Le nom court du serveur WAPT ne doit pas dépasser 15 caractères (limite liée au sAMAccountName dans Active Directory).
Le nom du serveur doit être un nom FQDN, c’est à dire à la fois le nom de machine et le suffixe DNS.
Modifier le fichier /etc/hostname et écrire le nom FQDN du Serveur WAPT.
# /etc/hostname of the WAPT Server
srvwapt.mydomain.lan
Configurez le fichier /etc/hosts, assurez-vous de mettre à la fois le FQDN et le nom court du Serveur WAPT.
# /etc/hosts of the waptserver127.0.0.1localhostlocalhost.localdomainlocalhost4localhost4.localdomain4
::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6
10.0.0.10srvwapt.mydomain.lansrvwapt
Indication
Sur la ligne définissant l’adresse IP du serveur DNS, veillez à avoir l’IP du Serveur WAPT (et non pas 127.0.0.1), puis le FQDN, puis le nom court.
Ne modifiez pas la ligne avec localhost.
2.2.1.3. Configuration de l’adresse IP du Serveur WAPT¶
Appliquez la configuration réseau en redémarrant l’hôte avec un reboot.
reboot
Si cela n’a pas déjà été fait, créez l’entrée DNS pour le Serveur WAPT dans l’Active Directory ou le serveur DNS de l”Organisation.
Après le redémarrage, configurez la langue du système en anglais afin d’avoir des journaux non localisés pour faciliter la recherche des erreurs courantes.
Vérifiez que l’horloge de la machine est à l’heure (avec NTP installé), et que SELinux et le pare-feu sont activés.
date
sestatus
systemctlstatusfirewalld
Vérifier si la machine est correctement synchronisée avec le serveur NTP. Si elle n’est pas synchronisée, se référer à la documentation du système d’exploitation pour configurer timedatectl.
timedatectlstatus
Mettre à jour Red Hat et configurez le dépôt EPEL.
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du Serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les Agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le Serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture pour l’enregistrement en mode Kerberos.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.
Ce script de post-configuration DOIT être exécuté en tant que root.
Exécutez le script.
/opt/wapt/waptserver/scripts/postconf.sh
Cliquez sur Oui pour exécuter le script de post-configuration.
Doyouwanttolaunchpostconfigurationtool?
<yes><no>
Choisissez un mot de passe (si ce n’est pas déjà défini) pour le compte SuperAdmin du Serveur WAPT (longueur minimale de 10 caractères).
Choisissez le mode d’authentification pour l’enregistrement initial des Agents WAPT :
Le choix n°1 : Permet d’enregistrer les ordinateurs sans authentification. Le Serveur WAPT enregistre tous les ordinateurs qui demandent à être enregistrés.
Sans certificat, il n’est pas possible de télécharger les paquets WAPT et d’interroger certains points d’accès du serveur WAPT.
Cette méthode est recommandée si vous installez WAPT pour la première fois.
Le choix n°2 : Active l’enregistrement initial basé sur Kerberos (vous pourrez l’activer aussi plus tard).
Choix n°2 : Si vous rencontrez des problèmes lors de la mise à jour OU si vous utilisez un reverse proxy, cette méthode est recommandée pour le temps de la mise à jour.
Si vous voulez utiliser l’option 2 et que votre keytab Kerberos n’existe pas, le script postconf.sh le créera, après que vous ayez validé l’option 2.
Création de votre Keytab, après selection de l'activation kerberos pour la première fois.
Mise à jour de WAPT de 2.X a 2.6, vérification de l'option verify_cert.
Note
Si vous passez de WAPT 2.X à 2.5, vérifiez la configuration actuelle des Agents WAPT et plus particulièrement l’option verify_cert. Si, dans votre configuration actuelle, l’option verify_cert est réglée sur True ou sur un chemin d’accès au fichier (certificate pinning), choisissez l’option 1 ci-dessous. Si dans votre configuration actuelle verify_cert est défini à False, alors choisissez l’option #2 ci-dessous.
Si vous souhaitez utiliser WAPT pour le déploiement de systèmes d’exploitation, sélectionnez Oui.
Si vous avez choisi Yes pour activer le déploiement d’OS, la post-configuration vous demandera si vous souhaitez utiliser une authentification sécurisée pour déployer les images d’OS. Il vous demandera un utilisateur / mot de passe lorsque vous allez déployer des images d’OS en utilisant WADS.
Si vous avez choisi No, Nginx n’activera pas les points d’extrémité de l’API WADS pour les Agents WAPT.
Doyouwanttoactivateosdeployment?
<Yes><No>
L’authentification sécurisée pour WADS exige que l’utilisateur soit authentifié sur la machine où le système d’exploitation sera déployé.
Ajouté dans la version 2.5: L’accès à l’interface web de WAPT est désormais protégé par un mot de passe.
Enfin, le postconf affiche quelques informations sur le certificat SSL du Serveur WAPT et l’URL pour télécharger WaptSetup et l’installer sur l’ordinateur de l’Administrateur WAPT.
Liste des options du script de post-configuration¶
Options
Description
-c or --config
Spécifie le chemin du fichier de configuration (par défaut : /opt/wapt/conf/waptserver.ini).
-s or --force-https
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443
-q or --quiet
Exécute la post-configuration en mode silencieux.
-n or --nginx
Exécute la configuration de nginx si la post-configuration est en mode silencieux.
--dhparam-key-size=NUMBER
Définit la taille de la clé dhparam (par défaut : 2048).
-p or --admin-password
Définit le mot de passe de l’administrateur du Serveur WAPT si la post-configuration est effectuée en mode silencieux.
--server-names=SERVER_NAMES
Définit le nom et l’adresse IP du Serveur WAPT pour les CN et SubjectAltNames des certificats. Le séparateur est une virgule (par défaut : fqdn et adresse IP).
--cspn-toe
Définit les paramètres du mode TOE CSPN (par défaut : False). Cela permet d’activer des valeurs de sécurité par défaut plus strictes et de désactiver toutes les fonctionnalités qui ne sont pas incluses dans la TOE de la certification CSPN
Le mode CSPN (certification de sécurité de premier niveau par l’ANSSI) n’inclut pas WAPTWUA, WADS, Secondary Repos ou Peercache. Ces fonctionnalités ne font pas partie de la cible d’évaluation (TOE).
Attention
Pour que la post-configuration fonctionne correctement :
Le nom d’hôte du Serveur WAPT DOIT être correctement configuré. Pour le vérifier, utilisez la commande echo $(hostname) qui DOIT renvoyer l’adresse DNS qui sera utilisée par les Agents WAPT sur les ordinateurs clients.
Le résolveur DNS DOIT être correctement configuré.
Le Serveur WAPT DOIT pouvoir contacter un contrôleur de domaine en mode écriture.
Le script de post-configuration réécrit la configuration de nginx. Un fichier de sauvegarde est créé lors de l’exécution de postconf dans le même répertoire.
Ce script de post-configuration DOIT être exécuté en tant que root.
En mode CSPN, l’installation du serveur WAPT active davantage de fonctions de sécurité et est moins tolérante aux erreurs de configuration.
Dans ce mode :
La longueur du mot de passe de l’administrateur est de 20 caractères et la complexité du mot de passe est imposée.
La longueur du mot de passe du certificat de l’administrateur et de l’utilisateur est de 20 caractères et la complexité du mot de passe est imposée.
L’enregistrement et l’authentification Kerberos sont obligatoires.
L’authentification par certificat client est obligatoire.
La vérification du certificat SSL est obligatoire.
Divers paramètres de rétrocompatibilité sont désactivés.
Les fonctionnalités exclues de la CSPN TOE (à savoir les référentiels secondaires, peercache, WADS et WAPT WUA) sont désactivées.
La connexion de la Console WAPT avec le serveur est limitée aux méthodes kerb et admin (le mode admin peut être désactivé après la configuration initiale).
La durée de vie maximale des cookies de session est de 12 heures.
La durée de vie par défaut des certificats signés par WAPT est de 3 ans.
Cliquez sur Oui pour exécuter le script de post-configuration.
doyouwanttolaunchpostconfigurationtool?
<yes><no>
Choisissez un mot de passe (s’il n’est pas défini) pour le compte SuperAdmin du serveur WAPT. La longueur minimale est de 20 caractères, dont au moins 1 majuscule, 1 minuscule et 1 signe de ponctuation.
Si les informations d’identification sont correctes, le keytab est généré dans /etc/nginx/http-krb5.keytab. Les ACL corrects y sont définis. Sinon, vous devez lire la documentation.
Redémarrer Nginx.
TheNginxconfigisdone.
WeneedtorestartNginx?
<OK>
La dernière étape consiste à démarrer waptserver et wapttasks.
Utilisez votre deuxième appareil (smartphone, YubiKey, etc.) et obtenez le code qui apparaît dans l’image. Mettez le code dans le champ prévu à cet effet.
Note
Si vous avez des problèmes avec votre système kerberos. Vérifiez le propriétaire et le droit sur le fichier keytab ( http-krb5.keytab ).
Liste des options du script de post-configuration¶
Options
Description
--force-https or -s
Configure Nginx pour que le port 80 soit redirigé en permanence vers 443.
--cspn-toe
Définit les paramètres du mode CSPN TOE (défaut : False).
--server-names=SERVER_NAMES
Définit le nom du serveur et l’adresse IP pour les certificats CN et altdnsnames. Le séparateur est une virgule (défaut : None).
Avertissement
En mode CSPN, WADS et WUA n’apparaîtront pas dans la console WAPT. Cependant, les fonctionnalités Peer Cache et Secondary Repositories peuvent être activées, bien qu’elles ne doivent pas être activées car elles ne sont pas évaluées dans la cible CSPN.
Activation de Peer Cache dans la console WAPT :
En éditant une nouvelle configuration d’agent :
Allez dans Tools ‣ Edit agent dynamic configurations. Cochez l’option Use Peer Cache.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → Make package template from setup file → Host agent dynamic configuration. Cochez l’option Use Peer Cache.
Activer les dépôs secondaires dans la console WAPT :
Pour l’agent :
En éditant une nouvelle configuration d’agent :
Allez dans Tools ‣ Edit agent dynamic configurations. Vérifiez Utiliser les règles de dépôt.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → Make package template from setup file → Host agent dynamic configuration. Vérifiez l’option Utiliser les règles du référentiel.
Pour configurer un agent en tant que référentiel secondaire :
En éditant une nouvelle configuration d’agent :
Allez dans Tools ‣ Edit agent dynamic configurations. Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent.
En utilisant un paquet de configuration WAPT :
Créez un paquet dans WAPT Packages → Make package template from setup file → Host agent dynamic configuration. Allez dans l’onglet Repo-sync et cochez Synchroniser les paquets et les mises à jour du système sur l’agent