Configurer l’authentification par Active Directory¶
Nouveau dans la version 1.5: Enterprise
Indication
Fonctionnalité uniquement disponlible dans le version Enterprise de WAPT
Par défaut, le serveur WAPT est configuré avec un seul compte SuperAdmin dont le mot de passe est configuré lors du premier post-configuration.
Sur un vaste réseau sécurisé, ce compte SuperAdmin ne devrait pas être utilisé puisqu’il ne peut fournir une traçabilité nécessaire sur les actions d’administration menées sur le réseau.
Il est donc nécessaire de configurer l’authentification par l’Active Directory de l”Organisation pour les Administrateurs et les Déployeurs de Paquets; cela permettra d’utiliser des comptes nominatifs pour les tâches d’administration.
Note
L’authentification par Active Directory est utilisé pour accéder à l’inventaire via la console WAPT;
cependant, toutes les actions menées sur les appareils équipés de WAPT sont basées sur les signatures X.509, un Administrateur aura donc besoin d’un compte dans l’Active Directory ET d’une clé privée dont le certificat est reconnu par l’appareil avec WAPT qui va piloter le parc;
seul le compte SuperAdmin et les membres du groupe waptadmins dans l’Active Directory pourra téléverser des paquets dans le répertoire principal ( le mode d’authentification se fait par login et mot de passe);
Activer l’authentification par Active Directory¶
pour activer l’authentification par Active Directory sur le serveur WAPT, configurez les fichier
/opt/wapt/conf/waptserver.inicomme ceci:wapt_admin_group_dn=CN=waptadmins,OU=groupes,OU=tranquilit,DC=mydomain,DC=lan ldap_auth_server=srvads.mydomain.lan ldap_auth_base_dn=DC=mydomain,DC=lan ldap_auth_ssl_enabled=False
Réglages
Valeur
Description
wapt_admin_group_dn
CN=waptadmins,OU=groups,
DN du nom du groupe. Tous les membres de ce groupe pourra se connecter à WAPT
ldap_auth_server
srvads.mydomain.lan
Le serveur LDAP qui sera utilisé par WAPT
ldap_auth_base_dn
DC=mydomain,DC=lan
DN pour la recherche
ldap_auth_ssl_enable
True/False
Valeur par défaut : True
redémarrez waptserver avec
systemctl restart waptserver;
Avertissement
Pour Microsoft Active Directory, Microsoft a annoncé que l’authentification SimpleBind sur MS-AD sans SSL/TLS sera bloquée par défaut à partir d’avril 2020. Si vous n’avez pas de certificat installé, vous devrez modifier une clé de registre pour que l’authentification fonctionne.
Note
Par défaut, Samba-AD ne permet pas l’authentification SimpleBind sans SSL/TLS. Si vous ne disposez pas d’un certificat valide, vous devrez modifier le paramètre « Serveur d’authentification forte » dans le fichier /etc/samba/smb.conf. Pour plus d’informations, vous pouvez consulter la documentation de Tranquil IT sur https://dev.tranquil.it/samba/fr/index.html.
Activez le support SSL/ TLS pour les connexions LDAP dans le Contrôleur de Domaine Active Directory¶
Par défaut, l’authentification d’un Active Directory se repose sur du LDAP SSL (port par défaut 646).
SSL /TLS n’est pas activé par défaut sur un Microsoft Active Directory jusqu’à ce qu’un certificat SSL soit configuré sur le Contrôleur de Domaine.
Note
Le serveur WAPT utilise des paquets de Certificat d’Authorité du système d’exploitation (CentOS) pour valider la connexion SSL /TLS vers l’Active Directory.
Si le certificat Active Directory est auto-signé ou a été signé par un CA interne, vous aurez besoin d’ajouter ces certificats au magasin de certificat de CentOS.
Ajouter un Autorité de Certification dans le dossier /etc/pki/ca-trust/source/anchors/ et mettez à jour le magasin des CA.
cp cainterne.pem /etc/pki/ca-trust/source/anchors/cainterne.pem
update-ca-trust
une fois que le LDAP SSL/ TLS sur votre Active Directory est configuré (veuillez vous référer à la documentation Microsoft), vous pouvez activer le support pour la sécurité SSL /TLS pour AD dans
/opt/wapt/conf/waptserver.ini:ldap_auth_ssl_enabled = True
redémarrez waptserver avec
systemctl restart waptserver;