Le serveur WAPT ayant été installé avec succès, nous allons maintenant installer la console WAPT.
Console de gestion WAPT¶
Attention
Si vous avez déjà généré l’agent WAPT et déployé l’agent sur le poste de travail de votre Administrateur, alors lancez la console WAPT.
Note
La gestion de WAPT se fait principalement via la console WAPT installée sur le poste de travail de l”Administrateur.
Il est recommandé de joindre l’ordinateur de l’administrateur à l’Active Directory de l” Organisation.
Le nom d’hôte du poste de travail de l’administrateur ne doit pas comporter plus de 15 caractères, ce qui est une limite de l’attribut sAMAccountName dans Active Directory.
L’ordinateur de l’administrateur deviendra essentiel pour l’administration de WAPT et le test des paquets WAPT.
Si les enregistrements DNS sont correctement configurés, vous devriez être en mesure d’accéder à l’interface web WAPT en visitant https://srvwapt.mydomain.lan.
A la date du 2024-09-20 la console WAPT ne s’installe que sous Windows.
Indication
Il est hautement recommandé d’utiliser la console sur une machine de gestion dédiée.
Si le serveur WAPT est installé sur un hôte Windows¶
Avertissement
La console WAPT NE DOIT PAS être installée sur votre serveur WAPT basé sur Windows.
La console WAPT doit être installée sur le poste de travail à partir duquel vous gérez votre réseau.
Avant d’installer la console WAPT, téléchargez-la sur le serveur Tranquil IT:
Version Discovery : WAPT Discovery sera publié ultérieurement. Pour l’instant, l’édition gratuite de WAPT se réfère à la documentation de wapt-1.8 https://www.wapt.fr/en/doc-1.8/
Version Enterprise :
Téléchargez
waptsetup.exe
sur le serveur WAPT.Renommez le fichier waptsetup-tis.exe.
Copiez-le dans
C:\wapt\waptserver\repository\wapt
.
Vous pouvez maintenant poursuivre le téléchargement et le lancement de l’installation de la console WAPT sur l’ordinateur de l’Administrateur
Si le serveur WAPT est installé sur un hôte Linux¶
Passez à l’étape suivante, la Console WAPT est déjà sur votre serveur.
Si les enregistrements DNS sont correctement configurés, vous devriez pouvoir accéder à l’interface web WAPT en vous rendant à l’adresse suivante : https://srvwapt.mydomain.lan.
Cliquez sur le lien WAPTSetup sur le côté droit de la page web du serveur WAPT.
Installation sur l’ordinateur de l’administrateur¶
Attention
Si waptagent n’est pas compilé et installé sur votre ordinateur, vous devez installer waptsetup.
Sinon, la console WAPT est déjà installée avec le waptagent, il suffit de la configurer.
Lancez le programme d’installation exécutable en tant que Administrateur local sur le poste de travail de l”Administrateur.
Choisissez la langue et cliquez sur OK pour installer la console WAPT.
Cliquez sur OK pour passer à l’étape suivante.
Acceptez les conditions de la licence et cliquez sur Next pour passer à l’étape suivante.
Choisissez vos options d’installation (les valeurs par défaut devraient convenir à la plupart des installations).
Paramètres |
Description |
Valeur par défaut |
---|---|---|
Installer le service WAPT |
Ajoutez le service WAPT sur votre ordinateur de gestion. |
Coché |
Lancer l’icône de notification lors de l’ouverture de session |
Lancer waptagent dans la barre d’état système au démarrage. |
Non coché |
Désactiver l’hiberboot, et augmenter le temps pour les GPO (recommandé) |
Désactiver le démarrage rapide de Windows pour la stabilité, élargir le délai d’attente pour WAPTExit. |
Coché |
Installer les certificats fournis par cet installeur |
Installez le certificat Tranquil iT uniquement sur cet ordinateur. |
Non coché |
Utiliser un UUID aléatoire pour identifier l’ordinateur au lieu du BIOS |
Pour plus d’informations, consultez la documentation sur BIOS UUID bugs |
Non coché |
Configurez l’URL du serveur WAPT .
Indication
Ici, deux choix s’offrent à vous.
S’il s’agit de la première installation et que l’agent WAPT.
Vérifiez les « Informations statiques WAPT » et définissez-les :
URL du dépot WAPT : http://srvwapt.mydomain.lan/wapt.
URL du serveur WAPT : https://srvwapt.mydomain.lan.
Choisir le dépôt et le serveur WAPT; cliquer sur Suivant.
Si la console WAPT ou l’agent WAPT est déjà installé:
Cochez Ne pas modifier la configuration actuelle, puis cliquez sur Suivant.
Obtenir un résumé de l’installation de la console WAPT.
Cliquez sur Installer pour lancer l’installation, attendez que l’installation se termine, puis cliquez sur Terminé (laissez les options par défaut).
Décochez Afficher la documentation d’installation.
Démarrer la console WAPT¶
Lancez la console WAPT :
En cherchant le binaire.
C:\Program Files (x86)\wapt\waptconsole.exe
Ou en utilisant le menu Démarrer.
Log into the WAPT console with the SuperAdmin login and password.
Si vous avez des problèmes pour vous connecter à la console WAPT, veuillez vous référer à la FAQ : Message d’erreur à l’ouverture de la console.
Il est recommandé de lancer la console WAPT avec un compte d’administrateur local pour permettre le débogage local des paquets WAPT.
Pour la version Enterprise, il est possible de s’authentifier avec l”Active Directory.
Attention
Dans la version Enterprise, copiez le fichier licence.lic
que vous avez reçu dans C:\Program Files (x86)\wapt\licences
pour activer les fonctionnalités Enterprise.
Premier démarrage après l’installation du serveur¶
Indication
On first start, you must start the WAPT console with elevated privileges.
.Activation de la licence¶
Attention
Si le message suivant apparaît, vous n’avez pas copié votre licence.lic
dans C:\Program Files (x86)\wapt\licences
.
Affectation du certificat¶
Note
Un message peut apparaître indiquant qu’aucun certificat personnel n’a été défini.
Voir l’étape suivante pour créer votre certificat.
Définition du préfixe de paquet¶
Erreurs de lancement¶
Note
Un message peut apparaître indiquant que la version de votre agent WAPT est obsolète ou n’existe pas encore.
Génération du certificat de l’administrateur pour la signature des paquets WAPT¶
Indication
Le nom de la clé privée est
wapt-private.pem
.Le nom du certificat public signé avec la clé privée est
wapt-private.crt
.
Clef privée wapt-private.pem¶
Attention
Le fichier wapt-private.pem
est fondamental pour la sécurité. Il doit être stocké dans un endroit sûr et correctement protégé.
Le fichier wapt-private.pem
est la clé privée, il est situé par défaut dans le dossier C:\private
du poste Administrateur et est protégé par un mot de passe.
Cette clé privée sera utilisée avec le certificat pour signer les paquets avant de les télécharger sur le dépot WAPT.
Danger
Le fichier wapt-private.pem
ne doit PAS** être stocké sur le serveur WAPT.
Certificat public : wapt-private.crt¶
Le fichier wapt-private.crt
est le certificat public qui est utilisé avec la clé privée. Il est créé par défaut dans le dossier C:\private
de l’administrateur, copié et déployé dans C:\Program Files (x86)\wapt\ssl
sur les postes de travail Windows ou dans /opt/wapt/ssl
sur les périphériques Linux et MacOS gérés par l’administrateur via un package WAPT, un GPO ou un rôle Ansible.
Ce certificat est utilisé pour valider la signature des paquets avant leur installation.
Attention
Si le certificat public utilisé sur la console WAPT n’est pas dérivé de la clé privée utilisée pour générer les agents WAPT, aucune interaction ne sera possible.
Les certificats enfants des clés privées sont fonctionnels pour les interactions.
Générer un certificat¶
In the WAPT console go to
.Important
Nous avons deux options différentes :
Discovery¶
Remplissez les champs suivants.
Valeur |
Description |
Requis |
---|---|---|
Répertoire de destination des clés |
Folder where the private key and the public certificate will be stored. |
|
Nom de fichier de la clé |
name of the .pem and Name of the private key. |
|
Mot de passe de la clé |
Password for locking and unlocking the key. |
|
Confirmer le mot de passe de la clé |
Password confirmation for locking and unlocking the key. |
|
Nom du certificat |
Name of the .crt certificate. |
|
Common Name (CN) |
Display name of the certificate. |
|
Ville |
Name of the certificate holder’s city to register in the certificate. |
|
Pays (2 caractères. Expemple : FR) |
Name of the certificate holder’s country (FR, EN, ES, DE …) to register in the certificate. |
|
Service |
Name of certificate holder’s service or organizational department to register in the certificate. |
|
Organisation |
Name of the certificate holder’s Organization to register in the certificate. |
|
Adresse E-Mail |
Email address of the certificate holder to register in the certificate. |
|
Export PKCS12 |
Create *.p12 certificate in Target key directory. |
Des détails supplémentaires sont stockés dans la clé privée. Ces informations permettront d’identifier l’origine du certificat et l’origine du paquet WAPT.
Indication
La complexité du mot de passe doit être conforme aux exigences de sécurité de votre Organisation (visitez le site Web de l”ANSSI pour des recommandations sur les mots de passe).
Danger
Le chemin d’accès à votre clé privée ne doit pas se trouver dans le chemin d’installation de WAPT (
C:\Program Files (x86)\wapt
).Si votre clé est stockée dans
C:\Program Files (x86)\wapt
, votre clé privée Administrator sera déployée sur vos clients, absolument à proscrire!.Le fichier
wapt-private.pem
ne doit pas être stocké sur le serveur WAPT.
Cliquez sur OK pour passer à l’étape suivante.
Si tout s’est bien passé, le message suivant apparaît :
Cliquez sur OK.
Cliquez sur Oui pour copier le certificat nouvellement généré dans le dossier
C:\Program Files (x86)\wapt\ssl
sous Windows ou/opt/wapt/ssl
sous Linux ou MacOS. Ce certificat sera récupéré lors de la compilation de l’agent WAPT et déployé sur les ordinateurs clients.
Vous pouvez passer à l’étape suivante et Construire le programme d’installation de l’agent WAPT.
Enterprise¶
Avec WAPT Enterprise, vous pouvez créer une clé principale d’autorité de certification qui peut à la fois signer des paquets et signer de nouveaux certificats.
Indication
Afin de créer de nouveaux certificats signés pour les utilisateurs délégués, veuillez vous référer à créer un nouveau certificat.
Valeur |
Description |
Requis |
---|---|---|
Répertoire de destination des clés |
Folder where the private key and the public certificate will be stored. |
|
Nom de fichier de la clé |
name of the .pem and Name of the private key. |
|
Mot de passe de la clé |
Password for locking and unlocking the key. |
|
Confirmer le mot de passe de la clé |
Password confirmation for locking and unlocking the key. |
|
:guilabel: |
Check this box if the certificate/ key pair will be allowed to sign software packages. |
|
Pour usage en tant que CA |
Check this box if this certificate can be used to sign other certificates (main or intermediate Certificate Authority). |
|
Nom du certificat |
Name of the .crt certificate. |
|
Common Name (CN) |
Display name of the certificate. |
|
Ville |
Name of the certificate holder’s city to register in the certificate. |
|
Pays (2 caractères. Expemple : FR) |
Name of the certificate holder’s country (FR, EN, ES, DE …) to register in the certificate. |
|
Service |
Name of certificate holder’s service or organizational department to register in the certificate. |
|
Organisation |
Name of the certificate holder’s Organization to register in the certificate. |
|
Adresse E-Mail |
Email address of the certificate holder to register in the certificate |
|
Clé privée de l’autorité |
Clé privée ( |
|
Certificat de l’autorité |
Certificat ( |
|
Export PKCS12 |
Créer un certificat |
Des détails supplémentaires sont stockés dans la clé privée. Ces informations permettront d’identifier l’origine du certificat et l’origine du paquet WAPT.
Indication
La complexité du mot de passe doit être conforme aux exigences de sécurité de votre Organisation (visitez le site Web de l”ANSSI pour des recommandations sur les mots de passe).
Note
Si votre organisation est déjà équipée d’une Autorité de Certification (CA), vous devrez remplir le certificat et la clé dans les champs Clé privée de l’autorité et Certificat de l’autorité.
Cette procédure vous permet de générer de nouveaux certificats ou paires de clés avec ou sans la fonction Code Signing.
For creating a Certificate Authority, go to the section on generating the Certificate Authority (CA).
Danger
Le chemin d’accès à votre clé privée ne doit pas se trouver dans le chemin d’installation de WAPT (
C:\Program Files (x86)\wapt
).Si votre clé est stockée dans
C:\Program Files (x86)\wapt
, votre clé privée d’administrateur sera déployée sur vos clients, ce qui est absolument à proscrire!.Le fichier
wapt-private.pem
ne doit pas être stocké sur le serveur WAPT.
Si tout s’est bien passé, le message suivant apparaît :
Cliquez sur OK pour passer à l’étape suivante.
Cliquez sur Oui pour copier le certificat nouvellement généré dans le dossier
C:\Program Files (x86)\wapt\ssl
. Ce certificat sera récupéré lors de la compilation de l’agent WAPT et déployé sur les ordinateurs clients.
Vous pouvez passer à l’étape suivante et construire le programme d’installation de l’agent WAPT.
Construction du programme d’installation de l’agent WAPT¶
Le binaire waptagent est un installateur InnoSetup.
Une fois que la console WAPT a été installée sur l’ordinateur Administrator, nous avons tous les fichiers nécessaires pour construire le programme d’installation de l’agent WAPT :
Les fichiers qui seront utilisés lors de la construction de l’agent WAPT sont situés dans
C:\Program Files (x86)\wapt
.Les fichiers sources du programme d’installation (fichiers
.iss
) se trouvent dansC:\Program Files (x86)\wapt\waptsetup
.
Indication
Avant de construire l’agent WAPT, veuillez vérifier le(s) certificat(s) public(s) dans C:\Program Files (x86)\wapt\ssl
.
Si vous souhaitez déployer d’autres certificats publics sur les ordinateurs de votre Organisation qui sont équipés de WAPT, vous devrez les copier dans ce dossier.
Danger
NE COPIEZ PAS la clé privée d’un Administrator dans C:\Program Files (x86)\wapt
.
Ce dossier est utilisé lors de la construction de l’agent WAPT et les clés privées seront ensuite déployées sur tous les ordinateurs.
Dans la console WAPT, allez dans
Indication
Avant de construire l’agent WAPT, vous devez choisir comment il s’identifiera auprès du serveur WAPT.
Choix du mode d’identification unique des agents WAPT¶
Dans WAPT, vous pouvez choisir le mode d’identification unique des agents WAPT.
Lorsqu’un agent WAPT s’enregistre, le serveur doit savoir s’il s’agit d’une nouvelle machine ou d’une machine qui a déjà été enregistrée.
Pour cela, le serveur WAPT examine l”UUID de l’inventaire.
WAPT propose 3 modes pour vous aider à distinguer les machines, à vous de choisir le mode qui vous convient le mieux.
Attention
Après avoir choisi un mode de fonctionnement, il est difficile d’en changer, réfléchissez bien !
Identification des agents WAPT par leur UUID BIOS (numéro de série)¶
Ce mode de fonctionnement permet d’identifier les machines de la console de manière physique.
Si vous remplacez un ordinateur et donnez au nouvel ordinateur le même nom que le précédent, vous aurez deux ordinateurs qui apparaîtront dans la console WAPT puisque vous aurez physiquement deux ordinateurs différents.
Note
Certains fournisseurs font un travail inadéquat et attribuent les mêmes UUID de BIOS à des lots entiers d’ordinateurs. Dans ce cas, WAPT ne verra qu’un seul ordinateur !!!
Identification de l’agent WAPT par le nom d’hôte¶
Ce mode de fonctionnement est similaire à celui d’Active Directory. Les machines sont identifiées par leur nom d’hôte.
Note
Ce mode ne fonctionne pas si plusieurs machines de votre parc portent le même nom. Nous savons tous que cela ne devrait pas arriver !
Identification des agents WAPT à l’aide d’un UUID généré de manière aléatoire¶
Ce mode de fonctionnement permet d’identifier les PC par leur installation WAPT. Chaque installation de WAPT génère un numéro aléatoire unique. Si vous désinstallez WAPT puis le réinstallez, vous verrez apparaître un nouveau périphérique dans votre console.
Discovery¶
Valeur |
Description |
Requis |
---|---|---|
Liste de certificats autorisés |
Dossier du certificat de confiance. |
|
Inclure également les certificats utilisateurs |
Inclure le certificat WAPT local. |
|
Adresse principale du dépôt WAPT |
Adresse du dépôt sur le serveur WAPT. |
|
Adresse du serveur WAPT |
Adresse du dépôt sur le serveur WAPT. |
|
Chemin vers les certificats d’autorité pour les serveurs https |
Chemin d’accès aux certificats utilisés pour la vérification HTTPS. |
|
Organisation |
Name of the Organization to identify the origin of WAPT packages. |
|
Utiliser le nom FQDN de la machine comme identifiant UUID |
Si des FQDN sont utilisés pour identifier les agents WAPT. |
|
Utiliser un UUID de machine aléatoire (pour les BIOS buggés) |
Si des UUID aléatoires sont utilisés pour identifier les agents WAPT. |
Danger
La case à cocher Utiliser kerberos pour l’enregistrement initial doit être cochée UNIQUEMENT SI vous avez suivi la documentation sur Configurer l’authentification kerberos.
La case à cocher Vérifier le certificat HTTPS du serveur WAPT doit être cochée UNIQUEMENT SI vous avez suivi la documentation sur Activer la vérification du certificat SSL / TLS.
Fournissez le mot de passe pour déverrouiller la clé privée.
Une fois que le programme d’installation de l’agent WAPT a terminé sa construction, une boîte de dialogue de confirmation apparaît pour indiquer que le binaire waptagent a été téléchargé avec succès sur https://srvwapt.mydomain.lan/wapt/.
Note
Un avertissement s’affiche indiquant que la valeur de hachage du GPO doit être modifiée. Les GPO peuvent être utilisés pour déployer l’agent WAPT sur les ordinateurs de votre organisation.
Danger
Après avoir construit l’agent, installez le nouvel agent WAPT sur le poste exécutant la console de gestion WAPT.
Enterprise¶
Remplissez les informations qui sont nécessaires pour l’installateur.
Valeur |
Description |
Requis |
---|---|---|
Liste de certificats autorisés |
Dossier du certificat de confiance. |
|
Inclure également les certificats utilisateurs |
Inclure le certificat WAPT local. |
|
Adresse principale du dépôt WAPT |
Adresse du dépôt sur le serveur WAPT. |
|
Adresse du serveur WAPT |
Adresse du dépôt sur le serveur WAPT. |
|
Vérifier le certificat https serveur |
Si L’authentification du client par certificat HTPS est activée sur le serveur WAPT. |
|
Utiliser les règles d’accès aux dépôts |
Pour l’utilisation des règles de réplication des dépôts distants. |
|
Chemin vers les certificats d’autorité pour les serveurs https |
Chemin d’accès aux certificats utilisés pour la vérification HTTPS. |
|
Utiliser Kerberos pour l’enregistrement initial |
Si l’authentification Kerberos des agents WAPT est utilisée avec le serveur WAPT. |
|
Organisation |
Name of the Organization to identify the origin of WAPT packages. |
|
Utiliser le nom FQDN de la machine comme identifiant UUID |
Si des FQDN sont utilisés pour identifier les agents WAPT. |
|
Utiliser un UUID de machine aléatoire (pour les BIOS buggés) |
Si des UUID aléatoires sont utilisés pour identifier les agents WAPT. |
|
Installer ces paquets sur les postes |
Installe automatiquement un group paquets lors de l’installation de l’agent WAPT. |
|
Activer l’installation automatique de paquets basés sur les groupes AD |
Permet l’installation de packages de profil. Cette fonctionnalité peut dégrader les performances de WAPT. |
|
Autoriser le redémarrage à distance |
Autoriser le redémarrage à distance depuis la console WAPT. |
|
Autoriser l’extinction à distance |
Autoriser l’extinction à distance depuis la console WAPT. |
|
Gérer les Windows Update avec WAPT` | Désactiver WAPT WUA | Ne rien changer |
Enables or disables WAPT WUA. |
|
Autoriser toutes les Mises à jour par défaut, sauf si celles explicitement exclus par les règles |
Autorise toutes les mises à jour de Windows si elles ne sont pas interdites par les paquets de règles WUA. |
|
Planification du scan / téléchargement : |
Définit la périodicité de l’analyse de Windows Update. |
|
Délai minimum avant l’installation (jours après la date de publication) |
Définit un délai d’installation différée avant la publication. |
|
Installer les mises à jour Windows à l’arrêt |
Installe les mises à jour lorsque la machine s’éteint. |
Indication
Pour plus d’informations sur la section Windows update, consultez cette article sur la configuration de WAPTWUA sur l’agent WAPT
Danger
La case à cocher Utiliser kerberos pour l’enregistrement initial doit être cochée UNIQUEMENT SI vous avez suivi la documentation sur Configurer l’authentification kerberos.
La case à cocher Vérifier le certificat HTTPS du serveur WAPT doit être cochée SEULEMENT SI vous avez suivi la documentation sur Activer la vérification du certificat SSL / TLS.
Fournissez le mot de passe pour déverrouiller la clé privée.
Une fois que le programme d’installation de l’agent WAPT a terminé sa construction, une boîte de dialogue de confirmation apparaît pour indiquer que le binaire waptagent a été téléchargé avec succès sur https://srvwapt.mydomain.lan/wapt/.
Note
Un avertissement s’affiche indiquant que la valeur de hachage de la GPO doit être modifiée. Les GPO peuvent être utilisés pour déployer l’agent WAPT sur l’ordinateur de votre Organisation.
Attention
Après avoir construit l’agent sur votre ordinateur de gestion, quittez la console WAPT et installer le nouvel agent WAPT qui a été généré sur votre ordinateur de gestion WAPT.