Note

Pour le mode sécurisé CSPN, veuillez visiter cette documentation.

Attention

Pour que la post-configuration fonctionne correctement :

• Le nom d’hôte du serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les agents WAPT sur les ordinateurs clients.

• Le résolveur DNS DOIT être correctement configuré.

• Le serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture pour l’enregistrement en mode Kerberos.

Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.

Ce script de post-configuration DOIT être exécuté en tant que root.

• Exécutez le script.

/opt/wapt/waptserver/scripts/postconf.sh

• Cliquez sur Oui pour exécuter le script de post-configuration.

Do you want to launch post configuration tool?

            < yes >          < no >

• Choisissez un mot de passe (si ce n’est pas déjà défini) pour le compte SuperAdmin du serveur WAPT (longueur minimale de 10 caractères).

Please enter the wapt server password (min. 10 characters)

*****************

                < OK >          < Cancel >

• Confirmez le mot de passe.

Please enter the server password again:

*****************

                < OK >          < Cancel >

• Choisissez le mode d’authentification pour l’enregistrement initial des agents WAPT :

  • Le choix n°1 : Permet d’enregistrer les ordinateurs sans authentification. Le serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.

    Sans certificat, il n’est pas possible de télécharger les paquets WAPT et d’interroger certains points d’accès du serveur WAPT.

    Cette méthode est recommandée si vous installez WAPT pour la première fois.

  • Le choix n°2 : Active l’enregistrement initial basé sur Kerberos (vous pourrez l’activer aussi plus tard).

    Si vous rencontrez des problèmes lors de la mise à jour OU si vous utilisez un reverse proxy, cette méthode est recommandée pour le temps de la mise à jour.

    Si vous voulez utiliser l’option 2 et que votre keytab Kerberos n’existe pas, le script postconf.sh le créera, après que vous ayez validé l’option 2.

    Création de votre Keytab, après selection de l'activation kerberos pour la première fois.

    Enter Kerberos REALM (domain name)
    
    -----------------------------------
    MYDOMAIN.LAN
    -----------------------------------
    
          < Yes >        < Cancel >
    

    Enter a Domain Controller name in write mode
    
    -----------------------------------
    srvads1.mydomain.lan
    -----------------------------------
    
          < Yes >        < Cancel >
    

    Enter a username authorized to join machines to the domain.
    
    -----------------------------------
    administrator
    -----------------------------------
    
          < Yes >        < Cancel >
    

    Enter administrator password
    
    -----------------------------------
    **************
    -----------------------------------
    
          < Yes >        < Cancel >
    

    Enter the URL that will be used by the WAPTAgent
    
    -----------------------------------
    srvwapt.mydomain.lan
    -----------------------------------
    
            < Yes >        < Cancel >
    

    Choose the name of the computer used by the waptserver
    
    -----------------------------------
    SRVWAPT
    -----------------------------------
    
            < Yes >        < Cancel >
    

    Keytab correctly generatedKeytab not correctly generated

    Keytab file is correctly generated in /etc/nginx/http-krb5.keytab
    
                            < OK >
    

  • Le choix n°3 : N’active pas le mécanisme d’authentification kerberos pour l’enregistrement initial des hôtes équipés de WAPT.

    The WAPT Server will require a login and a password for each host registering with it.

WaptAgent Authentication type?

--------------------------------------------------------------------------
(x) 1 Allow unauthenticated registration
( ) 2 Enable kerberos authentication required for machines registration.
        Registration will ask for password if kerberos not available
( ) 3 Disable kerberos but registration require strong authentication
--------------------------------------------------------------------------
                                        < OK >          < Cancel >

Mise à jour de WAPT de 2.X a 2.6, vérification de l'option verify_cert.

Note

Si vous passez de WAPT 2.X à 2.5, vérifiez la configuration actuelle des agents WAPT et plus particulièrement l’option verify_cert. Si, dans votre configuration actuelle, l’option verify_cert est réglée sur True ou sur un chemin d’accès au fichier (certificate pinning), choisissez l’option 1 ci-dessous. Si dans votre configuration actuelle verify_cert est défini à False, alors choisissez l’option #2 ci-dessous.

WaptAgent client certificate checking

----------------------------------------------------------------------------
(x) 1 Authenticate Agents using https client certificate (recommended)
( ) 2 Don't check https client certificate (legacy)
----------------------------------------------------------------------------
                                        < OK >          < Cancel >

• Si vous souhaitez utiliser WAPT pour le déploiement de systèmes d’exploitation, sélectionnez Oui.

  • Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS. Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.

  • Si vous avez choisi No, Nginx n’activera pas les points d’extrémité de l’API WADS pour les agents WAPT.

Do you want to activate os deployment?

        < Yes >        < No >

• L’authentification sécurisée pour WADS exige que l’utilisateur soit authentifié sur la machine où le système d’exploitation sera déployé.

Would you like to activate secure authentication on wads?

        < Yes >        < No >

• Toujours en ce qui concerne la fonction WADS, si vous avez répondu Yes aux 2 dernières questions, vous aurez une dernière question :

Would you like to mention subnet ip exempt from wads authentication

        < Yes >        < No >

Si vous répondez Yes à cette question, vous devrez donner un sous-réseau IP en format liste : 192.168.0.0/24,192.168.1.0/24.

• Choisissez si vous voulez utiliser WAPT WUA pour Windows Update.

Do you want to activate WUA?

        < Yes >        < No >

Si vous choisissez Yes, Nginx activera les points de terminaison de l’API WUA pour les Agents WAPT.

• Sélectionnez Oui pour configurer Nginx.

Do you want to configure nginx?

        < Yes >        < No >

• Indiquez le FQDN du serveur WAPT.

FQDN for the WAPT Server (eg. wapt.example.com)

---------------------------------------------
srvwapt.mydomain.lan
---------------------------------------------

            < OK >          < Cancel >

• Sélectionner OK et un certificat auto-signé sera généré, cette étape peut prendre un certain temps.

Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time
.......................................+...............................+...

Nginx est maintenant configuré, sélectionnez OK pour redémarrer Nginx :

The Nginx config is done.
We need to restart Nginx?

              < OK >

• Sélectionnez OK pour démarrer le serveur WAPT.

Press OK to start waptserver and wapttasks daemons

             < OK >

Le post-configuration est maintenant terminé.

Postconfiguration completed.
Please connect to https://wapt.mydomain.lan/ to access the WAPT Server.

                                  < OK >

Ajouté dans la version 2.5: L’accès à l’interface web de WAPT est désormais protégé par un mot de passe.

Enfin, le postconf affiche quelques informations sur le certificat SSL du serveur WAPT et l’URL pour télécharger WaptSetup et l’installer sur l’ordinateur de l’Administrateur WAPT.

Liste des options du script de post-configuration

Options	Description
-c or --config	Spécifie le chemin du fichier de configuration (par défaut : /opt/wapt/conf/waptserver.ini).
-s or --force-https	Configure Nginx pour que le port 80 soit redirigé en permanence vers 443
-q or --quiet	Exécute la post-configuration en mode silencieux.
-n or --nginx	Exécute la configuration de nginx si la post-configuration est en mode silencieux.
--dhparam-key-size=NUMBER	Définit la taille de la clé dhparam (par défaut : 2048).
-p or --admin-password	Définit le mot de passe de l’administrateur du serveur WAPT si la post-configuration est effectuée en mode silencieux.
--server-names=SERVER_NAMES	Définit le nom et l’adresse IP du Serveur WAPT pour les CN et SubjectAltNames des certificats. Le séparateur est une virgule (par défaut : fqdn et adresse IP).
--cspn-toe	Définit les paramètres du mode TOE CSPN (par défaut : False). Cela permet d’activer des valeurs de sécurité par défaut plus strictes et de désactiver toutes les fonctionnalités qui ne sont pas incluses dans la TOE de la certification CSPN