Configurer l’agent WAPT

Le fichier de configuration C:\Program Files (x86)\waptwapt-get.ini définit le comportement de l’agent WAPT sur la machine.

La section [global] est obligatoire :

[global]

Description des options possibles pour l’agent WAPT

Note

  • Si les champs repo_url et wapt_server sont vides, le client WAPT ira chercher son dépôt en utilisant l’enregistrement SRV dans la zone dnsdomain.
  • S’il n’y a pas de clé wapt_server dans la section [global], aucun serveur wapt ne sera contacté.
  • S’il n’y a pas d’attribut repo_url dans la section [global], il sera nécessaire de définir explicitement un dépôt dans une section [wapt], et de l’activer en l’ajoutant à la clé repositories de la section [global].
  • Les dépôts activés sont listés dans le paramètres repositories de la section [global]
Options Description
repo_url = https://srvwapt.mydomain.lan/wapt Adresse du dêpôt WAPT. Si laissé vide, la recherche se fait sur le champ DNS SRV _wapt._tcp.<dnsdomain> (dnsdomain doit être renseigné).
wapt_server = https://srvwapt.mydomain.lan Si l’attribut est vide, la recherche se fait sur le champ DNS SRV _waptserver._tcp.<dnsdomain> (l’attribut dnsdomain doit être renseigné)
dnsdomain = mydomain.lan Suffixe DNS à utiliser pour la recherche automatique par champs SRV ou CNAME du dépôt principal et du serveur WAPT.
use_hostpackages = 1 Utiliser du paquet machine ou non (défaut 1).
waptupdate_task_period = 120 Fréquence d’update (120 minutes par défaut).
waptupgrade_task_period = 360 Fréquence d’upgrade (inactif par défaut).
waptservice_user = admin Identifiant lors de l’appel d’une fonction par le service WAPT.
waptservice_password = 5e884898da Mot de passe hashé sha256 hex lors de l’appel d’une fonction par le service WAPT. NOPASSWORD permet de ne pas mettre de mot de passe.
waptservice_port = 8088 Port local HTTPS d’écoute du service WAPT.
dbdir = C:\Program Files(x86)\wapt\db Dossier où sera stocké le fichier waptdb.sqlite.
loglevel = warning Niveau de log de l’agent WAPT. Valeurs possibles : debug, info, warning, critical.
maturities = PROD Liste des maturités de paquets qui peuvent être vus et installés par l’agent WAPT. La valeur par défaut est PROD. N’importe quelle valeur peut être utilisée.

Paramètres d’accès au serveur WAPT

Ces options définissent le comportement de l’agent WAPT lors de la connexion au serveur WAPT

Options Description
wapt_server = URL du serveur WAPT. Si pas présent, aucun serveur n’est contacté. Si vide, une recherche DNS est effectuée sur la zone dnsdomain.
dnsdomain = Zone sur laquelle la recherche DNS SRV _waptserver._tcp est effectuée.
wapt_server_timeout = 10 Timeout en secondes lors de la tentative de connexion https vers le serveur.
use_kerberos = 1 Utilisation de l’authentification Kerberos pour l’enregistrement sécurisé avec le serveur WAPT.
verify_cert = Voir la documentation pour activer la
C:\Program Files (x86)\wapt\ssl\server\srvwapt.mydomain.lan.crt vérification des certifificats HTTPS.
public_certs_dir = C:\Program Files (x86)\wapt\ssl Répertoire des certificats autorisés pour la vérification de _signature_ des paquets. Par défaut : <wapt_base_dir>\\ssl. Seuls fes fichiers dans ce répertoire avec l’extension .crt ou .pem sont pris en compte. Il peut y avoir plusieurs certificats X509 dans chaque fichier. Les certificats de paquets autorisés sont ceux dont la signature peut être vérifiée par l’un des certificats contenus dans les fichiers PEM de ce répertoire. Chaque dépôt peut avoir son propre répertoire de certificats autorisés.

Utiliser plusieurs dépôts

D’autres sections peuvent être définies pour décrire chaque nouveau dépôt.

  • [wapt]: dépôt principal. Options pertinentes: repo_url, verify_cert, dnsdomain, http_proxy, use_http_proxy_for_repo, timeout. Si cette section n’existe pas, les paramètres sont lus dans la section [global] ;
  • [wapt-templates] : dépôt externe par défaut dans la console WAPT ;
  • [wapt-host]: dépôt pour les paquets machines. Si cette section n’existe pas, elle est extrapolée des paramètres du dépôt principal ;

Note

Les dépôts activés sont listés dans le paramètres repositories de la section [global]

Options Description
repositories = depot1,depot2 Liste des dépots activés. Séparateur : virgule. Les valeurs désignent le nom de la section du fichier wapt-get.ini. Dans chaque section, on peut préciser repo_url, dnsdomain, public_certs_dir, http_proxy

Note

Ce paramètre est également à définir dans la configuration de la console WAPT située dans C:\Users\%username%\AppData\Local\waptconsole\waptconsole.ini.

Pour plus d’informations, visitez la documentation sur la configuration de la console WAPT.

Paramètres pour waptexit

Options Description
allow_cancel_upgrade = 1 Interdire à l’utilisateur d’annuler la mise à jour.
pre_shutdown_timeout = 180 Temps d’attente maximum pour l’exécution des scripts à l’extinction.
max_gpo_script_wait = 180 Temps d’attente maximum pour l’application des GPO à l’extinction.
hiberboot_enabled = 0 Désactive Hiberboot pour utiliser waptexit sur Windows 10.

Paramètres pour wapttray

Options Description
notify_user = 0 Empêche waptray d’envoyer des notifications (popup).

Paramètres proxy

Options Description
http_proxy = http://user:pwd@host_fqdn:port Adresse du proxy HTTP à utiliser.
use_http_proxy_for_repo = 0 Utiliser le proxy pour accéder au dépôt.
use_http_proxy_for_server = 0 Utiliser le proxy pour accéder au serveur d’inventaire.
use_http_proxy_for_templates = 0 Utiliser le proxy pour accéder au serveur de templates de paquets.

Paramètres pour la création de paquets

Options Description
personal_certificate_path = C:\private\org-codeur.crt Chemin de la clé privée qui permettra de signer les paquets.
default_sources_root = C:\waptdev Répertoire de développement des paquets.
default_sources_root_host = C:\waptdev\hosts Répertoire de développement des paquets hosts.
default_package_prefix = tis Préfixe des paquets par défaut.
default_sources_suffix = wapt Préfixe des paquets par défaut.

Paramètres de surcharge des commandes upload

Il est possible de surcharger les commandes upload pour définir un comportement particulier lors de l’envoi des paquets. On pourrait par exemple envoyer le paquet sur plusieurs dépôts, via un autre protocole, etc.

Pour téléverser le paquet hôte sur le serveur (upload-package ou build-upload d’un paquet machine), utiliser :

upload_cmd="C:\\Program Files (x86)\\WinSCP\\WinSCP.exe" admin@srvwapt.mydomain.lan /upload %(waptfile)s

Pour téléverser le paquet hôte sur le serveur (upload-package ou build-upload d’un paquet machine), utiliser :

upload_cmd_host="C:\\Program Files (x86)"\\putty\\pscp -v -l admin %(waptfile)s srvwapt.mydomain.lan:/var/www/wapt-host/

Pour à exécuter après l”upload :

after_upload="C:\\Program Files (x86)"\\putty\\plink -v -l admin srvwapt.mydomain.lan "python /var/www/wapt/wapt-scanpackages.py /var/www/%(waptdir)s/"

Déployer une configuration wapt-get.ini

Lors de l’installation les paramètres par défaut sont :

[global]
waptupdate_task_period=120
waptserver=https://srvwapt.mydomain.lan
repo_url=https://srvwapt.mydomain.lan/wapt/
use_hostpackages=1

Modifier le wapt-get.ini et regénérer un agent ne suffit pas à pousser une nouvelle configuration.

Vous pouvez en revanche faire un paquet WAPT qui va pousser la nouvelle configuration.

Le paquet exemple est présent dans le dépôt Tranquil IT : https://store.wapt.fr/package_details?package=tis-wapt-conf-policy_6_all.wapt :

# -*- coding: utf-8 -*-
from setuphelpers import *

uninstallkey = []

def install():

  print('Modify max_gpo_script_wait')
  inifile_writestring(WAPT.config_filename,'global','max_gpo_script_wait',180)

  print('Modify Preshutdowntimeout')
  inifile_writestring(WAPT.config_filename,'global','pre_shutdown_timeout',180)

  print('Disable Hyberboot')
  inifile_writestring(WAPT.config_filename,'global','hiberboot_enabled',0)

  print('Disable Notify User')
  inifile_writestring(WAPT.config_filename,'global','notify_user',0)