Présentation des grands principes de WAPT

A quoi sert WAPT ?

WAPT déploie, met à jour et et supprime des logiciels et des configurations sur un parc Windows. Le déploiement de logiciels (Firefox, MS Office, …) s’effectue de manière centralisée avec la console graphique. Le fonctionnement de WAPT s’inspire fortement du gestionnaire de paquets du système GNU / Linux Debian apt, d’où son nom. WAPT est libre et soumis à la licence GPLv3. L’édition Enterprise est soumise à une licence propriétaire.

WAPT est destiné aux gestionnaires de parcs de PC, de portables, de tablettes Windows fonctionnant avec des versions client de Windows (XP à 10) ou des versions serveur de Windows (2003 à 2019).

Des entreprises de toutes tailles, françaises et internationales, des lycées, des collèges, des écoles, des rectorats, des universités, des centres de recherche, des mairies, des communautés d’agglomération, des communautés de communes, des hôpitaux, des Ministères utilisent WAPT.

WAPT existe en deux versions, Community et Enterprise.

WAPT est particulièrement efficace pour traiter le cas récurrent des mises à jour Flash et Java et c’est souvent pour couvrir ce besoin que WAPT est initialement adopté ; ensuite il devient un outil apprécié, voire indispensable pour le quotidien de l’administrateur système.

Si vous êtes un développeur, WAPT en mode ligne de commande peut vous aider à configurer votre PC de développement comme le font Chocolatey / NuGet.

Genèse WAPT

Notre constat après 15 ans d’infogérance

L’administration d’un large parc de PC sous MS Windows est à l’heure actuelle un exercice acrobatique en environment sécurisé :

  • les méthodes généralement utilisées (mastérisations type ghost ou clonezilla) sont efficaces si les parcs machines et les parcs applicatifs sont homogènes et que les profils utilisateurs sont itinérants ;
  • les outils de télé-déploiement (OCSInventory ou WPKG) diffusent les logiciels mais ne permettent pas d’effectuer de manière simple les personnalisations qui évitent les demandes de support utilisateur ;
  • les logiciels de petits éditeurs nécessitent souvent des droits Administrateur Local pour fonctionner ;
  • les solutions développées pour adresser ces trois problèmes s’appuient sur des méthodes soit trop chères, soit insuffisantes, et dans tous les cas trop complexes ;

Les hypothèses de travail qui animent le développement de WAPT

Le développement de WAPT est animé par deux principes :

  • ce qui est compliqué doit être rendu simple ;
  • ce qui est simple doit être rendu trivial ;

WAPT s’appuie sur un jeu d’hypothèses fondamentales :

  • les adminsys connaissent les langages de script, et WAPT a choisi python pour la profondeur et l’étendue de ses librairies ;
  • les adminsys qui ne connaissent pas encore très bien les langages de script doivent pouvoir s’inspirer d’exemples simples et efficaces qu’ils adapteront à leurs situations spécifiques ;
  • les adminsys doivent pouvoir communiquer l’efficacité de leurs actions à leur direction et restituer les écarts de process aux auditeurs de leur société ;
  • les adminsys doivent pouvoir collaborer avec des collègues adminsys dans un climat de confiance ; ainsi les dépôts WAPT internes et privés servent des logiciels qu’ils signent eux-mêmes. Sinon, ils choisissent des dépôts publics qui leur fournissent les garanties de sécurité qu’ils jugent suffisantes ;
  • les adminsys sont conscients que les postes utilisateurs servent des objectifs métier et une certaine personnalisation doit être rendue possible ; l’adaptation du parc aux enjeux métiers est facilitée par la notion de groupes qui permet de sélectionner des machines respectant un critère de tri pour personnaliser leur configuration ;

Principes fondamentaux

Principe de Paquets / Dépôts

Les paquets WAPT

La structure d’un paquet WAPT est similaire à celle d’un paquet .deb de Debian Linux. Chaque paquet WAPT embarque avec lui les binaires qui seront exécutés et les autres fichiers dont il aura besoin.

Un paquet est transportable facilement.

Voici la structure d’un paquet WAPT :

WAPT package structure

Structure d’un paquet WAPT

Les dépôts WAPT

Les paquets sont stockés dans un répertoire web. Ils ne sont pas stockés dans une base de données.

Ils sont servis par le serveur web Nginx, disponible pour Linux et Windows.

Seul le fichier d’index Packages est nécessaire. Le fichier Packages permet d’indiquer au client la liste des paquets disponibles sur le dépôt, et les informations de base de chacun des paquets du dépôt.

Ce fonctionnement permet de mettre en place facilement un mécanisme de réplication entre plusieurs dépôts.

Types de paquets WAPT

Il existe 7 types de paquets WAPT:

Représentation d'un paquet WAPT simple

Représentation d’un paquet WAPT simple

Les paquets base

Ce sont les paquets logiciels classiques.

Ils sont stockés dans le répertoire web https://srvwapt.mydomain.lan/wapt/.

Les paquets group

Ce sont des paquets qui permettent de faire des groupes de logiciels ou des groupes de machines.

Indication

  • un groupe de logiciels correspond en réalité à un profil de machine (ex: compta) ;
  • un groupe de machines correspond en réalité à une salle, un bâtiment, etc ;
  • une machine peut appartenir à plusieurs groupes (ex : un ou plusieurs profils de machine dans une salle dans un bâtiment) ;

Ils sont stockés dans le répertoire web https://srvwapt.mydomain.lan/wapt/.

Les paquets host

Les paquets « machines » portent le nom UUID Bios de la machine.

Chaque Poste client va par défaut chercher son paquet machine pour connaître la liste des paquets qu’il doit installer (dépendances).

Ces paquets sont stockés dans le répertoire https://srvwapt.mydomain.lan/wapt-host/.

Les paquets unit

Nouveau dans la version 1.6: Enterprise

Les paquets « unit » portent le nom complet d’une OU, exemple : OU=BUREAU1,OU=prod,OU=computers,DC=mydomain,DC=lan.

Chaque Poste client va par défaut chercher les paquets unit dont il fait partie :

  • OU=BUREAU1,OU=prod,OU=computers,DC=mydomain,DC=lan ;
  • OU=computers,DC=mydomain,DC=lan ;
  • DC=mydomain,DC=lan ;

et ensuite installer la liste des dépendances associées.

Ces paquets sont stockés dans le répertoire https://srvwapt.mydomain.lan/wapt-host/.

Note

Si la machine change d’OU, alors les paquets unit obsolètes seront désinstallés.

Les paquets wsus

Les paquets wsus contiennent le liste des mises à jour Windows autorisées et interdites.

Lorsque ce paquet est installé sur le terminal, la prochaine analyse de mise à jour effectuée par WAPT choisira les mises à jour Windows en fonction de ce filtrage.

Si la machine a plusieurs listes de paquets wsus applicables, alors WAPT combine les règles.

Lorsque ce paquet est installé sur l’hôte, le prochain update recherchera les mises à jour officielles de Windows applicables à l’hôte en fonction de ce filtrage.

Les paquets self-service

Nouveau dans la version 1.7: Enterprise

Les paquets self-service contiennent une liste de groupes ou d’utilisateurs (Active Directory ou local) et leurs listes associées de paquets que les utilisateurs seront autorisés à installer par eux-mêmes.

Les paquets profile

Nouveau dans la version 1.7: Enterprise

Les paquets profile sont similaires aux paquets groupe.

Cependant, les paquets profile fonctionnent un peu différemment et sont plus utiles lorsqu’un serveur Active Directory fonctionne dans l”Organisation :

  • l’agent WAPT listera les groupes Active Directory auxquels appartient l’hôte ;
  • si un paquet profile porte le même nom que le groupe Active Directory, l’agent WAPT installera automatiquement le paquet profile pour le groupe Active Directory auquel il appartient ;

Si l’hôte n’est plus membre de son groupe Active Directory, le paquet profile sera désinstallé.

Note

For performance reasons, this feature is enabled only if the « use_ad_groups » option is enabled in wapt-get.ini

Principe de dépendances

Dans WAPT tout fonctionne selon le principe des dépendances.

Par défaut, le client WAPT va chercher à installer son paquet machine. Le paquet host listera les autres paquets à installer sur la machine.

Ainsi, le paquet host sera correctement installé si toutes ses dépendances sont satisfaites.

Chaque dépendance devra satisfaire aux sous-dépendances et ainsi de suite.

Quand toutes les dépendances sont satisfaites, la machine remonte en état OK dans la console, signifiant que la machine est conforme au profil que l”Administrateur ou le Déployeur de Paquets aura défini pour elle.

Conceptual diagram of the dependency mechanism

Schéma conceptuel de la notion de dépendance

Indication

When attributing a software package to a host as a dependency, only the software canonical name without its version number is registered as a dependency (ex : I want Freemind to be installed on this machine in its latest version and that :program: `Freemind` to be configured so that the :term: `User` does not call me because she does not find the icon on her desktop!).

For each dependency, the WAPT agent will take care of automatically installing the latest available package version. So if several version of :program: Freemind are available on the repository, the WAPT agent will always get the latest version, unless I have pinned the version for reason of compatibility with other sets of tools.

Ensuite, lorsque l’agent contacte le dépôt pour vérifier s’il y a de nouvelles mises à jour, il compare les versions des paquets du dépôt avec sa propre liste locale de paquets déjà installés sur la machine.

Si une mise à jour d’un paquet déjà installé est disponible, le client basculera le statut du paquet en « NEED UPGRADE ». Il installera ainsi les mises à jour au prochain upgrade.

Principe de clé privée / clé publique

Introduction

Comme APK sous Android, les paquets WAPT sont signés et embarquent une somme de contrôle de la liste des fichiers contenus dans le paquet.

Cette méthode de signature permet de garantir la provenance et l’intégrité du paquet.

Principe de clé privée / clé publique

Private key/ public certificate

Principe de clé privée / clé publique

L’usage de WAPT nécessite un couple clé privée / certificat public (auto-signé, issu d’une Autorité de Certification interne, ou commercial).

La clé privée servira à signer les paquets WAPT et un certificat public associé (CA associé ou certificat auto-signé) sera distribué sur chaque client WAPT.

Les différents certificats publics seront stockés dans un dossier ssl de l’agent WAPT, ce dossier peut contenir plusieurs certificats publics.

Vérification des paquets

Lorsqu’un paquet WAPT est téléchargé, l’agent WAPT (waptagent) vérifie l’integrité des fichiers, puis vérifie que le paquet a été correctement signé.

Si l’agent WAPT ne parvient pas à vérifier le paquet avec les chaînes de certificats publics qu’il connaît dans C:\Program Files (x86)\wapt\ssl, l’agent WAPT refusera d’installer paquet.

Pour en savoir plus rendez-vous dans la section de documentation pour protéger l’intégrité du processus d’installation des paquets WAPT.

Importance de la clé privée

Attention

La clé privée ne doit pas être stockée sur le serveur WAPT, ni sur aucune machine potentiellement accessible à une entité non-autorisée car toute la sécurité de WAPT repose sur la confidentialité des jeux de clés privées.

Elle doit être stockée en lieu sûr car celui qui contrôle votre clé contrôle votre parc.

Enfin, pour un maximum de sécurité, la clé privée pourra être une smartcard ou un jeton cryptographique que les Administrateurs et Déployeurs de Paquets transporteront physiquement sur eux, utilisant leur smartcard ou leur jeton cryptographique ponctuellement pour signer un paquet WAPT.

Note

Depuis la version 1.5 de WAPT, la clé privée est protégée par un mot de passe.

Fonctionnement et architecture WAPT

remontée des informations d’inventaire ;

WAPT fait un inventaire matériel et logiciel de chaque machine.

Cet inventaire est stocké dans une petite base de données incorporée dans l’agent WAPT.

Inventory feedback mechanism

Fonctionnement de la remontée d’inventaire

  • lors d’un premier enregistrement, le client WAPT remonte la totalité de son inventaire (BIOS, machine, logiciels) au serveur ;
  • lors de chaque mise à jour du client, l’agent WAPT remonte le delta de l’inventaire au serveur ;
The inventory in the WAPT console

L’inventaire dans la console WAPT

Cet inventaire centralisé permettra de filtrer les postes par matériel, logiciel ou de filtrer sur tout autre paramètre remonté dans l’inventaire.

La remontée d’informations

L’agent WAPT remonte également le statut des paquets WAPT.

Inventory feedback returned to the WAPT Server

La remontée du statut des paquets vers le serveur WAPT

En cas d’erreur lors de l’installation du paquet, l’information sera transmise au serveur WAPT. La machine apparaîtra alors en ERREUR dans la console.

Packages with error status in the WAPT console

Elément en erreur dans la console WAPT

L”Administrateur pourra ensuite constater l’erreur dans la console et la corriger.

À chaque upgrade, WAPT tentera une nouvelle fois l’installation du paquet en erreur.

Note

Pour plus de sécurité, depuis la version 1.3.13, l’inventaire remontée par l’agent wapt est signé par l’agentwapt.

Pour en savoir plus rendez-vous sur la documentation pour signer les remontées d’inventaire.

Diagramme complet du fonctionnement de WAPT

WAPT general operating mode

Fonctionnement général de WAPT

On retrouve ici le comportement classique de WAPT, de la duplication d’un paquet depuis un dépôt externe sur Internet jusqu’à son déploiement sur les clients.

Il faut lire ce schéma dans le sens des aiguilles d’une montre :

  • importer des paquets depuis un dépôt (ou créer ex-nihilo un paquet) ;
  • tester, ensuite valider, puis construire et enfin signer le paquet ;
  • charger le paquet sur le dépôt principal ;
  • ensuite, téléchargement automatique des paquets par les clients WAPT ;
  • exécution des paquets selon la méthode sélectionnée :
    • l”Administrateur force l”upgrade ;
    • l”Utilisateur choisit le moment opportun pour lui ;
    • une tâche planifiée lance l’exécution de la mise à jour ;
    • la mise à jour est exécutée à l’extinction de la machine ;
  • remontée des informations d’inventaire ;
  • consultation de la remontée d’inventaire via la console ;

Architecture du serveur WAPT

L’architecture du serveur WAPT repose sur plusieurs rôles distincts et en partie dissociables :

  • rôle de dépôt : distribution de paquets ;
  • rôle d’inventaire : inventaire matériel et logiciel ;
  • rôle de proxy : proxy de commande depuis la console ;

Rôle de dépôt

Le serveur WAPT a pour premier rôle celui de dépôt de fichiers web.

WAPT repository mechanism

Fonctionnement du dépôt WAPT

  • ce rôle de dépôt est accompli par un serveur web Nginx ;
  • le dépôt permet la distribution des paquets WAPT, des installeurs waptagent et waptsetup ;
  • les paquets WAPT sont accessibles avec un navigateur web à l’adresse : https://srvwapt.mydomain.lan/wapt ;
  • les paquets machines sont contenus dans un répertoire inaccessible par défaut (https://srvwapt.mydomain.lan/wapt/wapt-host/) ;

Rôle d’inventaire

Le serveur WAPT a pour deuxième rôle celui de serveur d’inventaire.

Le serveur d’inventaire est un service passif qui collecte les informations que les agents WAPT lui envoient :

  • inventaire matériel ;
  • inventaire logiciel ;
  • statut des paquets WAPT ;
  • état des tâches (running, pending, error) ;

Note

Le service n’est pas actif dans le sens où le serveur d’inventaire ne fait que recevoir de l’information. Aucun service actif interroge directement les agents WAPT. Par conséquent en cas de défaillance du serveur d’inventaire, l’inventaire se régénérera automatiquement à partir des remontées d’inventaire des agents déployés.

En version Community, ce service d’inventaire n’a pas d’interface web pour la visualisation des données, l’accès aux données d’inventaire se fait au travers de la console WAPT.

En version Enterprise, l’inventaire est accessible à partir d’une console web de visualisation des données de type Business Intelligence.

Rôle de Proxy

Le serveur WAPT a pour troisième rôle celui de Proxy de commande.

Il agit comme un relai entre la console et les agents WAPT déployés.

WAPT proxy mechanism

Fonctionnement du proxy WAPT

Note

Toutes les actions envoyées aux agents WAPT sont signées par la clé privée de l”Administrateur. Sans la clé privé, aucune action ne pourra être envoyée sur les postes. Pour en savoir plus a propos de la signature des actions rendez-vous dans la documentation sur la signature des actions envoyées aux agents WAPT.

Les interactions classiques de WAPT

update

Lorsqu’on lance la commande update sur un agent (depuis la console, en ligne de commande ou depuis le wapttray), on dit à l’agent d’aller vérifier sur le dépôt WAPT si des nouveaux paquets ou des nouvelles versions de paquets sont disponibles. Par défaut, l’agent WAPT interroge son dépôt toutes les deux heures.

Si la date du fichier Packages a changé depuis le dernier update, alors l’agent WAPT télécharge le nouveau fichier Packages (entre 20 et 100ko).

L’agent WAPT compare ensuite le nouveau fichier Packages avec sa base de données locale.

Si l’agent WAPT constate qu’un paquet doit être ajouté, supprimé ou mis à jour, il basculera l’état du paquet en NEED-UPGRADE.

Il ne lancera pas immédiatement l’installation du paquet. Il attendra l’ordre upgrade pour exécuter la mise à jour.

upgrade

Lorsqu’on lance la commande upgrade (depuis la console, en ligne de commande, depuis une tâche planifiée sur le poste ou manuellement depuis le wapttray), on ordonne à l’agent d’installer les paquets en statut NEED-UPGRADE.

Un update doit précéder un upgrade, sinon l’agent ne saura pas que des mises à jour sont devenues disponibles.

Fonctionnement de l’agent WAPT

Par défaut l’agent WAPT fera un update / download-upgrade au démarrage du service, puis toutes les deux heures pour vérifier s’il a des choses à faire.

Si des paquets sont en attente d’installation, ils seront automatiquement téléchargés dans le dossier C:\Program Files (x86)\wapt\cache.

Un upgrade sera ensuite lancé automatiquement à l’arrêt de l’ordinateur avec le waptexit. Un Administrateur pourra également forcer un upgrade depuis la console.

Si le serveur WAPT n’est pas disponible au moment de l”upgrade, l’agent WAPT pourra tout de même installer ses paquets en attente car ils seront disponibles dans le cache.

L’inventaire sera ensuite envoyé quand le serveur WAPT sera de nouveau disponible.

Les 4 buts de l’agent WAPT sont donc :

  • d’installer un paquet host, group ou unit si celui-ci est disponible ;
  • de supprimer les paquets obsolètes ;
  • de résoudre les dépendances et les conflits ;
  • de maintenir tous ses paquets WAPT installés à jour par rapport à ceux du dépôt ;
  • d’envoyer régulièrement son inventaire matériel et l’état d’installation de ses paquets ;

La création de paquets WAPT

Le langage de WAPT et les environments de développement

WAPT est édité avec le langage de programmation Python.

N’importe quel environment de développement rapide (RAD) destiné à la programmation python convient.

WAPT a développé quelques extensions très utiles dans le RAD PyScripter https://sourceforge.net/projects/pyscripter.

Tranquil IT recommande l’usage de PyScripter, disponible dans le paquet tis-waptdev.

Les grands concepts du développement de paquets WAPT

La puissance de Python

Toute la puissance de Python peut être avantageusement exploitée.

De nombreuses librairies existent en standard avec Python pour :

  • faire des boucles de vérification (if … then … else …) ;
  • copier, coller, déplacer des fichiers ou des répertoires ;
  • tester l’existence ou l’absence de fichiers ou de répertoires ;
  • tester l’existence ou l’absence d’éléments de base de registre ;
  • tester des droits, les modifier ;
  • interroger des sources de données extérieures (annuaires, bases de données, autres référentiels) ;
  • etc …

La puissance de WAPT

Les actions les plus fréquemment employées avec WAPT ont été simplifiées dans des fonctions appelées SetupHelpers.

Les fonctions SetupHelpers simplifient la création ou l’évaluation de paquets WAPT, validant l’objectif initial de WAPT :

  • ce qui était compliqué est rendu simple avec WAPT ;
  • ce qui était simple est rendu trivial avec WAPT ;

Je veux maintenant installer mon serveur WAPT !!