Nouveau dans la version 1.5: Enterprise
Différencier les niveaux de rôle dans WAPT¶
Indication
Cette fonctionnalité est uniquement disponible avec la version Enterprise
Introduction¶
WAPT offre la possibilité de différencier les rôles des administrateurs en basant leurs identités sur une PKI pour signer les paquets et les actions.
Indication
La description suivante de la différenciation des rôles est temporaire car elle va évoluer dans un avenir proche.
Différenciation des rôles des utilisateurs administrateurs de WAPT¶
Il y a trois cas :
Clé privée + types de certificats |
Principaux usages |
|---|---|
Clé privée simple + certificat |
Permet l’authentification sur la console WAPT + les interactions avec les agents WAPT |
Clé privée du développeur + certificat |
Permet l’authentification sur la console WAPT + interactions avec les agents WAPT + signature de paquets WAPT |
Clé privée de l’autorité de certification (CA) + certificat |
Permet l’authentification + les interactions + la signature de paquets + la délivrance de nouvelles clés privées |
Une installation standard de WAPT générera une clé privée de CA par défaut, permettant l’émission de nouvelles clés privées pour les développeurs et les déployeurs de paquets WAPT.
Il est possible d’émettre une Autorité de Certification intermédiaire pour chaque filiale. Il est alors possible de délivrer une clé privée personnelle et son certificat correspondant à chaque administrateur informatique.
En examinant les schémas ci-dessus, nous pouvons en déduire la conclusion suivante :
Les agents WAPT du siège de l’Organisation peuvent être gérés par l’équipe informatique du siège et ne peuvent pas être gérés par les équipes informatiques des filiales ;
Les agents WAPT de la filiale ayant les deux certificats, celui du siège et celui de la filiale, peuvent être gérés par l’équipe informatique locale et par l’équipe informatique du siège ;
L’utilisation d’une PKI existante est possible, la console WAPT est livrée avec un simple générateur de certificats.
Générer un nouveau certificat¶
Générer un certificat auto-signé¶
Générer un nouveau certificat avec la CA¶
Pour générer un nouveau couple crt / pem à partir de la clé privée, cliquer sur Créer un certificat.
Note
Le nouveau certificat ne sera pas un certificat auto-signé ;
Ce nouveau certificat sera signé par la CA (la clé générée lors de la première installation) ;
Vous devez donc renseigner le Certificat de la CA`** et la :guilabel:`Clé de la CA.
Lors de la génération de ce nouveau couple pem / crt vous pouvez choisir si le nouveau certificat sera de type Code Signing ou non.
Indication
Pour rappel, un certificat Code Signing est destiné dans le contexte de WAPT aux personnes avec le rôle Administrateur , alors qu’un certificat SSL non Code Signing est destiné aux personnes ayant le rôle de Déployeur de Paquets .
Les Administrateurs pourront signer des paquets qui CONTIENNENT un fichier setup.py exécutable (c.à.d. des paquets logiciels).
Les individus avec le rôle de Déployeur de Paquets pourront signer des paquets qui NE CONTIENNENT PAS de fichier setup.py (c.à.d. des paquets de type machine, unit et groupe*).
Génération d’un certificat sans attribut Code Signing¶
Les clés et certificats Non Code Signing pourront donc être confiées aux personnes en charge du déploiment des paquets sur le parc machine.
Une autre équipe disposant de certificats pourvus de l’attribut Code Signing pourra préparer les paquets WAPT contenant des applications configurées en accord avec la politique de sécurité de l”Organisation et les personnalisations souhaitées par elle.
Génération d’un certificat Code Signing¶
Générer un nouveau couple pem / crt permettra également d’authentifier formellement le signataire d’un paquet avec le champ CN.
Indication
Les nouveaux certificats ne seront pas Certificat CA, ce qui signifie qu’il ne pourront pas contre-signer d’autres certificats.
En règle générale, vous n’avez qu’un seul couple crt / pem de type Certificat CA par Organisation.
Déployer les certificats d’administrateurs locaux sur les clients¶
Certaines organisations choisiront de laisser les administrateurs informatiques locaux effectuer des actions sur les appareils équipés de WAPT en leur délivrant des certificats personnels qui fonctionneront sur l’ensemble des appareils dont les administrateurs informatiques locaux sont responsables.
Les administrateurs informatiques du siège déploieront les certificats des administrateurs informatiques locaux sur les clients de leurs sites respectifs.
De cette façon, les administrateurs informatiques locaux ne pourront pas gérer les ordinateurs situés au siège, mais uniquement les ordinateurs situés sur leurs propres sites.
Copiez les certificats des administrateurs informatiques locaux autorisés sur les clients dans C:\program files(x86)\wapt\ssl.
Indication
N’oubliez pas de redémarrer le service WAPT sur les clients pour qu’ils puissent utiliser leur nouveau certificat. Ouvrez une ligne de commande cmd.exe:
net stop waptservice
net start waptservice
Si vous souhaitez déployer les certificats en utilisant WAPT, vous trouverez ci-dessous un exemple de package permettant de déployer les certificats sur les ordinateurs clients.
# -*- coding: utf-8 -*-
from setuphelpers import *
uninstallkey = []
def install():
print(ur"Copy of AC's distant site")
filecopyto('ca_distant.crt',makepath(install_location('WAPT_is1'),'ssl',))
def audit():
print('Auditing %s' % control.asrequirement())
return "OK"
if __name__ == '__main__':
update_package()