Configurer l’authentification Active Directory

Nouveau dans la version 1.5: Enterprise

En version WAPT Community, le serveur WAPT est configuré pour utiliser un compte SuperAdmin unique dont le mot de passe est défini lors de la post-configuration.

Ce compte SuperAdmin ne doit pas être utilisé si une traçabilité nominative des actions d’administration du parc est recherchée.

Il est impératif de configurer l’authentification Active Directory de l”Organisation qui permettra l’utilisation des identifiants nominatifs des Administrateurs et des Déployeurs de Paquets.

Note

  • l’authentification Active Directory est utilisée pour donner des accès à l’inventaire des postes à travers la console WAPT ;
  • toutefois, toutes les actions sur les postes sont basées sur les signature X.509, donc un Administrateur aura besoin à la fois d’un login Active Directory ET d’une clef privée reconnue par les postes équipés de WAPT pour effectuer des tâches d’administration du parc avec WAPT ;
  • seuls le compte SuperAdmin et les membres du groupe de sécurité Active Directory waptadmins pourront charger des paquets sur le dépôt WAPT (mode d’authentification par login / mot de passe) ;

Activer l’authentification Active Directory

  • pour activer l’authentification du serveur wapt sur Active Directory, configurer le fichier /opt/wapt/conf/waptserver.ini comme ceci :

    wapt_admin_group_dn=CN=waptadmins,OU=groupes,OU=tranquilit,DC=mydomain,DC=lanC=lan
    ldap_auth_server=srvads.mydomain.lan
    ldap_auth_base_dn=DC=mydomain,DC=lan
    ldap_auth_ssl_enabled=False
    
    Paramètres Valeur Description
    wapt_admin_group_dn CN=waptadmins,OU=groups, DN complet vers le nom du groupe. Tous les membres de ce groupe pourront se connecter à WAPT
    ldap_auth_server srvads.mydomain.lan Server LDAP que va utiliser WAPT.
    ldap_auth_base_dn DC=mydomain,DC=lan DN pour la recherche
    ldap_auth_ssl_enable False /
  • redémarrer waptserver avec systemctl restart waptserver ;

Activer le support SSL / TLS vers le contrôleur Active Directory

L’authentification Active Directory se fait au travers du protocole LDAP SSL (port 646 par défaut).

Microsoft Active Directory n’active pas le support SSL tant qu’un certificat n’a pas été généré et mis en place pour le contrôleur Active Directory.

Note

Les bundles de certificats utilisés par le serveur WAPT pour valider le certificat du contrôleur Active Directory sont ceux utilisés par défaut par la distribution CentOS.

Si le certificat du contrôleur Active Directory est auto-signé, il faudra faire le nécessaire afin de rajouter au bundle local de CA de CentOS.

Ajouter l”Autorité de Certification dans le dossier /etc/pki/ca-trust/source/anchors/ et mettre à jour les CA.

cp cainterne.pem /etc/pki/ca-trust/source/anchors/cainterne.pem
update-ca-trust
  • une fois le certificat mis en place et le support de LDAP SSL sur le contrôleur Active Directory effectué (étape non-documentée), basculer le support SSL / TLS à True dans le fichier /opt/wapt/conf/waptserver.ini :

    ldap_auth_ssl_enabled=True
    
  • redémarrer waptserver avec systemctl restart waptserver ;

Passez maintenant à l’étape suivante pour installer la console WAPT.