Attention : le support de WAPT 1.8.2 a pris fin le 30 juin 2022.

Il y a plusieurs vulnérabilité présente dans la branche WAPT 1.8.2.7393. Merci de mettre à jour sur la version supportée la plus récente. Liste des CVEs (non exhaustive) :
  • * python engine : python 2.7 (CVE-2020-10735, CVE-2015-20107, CVE-2022-0391, CVE-2021-23336, CVE-2021-3177, CVE-2020-27619, CVE-2020-26116, CVE-2019-20907, CVE-2020-8492, etc.)
  • * cryptography : openssl : CVE-2022-2068, CVE-2022-1292, CVE-2022-0778, CVE-2021-4160, CVE-2021-3712, CVE-2021-23841, CVE-2021-23840, CVE-2021-23839, CVE-2020-1971, CVE-2020-1968, CVE-2019-1551
  • * python dependencies : cryptography (CVE-2020-36242, CVE-2020-25659), eventlet (CVE-2021-21419), jinja2 (CVE-2020-28493), psutil (CVE-2019-18874), waitress (CVE-2022-31015), lxml (CVE-2021-4381, CVE-2021-28957, CVE-2020-27783, CVE-2018-19787), ujson (CVE-2022-31117, CVE-2022-31116, CVE-2021-45958), python-ldap (CVE-2021-46823)

Nouveau dans la version 1.5: Enterprise

Différencier les niveaux de rôle dans WAPT

Indication

Cette fonctionnalité est uniquement disponible avec la version Enterprise

Introduction

WAPT offre la possibilité de différencier les rôles des administrateurs en basant leurs identités sur une PKI pour signer les paquets et les actions.

Indication

La description suivante de la différenciation des rôles est temporaire car elle va évoluer dans un avenir proche.

WAPT admin users roles differentiation

Différenciation des rôles des utilisateurs administrateurs de WAPT

Il y a trois cas :

Clé privée + types de certificats

Principaux usages

Clé privée simple + certificat

Permet l’authentification sur la console WAPT + les interactions avec les agents WAPT

Clé privée du développeur + certificat

Permet l’authentification sur la console WAPT + interactions avec les agents WAPT + signature de paquets WAPT

Clé privée de l’autorité de certification (CA) + certificat

Permet l’authentification + les interactions + la signature de paquets + la délivrance de nouvelles clés privées

Une installation standard de WAPT générera une clé privée de CA par défaut, permettant l’émission de nouvelles clés privées pour les développeurs et les déployeurs de paquets WAPT.

Il est possible d’émettre une Autorité de Certification intermédiaire pour chaque filiale. Il est alors possible de délivrer une clé privée personnelle et son certificat correspondant à chaque administrateur informatique.

En examinant les schémas ci-dessus, nous pouvons en déduire la conclusion suivante :

  • Les agents WAPT du siège de l’Organisation peuvent être gérés par l’équipe informatique du siège et ne peuvent pas être gérés par les équipes informatiques des filiales ;

  • Les agents WAPT de la filiale ayant les deux certificats, celui du siège et celui de la filiale, peuvent être gérés par l’équipe informatique locale et par l’équipe informatique du siège ;

L’utilisation d’une PKI existante est possible, la console WAPT est livrée avec un simple générateur de certificats.

Générer un nouveau certificat

Generating a new self-signed certificate

Générer un certificat auto-signé

Générer l’Authorité de Certification (CA)

Lors de l’installation de WAPT, il vous est demandé de créer une paire .pem / .crt en cochant les cases Certificat CA et Code Signing.

Ce couple crt / pem permettra de signer des paquets WAPT et de nouveaux certificats.

Générer un nouveau certificat avec la CA

Pour générer un nouveau couple crt / pem à partir de la clé privée, cliquer sur Créer un certificat.

Note

Le nouveau certificat ne sera pas un certificat auto-signé ;

Ce nouveau certificat sera signé par la CA (la clé générée lors de la première installation) ;

Vous devez donc renseigner le Certificat de la CA`** et la :guilabel:`Clé de la CA.

Lors de la génération de ce nouveau couple pem / crt vous pouvez choisir si le nouveau certificat sera de type Code Signing ou non.

Indication

Pour rappel, un certificat Code Signing est destiné dans le contexte de WAPT aux personnes avec le rôle Administrateur , alors qu’un certificat SSL non Code Signing est destiné aux personnes ayant le rôle de Déployeur de Paquets .

Les Administrateurs pourront signer des paquets qui CONTIENNENT un fichier setup.py exécutable (c.à.d. des paquets logiciels).

Les individus avec le rôle de Déployeur de Paquets pourront signer des paquets qui NE CONTIENNENT PAS de fichier setup.py (c.à.d. des paquets de type machine, unit et groupe*).

Generating a certificate without the *Code Signing* attribute

Génération d’un certificat sans attribut Code Signing

Les clés et certificats Non Code Signing pourront donc être confiées aux personnes en charge du déploiment des paquets sur le parc machine.

Une autre équipe disposant de certificats pourvus de l’attribut Code Signing pourra préparer les paquets WAPT contenant des applications configurées en accord avec la politique de sécurité de l”Organisation et les personnalisations souhaitées par elle.

Generating a certificate with the *Code Signing* attribute

Génération d’un certificat Code Signing

Générer un nouveau couple pem / crt permettra également d’authentifier formellement le signataire d’un paquet avec le champ CN.

Indication

Les nouveaux certificats ne seront pas Certificat CA, ce qui signifie qu’il ne pourront pas contre-signer d’autres certificats.

En règle générale, vous n’avez qu’un seul couple crt / pem de type Certificat CA par Organisation.

Déployer les certificats d’administrateurs locaux sur les clients

Certaines organisations choisiront de laisser les administrateurs informatiques locaux effectuer des actions sur les appareils équipés de WAPT en leur délivrant des certificats personnels qui fonctionneront sur l’ensemble des appareils dont les administrateurs informatiques locaux sont responsables.

Les administrateurs informatiques du siège déploieront les certificats des administrateurs informatiques locaux sur les clients de leurs sites respectifs.

De cette façon, les administrateurs informatiques locaux ne pourront pas gérer les ordinateurs situés au siège, mais uniquement les ordinateurs situés sur leurs propres sites.

Copiez les certificats des administrateurs informatiques locaux autorisés sur les clients dans C:\program files(x86)\wapt\ssl.

Indication

N’oubliez pas de redémarrer le service WAPT sur les clients pour qu’ils puissent utiliser leur nouveau certificat. Ouvrez une ligne de commande cmd.exe:

net stop waptservice
net start waptservice

Si vous souhaitez déployer les certificats en utilisant WAPT, vous trouverez ci-dessous un exemple de package permettant de déployer les certificats sur les ordinateurs clients.

# -*- coding: utf-8 -*-
from setuphelpers import *

uninstallkey = []

def install():
  print(ur"Copy of AC's distant site")
  filecopyto('ca_distant.crt',makepath(install_location('WAPT_is1'),'ssl',))

def audit():
  print('Auditing %s' % control.asrequirement())
  return "OK"

if __name__ == '__main__':
  update_package()