WAPT est un logiciel de gestion de déploiement de logiciels édité par les Nantais de TranquilIT.
D’un point de vue fonctionnement WAPT, nécessite le déploiement d’un agent sur les machines de votre parc via lequel vous pourrez déployer des logiciels sous la forme de « paquets ».
Vous pourrez déployer sur l’ensemble de votre parc les logiciels les plus courants tel que: 7zip, Filezilla, Libre Office, Gantt Project, etc…
Vous pourrez d’ailleurs consulter la liste des « paquets » disponibles via https://wapt.tranquil.it/.

Pourquoi faire le choix de WAPT ?

Là ou WAPT tire son épingle du jeu c’est grâce à sa simplicité de mise en place au sein d’une infrastructure Active Directory.
Utilisant Python (et donc sa simplicité), il est facile de créer ses propres « paquets » lorsqu’il s’agit de logiciels spécifiques.
L’agent coté poste peut faire remonter des informations dans GLPI comme le ferait Fusion Inventory.
La solution est française ( Cocorico #FrenchTech etc ..) et surtout validé par l’ANSSI.

J’ai eu l’occasion de mettre en place WAPT dans plusieurs des structures par lesquelles je suis passé. Le déploiement de cette solution s’est toujours fait dans une fenêtre de temps de 3 jours maximum et je n’ai jamais été déçu.

Dans ses possibilités de configuration WAPT vous permet d’avoir plusieurs administrateurs avec divers niveaux de droits. Notre objectif ici est de faire en sorte d’utiliser l’Active Directory comme gestionnaire d’accès à cette solution.
Nous partirons du postulat que WAPT est installé sur un serveur Debian 10 et que nous sommes en version entreprise. Des certificats utilisateurs WAPT sont déjà créés.

Connexion du serveur à l’Active Directory.

Nous commencerons par vérifier dans notre serveur le hostname du serveur et la configuration du serveur DNS:

cat /etc/resolv.conf
cat /etc/hostname

Si tout est bon, nous pourrons installer les paquets nécessaires:

apt install krb5-user msktutil libnginx-mod-http-auth-spnego

Puis nous modifierons le fichier /etc/krb5.conf en y ajoutant les lignes suivantes:

[libdefaults]
  default_realm = DOMAINTEST.LOC
  dns_lookup_kdc = true
  dns_lookup_realm=false

Sur la ligne default_realm nous déclarerons notre domaine AD.
Attention le domaine doit être écrit en MAJUSCULE.

Afin de récupérer le Keytab de service nous utiliserons un compte ayant les droits de joindre un ordinateur au domaine. Ici nous utiliserons le compte administrateur du domaine et les commandes kinit et klist.

sudo kinit administrateur
Password for administrateur@DOMAINTEST.LOC:

sudo klist

Valid starting       Expires              Service principal
24/02/2022 18:41:07  24/02/2022 21:41:07  krbtgt/DOMAINTEST.LOC@DOMAINTEST.LOC
        renew until 25/02/2022 11:41:01


Si la demande d’authentification est réussie, nous pourrons alors créer la Keytab HTTP avec la commande msktutil:

sudo msktutil --server ad01.domaintest.loc --precreate --host $(hostname) -b cn=computers --service HTTP --description "host account for wapt server" --enctypes 24 -N
sudo msktutil --server ad01.domaintest.loc --auto-update --keytab /etc/nginx/http-krb5.keytab --host $(hostname) -N

Puis nous mettrons les droits sur le fichier keytab:

sudo chmod 640 /etc/nginx/http-krb5.keytab 
sudo chown root:www-data /etc/nginx/http-krb5.keytab

Enfin nous lancerons le script de post configuration et nous activerons les connexions AD:

/opt/wapt/waptserver/scripts/postconf.sh --force-https

Activation de l’authentification Active Directory

Pour activer l’authentification du serveur WAPT sur l’Active Directory, nous ajouterons dans le fichier /opt/wapt/conf/waptserver.ini les informations suivantes:

wapt_admin_group_dn=CN=GRP_ADM_WAPT,OU=GRP,DC=domaintest,DC=loc
ldap_auth_server=ad01.domaintest.loc
ldap_auth_base_dn=DC=domaintest,DC=loc
ldap_auth_ssl_enabled=False

wapt_admin_group_dn:

  • CN: le nom du groupe que vous allez créer dans l’AD
  • OU: l’OU contenant le groupe
  • DC: Nom du domaine

ldap_auth_server: FQDN du serveur AD

Finalisation de la configuration

A ce stade le serveur WAPT est capable de communiquer avec votre AD.

La première chose à faire est de créer le groupe dans l’OU que vous avez définie ci dessus et d’y ajouter les utilisateurs autorisés.

Puis nous nous connecterons en admin a la console WAPT:

 

Ensuite nous irons dans le menu « Outils« , puis nous cliquerons sur « Gestion des utilisateurs WAPT et des droits« :

 

Dans le tableau de droits nous créerons notre utilisateur en respectant le principe suivant: le nom d’utilisateur doit être le login Active Directory de l’utilisateur.
Nous ajouterons dans caque colonne les autorisations d’accès nécessaires.

Ils nous faudra également lier chaque utilisateur à son certificat: clique droit sur l’utilisateur puis « Associer un certificat à l’utilisateur ».
Par défaut un utilisateur sans certificat apparait en italique.

 

Dès lors nous pourrons nous connecter avec nos utilisateurs AD dans la console WAPT. Le simple retrait du groupe AD d’un utilisateur suffira à lui bloquer l’accès.

 

 

 

Tags:

Comments are closed