en indiquant un nom d’utilisateur et un mot de passe différents.
Des méthodes d’authentification sécurisées telles que OAuth2/OpenID Connect et Bearer Token.
Au démarrage de waptconsole, vous pouvez choisir différentes méthodes d’authentification
Utilisateur et mot de passe
Cette méthode permet l’authentification à l’aide d’un identifiant et d’un mot de passe.
Pour activer cette fonctionnalité, assurez-vous que « passwd » figure bien dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.
systemctlrestartwaptserverwapttasks
Pour utiliser cette fonctionnalité :
Saisissez un nom d’utilisateur et un mot de passe.Saisissez le nouveau mot de passe.
Cette méthode vous permet de vous authentifier sans saisir de mot de passe en tirant parti de votre session Kerberos active.
Pour activer cette fonctionnalité, assurez-vous que « kerb » figure bien dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.
systemctlrestartwaptserverwapttasks
Pour utiliser cette fonctionnalité :
Assurez-vous que l’utilisateur est enregistré dans « waptconsole » sous la forme « user@domain.lan ».
This method allows you to log in using a Kerberos account and password, without requiring an active Windows session. Unlike LDAP authentication, the password is never exposed to the WAPT server, making it more secure.
Pour activer cette fonctionnalité, assurez-vous que « kerb » et « passwd » figurent dans le paramètre « login_auth_methods » du fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les changements prennent effet.
systemctlrestartwaptserverwapttasks
Pour utiliser cette fonctionnalité :
Assurez-vous que l’utilisateur est enregistré dans « waptconsole » sous la forme « user@domain.lan ».
Cette méthode permet l’authentification via OAuth2/OpenID Connect, en utilisant un fournisseur d’identité (tel que Microsoft Entra ID) pour une connexion sécurisée et sans mot de passe.
Conditions préalables pour Microsoft Entra ID :
Un tenant Microsoft Entra ID (anciennement Azure AD) disposant de droits d’administrateur.
Un navigateur Web permettant de valider l’authentification.
Un serveur proxy (si cela est nécessaire dans votre environnement) pour accéder à Microsoft Entra ID.
Accès au serveur WAPT et droits d’administrateur dans la console WAPT.
Processus de configuration :
1. Enregistrer l’application dans Microsoft Entra ID :
Accédez à entra.microsoft.com.
Accédez à Identité > Applications > Enregistrements d’applications.
Cliquez sur Nouvelle inscription et renseignez les informations demandées :
Nom : Nom de votre application (par exemple, WAPT OpenID).
URI de redirection : http://localhost:8095/callback.
Accédez à la section Certificats et secrets et créez un nouveau secret client. Conservez ce secret en lieu sûr.
2. Configurer le serveur WAPT :
Ouvrez le fichier de configuration : /opt/wapt/conf/waptserver.ini.
Ajoutez la section « [openid] » en indiquant les informations suivantes :
Une fenêtre de navigateur s’ouvrira pour vous demander d’autoriser l’accès à l’application. Cochez la case de consentement correspondant à votre organisation.
Résultat attendu :
Code: 1.AR8AbB103-z_eEidXlooPaYJLuvHmHHwvztCsV7nQNvj_yhMAbwfAA.AgABBAIAAABVrSpeuWamRam2jAF1XRQEAwDs_wUA9P9CWi14DUUxhFdifAJG6aygRZwO_bcwGzCXOSlkGUD_YmYsWHGIiBHLiUX5lWnYU0qk847CCOmJxnKZyDepL6-d40yYYhHq
...
ClientSecret is known, using it to exchange code for a token...
Token: {"aud":"00000003-0000-0000-c000-000000000000","iss":"https://sts.windows.net/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/","iat":1758812637,"nbf":1758812637,"exp":1758817061,"acct":0,"acr":"1","acrs":
[...0","b79fbf4d-3ef9-4689-8143-76b194e85509"],"xms_ftd":"4Bv2ZusNHcpIBqPAClu5jRjnL-ldhsTz0S54w-3nbrABZXVyb3Bld2VzdC1kc21z","xms_idrel":"1 10","xms_st":{"sub":"xRnlPpQ8mrb2xYcinckhWxAIaaoeiUfLoX3sFoKidK8"},"xms_tcdt":1517
233874,"xms_tdbr":"EU"}
ID Token: {"aud":"7198c7eb-bff0-423b-b15e-e740dbe3ff28","iss":"https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/v2.0","iat":1758812637,"nbf":1758812637,"exp":1758816537,"rh":"1.A
R8AbB103-z_eEidXlooPaYJLuvHmHHwvztCsV7nQNvj_yhMAbwfAA.","sub":"xRnlPpQ8mrb2xYcinckhWxAIaaoeiUfLoX3sFoKidK8","tid":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx","uti":"cABi3a7vQECEsCD_EAVUAA","ver":"2.0"}
User authenticated: XXXX XXXXXXX
End session: 1
6. Attribuer des rôles d’application :
Dans Microsoft Entra ID, accédez à Applications d’entreprise.
Assurez-vous que le jeton contient l’attribution de rôle suivante : "roles":["waptadmins"].
8. Configurer les rôles dans la console WAPT :
Connectez-vous à la console WAPT à l’aide d’un compte administrateur.
Accédez à Gestion des utilisateurs et des droits.
Sélectionnez Rôles > Nouveau rôle.
Renommez le rôle par défaut (par exemple, « role1 ») en waptadmins.
Attribuez les autorisations souhaitées, puis fermez la fenêtre et déconnectez-vous.
Rouvrez la console et connectez-vous à l’aide de l’option OAuth2/OpenID Connect.
Bearer Token
Un jeton au porteur peut être généré à l’aide de différentes méthodes d’authentification permettant de vérifier l’identité de l’utilisateur, telles que Kerberos ou un identifiant et un mot de passe.
Pour activer cette fonctionnalité, ajoutez token au paramètre login_auth_methods dans le fichier waptserver.ini. Une fois cette modification effectuée, redémarrez les services WAPT pour que les modifications soient prises en compte :
systemctlrestartwaptserverwapttasks
Exemples de création d’un jeton :
Ouvrez une fenêtre d’invite de commande sur l’ordinateur
Exécutez la commande wapt-getserver-login et saisissez vos identifiants (compte local ou user@mydomain.lan)
Un jeton sera généré, vous pourrez l’utiliser pour accéder à la console
Un jeton sera généré, vous pourrez l’utiliser pour accéder à la console
Note
Pour l’instant, la durée de vie du jeton est de 12 heures. Pour la modifier, vous pouvez changer la valeur de la variable token_lifetime dans le fichier /opt/wapt/waptserver/config.py.
x509 certificate
Il est possible de se connecter à la console WAPT à l’aide d’un certificat X.509. Cette méthode offre une option d’authentification sécurisée et sans mot de passe.
Comment le configurer
Activer l’authentification X509 :
Dans le fichier waptserver.ini :
Ajouter l’opton ssl au paramètre login_auth_methods.
Exécutez la commande postconf pour appliquer les mises à jour.
Ajouter un utilisateur avec certificat :
Dans les ACL, créez un utilisateur dont le nom correspond au nom commun (CN) du certificat.
Méthode recommandée : il suffit de glisser-déposer le certificat dans la fenêtre des listes ACL. Le système effectuera automatiquement les opérations suivantes :
Générer un fichier regroupant tous les certificats autorisés (y compris celui de l’autorité de certification pour les agents).
Créer une liste des numéros de série des certificats autorisés à accéder aux terminaux de la console.
Redémarrer les services :
Les certificats autorisés sont automatiquement utilisés par Nginx pour sécuriser toutes les connexions, y compris le point de terminaison « /login ». Redémarrez les services WAPT :
Vous pouvez tester n’importe quelle méthode d’authentification en saisissant les identifiants requis dans les champs de connexion (par exemple, nom d’utilisateur/mot de passe ou jeton).
La méthode sélectionnée avec succès sera enregistrée pour la prochaine session.